Microsoft Outlook: Den verwendeten Verschlüsselungsalgorithmus für S/MIME steuern

Stellt man S/MIME Zertifikate aus, beinhalten diese üblicherweise eine Zertifikaterweiterung "S/MIME Capabilities". Diese Zertifikaterweiterung ist in RFC 4262 spezifiziert und kann von kompatiblen E-Mail Programmen dazu verwendet werden, die vom Empfänger einer verschlüsselten Nachricht unterstützten symmetrischen Algorithmen zu spezifizieren. Der Absender sollte dann den jeweils stärksten vom Empfänger unterstützen Algorithmus wählen.

Microsoft Outlook verwendet (sofern vorhanden und erforderlich) die Informationen in der "S/MIME Capabilities" Erweiterung eines Zertifikats. Nachfolgend wird beschrieben, auf welche Weise die Verwendung erfolgt, und welche Algorihmen ausgewählt werden.

Wie verhält sich Outlook, wenn die Erweiterung vorliegt und wie, wenn nicht?

Outlook verhält sich wie folgt, je nachdem, ob die Zertifikaterweiterung vorliegt oder nicht:

  • Wenn S/MIME Capabilities Zertifikaterweiterung im Zertifikat des Empfängers vorhanden ist (oder die Information aufgrund des vorigen Erhalts einer signierten E-Mail vorliegt), wird der stärkste Algorithmus aus der Liste gewählt und verwendet.
  • Wenn S/MIME Capabilities Zertifikaterweiterung im Zertifikat des Empfängers nicht vorhanden ist, wird der Standard-Algorithmus konfiguriert und verwendet

Der Standard-Algorithmus unterscheidet sich je nach verwendeter Outlook-Version:

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Outlook-Verhalten überschreiben

Der Standard-Algorithmus kann über den folgenden Registrierungsschlüssel angepasst werden.

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\outlook\security

Sind die beiden genannten Registrierungswerte konfiguriert, werden die "S/MIME Capabilities" (egal ob über eine signierte E-Mail erhalten oder als Zertifikaterweiterung vorliegend) ignoriert und fest die hier konfigurierten Werte verwendet.

WertTypBeschreibung
UseAlternateDefaultEncryptionAlgREG_DWORDÜberstimmt die Einstellungen im Outlook Trust Center. Es wird der im DefaultEncryptionAlgOID Wert festgelegte Verschlüsselungsalgorithmus verwendet.
DefaultEncryptionAlgOIDREG_SZBestimmt den zu verwendenden Verschlüsselungsalgorithmus. Er ist in Form einer OID (siehe Tabelle) zu hinterlegen.

Als mögliche Werte kommen in Frage:

OIDBeschreibung
1.2.840.113549.3.73DES im CBC-Modus mit 168 Bit Schlüssellänge
2.16.840.1.101.3.4.1.2AES im CBC-Modus mit 128 Bit Schlüssellänge
2.16.840.1.101.3.4.1.22AES im CBC-Modus mit 192 Bit Schlüssellänge
2.16.840.1.101.3.4.1.42AES im CBC-Modus mit 256 Bit Schlüssellänge

Weiterführende Links:

Externe Quellen

de_DEDeutsch