Encryption of archived emails
Starting with version 2.6.2, Benno MailArchiv offers the option to archive emails in encrypted form: Each individual email is encrypted before being saved to the storage backend.
Die Verschlüsselung erfolgt unabhängig von der verwendeten Storage-Technologie. Es ist daher egal, ob die E-Mails im Dateisystem (Standardkonfiguration) oder über den S3-Storage-Connector in einem Amazon S3-kompatiblen Store abgelegt werden.
The files are encrypted asymmetrically using RSA/AES-256. This method allows for a setup where the archiving component only requires the public key. After archiving, the emails are no longer readable on the archiving system.
Accessing the archive via Benno REST requires the private key to decrypt the email upon access.
Encryption can only be activated for newly created archives (clients).
ACHTUNG: Bei Verlust des Schlüssels sind die Daten nicht mehr entschlüsselbar und damit nicht mehr lesbar!
configuration
Zuerst wird ein keystore mit einem Schlüsselpaar erstellt.
In der Konfigurationsdatei /etc/benno/benno.xml wird die Verschlüsselung eines Mandanten wie folgt konfiguriert:
... <container> <identifier>BennoContainer</identifier> <conditions><all/></conditions> <readonly>false</readonly> <luceneindex version="LUCENE_36"><directory>/srv/benno/archive/index</directory></luceneindex> <boxgenerator rotation="YEARLY"> <boxtemplate> <journal rotation="MONTHLY"/> <storage driver="fs"><subdirs>3</subdirs><dirlength>2</dirlength></storage> <encryption> <privateKeyFile>/etc/benno/bennokeystore.jks</privateKeyFile> <privateKeyFilePassword>KeystorePassword</privateKeyFilePassword> <keyPassword>BennoMailArchivPass</keyPassword> <keyAlias>BennoMailArchiv</keyAlias> <engine>RSA_AES256</engine> <keyStoreType>PKCS12</keyStoreType> </encryption> </boxtemplate> <directory>/srv/benno/archive/repo</directory> </boxgenerator> </container>
When encryption is enabled, compression should not be activated, as encrypted data can hardly be compressed.
Page Tools
