S/MIME
S/MIME (Secure / Multipurpose Internet Mail Extensions) стандарт для шифрования и подписи в электронной почте с помощью открытого ключа.
Содержание
Назначение
S/MIME предназначена для обеспечения криптографической безопасности электронной почты. Обеспечиваются аутентификация, целостность сообщения и гарантия сохранения авторства, безопасность данных (посредством шифрования). Большая часть современных почтовых программ поддерживает S/MIME.
Сертификаты S/MIME
Для использования S/MIME необходимо получить и установить индивидуальный ключ/сертификат от центра сертификации (ЦС). Лучше всего использовать различные ключи/сертификаты для цифровой подписи и шифрования, так как это позволит раскрыть при определенных условиях ключ шифрования (например, по решению суда), не дискредитируя при этом цифровые подписи. Для шифрования сообщения требуется знать сертификат приемной стороны, что обычно обеспечивается автоматически при получении письма с сертификатом. Хотя технически возможно послать сообщение, зашифрованное сертификатом получателя и не подписывать сообщение собственным, например, из-за отсутствия оного, на практике, программы с поддержкой S/MIME потребуют установки сертификата отправителя перед тем как позволить шифрование сообщений.
Обычный основной личный сертификат удостоверяет идентичность владельца только путем связывания воедино почтового адреса и сертификата. Он не удостоверяет ни имя, ни род деятельности. Более полное удостоверение можно получить, обратившись к специализированным ЦС, которые предоставляют дополнительные (нотариально эквивалентные) услуги или безопасную инфраструктуру открытого ключа.
В зависимости от политик ЦС, ваш сертификат и всё его содержимое могут быть открыто опубликованы для ознакомления и проверки. В таком случае, ваше имя и почтовый адрес становятся доступными для всех, в том числе и для поиска. Другие ЦС могут публиковать только серийные номера и признак отозванности. Это необходимый минимум для обеспечения целостности инфраструктуры открытого ключа.
Препятствия при практическом использовании S/MIME
- Не все приложения электронной почты могут обрабатывать S/MIME, что приводит к письмам с приложенным файлом «smime.p7m», что может привести к недоразумению.
- Иногда считается, что S/MIME не сильно подходит для использования вебпочты. Так как требования безопасности требуют, чтобы сервер никогда не смог получить доступ к закрытому ключу, что уменьшает такое преимущество вебпочты, как доступность из любой точки.
- Многие различают закрытые ключи для расшифровки и для цифровой подписи. Тех, кто готов предоставить некоторому агенту первый гораздо больше, чем тех, кто готов предоставить второй. Если необходимо безопасное подтверждение авторства (как и обеспечение отсутствия ложного подтверждения), то второй ключ должен быть под строгим контролем владельца, и только его, в течение всего цикла его жизни, от создания, до уничтожения.
- S/MIME специально предназначено для обеспечения безопасности на пути от отправителя до получателя. Вредоносное ПО, попавшее письмо, без препятствий дойдет до получателя, так как нет средств обнаружить его в этом промежутке. Следовательно, необходимо обеспечивать безопасность на оконечном устройстве.
См. также
Российские стандарты
В России действуют свои криптографические стандарты. Использование их совместно с S/MIME (PKCS#7, Cryptographic Message Syntax) описано в RFC4490: Using GOST with CMS.
