S/MIME para assinatura e criptografia de mensagens no Exchange Online

  • Artigo

S/MIME (Extensões seguras/multiuso do Internet Mail) é um protocolo amplamente aceito para o envio de mensagens assinadas e criptografadas digitalmente. S/MIME no Exchange Online fornece os seguintes serviços para mensagens de email:

  • Criptografia: protege o conteúdo das mensagens de email.
  • Assinaturas digitais: verifica a identidade do remetente de uma mensagem de email.

O restante deste artigo geralmente descreve S/MIME e como esses serviços funcionam.

Para configurar o S/MIME no Exchange Online, confira os seguintes tópicos:

Configurar S/MIME no Exchange Online

S/MIME para Outlook para iOS e Android

Assinaturas digitais S/MIME

As assinaturas digitais são o serviço mais usado de S/MIME. Como o nome sugere, as assinaturas digitais são a contrapartida digital para a assinatura tradicional e legal em um documento de papel. Assim como acontece com uma assinatura legal, as assinaturas digitais fornecem os seguintes recursos de segurança:

  • Autenticação: uma assinatura serve para validar uma identidade. Ele verifica a resposta para "quem é você" fornecendo um meio de diferenciar essa entidade de todas as outras pessoas e provar sua exclusividade. Como não há autenticação no email SMTP, não há como saber quem enviou uma mensagem. A autenticação em uma assinatura digital resolve esse problema permitindo que um destinatário saiba que uma mensagem foi enviada pela pessoa ou organização que afirma ter enviado a mensagem.

  • Não estudo: a exclusividade de uma assinatura impede que o proprietário da assinatura renege a assinatura. Essa funcionalidade é chamada de nãorepudiação. Assim, a autenticação que uma assinatura fornece fornece os meios para impor a nãorepudiação. O conceito de nãorepudiação é mais familiar no contexto de contratos de papel: um contrato assinado é um documento legalmente associatório e é impossível renegar uma assinatura autenticada. As assinaturas digitais fornecem a mesma função e, cada vez mais em algumas áreas, são reconhecidas como associações legalmente, semelhantes a uma assinatura no papel. Como o email SMTP não fornece um meio de autenticação, ele não pode fornecer não pesquisa. É fácil para um remetente negar a propriedade de uma mensagem de email SMTP.

  • Integridade de dados: um serviço de segurança adicional que as assinaturas digitais fornecem é a integridade dos dados. A integridade dos dados é resultado das operações específicas que tornam as assinaturas digitais possíveis. Com os serviços de integridade de dados, quando o destinatário de uma mensagem de email assinada digitalmente valida a assinatura digital, o destinatário tem certeza de que a mensagem de email recebida é, de fato, a mesma mensagem que foi assinada e enviada e não foi alterada durante o trânsito. Qualquer alteração da mensagem durante o trânsito depois que ela foi assinada invalida a assinatura. Dessa forma, as assinaturas digitais fornecem uma garantia de que as assinaturas no papel não podem, pois é possível que um documento em papel seja alterado depois de assinado.

Importante

Embora as assinaturas digitais forneçam integridade de dados, elas não fornecem confidencialidade. Mensagens com apenas uma assinatura digital são enviadas em texto claro, como mensagens SMTP e podem ser lidas por outras pessoas. No caso em que a mensagem é assinada opaca, um nível de ofuscação é alcançado porque a mensagem é codificada com base64, mas ainda é um texto claro. Para proteger o conteúdo das mensagens de email, a criptografia deve ser usada.

Criptografia S/MIME

A criptografia de mensagens fornece uma solução para divulgação de informações. O email de Internet baseado em SMTP não protege mensagens. Uma mensagem de email da Internet SMTP pode ser lida por qualquer pessoa que a veja enquanto viaja ou a vê onde está armazenada. Esses problemas são resolvidos por S/MIME usando criptografia. A criptografia é uma maneira de alterar informações para que elas não possam ser lidas ou compreendidas até que sejam alteradas novamente para um formulário legível e compreensível. A criptografia de mensagens fornece dois serviços de segurança específicos:

  • Confidencialidade: a criptografia de mensagens serve para proteger o conteúdo de uma mensagem de email. Somente o destinatário pretendido pode exibir o conteúdo, e o conteúdo permanece confidencial e não pode ser conhecido por ninguém que possa receber ou exibir a mensagem. A criptografia fornece confidencialidade enquanto a mensagem está em trânsito e no armazenamento.

  • Integridade dos dados: assim como acontece com as assinaturas digitais, a criptografia de mensagens fornece serviços de integridade de dados como resultado das operações específicas que tornam a criptografia possível.

Importante

Embora a criptografia de mensagens forneça confidencialidade, ela não autentica o remetente de mensagens de forma alguma. Uma mensagem criptografada não assinada é tão suscetível à representação do remetente quanto uma mensagem que não é criptografada. Como a nãorepudiação é um resultado direto da autenticação, a criptografia de mensagens também não fornece não consulta. Embora a criptografia forneça integridade de dados, uma mensagem criptografada só pode mostrar que a mensagem não foi alterada desde que foi enviada. Nenhuma informação sobre quem enviou a mensagem é fornecida. Para provar a identidade do remetente, a mensagem deve usar uma assinatura digital.

Outras tecnologias de criptografia trabalham juntas para fornecer proteção para mensagens em repouso e em trânsito. O S/MIME pode funcionar simultaneamente com as tecnologias na lista a seguir, mas não depende delas:

  • TLS (Transport Layer Security), que substitui a Camada de Soquetes Seguros (SSL):
    • Criptografa o túnel ou a rota entre servidores de email para ajudar a evitar bisbilhotar e escutar.
    • Criptografa a conexão entre clientes de email e servidores de email.
  • BitLocker: criptografa dados em discos rígidos em computadores e servidores cliente. Se uma parte não autorizada de alguma forma ganhar acesso, ela não poderá ler os dados nas unidades.

Criptografia de Mensagens do Microsoft Purview é um concorrente direto para S/MIME e tem as seguintes vantagens sobre S/MIME:

  • É um serviço de criptografia baseado em política que é configurado por um administrador para criptografar mensagens enviadas a qualquer pessoa dentro ou fora da organização. Por outro lado, os usuários são obrigados a decidir se devem aplicar ou não S/MIME às mensagens enviadas.
  • É um serviço online criado no Azure Rights Management (Azure RMS) e não depende de uma infraestrutura de chave pública. Por outro lado, o S/MIME requer uma infraestrutura de publicação de certificados e certificados.
  • Criptografia de Mensagens do Microsoft Purview fornece recursos adicionais. Por exemplo, você pode personalizar mensagens com a marca da sua organização.