Planeación de la criptografía de la mensajería de correo electrónico
Actualizado: abril de 2009
Se aplica a: Office Resource Kit
Última modificación del tema: 2009-04-03
Microsoft Office Outlook 2007 admite características relacionadas con la seguridad para ayudar a los usuarios a enviar y recibir mensajes de correo electrónico cifrados. Estas características incluyen mensajería de correo electrónico con cifrado, etiquetas de seguridad y confirmaciones firmadas.
[!NOTA] Para obtener todas las funciones de seguridad en Outlook, debe instalar Outlook con derechos administrativos locales.
Características de mensajería con cifrado en Outlook
Outlook admite características de mensajería con cifrado que permiten a los usuarios hacer lo siguiente:
Firmar digitalmente un mensaje de correo electrónico. La firma digital proporciona aceptación y comprobación del contenido (el mensaje contiene lo que la persona envió, sin cambios).
Cifrar un mensaje de correo electrónico. El cifrado ayuda a garantizar la privacidad al hacer que el mensaje sea ilegible para cualquier persona distinta del destinatario.
Se pueden configurar características adicionales para la mensajería con seguridad mejorada. Si la organización admite estas características, la mensajería con seguridad mejorada permite a los usuarios hacer lo siguiente:
Enviar un mensaje de correo electrónico con una solicitud de confirmación. Esto ayuda a comprobar que el destinatario valida la firma digital del usuario (el certificado que el usuario aplicó a un mensaje).
Agregar una etiqueta de seguridad a un mensaje de correo electrónico. La organización puede crear una directiva de seguridad S/MIME V3 personalizada que agregue etiquetas a los mensajes. Una directiva de seguridad S/MIME V3 constituye código que se agrega a Outlook. Agrega información al encabezado del mensaje acerca de la confidencialidad del mismo. Vea Etiquetas de seguridad y confirmaciones firmadas más adelante en este tema.
Procedimiento seguido por Outlook para implementar la mensajería con cifrado
El modelo de criptografía de Outlook usa el cifrado de clave pública para enviar y recibir mensajes de correo electrónico firmados y cifrados. Outlook admite seguridad S/MIME V3, que permite a los usuarios intercambiar mensajes de correo electrónico con seguridad mejorada con otros clientes de correo electrónico S/MIME a través de Internet o una intranet. Los mensajes de correo electrónico cifrados con la clave pública del usuario se pueden descifrar sólo con la clave privada asociada. Esto significa que cuando un usuario envía un mensaje de correo electrónico cifrado, el certificado (clave pública) del destinatario lo cifra. Cuando un usuario lee un mensaje de correo electrónico cifrado, la clave privada del usuario lo descifra.
En Outlook, los usuarios deben tener un perfil de seguridad para usar las características de cifrado. Un perfil de seguridad es un grupo de opciones de configuración que describe los certificados y algoritmos usados cuando un usuario envía mensajes que usan características de cifrado. Los perfiles de seguridad se configuran automáticamente si todavía no existen cuando:
El usuario tiene certificados de criptografía en el equipo.
El usuario empieza a usar una característica de cifrado.
Puede personalizar esta configuración de seguridad para los usuarios de antemano. Puede usar opciones del Registro o la configuración de directiva de grupo para personalizar Outlook a fin de cumplir las directivas de cifrado de la organización y configurar (y exigir, con la directiva de grupo) las opciones que desee en los perfiles de seguridad. Estas opciones se describen en la tabla de Establecimiento de opciones de criptografía de Outlook 2007 coherentes para una organización.
Identificadores digitales: combinación de clave pública y privada y certificados
Las características de S/MIME dependen de identificadores digitales, que asocian la identidad de un usuario con un par de clave pública y privada. La combinación de un certificado y un par de clave privada y pública se denomina identificador digital. La clave privada se puede guardar en un almacén con seguridad mejorada, como el almacén de certificados de Microsoft Windows, en el equipo del usuario o en una tarjeta inteligente. Outlook es totalmente compatible con el estándar X.509v3, que requiere que una entidad de certificación, como VeriSign, Inc., cree las claves públicas y privadas.
Los usuarios pueden obtener identificadores digitales mediante el uso de entidades de certificación públicas basadas en World Wide Web, como VeriSign y Microsoft Certificate Server. Para obtener más información acerca del procedimiento que deben seguir los usuarios para adquirir un identificador digital, vea el tema de la Ayuda de Outlook relativo a la obtención de identificadores digitales. Como administrador, puede proporcionar identificadores digitales a un grupo de usuarios. Outlook también sigue admitiendo el uso del servidor Administrador de claves de Microsoft Exchange para obtener o proporcionar identificadores digitales.
Normalmente, cuando los certificados para los identificadores digitales expiran, los usuarios deben obtener certificados actualizados de la entidad de certificación que los emitió. Si la organización usa el servidor Administrador de claves de Microsoft Exchange para los certificados, Outlook administra automáticamente la actualización de certificados para los usuarios.
Etiquetas de seguridad y confirmaciones firmadas
Outlook es compatible con las extensiones de Servicios de seguridad mejorados (ESS) de S/MIME V3 relativas a etiquetas de seguridad y confirmaciones firmadas. Estas extensiones ayudan a proporcionar comunicaciones de correo electrónico con seguridad mejorada dentro de la organización y a personalizar la seguridad para que se ajuste a sus requisitos.
Si la organización desarrolla y proporciona directivas de seguridad de S/MIME V3 para agregar etiquetas de seguridad personalizadas, el código de las directivas de seguridad puede exigir que se adjunte una etiqueta de seguridad a un mensaje de correo electrónico. A continuación se ofrecen dos ejemplos de etiquetas de seguridad:
Podría implementarse una etiqueta de uso únicamente interno como etiqueta de seguridad que hay que aplicar al correo que no se debe enviar ni reenviar fuera de la compañía.
Una etiqueta puede especificar que ciertos destinatarios no pueden reenviar o imprimir el mensaje, si el destinatario también tiene la directiva de seguridad instalada.
Los usuarios también pueden enviar solicitudes de confirmación con seguridad mejorada junto con los mensajes para comprobar que los destinatarios reconocen la firma digital del usuario. Cuando el mensaje se recibe y se guarda (aunque todavía no se haya leído) y se comprueba la firma, se devuelve a la Bandeja de entrada del usuario una confirmación que indica que el mensaje se leyó. Si no se comprueba la firma del usuario, no se envía ninguna confirmación. Cuando se devuelve la confirmación, se tiene constancia de que el usuario recibió y comprobó el mensaje, ya que la confirmación también va firmada.
Clases de seguridad del cifrado
Hay dos clases de seguridad de la clave de cifrado disponibles en Microsoft: alta (128 bits) y baja (40 bits). Microsoft proporciona capacidades de cifrado de 128 bits en Windows 2000 y Windows XP, los sistemas operativos necesarios para 2007 Microsoft Office system. Para proporcionar un alto nivel de mensajería de correo electrónico con seguridad mejorada, es fundamental garantizar que los usuarios disponen de versiones de software que admitan el nivel de cifrado alto.
Otros recursos
La interfaz de programación de aplicaciones (API) de etiquetas de seguridad de Outlook crea módulos de directivas de etiquetas de seguridad que definen la confidencialidad del contenido de los mensajes en la organización. Para obtener una descripción detallada de la creación de módulos de directivas y ejemplos de código, vea el artículo de MSDN acerca de la creación de módulos de directivas de etiquetas de seguridad.
El cifrado de clave pública puede ayudarle a mantener sistemas de correo electrónico con seguridad mejorada. Para obtener más información acerca del uso del cifrado de clave pública en Outlook, busque el artículo de seguridad de Outlook 98 en la página de búsqueda de Knowledge Base del sitio web de los servicios de soporte técnico de Microsoft.
La versión 5.5 del servidor Administrador de claves de Microsoft Exchange únicamente emite claves para la seguridad de Microsoft Exchange Server. El Service Pack 1 del servidor Administrador de claves de Microsoft Exchange 5.5 admite tanto la seguridad de Exchange como la seguridad de S/MIME. Para obtener más información, vea la guía de recursos de la versión 5.5 de Microsoft Exchange Server en la segunda edición del Kit de recursos de Microsoft BackOffice.
Descarga de este libro
Este tema se incluye en los siguientes libros descargables para facilitar su lectura e impresión:
Planeación y arquitectura de la versión de Office 2007 (en inglés)
Información acerca de la seguridad de la versión de Office 2007 (en inglés)
Vea la lista completa de libros disponibles en la sección de información del kit de recursos de Office.