S/MIME для подписи и шифрования сообщений в Exchange Online

  • Статья

S/MIME (безопасные и многоцелевые почтовые расширения Интернета) — это широко распространенный протокол для отправки сообщений с цифровой подписью и зашифрованными. S/MIME в Exchange Online предоставляет следующие службы для сообщений электронной почты:

  • Шифрование: защищает содержимое сообщений электронной почты.
  • Цифровые подписи. Проверяет удостоверение отправителя сообщения электронной почты.

Остальная часть этой статьи обычно описывает S/MIME и принцип работы этих служб.

Сведения о настройке S/MIME в Exchange Online см. в следующих разделах:

Настройка S/MIME в Exchange Online

S/MIME в Outlook для iOS и Android

Цифровые подписи S/MIME

Цифровые подписи являются наиболее часто используемой службой S/MIME. Как следует из названия, цифровые подписи являются цифровыми аналогами традиционной юридической подписи на бумажном документе. Как и в случае с юридической подписью, цифровые подписи предоставляют следующие возможности безопасности:

  • Проверка подлинности. Подпись служит для проверки удостоверения. Он проверяет ответ на "кто вы", предоставляя средства для отличия этой сущности от всех остальных и доказывая ее уникальность. Так как в электронной почте SMTP нет проверки подлинности, невозможно узнать, кто отправил сообщение. Проверка подлинности в цифровой подписи решает эту проблему, позволяя получателю знать, что сообщение было отправлено лицом или организацией, которые утверждают, что отправили сообщение.

  • Непринудие. Уникальность подписи не позволяет владельцу подписи отказаться от подписи. Эта возможность называется неотрекоменцией. Таким образом, проверка подлинности, которую предоставляет сигнатура, дает средства для принудительного применения отказа. Концепция невозврата наиболее знакома в контексте бумажных контрактов: подписанный контракт является юридически обязательным документом, и открещиться от подписи, прошедшей проверку подлинности, невозможно. Цифровые подписи обеспечивают ту же функцию и, все чаще в некоторых областях, признаются в качестве юридически обязательной, аналогичной подписи на бумаге. Так как smtp-адрес электронной почты не предоставляет средства проверки подлинности, он не может обеспечить отмену отзыва. Отправитель легко дезавуировать владение smtp-сообщением электронной почты.

  • Целостность данных. Дополнительная служба безопасности, предоставляемая цифровыми подписями, — это целостность данных. Целостность данных является результатом конкретных операций, которые делают возможными цифровые подписи. В службах целостности данных, когда получатель сообщения электронной почты с цифровой подписью проверяет цифровую подпись, получатель уверен, что полученное сообщение электронной почты фактически является тем же сообщением, которое было подписано и отправлено, и не было изменено во время передачи. Любое изменение сообщения во время передачи после его подписания делает подпись недействительной. Таким образом, цифровые подписи обеспечивают гарантию того, что подписи на бумаге не могут быть изменены после его подписания.

Важно!

Хотя цифровые подписи обеспечивают целостность данных, они не обеспечивают конфиденциальность. Сообщения только с цифровой подписью отправляются в виде ясного текста, например smtp-сообщения, и могут быть прочитаны другими пользователями. В случае, когда сообщение непрозрачно подписано, достигается уровень маскировки, так как сообщение закодировано в кодировке base64, но оно по-прежнему является четким текстом. Чтобы защитить содержимое сообщений электронной почты, необходимо использовать шифрование.

Шифрование S/MIME

Шифрование сообщений предоставляет решение для раскрытия информации. Электронная почта на основе SMTP не защищает сообщения. Сообщение ЭЛЕКТРОННОЙ почты SMTP в Интернете может прочитать любой пользователь, который видит его в пути или просматривает его там, где оно хранится. Эти проблемы решаются S/MIME с помощью шифрования. Шифрование — это способ изменения информации, чтобы ее нельзя было прочитать или понять, пока она не будет изменена обратно в удобочитаемую и понятную форму. Шифрование сообщений предоставляет две службы безопасности:

  • Конфиденциальность. Шифрование сообщений служит для защиты содержимого сообщения электронной почты. Только предполагаемый получатель может просматривать содержимое, а содержимое остается конфиденциальным и не может быть известно кому-либо, кто может получить или просмотреть сообщение. Шифрование обеспечивает конфиденциальность во время передачи сообщения и хранения.

  • Целостность данных. Как и в случае с цифровыми подписями, шифрование сообщений предоставляет службы целостности данных в результате конкретных операций, которые делают возможным шифрование.

Важно!

Хотя шифрование сообщений обеспечивает конфиденциальность, оно никак не проверяет подлинность отправителя сообщения. Неподписаное зашифрованное сообщение так же восприимчиво к олицетворению отправителя, как и сообщение, которое не зашифровано. Так как непринудие является прямым результатом проверки подлинности, шифрование сообщений также не обеспечивает отмену отзыва. Хотя шифрование обеспечивает целостность данных, зашифрованное сообщение может показать только, что сообщение не было изменено с момента его отправки. Сведения о том, кто отправил сообщение, не предоставляются. Чтобы подтвердить личность отправителя, сообщение должно использовать цифровую подпись.

Другие технологии шифрования работают вместе, чтобы обеспечить защиту неактивных и передаваемых сообщений. S/MIME может работать одновременно с технологиями из следующего списка, но не зависит от них:

  • Протокол TLS, заменяющий протокол SSL:
    • Шифрует туннель или маршрут между серверами электронной почты, чтобы предотвратить перехват и перехват.
    • Шифрует подключение между почтовыми клиентами и почтовыми серверами.
  • BitLocker. Шифрует данные на жестких дисках на клиентских компьютерах и серверах. Если несанкционированная сторона каким-то образом получает доступ, она не сможет считывать данные на дисках.

Шифрование сообщений Microsoft Purview является прямым конкурентом S/MIME и имеет следующие преимущества по сравнению с S/MIME:

  • Это служба шифрования на основе политик, настроенная администратором для шифрования сообщений, отправляемых любому пользователю внутри организации или за ее пределами. В отличие от этого, пользователи должны решить, следует ли применять или не применять S/MIME к отправляемым ими сообщениям.
  • Это веб-служба, которая основана на Azure Rights Management (Azure RMS) и не зависит от инфраструктуры открытых ключей. В отличие от этого, S/MIME требует наличия сертификата и инфраструктуры публикации сертификатов.
  • Шифрование сообщений Microsoft Purview предоставляет дополнительные возможности. Например, вы можете настроить сообщения с фирменной символикой вашей организации.