S/MIME (от англ. Secure / Multipurpose Internet Mail Extensions) — многоцелевые расширения безопасной почты в интернете. Это стандарт подписи и шифрования сообщений электронной почты посредством пары ключей (открытого и закрытого).
Первая версия S/MIME была создана в 1995 году и не была признана стандартом. Версия 3 в 1999 стала стандартом в RFC 2633 и получила широкую поддержку почтовыми клиентами. Текущий стандарт версии 3.2 описан в RFC 5751 действует с 2010 года.
Функции S/MIME
- Аутентификация. Созданный более 40 лет назад стандарт SMTP не содержит механизмов однозначной идентификации отправителя. Это одна из причин распространения спама, когда адрес отправителя может быть ложным или несуществующим. Подпись S/MIME в письме подтверждает email-адрес отправителя и даёт уверенность, что сообщения исходят от него.
- Целостность данных. При подписании и проверке подписанного S/MIME сообщения происходит вычисление контрольной суммы сообщения. Совпадение с указанным в подписанном письме значением гарантирует его неизменность, то есть оно не претерпело вмешательств, корректировок и изменений после отправки. Так можно быть уверенным, что письмо поступило в том же виде, в котором его отослал отправитель.
- Неотрекаемость — следует из предыдущих двух свойств. Раз отправитель аутентифицирован, а целостность данных подтверждена, это является доказательством того, что конкретный отправитель или, как минимум, владелец соответствующего сертификата S/MIME действительно отправил данное письмо. Соответственно, отправитель не может оспаривать факт отправки подписанного сообщения.
- Конфиденциальность. Если известен публичный ключ получателя, письмо для него может быть зашифровано. Зашифрованное в процессе отправки сообщение может безопасно передаваться по сети — расшифровать и прочесть может только получатель, владелец приватного ключа. Благодаря этому достигается конфиденциальность переписки в процессе доставки и хранения письма.
- технические заголовки письма, необходимые для доставки почтовыми серверами;
- тема письма, поле Subject.
S/MIME в почтовых клиентах и сервисах
Стандарт поддерживается большинством современных почтовых клиентов, например, Mozilla Thunderbird, Microsoft Outlook, Apple Mail, The Bat! и другими. В подобных программах при получении подписанного сообщения будет отображена иконка:
Пример подписанного сертификатом S/MIME письма в Mozilla Thunderbird
Если письмо также и зашифровано, появится вторая иконка:
Пример подписанного и зашифрованного сертификатом S/MIME письма в Mozilla Thunderbird
Если почтовый клиент не поддерживает шифрование сообщений, то зашифрованное сообщение не может быть прочитано в нём, а подписанное — проверено. Вместо этого в письме будет показано вложение smime.p7s, содержащее цифровую подпись. Бесплатные почтовые сервисы, рассчитанные на массового частного пользователя, такие как Gmail, Яндекс, Mail и подобные им не поддерживают проверку подписи S/MIME.
Алгоритмы, используемые для шифрования
Стандарт S/MIME версии 3.2, описанный в RFC 5751, регламентирует применение следующих алгоритмов:
| Подпись писем (Multipart/Signed) | Шифрование писем (Multipart/Encrypted) | |
|---|---|---|
| Актуальные |
|
|
| Предназначенные для совместимости с ранее отправленными письмами и устаревшими почтовыми клиентами |
|
|
Использование сертификатов S/MIME в корпоративной почте
В отличии от личной почты корпоративная часто содержит сведения, относящиеся к коммерческой тайне: условия договоров, подробности переговорных процессов, данные о финансовых транзакциях и многие другие. Утечка этих сведений может привести к финансовым издержкам, репутационным рискам и судебным искам.
Даже если для соединения между почтовым клиентом и сервером, а также между почтовыми серверами используется шифрование SSL/TLS, возможен перехват корпоративной переписки. На серверах электронная почта хранится и обрабатывается в открытом виде.
Применение в корпоративной почте сквозного шифрования S/MIME полностью защищает отправителя и получателя от угроз перлюстрации, изменения сообщения и подделки адреса. От одного почтового клиента до другого письмо проходит в зашифрованном виде, его содержимое конфиденциально.
Получение сертификата S/MIME
Как и SSL-сертификаты для шифрования соединения с сайтом S/MIME сертификаты выпускаются удостоверяющими центрами (УЦ). Если для подтверждения домена требуется разместить на сайте текстовый файл или TXT-запись в DNS, то подтверждение email для S/MIME выполняется отправкой письма с кодом или ссылкой. Код необходимо ввести на сайте УЦ или перейти на него по ссылке, после чего адрес электронной почты будет подтверждён.
Выпуск сертификата обычно автоматизирован и после подтверждения занимает минуты. Срок действия сертификата — 1 год. После истечения срока сертификат необходимо перевыпустить. Полученный сертификат следует установить в почтовый клиент — Thunderbird, Outlook, Mail или подобный. С этого момента исходящие письма могут быть подписаны, а входящие зашифрованы отправителем.
Хостинг-провайдер Tendence.ru выполняет выпуск сертификатов S/MIME для шифрования и подписи электронной почты. Для получения коммерческого предложения по услуге заполните форму.
Частые вопросы
S/MIME сертификат — пара цифровых ключей, при помощи которых можно подписать и зашифровать свою электронную почту. В email, подписанном сертификатом, подтверждён адрес отправителя, а почтовый клиент помечает его значком доверия. С двумя сертификатами, у получателя и отправителя, можно настроить сквозное шифрование переписки.
После установки в почтовый клиент S/MIME сертификат позволяет подписывать и шифровать письма. К подписанному письму прилагается открытый ключ, которым получатель может подтвердить отправителя. Такие письма почтовые клиенты отмечают особым значком доверия.
Так же как и SSL-сертификаты для сайтов S/MIME сертификаты выпускаются удостоверяющими центрами (УЦ), которые оказывают услуги через своих партнёров. Хостинг-провайдер Tendence.ru – официальный партнёр ведущих мировых УЦ.
1254 просмотра