На связи в WhatsApp
+7 (495)509-00-77
Без перерывов и выходных
8 (800) 707-26-48
Бесплатный звонок из регионов

S/MIME — сертификат для электронной почты

Главная / Статьи / S/MIME — сертификат для электронной почты

S/MIME (от англ. Secure / Multipurpose Internet Mail Extensions) — многоцелевые расширения безопасной почты в интернете. Это стандарт подписи и шифрования сообщений электронной почты посредством пары ключей (открытого и закрытого).

Первая версия S/MIME была создана в 1995 году и не была признана стандартом. Версия 3 в 1999 стала стандартом в RFC 2633 и получила широкую поддержку почтовыми клиентами. Текущий стандарт версии 3.2 описан в RFC 5751 действует с 2010 года.

Функции S/MIME

  1. Аутентификация. Созданный более 40 лет назад стандарт SMTP не содержит механизмов однозначной идентификации отправителя. Это одна из причин распространения спама, когда адрес отправителя может быть ложным или несуществующим. Подпись S/MIME в письме подтверждает email-адрес отправителя и даёт уверенность, что сообщения исходят от него.
  2. Целостность данных. При подписании и проверке подписанного S/MIME сообщения происходит вычисление контрольной суммы сообщения. Совпадение с указанным в подписанном письме значением гарантирует его неизменность, то есть оно не претерпело вмешательств, корректировок и изменений после отправки. Так можно быть уверенным, что письмо поступило в том же виде, в котором его отослал отправитель.
  3. Неотрекаемость — следует из предыдущих двух свойств. Раз отправитель аутентифицирован, а целостность данных подтверждена, это является доказательством того, что конкретный отправитель или, как минимум, владелец соответствующего сертификата S/MIME действительно отправил данное письмо. Соответственно, отправитель не может оспаривать факт отправки подписанного сообщения.
  4. Конфиденциальность. Если известен публичный ключ получателя, письмо для него может быть зашифровано. Зашифрованное в процессе отправки сообщение может безопасно передаваться по сети — расшифровать и прочесть может только получатель, владелец приватного ключа. Благодаря этому достигается конфиденциальность переписки в процессе доставки и хранения письма.
В зашифрованном S/MIME письме в открытом виде остаются:
  • технические заголовки письма, необходимые для доставки почтовыми серверами;
  • тема письма, поле Subject.
Остальное содержимое email-сообщения, включая прикреплённые файлы, будет содержаться в криптографически защищённом вложении smime.p7m

S/MIME в почтовых клиентах и сервисах

Стандарт поддерживается большинством современных почтовых клиентов, например, Mozilla Thunderbird, Microsoft Outlook, Apple Mail, The Bat! и другими. В подобных программах при получении подписанного сообщения будет отображена иконка:


Пример подписанного сертификатом S/MIME письма в Mozilla Thunderbird

Пример подписанного сертификатом S/MIME письма в Mozilla Thunderbird


Если письмо также и зашифровано, появится вторая иконка:

Пример подписанного и зашифрованного сертификатом S/MIME письма в Mozilla Thunderbird

Пример подписанного и зашифрованного сертификатом S/MIME письма в Mozilla Thunderbird


Если почтовый клиент не поддерживает шифрование сообщений, то зашифрованное сообщение не может быть прочитано в нём, а подписанное — проверено. Вместо этого в письме будет показано вложение smime.p7s, содержащее цифровую подпись. Бесплатные почтовые сервисы, рассчитанные на массового частного пользователя, такие как Gmail, Яндекс, Mail и подобные им не поддерживают проверку подписи S/MIME.

Алгоритмы, используемые для шифрования

Стандарт S/MIME версии 3.2, описанный в RFC 5751, регламентирует применение следующих алгоритмов:

Подпись писем (Multipart/Signed)Шифрование писем (Multipart/Encrypted)
Актуальные
  • RSA с SHA-256
  • DSA с SHA-256
  • RSASSA-PSS с SHA-256
  • AES-128 CBC
  • AES-192 CBC
  • AES-256 CBC
Предназначенные для совместимости с ранее отправленными письмами и устаревшими почтовыми клиентами
  • RSA с SHA-1
  • DSA с SHA-1
  • RSA с MD5
  • DES
  • EDE3
  • CBC

Использование сертификатов S/MIME в корпоративной почте

В отличии от личной почты корпоративная часто содержит сведения, относящиеся к коммерческой тайне: условия договоров, подробности переговорных процессов, данные о финансовых транзакциях и многие другие. Утечка этих сведений может привести к финансовым издержкам, репутационным рискам и судебным искам.

Даже если для соединения между почтовым клиентом и сервером, а также между почтовыми серверами используется шифрование SSL/TLS, возможен перехват корпоративной переписки. На серверах электронная почта хранится и обрабатывается в открытом виде.

Применение в корпоративной почте сквозного шифрования S/MIME полностью защищает отправителя и получателя от угроз перлюстрации, изменения сообщения и подделки адреса. От одного почтового клиента до другого письмо проходит в зашифрованном виде, его содержимое конфиденциально.

Получение сертификата S/MIME

Как и SSL-сертификаты для шифрования соединения с сайтом S/MIME сертификаты выпускаются удостоверяющими центрами (УЦ). Если для подтверждения домена требуется разместить на сайте текстовый файл или TXT-запись в DNS, то подтверждение email для S/MIME выполняется отправкой письма с кодом или ссылкой. Код необходимо ввести на сайте УЦ или перейти на него по ссылке, после чего адрес электронной почты будет подтверждён.

Выпуск сертификата обычно автоматизирован и после подтверждения занимает минуты. Срок действия сертификата — 1 год. После истечения срока сертификат необходимо перевыпустить. Полученный сертификат следует установить в почтовый клиент — Thunderbird, Outlook, Mail или подобный. С этого момента исходящие письма могут быть подписаны, а входящие зашифрованы отправителем.

Хостинг-провайдер Tendence.ru выполняет выпуск сертификатов S/MIME для шифрования и подписи электронной почты. Для получения коммерческого предложения по услуге заполните форму.

Частые вопросы

S/MIME сертификат — пара цифровых ключей, при помощи которых можно подписать и зашифровать свою электронную почту. В email, подписанном сертификатом, подтверждён адрес отправителя, а почтовый клиент помечает его значком доверия. С двумя сертификатами, у получателя и отправителя, можно настроить сквозное шифрование переписки.

После установки в почтовый клиент S/MIME сертификат позволяет подписывать и шифровать письма. К подписанному письму прилагается открытый ключ, которым получатель может подтвердить отправителя. Такие письма почтовые клиенты отмечают особым значком доверия.

Так же как и SSL-сертификаты для сайтов S/MIME сертификаты выпускаются удостоверяющими центрами (УЦ), которые оказывают услуги через своих партнёров. Хостинг-провайдер Tendence.ru – официальный партнёр ведущих мировых УЦ.




При перепубликации статьи установка активной индексируемой гиперссылки на источник — сайт Tendence.ru обязательна!

Количество просмотров2208 просмотров