S/MIME

S/MIME (Secure / Multipurpose Internet Mail Extensions) — стандарт для шифрования и подписи в электронной почте с помощью открытого ключа.

Назначение

S/MIME предназначена для обеспечения криптографической безопасности электронной почты. Обеспечиваются аутентификация, целостность сообщения и гарантия сохранения авторства, безопасность данных (посредством шифрования). Большая часть современных почтовых программ поддерживает S/MIME.

Сертификаты S/MIME

Для использования S/MIME необходимо получить и установить индивидуальный ключ/сертификат от центра сертификации (ЦС). Лучше всего использовать различные ключи/сертификаты для цифровой подписи и шифрования, так как это позволит раскрыть при определенных условиях ключ шифрования (например, по решению суда), не дискредитируя при этом цифровые подписи. Для шифрования сообщения требуется знать сертификат приемной стороны, что обычно обеспечивается автоматически при получении письма с сертификатом. Хотя технически возможно послать сообщение, зашифрованное сертификатом получателя и не подписывать сообщение собственным, например, из-за отсутствия оного, на практике, программы с поддержкой S/MIME потребуют установки сертификата отправителя перед тем как позволить шифрование сообщений.

Обычный основной личный сертификат удостоверяет идентичность владельца только путем связывания воедино почтового адреса и сертификата. Он не удостоверяет ни имя, ни род деятельности. Более полное удостоверение можно получить, обратившись к специализированным ЦС, которые предоставляют дополнительные (нотариально эквивалентные) услуги или безопасную инфраструктуру открытого ключа.

В зависимости от политик ЦС, ваш сертификат и всё его содержимое могут быть открыто опубликованы для ознакомления и проверки. В таком случае, ваше имя и почтовый адрес становятся доступными для всех, в том числе и для поиска. Другие ЦС могут публиковать только серийные номера и признак отозванности. Это необходимый минимум для обеспечения целостности инфраструктуры открытого ключа.

Препятствия при практическом использовании S/MIME

• Не все приложения электронной почты могут обрабатывать S/MIME, что приводит к письмам с приложенным файлом «smime.p7s», что может привести к недоразумению.
• Иногда считается, что S/MIME не сильно подходит для использования вебпочты. Так как требования безопасности требуют, чтобы сервер никогда не смог получить доступ к закрытому ключу, что уменьшает такое преимущество вебпочты, как доступность из любой точки.
  • Многие различают закрытые ключи для расшифровки и для цифровой подписи. Тех, кто готов предоставить некоторому агенту первый гораздо больше, чем тех, кто готов предоставить второй. Если необходимо безопасное подтверждение авторства (как и обеспечение отсутствия ложного подтверждения), то второй ключ должен быть под строгим контролем владельца, и только его, в течение всего цикла его жизни, от создания, до уничтожения.
• S/MIME специально предназначено для обеспечения безопасности на пути от отправителя до получателя. Однако вредоносное ПО может попасть в письмо ещё на стороне отправителя при составлении письма, тогда оно без препятствий дойдет до получателя. Следовательно, необходимо обеспечивать безопасность на оконечном устройстве.

Multipart/Signed

Multipart/Encrypted

См. также

• MIME

Российские стандарты

В России действуют свои криптографические стандарты. Использование их совместно с S/MIME (PKCS#7, Cryptographic Message Syntax) описано в RFC4490: Using GOST with CMS.

Ссылки

• http://www.ietf.org/html.charters/smime-charter.html
• http://tools.ietf.org/html/rfc1847
• http://tools.ietf.org/html/rfc2311
• MozillaZine Knowledge Base: Getting an SMIME certificate
• How to secure email using S/MIME standard

Для улучшения этой статьи желательно?: Викифицировать статью. Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное.