S/MIME: как шифровать и подписывать свои электронные письма

Когда вы отправляете электронное письмо, вы хотите, чтобы оно благополучно попало в почтовый ящик адресата и чтобы он первым прочитал его. Когда вы сами получаете электронную почту, вы также хотите, чтобы только вы прочитали ее содержимое и чтобы оно не подвергалось никаким манипуляциям со стороны третьих лиц. Кроме того, указанный отправитель должен быть реальным отправителем письма, а не просто притворяться им. Единственный способ гарантировать это — использовать шифрование и электронные подписи, поскольку без них киберпреступникам легче наброситься на письмо, несмотря на наличие защиты от спама и антивирусного программного обеспечения. Стандартной процедурой, позволяющей использовать оба средства защиты, является S/MIME, определенный в 1999 году.

В RFC 1847 в 1995 году для стандарта MIME (Multipurpose Internet Mail Extension), разработанного компанией emmail, были определены два усовершенствования безопасности: формат multipart/signed для подписи сообщений и multipart/encrypted для их шифрования. Четыре года спустя Рабочая группа инженеров Интернета (IETF) выпустила расширение MIME, S/MIME, описанное в RFC 2633, стандарт, поддерживающий первый упомянутый формат подписи.

Для шифрования, однако, используется собственный application/pkcs7-mime. С помощью S/MIME вы можете выбрать, каким образом будет зашифровано или подписано электронное письмо, или и то, и другое.

Шифрование и подписание S/MIME возможно во всех популярных почтовых клиентах, таких как Microsoft Outlook, Thunderbird и Apple Mail. Одной из известных альтернатив, поддерживающих как многостороннюю подпись, так и многостороннее шифрование, является OpenPGP, который был определен в 2007 году.

В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы не нажмете на него.

S/MIME основан на асимметричном методе шифрования и поэтому использует пару ключей, которая состоит из закрытого и открытого ключей. В то время как открытый ключ предоставляется всем контактам электронной почты, закрытый ключ открыт только для пользователя. С одной стороны, он необходим для отправки зашифрованных сообщений электронной почты в сочетании с открытым ключом получателя, а с другой — для расшифровки полученных сообщений. Сертификат S/MIME позволяет почтовому клиенту генерировать и обмениваться ключами — этот сертификат можно получить у различных поставщиков.

Чтобы шифрование электронной почты работало, каждому сообщению S/MIME предшествуют данные заголовка, которые предоставляют принимающему клиенту информацию, необходимую для сбора и обработки содержимого. Среди прочего, для этого указывается тип содержимого — для зашифрованных данных, например, ‘enveloped data’ — соответствующее имя файла (например, smime.p7m для подписанных или зашифрованных данных) или форма кодирования. Например, возможный заголовок для зашифрованного электронного письма может выглядеть следующим образом:

В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы не нажмете на него.

Подпись S/MIME, которая может быть автоматически прикреплена к письму при его составлении, полезна по нескольким причинам: она предоставляет получателю открытый ключ для безопасной связи, чтобы он также мог отправлять вам сообщения с зашифрованным содержимым. Кроме того, подпись доказывает получателю, что письмо отправили именно вы. В отличие от PGP, добавление подписи не приводит к появлению криптографических символов. Если принимающий почтовый клиент столкнется с несоответствиями при проверке полученной подписи, легитимность сообщения не будет подтверждена, что может означать, что содержимое было подделано.

Как уже говорилось ранее, для использования S/MIME требуется сертификат (X.509). В принципе, его можно создать самостоятельно, однако сначала вам потребуется корневой сертификат, который в этом случае также должен быть сгенерирован. Кроме того, все партнеры по коммуникации должны сначала импортировать этот корневой сертификат, прежде чем будет начат обмен ключами. Гораздо более простым и менее сложным решением является приобретение сертификата в официальном центре сертификации, где имеются как платные, так и бесплатные версии. Как правило, доступные сертификаты делятся на следующие три класса:

• Класс 1: Сертификат, созданный центром сертификации, гарантирует подлинность указанного адреса электронной почты.
   
• Класс 2: Сертификат подтверждает подлинность указанного адреса электронной почты и связанного с ним имени. Компания также подтверждается, если это необходимо. Проверка информации осуществляется через базы данных третьих сторон или копии удостоверений личности.
   
• Класс 3: Эти сертификаты отличаются от сертификатов класса 2 тем, что отправителю необходимо идентифицировать себя лично.

Если вы хотите шифровать свою электронную почту с помощью S/MIME и ищете сертификат, не стоит упускать из виду его основную функцию: он должен защищать вашу электронную переписку, предотвращая манипуляции с сообщениями и останавливая те, что происходят. По этой причине имеет смысл приложить много усилий для выбора наиболее надежного поставщика.

Рекомендуемой службой, сертификатам которой, как утверждается, доверяют 99% всех почтовых клиентов, является Sectigo (ранее известная какComodo). Этот центр сертификации, известный высококачественными SSL-сертификатами, предлагает на выбор сертификаты для частного использования: ‘Free Secure Email Certificate’ (от $16,99 в год). ‘Secure Email Certificates’ (от $39,99 в год) — это решение для компаний, которые хотят внедрить надежное сквозное шифрование электронной почты с помощью S/MIME. Авторитетным партнером по созданию бесплатных сертификатов является итальянский хостинг-провайдер Actalis.

В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы не нажмете на него.

Чтобы включить процесс защиты электронной почты в ваш почтовый клиент, вам понадобится сертификат S/MIME — поэтому изучение провайдеров является первым шагом к получению защищенного почтового ящика. Затем необходимо создать персональный сертификат и установить его. Точная процедура немного отличается, но в целом она схожа для всех провайдеров. После установки настройте соответствующую почтовую программу таким образом, чтобы она использовала S/MIME и встроенный сертификат. Как правило, процесс настройки завершается перезапуском клиента, который затем разблокирует определенные функции для ручного или автоматического шифрования или для подписи сообщений.

В следующих разделах представлены подробные инструкции по настройке S/MIME на настольных системах Windows и macOS, а также на мобильных системах iOS и Android. В качестве центра сертификации используется вышеупомянутая бесплатная служба сертификатов Actalis.

Если вы хотите использовать технологию S/MIME на компьютере с операционной системой Windows, но не хотите вкладывать деньги в Outlook или Microsoft Office, вы можете использовать бесплатную альтернативу Thunderbird, которая является продуктом Mozilla, как и Firefox. Если вы еще не установили клиент и не создали учетную запись, сделайте это первым шагом. Затем, чтобы включить шифрование S/MIME и подпись для этой учетной записи, выполните следующие действия:

1. Зайдите на сайт Actalis и перейдите по ссылке «Бесплатные сертификаты S/MIME», чтобы запросить и создать бесплатный сертификат S/MME.
    
2. Откроется форма, в которой вам будет предложено указать адрес электронной почты, для которого вы хотите создать сертификат. Затем нажмите на «Send Verification Email». После этого Actalis отправит ваш индивидуальный регистрационный код на этот адрес электронной почты. Скопируйте код в строку «Verification code» и заполните требование поля captcha:

1. В следующем разделе вы должны подтвердить, что соблюдаете общие условия и другие конкретные положения, прилагаемые к бесплатному сертификату S/MME, установив флажки напротив каждого утверждения. Отметив третий квадратик, вы подтверждаете, что ознакомились с вышеизложенной информацией и согласны на использование ваших данных компанией Actalis. Вы можете отказаться от сбора ваших данных в маркетинговых целях, установив флажок «Я не согласен» перед тем, как окончательно нажать кнопку «Отправить запрос».

1. После этого ваш браузер предоставит вам персональный пароль для использования сертификата S/MME, который будет отправлен на указанный адрес электронной почты. Поскольку вы не получите этот пароль никаким другим способом, стоит записать его в другом месте или распечатать копию страницы.
    
2. Чтобы использовать его в Thunderbird, необходимо сначала загрузить сертификат в почтовый ящик и разархивировать его с помощью любого файла каталога (ZIP-файл).
    
3. Теперь запустите Thunderbird и откройте настройки учетной записи. Под пунктом меню «Безопасность» вы найдете кнопку «Управление сертификатами», которая приведет вас в соответствующее меню.

1. Выберите вкладку «Ваши сертификаты» и импортируйте ранее сохраненный сертификат, нажав кнопку «Импорт» и выбрав его. Затем вам необходимо ввести пароль для завершения процесса.
    
2. В меню безопасности теперь можно выбрать сертификат S/MIME для шифрования и подписей. Кроме того, вы можете установить цифровую подпись по умолчанию и сделать шифрование обязательным, выбрав «Требуется» в настройках шифрования по умолчанию. Если вы составляете электронное письмо, вы также можете выбрать или отменить выбор процедур по отдельности с помощью кнопки S/MIME на панели инструментов:

На устройствах Apple уже установлено решение в виде штатного клиента «Mail», которое позволяет шифровать и подписывать электронные письма с помощью S/MIME с самого начала. Если у вас есть учетная запись электронной почты, вы можете создать сертификат непосредственно в Actalis без необходимости установки дополнительных программ. Процедура такая же, как и для Windows: зайдите на сайт Actalis, нажмите кнопку «Sign Up Now» и создайте сертификат на основе своих личных данных. Затем следуйте инструкциям по установке сертификата и настройке шифрования S/MIME:

1. Откройте письмо, отправленное Actalis, и загрузите сертификат в любую папку. Полученный файл можно открыть на macOS, дважды щелкнув по нему и добавив его в администрирование связки ключей. Если вы хотите использовать S/MIME для iPhone или iPad, сначала необходимо преобразовать сертификат в формат .p12. Затем вы можете отправить его на мобильное устройство по электронной почте.

В целях защиты конфиденциальности видео не будет загружаться, пока вы не нажмете на него.

1. После установки достаточно запустить Apple Mail, чтобы интегрировать процесс шифрования и подписания.
    
2. Теперь вы можете протестировать S/MIME, отправив себе зашифрованное и подписанное сообщение. Для этого в окне электронной почты вы найдете две соответствующие кнопки (замок для шифрования, шестеренка для подписи). Оба символа также можно найти в дополнительной строке под темой остального сообщения, если шифрование и подпись сработали, как планировалось.

Как и Windows, Android не имеет собственного клиента для интеграции S/MIME. Однако существует несколько приложений, поддерживающих этот процесс, которые можно загрузить из Google Play Store. Одним из бесплатных решений является приложение MailDroid, разработанное компанией Flipdog solutions, хотя вам придется заплатить, если вы хотите получить версию без рекламы. Как и при настройке шифрования и подписей S/MIME в Windows и macOS, сначала вам понадобится действующий сертификат, который вы можете сгенерировать, как описано выше. Следующие шаги следующие:

1. В MailDroid встроены кнопки для шифрования и подписи ваших писем в качестве настроек по умолчанию. Однако для использования этих функций вам понадобится бесплатный плагин FlipdogSolutions Crypto, который можно загрузить на первом шаге.

1. С помощью плагина можно импортировать сгенерированный сертификат. Для этого откройте пункт меню «Импорт сертификата» и выберите соответствующий файл.

1. Вернитесь в MailDroid и откройте меню настроек. В пункте меню «Плагин шифрования» теперь можно указать сертификат и желаемую конфигурацию S/MIME. Установив флажок, вы можете решить, должны ли шифрование и подписание выполняться по умолчанию или шифрование не должно использоваться, если у стороны нет необходимого ключа.

1. Если с этого момента вы составляете сообщения, шифрование и подпись будут добавляться автоматически — при условии, что вы выбрали эту опцию на предыдущем шаге. В противном случае вы можете использовать кнопки в конце окна сообщения, чтобы активировать механизмы защиты. Если шифрование и подпись не работают, например, потому что сертификат или ключ недействителен или истек срок действия, MailDroid ясно покажет это: