Персональные почтовые сертификаты

Цифровая подпись – то же самое, что и настоящая Ваша подпись, но оставленная в электронном документе. Чаще всего из электронных документов мы используем офисные файлы и электронные письма. При серьезном ведении дел требуется подпись, заверенная нотариусом – сторонней, незаинтересованной структурой, подтверждающей, что это именно Ваша подпись. Эта структура выдаст документ (сертификат), удостоверяющей, что это именно Ваша подпись, с образцом подписи и Вашими данными. В случае с электронными документами дело обстоит точно так же – есть сторонние структуры, которые выдают подобные, но электронные, сертификаты, удостоверяющие, что документ составлен и подписывается именно Вами. В качестве Ваших данных выступает, как правило, электронный адрес и пароль, а у некоторых и более подробная информация (имя, телефон). Только вместо образца подписи берется файл-подтверждение, которое Вы отправляется с электронного адреса вместе с вашим письмом. Для еьатил широко используется стандарт S/MIME предназначеный для обеспечения криптографической безопасности электронной почты. Обеспечиваются аутентификация, целостность сообщения и гарантия сохранения авторства, безопасность данных (посредством шифрования). Большая часть современных почтовых программ поддерживает S/MIME.

Для использования S/MIME необходимо получить и установить индивидуальный ключ/сертификат от центра сертификации (ЦС). Лучше всего использовать различные ключи/сертификаты для цифровой подписи и шифрования, так как это позволит раскрыть при определенных условиях ключ шифрования (например, по решению суда), не дискредитируя при этом цифровые подписи. Для шифрования сообщения требуется знать сертификат приемной стороны, что обычно обеспечивается автоматически при получении письма с сертификатом. Хотя технически возможно послать сообщение, зашифрованное сертификатом получателя и не подписывать сообщение собственным, например, из-за отсутствия оного, на практике, программы с поддержкой S/MIME потребуют установки сертификата отправителя перед тем как позволить шифрование сообщений.

Обычный основной личный сертификат удостоверяет идентичность владельца только путем связывания воедино почтового адреса и сертификата. Он не удостоверяет ни имя, ни род деятельности. Более полное удостоверение можно получить, обратившись к специализированным ЦС, которые предоставляют дополнительные (нотариально эквивалентные) услуги или безопасную инфраструктуру открытого ключа.

В зависимости от политик ЦС, ваш сертификат и всё его содержимое могут быть открыто опубликованы для ознакомления и проверки. В таком случае, ваше имя и почтовый адрес становятся доступными для всех, в том числе и для поиска. Другие ЦС могут публиковать только серийные номера и признак отозванности. Это необходимый минимум для обеспечения целостности инфраструктуры открытого ключа.

Недостатки S/MIME

Не все приложения электронной почты могут обрабатывать S/MIME, что приводит к письмам с приложенным файлом «smime.p7m», что может привести к недоразумению.

Иногда считается, что S/MIME не сильно подходит для использования вебпочты. Так как требования безопасности требуют, чтобы сервер никогда не смог получить доступ к закрытому ключу, что уменьшает такое преимущество вебпочты, как доступность из любой точки.

Часто различают закрытые ключи для расшифровки и для цифровой подписи. Тех, кто готов предоставить некоторому агенту первый гораздо больше, чем тех, кто готов предоставить второй. Если необходимо безопасное подтверждение авторства (как и обеспечение отсутствия ложного подтверждения), то второй ключ должен быть под строгим контролем владельца, и только его, в течение всего цикла его жизни, от создания, до уничтожения.

S/MIME специально предназначено для обеспечения безопасности на пути от отправителя до получателя. Однако вредоносное ПО может попасть в письмо ещё на стороне отправителя при составлении письма, тогда оно без препятствий дойдет до получателя. Следовательно, необходимо обеспечивать безопасность на оконечном устройстве.