S/MIME

S/MIME (RFC2630, 2632, 2633, 2634) «Secure/Multipurpose Internet Mail Extensions» является стандартом, позволяющим использовать X.509 – сертификаты для защиты вашего email-обмена. X.509 – сертификаты широко применяются так же для защиты других электронных коммуникаций, таких как HTTP и других. Таким образом, один и тот же сертификат используется в различных целях и разным программным обеспечением. 

S/MIME представляет собой реализацию криптографической системы с асимметричным ключом. Система может быть использована как для внедрения так называемой digital signature (электронной подписи) в ваши почтовые сообщения, так и для шифрования последних. Поддерживается также комбинация двух вышеперечисленных методов. Система с асимметричным ключом отличается от традиционной (работающей с симметричным ключом) в первую очередь тем, что вам не придется сообщать вашему корреспонденту по телефону или каким-либо иным методом пароль, который вы использовали для пересылки ему секретных сведений: система с асимметричным ключом сделает это за вас. Все, что вам надо иметь, чтобы послать такие сведения, – это публичную часть S/MIME-сертификата вашего адресата, а именно ту его часть, которая ни в коем случае секретом не является (напротив, чем большее количество людей будет иметь у себя публичную часть вашего S/MIME-сертифика та, тем лучше). Разумеется, ваш корреспондент должен иметь и секретную часть своего S/MIME-сертификата, иначе он не сможет дешифровать тот текст, что вы ему пошлете (как не сможет этого сделать и никто другой, не имея секретной части его S/MIME-сертификата).

В случае применения электронной подписи подписанное сообщение передается в «читабельной» форме, то есть в нешифрованном виде, однако получатель письма имеет возможность убедиться в том, что автором сообщения и в самом деле являетесь вы, а главное – возможность убедиться в том, что данное сообщение никем не было изменено «по дороге». При этом получателю письма для подобной проверки не требуется никакой дополнительной информации, так как публичная часть S/MIME-сертификата отправителя подписанного письма (необходимая для процесса «сверки» подписи) передается вместе с подписанным письмом. Такие сообщения, подписанные электронным образом, уже на протяжении нескольких лет принимаются судами ряда западных стран в качестве свидетельских показаний. По имеющейся информации в ближайшее время аналогичный закон должен быть принят и в России (что позволит, в частности, принимать налоговые декларации от граждан по электронной почте).

В случае использования шифрованных сообщений прочитать текст письма сможет лишь тот человек (те люди), кому вы в момент написания шифрования явно предоставляете такое право (те, кому вы шифруете сообщение). Наконец, применение комбинации обоих методов означает, что прочитать ваше сообщение сможет лишь тот, кому оно предназначено, и он же сможет убедиться в том, что сообщение и в самом деле написано вами.

Для использования возможностей S/MIME прежде всего вам необходимо получить «сертификат» (например, это можно сделать тут: https://www.thawte.com/, в некоторых случаях, в зависимости от вашего места работы, сертификат вы получите от своего работодателя), состоящий из двух частей: секретного ключа и публичного ключа. Вы должны защищать свой сертификат от несанкционированного доступа и уж в любом случае не сообщать никому пароль, которым защищен ваш сертификат. Имеющийся сертификат вам необходимо внести в базу данных The Bat!, например, следующим образом: создайте в адресной книге программы «нового адресата» со своим личным именем и адресом (если у вас это еще не сделано) и на вкладке Сертификаты нажмите кнопку Импортировать. Найдите файл, содержащий ваш сертификат (в зависимости от того, как именно вы получили свой сертификат, вам, возможно, придется сначала экспортировать его из вашего Интернет-браузера, например, при использовании Netscape нажмите на кнопку «Security», перейдите к Certificates | Yours), и нажмите кнопку «Открыть». Ваш сертификат будет занесен в базу The Bat!

На практике система S/MIME работает следующим образом.

Для того чтобы подписать письмо (но не зашифровать), вам нужен ваш собственный сертификат. В меню редактора выберите Защита | Авто – S/MIME (проследите, чтобы одновременно НЕ БЫЛ выбран пункт меню АвтоOpenPGP), Защита | Подписать перед отправкой. В момент отправки письма The Bat!, возможно (в случае, если у вас есть несколько S/MIME-сертификатов), запросит вас о том, какой из сертификатов использовать для создания подписи, а затем попросит указать пароль, которым защищен ваш сертификат в базе данных программы. После чего программа автоматически создаст электронную подпись для вашего письма и пошлет его по назначению. Обратите внимание, что защищен от несанкционированной модификации оказывается не только текст письма, но и те файлы, что вы, возможно, к нему прикрепили, а также некоторые служебные поля (например, «From» («От»):, но не «Subject» («Тема»)), то есть, если в процессе доставки что-либо из вышеперечисленного окажется изменено, система S/MIME получателя письма отреагирует на это, отказавшись «заверить» электронную подпись отправителя.

Для того чтобы зашифровать письмо, вам нужно иметь публичную часть S/MIME сертификата получателя, для чего, в свою очередь, необходимо либо запросить у него такой сертификат, либо просто предварительно получить от него S/MIME-подписанное (но НЕ зашифрованное) письмо. В любом случае, публичный сертификат получателя письма необходимо занести в базу The Bat! Если предполагаемый получатель прислал вам свой S/MIME сертификат, делается это так же, как и в случае с вашим собственным сертификатом. В случае, если у вас есть письмо, подписанное им, откройте его и в контекстном меню S/MIME-подписи выберите «Импортировать PGP ключ(и)». В адресной книге The Bat! автоматически будет создан новый адресат (для отправителя данного S/MIME-подписанного письма), при этом на вкладке Сертификаты в Свойствах Адресата Адресной книги автоматически появятся его публичные S/MIME сертификаты. После того, как публичный сертификат получателя занесен в базу The Bat!, в редакторе выберите Защита | Авто – S/MIME, Защита | Зашифровать перед отправкой. В момент отправки (если в базе имеется несколько разных сертификатов для одного получателя, или если получателей у письма – несколько) программа попросит вас подтвердить список сертификатов, для владельцев которых вы собираетесь зашифровать данное сообщение. После того, как вы это сделаете, письмо будет автоматически зашифровано и послано. Обратите внимание, что если вы не зашифруете письмо, в том числе и «себе», вы не сможете в дальнейшем прочитать его текст в папке «Sent» («От правленные»)! Если в базе данных The Bat! не существует ни одного публичного сертификата, принадлежащего одному из адресатов вашего письма, The Bat! предупредит вас об ошибке в процессе шифрования. Обратите также внимание, что шифруется перед отправкой не только текст вашего письма, но и все прикрепленные к нему файлы, которые получить также сможет лишь тот, кому письмо зашифровано.

Наконец, для того чтобы применить комбинированный метод использования S/MIME (одновременно зашифровать письмо и создать его электронную подпись), вам необходимо иметь как свой S/MIMEсертификат, так и публичный S/MIME-сертификат адресата(ов). В процессе отправки письма The Bat! попросит вас указать пароль, которым защищен ваш S/MIME сертификат, а также выбрать публичные S/MIME-сертификаты, для обладателей которых вы шифруете данное сообщение.

При получении S/MIME-подписанного письма The Bat! показывает состояние его электронной подписи в окне прикрепленных файлов. Подробное описание состояния подписи, времени подписания, а также идентификацию подписавшего (на основании информации, содержащейся в его S/MIME-сертификате) вы можете узнать, дважды кликнув мышкой на одной из описанных иконок.

Если к вам пришло S/MIME-зашифрованное письмо, The Bat! укажет на это отображением пустого текста письма и иконки в окне прикрепленных файлов. Для того чтобы прочитать такое письмо, необходимо дважды кликнуть мышкой на этой иконке и ввести пароль, которым закрыт ваш S/MIME-сертификат. Если письмо зашифровано в том числе и вам, The Bat! покажет текст письма в отдельном окне. При этом, если письмо было еще и S/MIME-подписано, это будет отображено уже описанным выше образом.