Открыть сервис

S/MIME

S/MIME (Secure/Multipurpose Internet Mail Extensions, «Безопасные многоцелевые расширения интернет-почты») — это стандарт шифрования и создания цифровой подписи для электронных писем, отправляемых по протоколам SMTP, POP3 и IMAP. Он позволяет обеспечить конфиденциальность, целостность и аутентичность сообщений, защищая их от перехвата, подделки и несанкционированного доступа. S/MIME основан на асимметричной криптографии (инфраструктуре открытых ключей, PKI) и использует сертификаты X.509 для идентификации отправителя и получателя.

История

Разработка S/MIME началась в середине 1990-х годов как ответ на необходимость стандартизации защиты электронной почты, которая к тому времени стала массовым средством коммуникации. Первая версия спецификации (S/MIME v2) была опубликована в 1995 году компаниями RSA Data Security, Microsoft и другими. Однако она не получила широкого распространения из-за сложности внедрения и ограничений на экспорт криптографического ПО из США.

В 1998 году вышла версия S/MIME v3, которая была стандартизирована IETF (Internet Engineering Task Force) в документах RFC 2632–2634. Эта версия стала основой для большинства современных реализаций. В 2010 году был принят S/MIME v3.1 (RFC 5750–5752), а в 2019 году — S/MIME v4.0 (RFC 8550–8551), который добавил поддержку современных алгоритмов, таких как AES-256, SHA-256 и ECDSA.

Архитектура и принцип работы

S/MIME работает на уровне приложений, встраиваясь в формат сообщений MIME (Multipurpose Internet Mail Extensions). Он не заменяет протоколы передачи почты, а лишь добавляет к ним криптографические заголовки и вложения.

Сертификаты и инфраструктура открытых ключей

Для использования S/MIME каждый участник переписки должен получить цифровой сертификат X.509, удостоверяющий его личность. Сертификат содержит открытый ключ, сведения о владельце (имя, адрес электронной почты) и подпись удостоверяющего центра (CA, Certificate Authority). Сертификаты могут быть:

Шифрование

Шифрование в S/MIME реализуется по гибридной схеме:

  1. Генерируется случайный симметричный ключ (сеансовый ключ) для алгоритма, например AES-256.
  2. Этим ключом шифруется тело письма и вложения.
  3. Сеансовый ключ шифруется открытым ключом получателя (из его сертификата) и добавляется в заголовок письма.
  4. Получатель расшифровывает сеансовый ключ своим закрытым ключом, а затем — само сообщение.

Таким образом, только владелец закрытого ключа может прочитать письмо. Шифрование возможно только при наличии у отправителя сертификата получателя.

Цифровая подпись

Цифровая подпись в S/MIME обеспечивает:

Процесс подписи:

  1. Отправитель вычисляет хеш (например, SHA-256) от тела письма.
  2. Хеш шифруется закрытым ключом отправителя — получается подпись.
  3. Подпись вместе с сертификатом отправителя добавляется в письмо.
  4. Получатель, используя открытый ключ из сертификата, расшифровывает подпись, сравнивает полученный хеш с собственным вычислением. Если они совпадают — подпись верна.

Подпись и шифрование могут применяться одновременно (сначала подпись, затем шифрование), либо по отдельности.

Форматы сообщений

S/MIME определяет два основных формата для защищённых сообщений:

Применение

S/MIME широко используется в корпоративной среде, где безопасность переписки является критически важной. Основные области применения:

Поддержка в почтовых клиентах

S/MIME поддерживается большинством современных почтовых клиентов:

В России S/MIME используется в системах электронного документооборота, таких как «Диадок» (СКБ Контур) и «1С-Документооборот», а также в корпоративных почтовых решениях на базе Microsoft Exchange и CommuniGate Pro.

Сравнение с альтернативами

S/MIME часто сравнивают с другим стандартом защиты почты — OpenPGP (PGP, GNU Privacy Guard). Основные отличия:

ПараметрS/MIMEOpenPGP
ИнфраструктураЦентрализованная (PKI, CA)Децентрализованная (сеть доверия)
СертификатыX.509, иерархия доверияСобственный формат ключей
Сложность внедренияВысокая (нужен CA)Средняя (ключи создаются пользователем)
Поддержка в почтовых клиентахШирокая (встроенная)Требует плагинов (Enigmail, GPG)
Юридическая значимостьВысокая (сертификаты от CA)Низкая (самоподписанные ключи)

S/MIME предпочтителен в корпоративных и государственных системах, где требуется централизованное управление сертификатами и соответствие нормативным требованиям. OpenPGP чаще используется в сообществах, где важна децентрализация и отсутствие зависимости от CA.

Ограничения и критика

Несмотря на надёжность, S/MIME имеет ряд недостатков:

Интересные факты

Источники

  1. RFC 8550 — S/MIME Version 4.0 Message Specification (IETF, 2019).
  2. RFC 8551 — S/MIME Version 4.0 Certificate Handling (IETF, 2019).
  3. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (с изменениями).
  4. William Stallings. «Cryptography and Network Security: Principles and Practice» (8th edition, 2020).
  5. Документация Microsoft: «S/MIME for message signing and encryption in Exchange Online».
  6. Стандарт ГОСТ Р 34.10-2012 (используется в российских реализациях S/MIME).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →