S / MIME non è basato su password.
(In realtà, è teoricamente possibile eseguire la crittografia basata su password delle e-mail utilizzando il formato S / MIME, che è basato su CMS , che supporta la crittografia basata su password , ma dubito strongmente che ci sia un software di posta elettronica che è in grado di elaborarlo, per non parlare di produrlo. In pratica nessuna password.)
S / MIME si basa su certificati X.509 : il destinatario ha una coppia di chiavi pubbliche / private; la chiave pubblica è resa pubblica (come dice il nome) come parte di un certificato X.509; il mittente utilizza il certificato per apprendere (con una certa garanzia di proprietà) la chiave pubblica del destinatario; il mittente crittografa l'email con la chiave pubblica del destinatario; il destinatario utilizza la sua chiave privata per decodificare l'email. Questo è per la crittografia. Per le firme, si verifica un processo simile, questa volta con la chiave privata del mittente (per generare la firma) e la chiave pubblica (il destinatario lo utilizza per verificare la firma).
Se sono coinvolte password, questo sarà indirettamente, per archiviazione di chiavi private . Le chiavi private sono dove si trova il potere. La chiave privata dell'utente è ciò che gli consente di decodificare le e-mail in arrivo e di accedere alle e-mail in uscita. Rubare la chiave privata di un utente significa rubare il suo potere. Quindi le chiavi private devono essere ben protette. Nell'intero sistema S / MIME, le chiavi private non viaggiano, ma sappiamo che i file su una determinata macchina possono a volte essere saccheggiati (il malware lo fa), quindi preferiamo quando c'è qualche strato in più di protezione come, ad esempio, una crittografia basata su password.
In questo senso, la password sola non dà molto all'attaccante; deve comunque accedere allo spazio di archiviazione effettivo per la chiave privata per recuperare la chiave privata, che è il suo vero obiettivo. A quel punto, le cose variano molto a seconda della situazione. Ad esempio, in un mondo Active Directory , quando le macchine degli utenti fanno parte di un dominio, conoscendo la password per un utente e parlare al server AD è sufficiente per recuperare il profilo di roaming dell'utente, che contiene le sue chiavi private. Inoltre, poiché un amministratore di dominio può, sul server AD, reimpostare la password di qualsiasi utente, ne consegue che ottenere i privilegi di amministratore su quel server AD è anche sufficiente per recuperare le chiavi private dell'utente, anche senza conoscere la password effettiva dell'utente.
Un ulteriore punto su S / MIME e crittografia in una configurazione aziendale: presumibilmente, le e-mail crittografate sono per affari, quindi contengono dati aziendali. Corrispondentemente, perdere l'accesso a una chiave privata implica la perdita dei dati. Questo accade, ad esempio, se un utente diventa "non disponibile" (è stato licenziato, è stato investito da un autobus, ha mangiato vongole cattive ...). Il dipendente che lo sostituisce deve essere in grado di leggere le e-mail memorizzate del suo predecessore, e ciò richiede una sorta di sistema di deposito a garanzia. Il fatto che un amministratore di dominio possa resettare la password di un utente e recuperare le sue chiavi private non è quindi una debolezza ; è una caratteristica necessaria . Tuttavia, qualsiasi sistema di escrowing di chiavi come questo può diventare un percorso di ingresso aggiuntivo per un utente malintenzionato.