Stiamo configurando S / MIME in modo che possiamo inviare e-mail crittografate. Tuttavia, ho una domanda un po 'stupida (e forse ovvia) ...
Se qualcuno ruba una password per il mittente o il destinatario, non sarebbe in grado di visualizzare quelle e-mail inviate o ricevute? In caso contrario, cosa gli impedisce di farlo?
Per quanto ne so, S / MIME non usa password, ma coppie di chiavi private e pubbliche. Quindi, la cosa privata e segreta è la chiave privata dell'utente. Se la chiave privata viene rubata, può rivelare il contenuto.
Se vuoi evitare di rubare i privati, tu (o ogni utente) dovresti salvarli in un posto sicuro. Se il tuo privkey viene rubato, dovresti ad esempio revocare il certificato (con pubkey) e ottenere una nuova coppia di chiavi.
S / MIME effettivamente crittografa il contenuto del messaggio con una chiave simmetrica casuale, che viene crittografata dal pubkey del destinatario. Il destinatario che utilizza la sua chiave privata decodifica la chiave simmetrica e la utilizza per la decrittazione dei messaggi.
Quando dici password, ti riferisci alla password per l'account e-mail, la password per proteggere il s / mime cert o la password della smartcard (pin)?
In definitiva, l'utente malintenzionato deve accedere alle chiavi private in modo che dipenda dal modo in cui vengono archiviate. Se sono su una smart card, deve essere presente la smartcard per eseguire le operazioni di crittografia. Se sono memorizzati nel sistema, anche l'aggressore avrebbe bisogno di quel livello di accesso. Se le credenziali dell'account vengono compromesse tramite phishing (ad esempio), l'utente malintenzionato non può accedere alla posta web da tutto il mondo e visualizzare le e-mail crittografate.
S / MIME non è basato su password.
(In realtà, è teoricamente possibile eseguire la crittografia basata su password delle e-mail utilizzando il formato S / MIME, che è basato su CMS , che supporta la crittografia basata su password , ma dubito strongmente che ci sia un software di posta elettronica che è in grado di elaborarlo, per non parlare di produrlo. In pratica nessuna password.)
S / MIME si basa su certificati X.509 : il destinatario ha una coppia di chiavi pubbliche / private; la chiave pubblica è resa pubblica (come dice il nome) come parte di un certificato X.509; il mittente utilizza il certificato per apprendere (con una certa garanzia di proprietà) la chiave pubblica del destinatario; il mittente crittografa l'email con la chiave pubblica del destinatario; il destinatario utilizza la sua chiave privata per decodificare l'email. Questo è per la crittografia. Per le firme, si verifica un processo simile, questa volta con la chiave privata del mittente (per generare la firma) e la chiave pubblica (il destinatario lo utilizza per verificare la firma).
Se sono coinvolte password, questo sarà indirettamente, per archiviazione di chiavi private . Le chiavi private sono dove si trova il potere. La chiave privata dell'utente è ciò che gli consente di decodificare le e-mail in arrivo e di accedere alle e-mail in uscita. Rubare la chiave privata di un utente significa rubare il suo potere. Quindi le chiavi private devono essere ben protette. Nell'intero sistema S / MIME, le chiavi private non viaggiano, ma sappiamo che i file su una determinata macchina possono a volte essere saccheggiati (il malware lo fa), quindi preferiamo quando c'è qualche strato in più di protezione come, ad esempio, una crittografia basata su password.
In questo senso, la password sola non dà molto all'attaccante; deve comunque accedere allo spazio di archiviazione effettivo per la chiave privata per recuperare la chiave privata, che è il suo vero obiettivo. A quel punto, le cose variano molto a seconda della situazione. Ad esempio, in un mondo Active Directory , quando le macchine degli utenti fanno parte di un dominio, conoscendo la password per un utente e parlare al server AD è sufficiente per recuperare il profilo di roaming dell'utente, che contiene le sue chiavi private. Inoltre, poiché un amministratore di dominio può, sul server AD, reimpostare la password di qualsiasi utente, ne consegue che ottenere i privilegi di amministratore su quel server AD è anche sufficiente per recuperare le chiavi private dell'utente, anche senza conoscere la password effettiva dell'utente.
Un ulteriore punto su S / MIME e crittografia in una configurazione aziendale: presumibilmente, le e-mail crittografate sono per affari, quindi contengono dati aziendali. Corrispondentemente, perdere l'accesso a una chiave privata implica la perdita dei dati. Questo accade, ad esempio, se un utente diventa "non disponibile" (è stato licenziato, è stato investito da un autobus, ha mangiato vongole cattive ...). Il dipendente che lo sostituisce deve essere in grado di leggere le e-mail memorizzate del suo predecessore, e ciò richiede una sorta di sistema di deposito a garanzia. Il fatto che un amministratore di dominio possa resettare la password di un utente e recuperare le sue chiavi private non è quindi una debolezza ; è una caratteristica necessaria . Tuttavia, qualsiasi sistema di escrowing di chiavi come questo può diventare un percorso di ingresso aggiuntivo per un utente malintenzionato.
Leggi altre domande sui tag email encryption passwords smime