S/MIME - Secure/Multipurpose Internet Mail Extensions

S/MIME (RFC2630, 2632, 2633, 2634) "Secure/Multipurpose Internet Mail Extensions" является стандартом, позволяющим использовать X.509 - сертификаты для защиты вашего e-mail-обмена. X.509 - сертификаты широко применяются также для защиты других электронных коммуникаций, таких как HTTP и др. Таким образом, один и тот же сертификат используется в различных целях и разным програмным обеспечением.

S/MIME представляет собой реализацию криптографической системы с асимметричным ключом. Система может быть использована как для внедрения так называемой digital signature (электронной подписи) в ваши почтовые сообщения, так и для шифрования последних. Поддерживается также комбинация двух вышеперечисленных методов. Система с асимметричным ключом отличается от традиционной (работающей с симметричным ключом), в первую очередь, тем, что вам не придется сообщать вашему корреспонденту по телефону или каким-либо иным методом пароль, который вы использовали для пересылки ему секретных сведений: система с асимметричным ключом сделает это за вас. Все, что вам надо иметь, чтобы послать такие сведения - это публичную часть S/MIME-сертификата вашего адресата, т.е. ту его часть, которая ни в коем случае секретом не является (напротив, чем большее количество людей будет иметь у себя публичную часть вашего S/MIME-сертификата, тем лучше!). Разумеется, ваш корреспондент должен иметь и секретную часть своего S/MIME-сертификата, иначе он не сможет дешифровать тот текст, что вы ему пошлете (как не сможет этого сделать и никто другой, не имея секретной части его S/MIME-сертификата).

В случае применения электронной подписи подписанное сообщение передается в "читабельной" форме, т.е. в нешифрованном виде, однако получатель письма имеет возможность убедиться в том, что автором сообщения и в самом деле являетесь вы, а главное - возможность убедиться в том, что данное сообщение никем не было изменено "по дороге". При этом получателю письма для подобной проверки не требуется никакой дополнительной информации, так как публичная часть S/MIME-сертификата отправителя подписанного письма (необходимая для процесса "сверки" подписи) передается вместе с подписанным письмом. Такие электронным образом подписанные сообщения уже на протяжении нескольких лет принимаются судами ряда западных стран в качестве свидетельских показаний и т.д., по имеющейся информации в ближайшее время аналогичный закон должен быть принят и в России (что позволит, в частности, принимать налоговые декларации от граждан по электронной почте).

В случае использования шифрованных сообщений прочитать текст письма сможет лишь тот человек (те люди), кому вы в момент написания шифрования явно предоставляете такое право (те, кому вы шифруете сообщение). Наконец, применение комбинации обоих методов означает, что прочитать ваше сообщение сможет лишь тот, кому оно предназначено, и он же сможет убедиться в том, что сообщение и в самом деле написано вами.

Для использования возможностей S/MIME, прежде всего, вам необходимо получить "сертификат" (например, это можно сделать тут: https://www.thawte.com/, в некоторых случаях в зависимости от вашего места работы ваш сертификат вы получите от своего работодателя), состоящий из двух частей: секретного ключа и публичного ключа. Вы должны защищать свой сертификат от несанкционированного доступа, и уж в любом случае не сообщать никому пароль, которым защищен ваш сертификат. Имеющийся сертификат вам необходимо внести в базу данных The Bat!, например, следующим образом: создайте в адресной книге программы "нового адресата" со своим личным именем и адресом (если у вас это еще не сделано) и на вкладке Сертификаты нажмите кнопку Импортировать. Найдите файл, содержащий ваш сертификат (в зависимости от того, как именно вы получили свой сертификат, вам, возможно, придется сначала экспортировать его из вашего интернет броузера, например, при использовании Netscape нажмите на кнопку Security, перейдите к Certificates-->Yours), и нажмите кнопку Открыть. Ваш сертификат будет занесен в базу The Bat!.

На практике система S/MIME работает следующим образом.

Для того, чтобы зашифровать письмо, вам нужно иметь публичную часть S/MIME сертификата получателя, для чего, в свою очередь, необходимо либо запросить у него такой сертификат, либо просто получить ранее от него S/MIME-подписанное (но НЕ зашифрованное) письмо. В любом случае, публичный сертификат получателя письма необходимо занести в базу The Bat!. Если предполагаемый получатель прислал вам свой S/MIME сертификат, делается это так же, как и в случае с вашим собственным сертификатом. В случае, если у вас есть письмо, подписанное им, откройте его и в контекстном меню S/MIME-подписи выберите Импортировать PGP ключ(и). В адресной книге The Bat! автоматически будет создан новый адресат (для отправителя данного S/MIME-подписанного письма), при этом на вкладке Сертификаты в Свойствах Адресата Адресной книги автоматически появятся его публичные S/MIME сертификаты. После того, как публичный сертификат получателя занесен в базу The Bat!, в редакторе выберите: PGP--> Использовать S/MIME, PGP--> Зашифровать перед отправкой. В момент отправки (если в базе имеется несколько разных сертификатов для одного получателя, или если получателей у письма -- несколько) программа попросит вас подтвердить список сертификатов, для владельцев которых вы собираетесь зашифровать данное сообщение. После того, как вы это сделаете, письмо будет автоматически зашифровано и послано. Обратите внимание, что если вы не зашифруете письмо в том числе и _себе_, вы не сможете в дальнейшем прочитать его текст в папке Sent! Если в базе данных The Bat! не существует ни одного публичного сертификата, принадлежащего одному из адресатов вашего письма, The Bat! предупредит вас об ошибке в процессе шифрования. Обратите также внимание, что шифруется перед отправкой не только _текст_ вашего письма, но и также все прикрепленные к нему файлы, которые получить также сможет лишь тот, кому письмо зашифровано.

Наконец, для того, чтобы применить комбинированный метод использования S/MIME (т.е. одновременно зашифровать письмо и создать его электронную подпись), вам необходимо иметь как свой S/MIME-сертификат, так и публичный S/MIME-сертификат адресата(ов). В процессе отправки письма The Bat! попросит вас указать пароль, которым защищен ваш S/MIME сертификат, а также выбрать публичные S/MIME-сертификаты, для обладателей которых вы шифруете данное сообщение.

При получении S/MIME-подписанного письма The Bat! показывает состояние электронной его подписи в окне прикрепленных файлов. Подробное описание состояния подписи, времени подписания, а также идентификацию подписавшего (на основании информации, содержащейся в его S/MIME-сертификате), вы можете узнать, дважды кликнув мышкой на одной из описанных иконок.

Если к вам пришло S/MIME-зашифрованное письмо, The Bat! укажет на это отображением пустого текста письма и иконки в окне прикрепленных файлов. Для того, чтобы прочитать такое письмо, необходимо дважды кликнуть мышкой на этой иконке и ввести пароль, которым закрыт ваш S/MIME-сертификат. Если письмо зашифровано в том числе и вам, The Bat! покажет текст письма в отдельном окне. При этом, если письмо было еще и S/MIME-подписано, это будет отображено уже описанным выше образом.

Александр Киселев