S/MIME (Secure MIME)

S/MIME, inaczej bezpieczny MIME, to protokół zabezpieczania wiadomości przesyłanych internetową pocztą elektroniczną. Spójność wiadomości, poufność czy uwierzytelnienie źródła danych zostały osiągnięte kosztem zastosowania algorytmów szyfrowania i podpisu elektronicznego. Protokół został ostatecznie oparty na pracach firmy RSA Data Security i stanowi dzisiaj standardowe rozszerzenie protokołu MIME. W S/MIME przyjęto metodę szyfrowania chroniącą wymianę wiadomości przed różnymi zagrożeniami.

Poufność wiadomości zapewnia szyfrowanie symetryczne – algorytm, w którym do szyfrowania i deszyfrowania używa się tego samego klucza. Symetryczny klucz musi być przesłany wraz z wiadomością, w przeciwnym razie odbiorca nie będzie mógł jej odczytać. Sam klucz musi być również zakodowany, gdyż mógłby zostać przechwycony przez osoby nieupoważnione. Do szyfrowania klucza symetrycznego stosuje się kryptografię asymetryczną. W tym wypadku są potrzebne dwa klucze – publiczny i tajny. Każdy użytkownik poczty obsługiwanej przez S/MIME musi mieć jeden z nich. Nadawca wiadomości używa jawnego klucza odbiorcy do szyfrowania klucza symetrycznego, a odbiorca odszyfrowuje go posługując się kluczem tajnym. Obydwa są ze sobą powiązane zależnością matematyczną, ale na podstawie znajomości klucza jawnego nie można uzyskać klucza tajnego.

Uwierzytelnienie pochodzenia wiadomości oraz integralność danych zapewnia się w S/MIME za pośrednictwem podpisu elektronicznego, szyfrowanego kluczem tajnym. Najpierw wiadomość jest odpowiednio dopełniana i dzielona na 512-bitowe bloki, które po wielokrotnym przetwarzaniu przez specjalny moduł dają tzw. Skrót wiadomości w postaci unikatowego ciągu o długości 128 bitów, przypominający sumę kontrolną niektórych pakietów. Skrót jest następnie szyfrowany kluczem tajnym i wysyłany wraz z wiadomością.

Protokół S/MIME umożliwia zastosowanie do ochrony poczty elektronicznej certyfikatów X.509. Ponieważ certyfikatów używają też inne protokoły, np. HTTP, to istnieje możliwość zastosowania jednego certyfikatu do różnych celów, co upraszcza procedury administracyjne.

• Skrót wiadomości – MIC (Message Integrity Check) – jest też znany pod nazwą kodu nienaruszalności wiadomości. Jego wartość, stanowiąca rezultat haszowania, zapewnia integralność wiadomości. Skrót jest podpisywany elektronicznie przez nadawcę, dzięki czemu zapobiega się modyfikowaniu wiadomości przez intruzów i dołączeniu do niej powtórnie wyliczonego skrótu. Do wiadomości jest dołączany również certyfikat nadawcy w standardzie X.509, umożliwiający odbiorcy sprawdzenie MIC i tożsamość nadawcy.

• X.509 definiujące schemat usług uwierzytelnienia świadczonych użytkownikom w systemach opartych na katalogu X.500. Uwierzytelnienie przeprowadza się za pośrednictwem certyfikatów wydanych przez urząd poświadczenia certyfikatów – CA (Certificate Authority). W zaleceniu X.509 zdefiniowano też alternatywne procedury uwierzytelniania, oparte na sygnaturach kluczy jawnych: uwierzytelnienie jednokierunkowe, uwierzytelnienie dwukierunkowe i uwierzytelnienie potrójne.

• Ważniejsze numery RFC dla S/MIME: 2632 – certyfikaty, 2633 – usługi kryptograficzne dodane do MIME, 2634 – zaawansowane usługi bezpieczeństwa dla S/MIME, 2785 – uzgadniane kluczy w metodzie Diffie-Hellmana, unikanie ataków (informacyjny); 3183 – kompatybilność usług bezpieczeństwa domen (eksperymentalny).