Электронная почта необходима для жизни и работы, но электронная почта – это как открытка, которая передается в открытом виде, что очень небезопасно и должно быть зашифровано. В настоящее время для шифрования электронной почты вам необходимо использовать программное обеспечение почтового клиента, которое поддерживает шифрование сертификата S/MIME, такое как Outlook и Thunderbird, и вы должны подать заявку и купить сертификат электронной почты в ЦС. После того, как вы получите сертификат электронной почты, вам необходимо настроить его в вашем почтовом клиенте. Затем отправить подписанное электронное письмо получателю для обмена открытым ключом. После того, как обе стороны получат сертификат электронной почты и успешно обменяются открытыми ключами, обе стороны могут отправлять зашифрованную электронную почту.
Этот процесс шифрования электронной почты довольно громоздкий и сложный, что до сих пор не дало хорошей технологии S/MIME стать популярной в использовании по всему миру. И электронная почта все еще передается по интернету в открытом виде – после 50ти лет спустя отправки первых электронных писем.
Наш анализ сложности шифрования электронной почты заключается в управлении ключом шифрования. Даже если пользователь самостоятельно попробовал получить сертификат электронной почты и настроить сертификат в почтовом клиенте, его можно было бы использовать, но если он используется на других устройствах, потребуется время и усилия для повторного импорта и настройки сертификата. После истечения срока действия сертификата необходимо повторно подать заявку на сертификат и повторно импортировать новый сертификат. Самое неприятное, что если старый сертификат не сохраняется по каким-либо причинам, например, при смене компьютера, зашифрованное письмо никогда не будет расшифровано. Некоторые пользователи сообщают, что это приносит много сложностей, и они предпочитают вообще не шифровать. Это также одна из причин, по которой шифрование электронной почты S/MIME не может найти широкого распространения. Проблема управления ключами должна быть решена, чтобы пользователи могли без проблем реализовать шифрование электронной почты.
Компания MeSign Technology создала команду исследований и разработок еще в 2015 году для исследования того, как упростить использование шифрования S/MIME. Чтобы пользователи могли отправлять зашифрованные электронные письма так же просто, как они отправляют электронные письма с открытым текстом, MeSign считает, что мы должны решить проблемы, связанные с трудностями управления ключами криптографии. После исследования облачной службы управления ключами (KMS), предоставляемой многими ведущими поставщиками облачных услуг, команда разработчиков MeSign решила принять модель облачного управления ключами, чтобы решить проблемы управления ключами шифрования и добиться распределения ключей по запросу.
Решение MeSign состоит в том, чтобы разделить один сертификат электронной почты на два сертификата (один сертификат подписи и один сертификат шифрования). Закрытый ключ сертификата шифрования создается, надежно зашифровывается и размещается в криптографической инфраструктуре MeSign (MCI). После того, как прошла проверка домена электронной почты, ключ сертификата шифрования может быть автоматически получен из облачного MCI и использован для автоматического дешифрования электронных писем, так что пользователю не нужно подавать заявку на сертификат и импортировать сертификат вручную, что прекрасно реализовать шифрование и дешифрование электронной почты автоматически. И когда пользователь отправляет зашифрованную электронную почту, приложение MeSign автоматически извлекает открытый ключ сертификата шифрования получателя из MeSign базы данных ключей, чтобы обеспечить автоматическую отправку зашифрованной электронной почты. Сертификат для подписи содержит идентификационную информацию пользователя, поэтому при подписании имеет юридическую силу. Таким образом, ключ сертификата подписи создается на локальном устройстве пользователя и надежно хранит ключ только на локальном устройстве. Вот почему серийные номера сертификатов подписи пользователей на разных устройствах различаются.
Технология MeSign разделяет традиционный сертификат электронной почты на два сертификата и использует разные методы управления ключами соответственно с: подписью и шифрованием, что отлично решает простоту использования службы шифрования электронной почты S/MIME. Нажмите, чтобы автоматически отправлять зашифрованное электронное письмо, как обычное электронное письмо с открытым текстом, и автоматически расшифровывать зашифрованное письмо, как при чтении обычного электронного письма с открытым текстом.
Чтобы гарантировать, что пользователи могут получить лучший пользовательский опыт с MeSign, когда они входят в свою учетную запись электронной почты для автоматического дешифрования всех электронных писем на любых устройствах, MeSign решила принять решение облачной системы управления ключами для управления ключами шифрования после исследования и принятия ссылки от ведущих мировых поставщиков услуг систем управления ключами облачных вычислений. Закрытый ключ сертификата шифрования автоматически создается в облачной системе управления ключами, а затем передается пользователю по запросу.
Закрытый ключ сертификата шифрования генерируется из HSM, сертифицированного FIPS 140-2 уровня 3, что превышает требования стандарта WebTrust, в котором требуется только уровень 2 FIPS 140-2. И закрытый ключ делится на две части, зашифрованные и хранящиеся на двух разных серверах управления ключами. Пользователь должен войти в учетную запись электронной почты в приложении MeSign и пройти проверку управления электронной почтой, после чего пользователь может получить пары ключей, связанные с этим адресом электронной почты и надежно хранить их на устройствах пользователя.
Система управления ключами MeSign является одним из наиболее важных компонентов инфраструктуры криптографии MeSign, мы приняли важные меры безопасности для обеспечения безопасности закрытого ключа сертификата шифрования. Эти меры прошли аудит безопасности компанией, занимающейся тестированием безопасности кода, а также аудит WebTrust, чтобы убедиться, что защита закрытого ключа пользователя является гарантированной.
MeSign обеспечивает 4 различных уровня мер безопасности для защиты закрытого ключа пользователя сертификата шифрования, удовлетворяя требования разных пользователей по различным уровням требований безопасности к их закрытому ключу.
Первые три уровня защиты основаны на использовании системы управления ключами MeSign на облаке для создания и хранения закрытого ключа. Для пользователей с высокими требованиями к закрытому ключу сертификата шифрования (например, правительственные учреждения, финансовые учреждения и крупные предприятия), то пользователь может купить систему управления ключами MeSign, которая представляет собой подключаемый модуль и систему установленную локально. Компьютеры или мобильные устройства всех сотрудников могут получить закрытый ключ сертификата шифрования только путем подключения к системе управления ключами предприятия.
Поскольку сертификат подписи содержит идентификационную информацию, а его цифровая подпись имеет юридическую силу, эквивалентную подписи от руки, MeSign не создает и не сохраняет закрытый ключ сертификата подписи пользователя на облачном сервере. Закрытый ключ создается и надежно хранится на устройстве пользователя и не загружается в облако. Каждый раз, когда пользователь использует приложение MeSign на новом устройстве, система выдает новый сертификат подписи пользователю на новом устройстве. Сертификаты подписи на двух устройствах - это два разных сертификата, а идентификационная информация в сертификатах такая же.
В дополнение к локально сгенерированному закрытому ключу сертификат для подписи также использует те же три разных уровня защиты для закрытого ключа сертификата шифрования, чтобы соответствовать требованиям безопасности разных пользователей. После того, как пользователь установил пароль защиты сертификата, как сертификат подписи, так и сертификат шифрования используют один и тот же пароль.
Таким образом, чтобы предоставить максимальную безопасность закрытого ключа и простоту использования, MeSign принимает модель услуг облачной системы управления ключами и разделяет сертификат шифрования и сертификат подписи на два независимых сертификата. Чтобы облегчить пользователю расшифровку зашифрованной электронной почты на разных устройствах, все сертификаты шифрования, автоматически настраиваемые приложением MeSign по умолчанию на всех устройствах, одинаковы, которые генерируются и хранятся на облачном сервере, после того, как пользователь использовал приложение MeSign в первый раз. Если в вашей организации установлена система управления ключами предприятия, закрытые ключи сертификатов шифрования сотрудников по умолчанию будут извлечены из системы управления ключами и надежно сохранены локально. MeSign не выполняет резервное копирование закрытого ключа сертификата шифрования на облачный сервер.
TСрок действия ключа шифрования и сертификата шифрования составляет 3 года, по истечении срока действия сертификата шифрования новый ключ шифрования и сертификат шифрования будут автоматически сгенерированы, а старый сертификат шифрования также будет сохранен и распространен для использования для дешифрования ранее зашифрованной электронной почты с помощью этого сертификата, однако его не будет видно в меню управления сертификатами приложения MeSign.
Сертификат подписи создается на устройстве пользователя и хранится только на его локальных устройствах, поэтому разные устройства будут иметь разные сертификаты подписи. Хотя сертификаты для подписи от разных устройств не совпадают, идентификационная информация на них одинакова, и все они могут использоваться для цифровой подписи электронной почты.
Автоматически настраиваемый сертификат подписи Версии Free действителен в течение одного года. По истечении срока действия на локальном устройстве создается новая пара ключей и автоматически настраивается новый сертификат подписи. Старый сертификат подписи больше не будет использоваться и больше не будет отображаться в меню управления сертификатами в приложении MeSign. Для сертификата подписи платной Версии Pro пользователь может выбрать срок действия 1-3 года. По истечении срока действия пользователю необходимо обновить и создать сертификат заново, и автоматически настроится новый сертификат подписи, содержащий проверенную идентификационную информацию. Если пользователь не продлит платную услугу, она будет автоматически переведена на бесплатную версию и автоматически настроит сертификат подписи Версии Free.
Технология MeSign использует преимущества услуг управления ключами поставщиков облачных услуг, предоставляя пользователям гибкие и доступные услуги управления ключами, чтобы пользователи могли легко использовать услуги шифрования электронной почты, не беспокоясь о существовании ключей шифрования.