Главная>Введение в использование сертификатов электронной почты в приложении MeSign

Введение в использование сертификатов электронной почты в приложении MeSign

1. Шифрование электронной почты

Электронные письма по протоколу MIME хранятся в открытом тексте, который не является безопасным, поэтому электронные письма необходимо шифровать с помощью сертификата S/MIME. Это похоже на незащищенный http, который необходимо защитить, переключившись на https. Однако процесс установки и использования сертификатов для шифрования электронной почты время затратный, что приводит к тому, что шифрование S/MIME все еще не популяризировалось. Дополнительные в разделе «Решение для автоматизации цифровой подписи и шифрования электронной почты».

На протяжении многих лет работы с нашими клиентами мы обнаружили, что традиционный способ использование S/MIME для шифрования электронной почты очень неэффективен, сложен и создает неудобства для пользователей. Поэтому мы решили разработать почтовый клиент – приложение MeSign, чтобы сделать S/MIME простым в использовании и доступным для всех. Сертификаты электронной почты настраиваются автоматически после того, как пользователи заходят в свои учетные записи электронной почты в приложении MeSign, а приложение MeSign автоматически шифрует каждое электронное письмо, используя сертификат для пользователей. MeSign - это инструмент, который помогает пользователям с применением, конфигурацией, использованием и управлением сертификатами.

Однако трудно изменить способ, которым пользовались в течение 20 лет, особенно для пользователей, которые уже проходили через процесс подачи на получение сертификатов электронной почты. Чтобы помочь пользователям разобраться с разницей сертификатов в приложении MeSign, далее подробная информация.

2. Какие типы сертификатов электронной почты используются в MeSign? Почему несколько видов сертификатов?

В настоящее время все сертификаты электронной почты S/MIME, продаваемые основными всемирно известными центрами сертификации, представляют собой отдельные сертификаты (.pfx / .p12). Использование сертификата включает шифрование и цифровую подпись, один сертификат может использоваться как для цифровой подписи, так и для шифрования электронной почты. Это используется для обмена открытыми ключами для шифрования электронной почты при отправке подписанного электронного письма, чтобы другие стороны могли автоматически использовать открытый ключ для шифрования электронной почты.

Наше решение состоит в том, чтобы разделить традиционный сертификат электронной почты на два сертификата: один для подписи, а другой для шифрования. Ключи сертификата шифрования генерируются в облаке, надежно шифруются и хранятся в инфраструктуре криптографии MeSign. Ключи сертификата шифрования могут быть автоматически получены из облака для автоматического дешифрования зашифрованной электронной почты после того, как пользователь успешно войдет в свою учетную запись электронной почты в приложении MeSign – проверка домена проходит автоматически. Таким образом, с помощью приложения MeSign пользователи реализуют автоматическое шифрование и дешифрование электронной почты, не запрашивая и не импортируя сертификат электронной почты вручную и на неограниченное количество устройств. Когда пользователь отправляет зашифрованное электронное письмо, приложение MeSign автоматически извлекает открытый ключ получателя для отправки зашифрованных электронных писем, поэтому пользователям не нужно заранее обмениваться открытыми ключами. Поскольку сертификат подписи содержит идентификационную информацию пользователя и имеет юридическую силу, они создаются и сохраняются на локальном устройстве. Каждое устройство генерирует новый сертификат подписи при использовании приложения MeSign. Вот почему пользователи могут видеть, что серийные номера сертификата подписи на разных устройствах в приложении MeSign различаются.

Мы выбрали разные методы управления ключами для сертификатов подписи и шифрования в зависимости от их функций и использования. Мы упростили управление сертификатами электронной почты и ключами шифрования для пользователей, и теперь пользователи могут автоматически отправлять зашифрованные электронные письма и расшифрованные электронные письма так же просто, как с обычными электронными письмами в открытом виде.

Таким образом, приложение MeSign использует три типа цифровых сертификатов:

  1. (1) Традиционные цифровые сертификаты двойного использования (подпись и шифрование), называемые «сертификатом электронной почты», которые совместимы с публично доверенным сертификатом электронной почты, предоставляемым всеми публично доверенными центрами сертификации.
  2. (2) Сертификат подписи;
  3. (3) Сертификат шифрования.

Для сертификата подписи, если пользователь выполняет только проверку домена электронной почты, автоматически настроенный сертификат подписи называется «Сертификат подписи электронной почты» или просто «Сертификат подписи». Если пользователь завершил проверку подлинности, автоматически настроенный сертификат также называется «Сертификат личности». Для индивидуальных пользователей сертификат подписи, который автоматически настраивается после прохождения индивидуальной проверки, называется «Сертификатом подтверждения личности». Сертификат подписи организации, который автоматически настраивается для всех сотрудников после того, как организация завершает проверку организации, называется «Сертификат электронной почты организации»; сертификат подписи, который автоматически настраивается после того, как сотрудники организации завершают проверку личности сотрудника, называется «Сертификат сотрудника организации».

Кроме того, MeSign Technology прикрепляет подпись с меткой времени при цифровой подписи электронных писем для всех пользователей.

Вы можете видеть, что приложение MeSign использует 7 различных типов цифровых сертификатов (сертификат шифрования, сертификат подписи, сертификат подтверждения личности, сертификат электронной почты организации, сертификат сотрудника организации, публично доверенный сертификат электронной почты и сертификат подписи с меткой времени). Подробное использование различных сертификатов объясняется в следующем разделе.

3. Использование различных сертификатов электронной почты.

3.1 Сертификат шифрования

После того, как пользователь успешно настроит учетную запись электронной почты в приложении MeSign, приложение MeSign автоматически подаст заявку на сертификат шифрования из системы выдачи сертификатов MeSign, а затем автоматически распространит и настроит его для использования приложения MeSign. Пользователь может сразу же отправлять зашифрованные и расшифровывать зашифрованные электронные письма, не обращаясь за сертификатом электронной почты в другие центры сертификации. Сертификат шифрования только подтверждает домен адреса электронной почты. Каждый адрес электронной почты связан только с одним сертификатом шифрования, поэтому один и тот же адрес электронной почты, использующий приложение MeSign на нескольких устройствах, имеет один и тот же сертификат шифрования, так что все устройства могут расшифровывать зашифрованные электронные письма, отправленные каждым устройством.

Пользователь может просмотреть сертификат шифрования в «Настройках» - «Сертификаты» в приложении MeSign. Как показано на левом рисунке ниже, перед информацией о сертификате есть значок блокировки шифрования. Нажмите «Просмотр сертификата», чтобы увидеть, что ключ сертификата используется как «Шифрование ключа», что означает, что сертификат будет использоваться для шифрования, как показано на рисунке 2 ниже. Если пользователь просматривает его в Windows, как показано на рисунке 3 ниже, в теме сертификата отображается только адрес электронной почты пользователя, а в качестве ключа используется «Шифрование ключа (20)», как показано на рисунке 4 ниже.

3.2 Четыре сертификата подписи

(1) Свидетельство о подписании

После того, как пользователь успешно настроит учетную запись электронной почты в приложении MeSign, приложение MeSign автоматически сгенерирует пару ключей локально на устройстве пользователя, сгенерирует запрос на подпись сертификата и отправит его в систему выдачи сертификатов MeSign для автоматической подачи заявки на сертификат подписи, после чего приложение MeSign получит и настроит его для использования автоматически. Пользователю не нужно получать его из другого ЦС, сертификат подписи можно сразу использовать для отправки подписанных писем. Этот сертификат называется «Сертификат подписи MeSign» или «Сертификат подписи», который автоматически настраивается бесплатно для пользователей MeSign Версии Free, который проверяет только элемент управления электронной почтой, поэтому в теме сертификата отображается только адрес электронной почты. Если пользователь использует приложение MeSign для входа в одну и ту же учетную запись электронной почты на нескольких устройствах, каждое устройство имеет свой сертификат подписи, который используется не только для цифровых подписей электронных писем, но и сертификат безопасности устройства, используемый для привязки устройства, используемого для подтверждения личности и шифрованная связь с облачной системой MeSign.

Пользователь может просмотреть сертификат подписи в «Настройки» - «Сертификаты» в приложении MeSign, как показано на левом рисунке ниже. Перед информацией о сертификате есть значок подписи. Нажмите «Просмотреть сертификат», чтобы увидеть, что ключ сертификата используется как «Цифровая подпись, Неотрекаемость», как показано на рисунке 2 ниже. Если пользователь просматривает его в Windows, как показано на рисунке 3 ниже, отображается только тема сертификата электронной почты пользователя, и ключевое использование - «Цифровая подпись, Неотрекаемость (c0)».

(2) Сертификат личности

Если индивидуальный пользователь приобрел Персональную Версию Pro, приложение MeSign также автоматически настраивает сертификат подписи, содержащий идентификационную информацию этого человека, включая полное имя, провинцию / штат, город и страну, мы называем этот сертификат подписи «Сертификатом подтверждения личности», и обозначается он значком V2, как показано на рисунках ниже.

(3) Сертификат электронной почты организации

Если пользователь приобрел Бизнес Версию Pro, приложение MeSign автоматически настраивает сертификат подписи, содержащий название компании, провинцию / штат, город и страну, для всех сотрудников бесплатно, этот сертификат называется «Сертификат электронной почты организации», и показан значком V3. Количество сотрудников не ограничено.

Администратору необходимо проверить доменное имя адреса электронной почты компании. См. Рисунок ниже для этого сертификата подписи.

(4) Свидетельство сотрудника организации

В Бизнес Версию Prо входят 10 сертификатов сотрудников организации. После того, как сотрудники завершат проверку личности, приложение MeSign автоматически настроит сертификаты подписи, содержащие имя сотрудника, должность и название компании, провинцию / штат, город и страну, мы называем этот сертификат «Сертификат сотрудника организации», и он высвечивается как значок V4 в приложении MeSign.

Зачем нужно подавать заявку на подтверждение личности сотрудника? Это связано с тем, что проверка организации может только подтвердить организацию, а не личность сотрудника. После проверки сотрудника приложение MeSign автоматически настроит сертификат сотрудника организации и будет использовать этот сертификат подписи для цифровой подписи электронной почты. Когда получатель получит подписанное электронное письмо, имя и должность сотрудника будут отображаться под адресом электронной почты отправителя в приложении MeSign, тем самым повышая уверенность в подлинности отправителя. На рисунках ниже, показана разница между электронным письмом, подписанным сертификатом электронной почты организации (левый рисунок), и электронным письмом, подписанным сертификатом сотрудника организации, которое отображается в приложении MeSign.

3.3 Сертификат электронной почты Vp

Сертификат шифрования и сертификату подписи доверены только в MeSign. Если получатель не имеет приложения MeSign, например пользователь Outlook, получает сообщение, подписанное цифровой подписью с сертификатом подписи V1 / V2 / V3 / V4 от пользователя приложения MeSign, Outlook выдаст предупреждающее сообщение, такое как «У подписи есть проблемы и цифровая подпись недействительна ", что заставит получателя усомниться в личности отправителя.

Учитывая эту проблему совместимости, MeSign Technology сотрудничает с ведущим мировым центром сертификации - Sectigo выпустила общедоступный доверенный сертификат электронной почты - сертификат электронной почты Vp. Этот сертификат выдается публично доверенным корневым сертификатом Sectigo. Уровень проверки личности такой же, как и у автоматически настраиваемого сертификата подписи Версии Free, поэтому требуется только проверка домена электронной почты. Как показано на рисунке 1 ниже, приложение MeSign использует значок Vp для сертификата электронной почты Vp в «Сертификатах», он установлен в качестве сертификата подписи и сертификата шифрования по умолчанию. Информация о субъекте сертификата показана на рисунке 3 ниже. Сертификат электронной почты Vp представляет собой единый сертификат, и цель сертификата включает цифровую подпись и шифрование - «Цифровая подпись, шифрование ключа», как показано на рисунке 4 ниже.

3.4 Применение двойного сертификата и двойной цифровой подписи - V1 / V2 / V3 / V4 + Vp

Пользователи могут автоматически получить сертификат электронной почты Vp, купив Версию Starter или Версию Pro. Приложение MeSign автоматически установит сертификат электронной почты Vp в качестве сертификата подписи и сертификата шифрования по умолчанию. Приложение MeSign будет автоматически комбинировать публично доверенный сертификат электронной почты Vp и доверенные сертификаты подписи MeSign, содержащие подтвержденную личность пользователя, чтобы идеально реализовать двойной сертификат и двойную цифровую подпись электронных писем, тем самым реализуя глобальное доверие к цифровым подписям электронных писем и личности пользователя.

Как показано на левом рисунке ниже, как только пользователь приложения MeSign получит подписанное и зашифрованное электронное письмо, отправленное другим пользователем приложения MeSign, приложение MeSign проверит идентификационную информацию, подписанную сертификатом подписи V2 / V3 / V4 в электронном письме, и отобразит адрес отправителя. подтвержденная идентификационная информация. Однако, если получатель использует для его просмотра почтовый клиент, такой как Outlook, сертификат электронной почты Vp в электронном письме, проверяется, и цифровая подпись пользователя считается надежной в Outlook, как показано на правом рисунке ниже.

Давайте посмотрим, как двойная подпись, реализованная с помощью 4 сертификатов подписи и сертификата электронной почты Vp, отображается в приложении MeSign. Как показано на левом рисунке ниже, если пользователь приобрел Версию Starter, приложение MeSign будет отображать значок Vp и «Электронная почта подтверждена, личность не подтверждена, цифровая подпись публично доверена». Если пользователь приобрел Персональную Версию Pro, в приложении MeSign в подписанном электронном письме, отправленном этим пользователем, будет отображаться значок V2 и Vp, полное имя пользователя и «Идентификация подтверждена и публично доверена». См. рисунок ниже справа.

Если пользователь приобрел Бизнес Версию Pro, как показано на левом рисунке ниже, в приложении MeSign в подписанном электронном письме, отправленном этим пользователем, будет отображаться значок V3 и Vp, название компании и «Организация подтверждена и публично доверена». Если отправитель завершил проверку личности в качестве сотрудника компании, приложение MeSign отобразит значок V4 и Vp, имя сотрудника, должность, название компании и «Личность подтверждена и публично доверена» в подписанном электронном письме, отправленном этим пользователем, как показано на правом рисунке внизу.

Из изображений, показанных выше, мы знаем, почему пользователям все еще нужен сертификат подписи с подтвержденной личностью, даже если у них есть сертификат электронной почты Vp. Это связано с тем, что сертификат электронной почты Vp проверяет только адрес электронной почты пользователя, что не может избежать проблем с мошенничеством с идентификационной информацией. Следовательно, необходимо добавлять подпись сертификата личности к электронным письмам, чтобы подтвердить подтвержденную личность пользователя и повысить доверие в сети. Приложение MeSign использует исключительно технологии двойного сертификата и двойной цифровой подписи, чтобы обеспечить глобальное доверие к цифровой подписи и личности пользователя.

3.5 Сертификат с отметкой времени

MeSign уникальным образом усовершенствовал подпись с меткой времени электронной почты, используя метку времени по международному стандарту RFC3161 для прикрепления подписи с меткой времени к цифровой подписи электронного письма. Приложение MeSign использует для идентификации электронной почты, прикрепленной с данными подписи метки времени, как показано на левом рисунке ниже, чтобы доказать, что время отправки электронной почты не из ненадежного времени на компьютере пользователя или почтового сервера, а из надежного времени Службы меток времени MeSign, которую можно использовать в сценариях, требующих подтверждения времени отправки электронного письма. Щелкните значок отметки времени, после чего отобразится информация о сертификате отметки времени, как показано на двух правых рисунках ниже. Целью показа этого сертификата является подписание с меткой времени, и сертификат выдается корневым сертификатом MeSign «MeSince Identity CA».


4. Итоги

На самом деле, мы не думаем, что вам обязательно разбираться во всех деталях сертификатов электронной почты, если у вас все еще есть сомнения после прочтения введения выше. Это потому, что мы считаем, что вам нужно в первую очередь шифрование электронной почты, а не сертификаты электронной почты.

Чтобы начать шифрование электронной почты, вам нужно всего лишь загрузить и установить приложение MeSign, настроить свою учетную запись электронной почты, нажать «Написать», ввести адрес электронной почты получателя, и вы можете легко отправлять зашифрованные электронные письма с цифровой подписью всем вашим получателям. С MeSign это так просто!