Compartilhar via

S/MIME para assinatura e criptografia de mensagens no Exchange Online

  • Artigo

S/MIME (Secure/Multipurpose Internet Mail Extensions) é um protocolo amplamente aceite para enviar mensagens assinadas e encriptadas digitalmente. O S/MIME no Exchange Online fornece os seguintes serviços para mensagens de e-mail:

  • Encriptação: protege o conteúdo das mensagens de e-mail.
  • Assinaturas digitais: verifica a identidade do remetente de uma mensagem de e-mail.

O resto deste artigo descreve geralmente s/MIME e como estes serviços funcionam.

Para configurar o S/MIME no Exchange Online, consulte os seguintes tópicos:

Configurar S/MIME no Exchange Online

S/MIME para Outlook para iOS e Android

Assinaturas digitais S/MIME

As assinaturas digitais são o serviço mais utilizado do S/MIME. Como o nome sugere, as assinaturas digitais são a contrapartida digital da assinatura tradicional e legal num documento em papel. Tal como acontece com uma assinatura legal, as assinaturas digitais fornecem as seguintes capacidades de segurança:

  • Autenticação: uma assinatura serve para validar uma identidade. Verifica a resposta a "quem é você" ao fornecer um meio de diferenciar essa entidade de todas as outras e provar a sua exclusividade. Uma vez que não existe autenticação no e-mail SMTP, não há forma de saber quem enviou uma mensagem. A autenticação numa assinatura digital resolve este problema ao permitir que um destinatário saiba que uma mensagem foi enviada pela pessoa ou organização que afirma ter enviado a mensagem.

  • Não reativação: a exclusividade de uma assinatura impede o proprietário da assinatura de deserdar a assinatura. Esta capacidade é denominada não-auditoria. Assim, a autenticação que uma assinatura fornece dá os meios para impor a não auditoria. O conceito de não-auditoria é mais familiar no contexto dos contratos em papel: um contrato assinado é um documento juridicamente vinculativo e é impossível repudiar uma assinatura autenticada. As assinaturas digitais fornecem a mesma função e, cada vez mais em algumas áreas, são reconhecidas como enlaces legais, semelhantes a uma assinatura em papel. Uma vez que o e-mail SMTP não fornece um meio de autenticação, não pode fornecer não reativação. É fácil para um remetente negar a propriedade de uma mensagem de e-mail SMTP.

  • Integridade dos dados: um serviço de segurança adicional fornecido por assinaturas digitais é a integridade dos dados. A integridade dos dados é o resultado das operações específicas que tornam as assinaturas digitais possíveis. Com os serviços de integridade de dados, quando o destinatário de uma mensagem de e-mail assinada digitalmente valida a assinatura digital, o destinatário tem a certeza de que a mensagem de e-mail recebida é, de facto, a mesma mensagem que foi assinada e enviada e não foi alterada enquanto estava em trânsito. Qualquer alteração da mensagem em trânsito depois de ter sido assinada invalida a assinatura. Desta forma, as assinaturas digitais fornecem uma garantia de que as assinaturas em papel não podem, uma vez que é possível alterar um documento em papel depois de ter sido assinado.

Importante

Embora as assinaturas digitais forneçam integridade de dados, não fornecem confidencialidade. As mensagens com apenas uma assinatura digital são enviadas em texto não encriptado, como mensagens SMTP e podem ser lidas por outras pessoas. No caso de a mensagem ser assinada de forma opaca, é alcançado um nível de obfuscação porque a mensagem tem codificação base64, mas ainda é texto não encriptado. Para proteger o conteúdo das mensagens de e-mail, a encriptação tem de ser utilizada.

Criptografia S/MIME

A encriptação de mensagens fornece uma solução para a divulgação de informações. O e-mail da Internet baseado em SMTP não protege as mensagens. Uma mensagem de e-mail da Internet SMTP pode ser lida por qualquer pessoa que a veja enquanto viaja ou a vê onde está armazenada. Estes problemas são resolvidos pelo S/MIME através da encriptação. A encriptação é uma forma de alterar as informações para que não possam ser lidas ou compreendidas até serem alteradas novamente para uma forma legível e compreensível. A encriptação de mensagens fornece dois serviços de segurança específicos:

  • Confidencialidade: a encriptação de mensagens serve para proteger o conteúdo de uma mensagem de e-mail. Apenas o destinatário pretendido pode ver os conteúdos e os conteúdos permanecem confidenciais e não podem ser conhecidos por mais ninguém que possa receber ou ver a mensagem. A encriptação fornece confidencialidade enquanto a mensagem está em trânsito e no armazenamento.

  • Integridade dos dados: tal como acontece com as assinaturas digitais, a encriptação de mensagens fornece serviços de integridade de dados como resultado das operações específicas que tornam possível a encriptação.

Importante

Embora a encriptação de mensagens forneça confidencialidade, não autentica o remetente da mensagem de forma alguma. Uma mensagem encriptada não assinada é tão suscetível à representação do remetente como uma mensagem que não está encriptada. Uma vez que a não auditoria é um resultado direto da autenticação, a encriptação de mensagens também não fornece não rerepudiação. Embora a encriptação forneça integridade de dados, uma mensagem encriptada só pode mostrar que a mensagem não foi alterada desde que foi enviada. Não são fornecidas informações sobre quem enviou a mensagem. Para provar a identidade do remetente, a mensagem tem de utilizar uma assinatura digital.

Outras tecnologias de encriptação funcionam em conjunto para fornecer proteção para mensagens inativas e em trânsito. O S/MIME pode funcionar em simultâneo com as tecnologias na lista seguinte, mas não depende das mesmas:

  • Transport Layer Security (TLS) que substitui Secure Sockets Layer (SSL):
    • Encripta o túnel ou a rota entre os servidores de e-mail para ajudar a evitar bisbilhotar e escutar.
    • Encripta a ligação entre clientes de e-mail e servidores de e-mail.
  • BitLocker: encripta dados em discos rígidos em computadores e servidores cliente. Se, de alguma forma, uma parte não autorizada obtiver acesso, não conseguirá ler os dados nas unidades.

A Encriptação de Mensagens do Microsoft Purview é um concorrente direto do S/MIME e tem as seguintes vantagens em função do S/MIME:

  • É um serviço de encriptação baseado em políticas configurado por um administrador para encriptar mensagens que são enviadas para qualquer pessoa dentro ou fora da organização. Por outro lado, os utilizadores têm de decidir se devem ou não aplicar S/MIME às mensagens que enviam.
  • É um serviço online criado com base no Azure Rights Management (Azure RMS) e não depende de uma infraestrutura de chaves públicas. Por outro lado, o S/MIME requer uma infraestrutura de publicação de certificados e certificados.
  • A Encriptação de Mensagens do Microsoft Purview fornece capacidades adicionais. Por exemplo, pode personalizar mensagens com a marca da sua organização.