S/MIME

S/MIME

S/MIME(Secure/Multipurpose Internet Mail Extensions)는 MIME 데이터의 공개암호화서명대한 표준입니다.S/MIME은 IETF 표준 추적 상에 있으며, 가장 중요한 것은 다수의 문서에 정의되어 있습니다. RFC3369, 3370, 38503851원래 RSA Data Security에 의해 개발되었으며 원래 사양은 사실상의 업계 표준 PKCS#7 시큐어 메시지 형식의 IETF MIME 사양을[1] 사용했습니다.이후 S/MIME으로의 변경 제어는 IETF에 부여되어 사양은 PKCS #7과 대부분 동일한 IETF 사양인 Cryptographic Message Syntax(CMS; 암호 메시지 구문)에 레이어 되어 있습니다.S/MIME 기능은 최신 전자 메일소프트웨어의 대부분에 내장되어 상호 운용되고 있습니다.MIME은 CMS 상에 구축되어 있기 때문에 고도의 디지털 서명도 유지할 수 있습니다.

기능.

S/MIME은 전자 메시징 응용 프로그램에 다음과 같은 암호화 보안 서비스를 제공합니다.

  • 인증
  • 메시지 무결성
  • 발신기지 거부 금지(디지털 서명 사용)
  • 사생활
  • 데이터 보안(암호화 사용)

S/MIME은 MIME 유형을 지정합니다.application/pkcs7-mime[2] (smime-type "enveloped-data") 데이터 엔티티 전체(준비된) MIME 엔티티가 암호화되어 오브젝트에 패킹되며, 그 후에 애플리케이션/pkcs7-mime MIME 엔티티에 삽입된다.

S/MIME 증명서

위의 응용 프로그램에서 S/MIME을 사용하려면 먼저 자체 인증 기관(CA) 또는 공용 CA에서 개별 키/증명서를 발급받아 설치해야 합니다.서명 및 암호화에 개별 개인 키(및 관련 증명서)를 사용하는 이 허용됩니다.이것에 의해, 시그니처 키의 거부 불능 속성에 영향을 주지 않고 암호 키를 에스크로 할 수 있기 때문입니다.암호화에는 대상 당사자의 증명서가 저장되어 있어야 합니다(일반적으로 유효한 서명 증명서를 가진 당사자로부터 메시지를 수신하면 자동으로 됩니다).디지털 서명에 사용하는 자신의 증명서를 사용하지 않고 암호화(수신처 증명서를 사용하여) 메시지를 송신하는 것은 기술적으로 가능하지만, 실제로 S/MIME 클라이언트는 다른 사용자에게 암호화를 허용하기 전에 사용자가 자신의 증명서를 설치해야 합니다.이는 메시지를 수신자와 발신자 모두 암호화하고 메시지 복사본을 (보낸 폴더에) 보관하여 발신인이 읽을 수 있도록 하기 위해 필요합니다.

일반적인 기본("클래스 1") 개인 인증서는 보낸 사람이 해당 주소로 보낸 전자 메일을 받을 수 있다는 의미에서 보낸 사람이 보낸 사람:의 전자 메일 주소의 소유자임을 선언하는 경우에만 소유자의 "ID"를 확인합니다. 따라서 받은 전자 메일이 실제로 지정된 " 보낸 사람:" 주소에서 온 것임을 증명할 뿐입니다.사용자의 이름 또는 회사 이름은 확인하지 않습니다.전자 메일 수신자가 수신한 증명서명에 송신자의 이름 또는 조직의 이름이 기재되어 있는 것을 의미해 송신자의 ID를 확인할 수 있도록 하고 싶은 경우, 송신자는 보다 상세한 신원 확인 프로세스를 실행하는 CA로부터 증명서("class 2")를 취득할 필요가 있습니다.이것에 대해서는, 문의가 포함됩니다.자격증 소지자 지망자인증의 상세한 것에 대하여는, 디지털 서명을 참조해 주세요.

CA 정책에 따라서는 증명서와 그 모든 내용이 참조 및 확인을 위해 공개적으로 게시될 수 있습니다.이것에 의해, 이름과 전자 메일 주소를 모든 사람이 보고 검색할 수 있게 됩니다.다른 CA는 시리얼 번호 및 취소 상태만 게시하며, 여기에는 개인정보가 포함되지 않습니다.적어도 공개키 인프라스트럭처의 무결성을 유지하기 위해서는 후자가 필수적입니다.

CA/브라우저 포럼의 S/MIME 작업 그룹

2020년에는 CA/Browser Forum의 S/MIME 인증서 작업[3] 그룹이 전자 메일 서명, 확인, 암호화 및 복호화에 사용되는 S/MIME 인증서를 발급하는 CA에 적용할 수 있는 기준 요건을 만들기 위해 인가되었습니다.이러한 노력은 다음을 포함한 표준을 작성하기 위한 것입니다.

  • S/MIME 증명서 및 증명서를 발행하는 CA의 증명서 프로파일
  • 이메일 주소 제어 확인
  • 아이덴티티 검증
  • 키 관리, 증명서 라이프 사이클, CA 운용 프랙티스 등

실제로 S/MIME을 도입하는 데 걸림돌

  • S/MIME은 웹 메일클라이언트를 통한 사용에 적합하지 않은 것으로 간주될 수 있습니다.브라우저에 대한 지원이 해킹될 수 있지만 일부 보안 관행에서는 사용자가 개인 키에 액세스할 수 있도록 유지하되 웹 메일 서버에서 액세스할 수 없도록 해야 하므로 웹 메일의 주요 장점인 어디서나 액세스할 수 있다는 점이 복잡해집니다.이 문제는 S/MIME에만 국한된 것은 아닙니다.서명을 작성하기 위해 브라우저가 코드를 실행해야 하는 경우가 있습니다.단, 웹 메일에서 데이터를 가져와 클립보드로 서명하고 서명된 데이터를 웹 메일페이지에 되돌리는 PGP Desktop 및 GnuPG 버전은 예외입니다.보안 측면에서는 이것이 보다 안전한 솔루션입니다.
  • S/MIME은 엔드 투 엔드 보안을 위해 맞춤 제작되었습니다.논리적으로 서드파티에 의한 말웨어 검사와 안전한 엔드 투 엔드 통신은 불가능합니다.암호화는 메시지뿐만 아니라 악성 프로그램도 암호화합니다.따라서 회사의 게이트웨이와 같은 엔드포인트가 아닌 다른 곳에서 메일에서 멀웨어가 검색되지 않으면 암호화로 인해 디텍터가 파괴되고 멀웨어가 정상적으로 전달됩니다.유일한 해결책은 복호화 후 최종 사용자 스테이션에서 말웨어 검사를 실행하는 것입니다.다른 솔루션에서는 멀웨어 탐지를 위해 제3자가 키를 공유해야 하기 때문에 엔드 투 엔드 신뢰를 제공하지 않습니다.이러한 유형의 타협은 다음과 같습니다.
    • 게이트웨이 멀웨어 검사 전에 암호를 해독할 수 있도록 게이트웨이 서버에 개인 키를 저장하는 솔루션입니다.그런 다음 암호화되지 않은 메시지가 최종 사용자에게 전달됩니다.
    • 악성 프로그램 스캐너에 개인 키를 저장하여 메시지 내용을 검사한 다음 암호화된 메시지가 대상으로 릴레이됩니다.
  • 구현에 필요한 증명서의 요건 때문에 모든 사용자가 S/MIME을 이용할 수 있는 것은 아닙니다.증명서의 관여나 관리상의 오버헤드 없이 메시지를 암호화할 필요가 있는 경우도 있습니다.예를 들어, 공개 키와 개인 키 쌍으로 메시지를 암호화하는 등입니다.

S/MIME 전자 메일 클라이언트가 암호화된 상태로 저장하는 메시지는 해당 키 쌍의 개인 키를 사용할 수 없거나 사용할 수 없는 경우(예: 인증서가 삭제 또는 손실되었거나 개인 키의 암호를 잊어버린 경우) 해독할 수 없습니다.단, 유효기간이 지났거나 취소되었거나 신뢰할 수 없는 증명서는 암호화 목적으로 계속 사용할 수 있습니다.암호화된 메시지의 일반 텍스트를 인덱싱할 수 없는 전자 메일 클라이언트도 있습니다.이러한 잠재적인 딜레마는 모두 S/MIME에 고유한 것이 아니라 일반적인 암호 텍스트이며 서명된 S/MIME 메시지만 암호화되지 않았습니다.

S/MIME 시그니처는 보통 "상세 시그니처"입니다.시그니처 정보는 서명되는 텍스트와는 다릅니다.이 MIME 타입은multipart/signed두 번째 부분은 MIME 서브타입으로 되어 있습니다.application/(x-)pkcs7-signature메일링 리스트소프트웨어는 메시지의 텍스트 부분을 변경하여 시그니처를 무효화하는 것으로 악명이 높지만, 이 문제는 S/MIME만의 문제가 아니며 디지털 서명에서는 서명된 내용이 변경되었음을 알 수 있을 뿐입니다.

보안 문제

2018년 5월 13일, Electronic Frontier Foundation(EFF)은 S/MIME의 중대한 취약성과 많은 이메일 [4]클라이언트에서 여전히 사용되고 있는 오래된 형태의 PGP를 발표했습니다.EFAIL이라고 불리는 이 버그는 [5]많은 이메일 클라이언트 벤더가 공동으로 수정해야 했습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ RFC 2045: 다목적 인터넷 메일 확장자(MIME)제1부는 1996년 11월에 출판되었다.
  2. ^ Balladelli, Micky; Clercq, Jan De (2001). Mission-critical Active Directory: Architecting a Secure and Scalable Infrastructure for Windows 2000. p. 550. ISBN 9781555582401. S/MIME adds new MIME content types that provide data confidentiality, integrity protection, nonrepudiation, and authentication services: application/pkcs7-mime, multipart/signed, and application/pkcs7-signature
  3. ^ CA/Browser Forum S/MIME Certificate Working
  4. ^ Gebhart, Danny O'Brien and Gennie (2018-05-13). "Attention PGP Users: New Vulnerabilities Require You To Take Action Now". Electronic Frontier Foundation. Retrieved 2018-05-29.
  5. ^ Hansen, Robert (2018-05-20). "Efail: A Postmortem". Robert Hansen. Retrieved 2018-05-30.

외부 링크

  • RFC 5652: 암호 메시지 구문(CMS)
  • RFC 3370: 암호 메시지 구문(CMS) 알고리즘
  • RFC 5751: 시큐어/다목적 인터넷 메일 확장(S/MIME) 버전 3.2 메시지 사양
  • RFC 8551: 시큐어/다목적 인터넷 메일 확장(S/MIME) 버전 4.0 메시지 사양
  • Microsoft Exchange Server: S/MIME 이해(개요)