S/MIME là gì? Nâng cao bảo mật email với S/MIME trên Exchange Online

Trong bối cảnh kỹ thuật số hiện nay, bảo mật thông tin nhạy cảm được truyền qua email là vô cùng quan trọng. Một phương pháp bảo vệ thông tin liên lạc qua email là sử dụng S/MIME, một giao thức được áp dụng rộng rãi, cung cấp mã hóa đầu cuối và chữ ký số.

Khai thác sức mạnh của S/MIME (Secure/Multipurpose Internet Mail Extensions): Trong bài viết này, Tri Thức Software sẽ giúp bạn hiểu về S/MIME cũng như cách yêu cầu, cấu hình và sử dụng S/MIME trên thiết bị của mình.

S/MIME là gì?

Giao thức thư điện tử đa năng/bảo mật Internet (S/MIME) là một tiêu chuẩn internet dùng để ký điện tử và mã hóa các tin nhắn email. Nó đảm bảo tính toàn vẹn của tin nhắn email được giữ nguyên trong quá trình nhận.

Bằng cách sử dụng chữ ký số, S/MIME cung cấp khả năng xác thực, đảm bảo tính toàn vẹn của thông điệp và không thể phủ nhận nguồn gốc. Ngoài ra, S/MIME còn bao gồm mã hóa giúp tăng cường quyền riêng tư và bảo mật dữ liệu cho tin nhắn điện tử.

Xác thực email gửi đi so với S/MIME

Ngoài email tuân thủ DMARC, vốn xác thực nguồn gửi thông qua kiểm tra SPF và DKIM, S/MIME cung cấp bằng chứng mật mã về danh tính người gửi bằng cách ký điện tử tin nhắn bằng chứng chỉ cá nhân, có khóa riêng chỉ tồn tại trên thiết bị của người gửi. Trên thực tế, khi email tuân thủ DMARC được sử dụng để gửi nội dung độc hại, điều đó thường cho thấy hộp thư của người gửi đã bị xâm phạm, cho phép kẻ tấn công gửi các tin nhắn vẫn vượt qua kiểm tra DMARC. Tuy nhiên, nếu hộp thư bị xâm phạm thường ký tin nhắn bằng S/MIME và tin nhắn độc hại thiếu chữ ký này, người nhận có thể nhận ra sự không nhất quán này là một dấu hiệu đáng ngờ và chọn bỏ qua tin nhắn.

S/MIME hoạt động như thế nào?

S/MIME cung cấp tính bảo mật, toàn vẹn, xác thực và không thể chối bỏ (thường được gọi chung là bộ ba CIANA) cho các tin nhắn email bằng cách tận dụng Cơ sở hạ tầng Khóa công khai (PKI) và sự kết hợp giữa mã hóa bất đối xứng (cặp khóa công khai/riêng tư) và mã hóa đối xứng (một khóa duy nhất cho cả mã hóa và giải mã). Nó sử dụng chứng chỉ số, thông tin xác thực điện tử do các Tổ chức cấp chứng chỉ (CA) đáng tin cậy cấp, để liên kết danh tính người dùng với khóa công khai của họ. Những chứng chỉ này rất cần thiết để cho phép mã hóa và chữ ký số, giúp thiết lập lòng tin giữa các bên giao tiếp.

S/MIME có thể được sử dụng cho:

  1. Mã hóa (Bảo mật): Khi người dùng gửi email bằng S/MIME, trình duyệt email của họ sẽ mã hóa tin nhắn bằng khóa công khai của người nhận. Chỉ người nhận dự định, người sở hữu khóa riêng tương ứng, mới có thể giải mã và đọc tin nhắn. Điều này đảm bảo nội dung tin nhắn được bảo mật, ngay cả khi bị chặn trong quá trình truyền tải.
  2. Chữ ký số (Xác thực và Toàn vẹn): S/MIME cũng cho phép người dùng ký điện tử vào email. Trình duyệt email của người gửi tạo ra chữ ký số bằng khóa riêng của người gửi. Sau khi nhận được tin nhắn, trình duyệt email của người nhận sử dụng khóa công khai của người gửi để xác minh chữ ký. Chữ ký hợp lệ xác nhận rằng tin nhắn không bị thay đổi (toàn vẹn) và xác thực danh tính của người gửi.

Bằng cách kết hợp mã hóa và chữ ký số, S/MIME đảm bảo các thông tin liên lạc qua email được bảo mật, đáng tin cậy và chống lại sự giả mạo hoặc mạo danh.

Yêu cầu chứng chỉ email S/MIME

Về bản chất, chứng chỉ email S/MIME là chứng chỉ ký mã. Thay vì chỉ định tên miền trong phần Common Name (CN)<CSR> CSR, bạn phải chỉ định tên đầy đủ của mình. Chúng ta sẽ yêu cầu CSR bằng cách sử dụng OpenSSL. OpenSSL là một chương trình dòng lệnh để tạo và quản lý chứng chỉ, được sử dụng rộng rãi bởi các hệ điều hành BSD Unix* và các bản phân phối Linux, nhưng cũng có các phiên bản dành cho Windows.

*Các hệ điều hành Unix dựa trên BSD như Apple MacOS, OpenBSD, FreeBSD sử dụng LibreSSL (một nhánh phát triển từ OpenSSL) làm thư viện SSL chính kể từ năm 2021. LibreSSL cũng tương tác với openssltên chương trình. Điều này được các nhà phát triển (nhóm OpenBSD) của LibreSSL lựa chọn để giúp người dùng, các tập lệnh và hệ thống trước đây sử dụng OpenSSL dễ dàng chuyển sang LibreSSL.

Lưu ý: Trong bài thực hành này, chúng ta sẽ sử dụng /tmpthư mục này để lưu trữ tạm thời CSR và khóa riêng tư. Vui lòng tìm một nơi an toàn để lưu trữ khóa riêng tư sau khi bạn đã xuất khẩu nó.

  1. Mở ứng dụng dòng lệnh trên máy tính của bạn.
  2. Thực thi lệnh sau:
openssl req -out /tmp/certificate.csr -newkey rsa:4096 -nodes -sha256 -keyout /tmp/certificate.key
  1. Hãy điền thông tin cần thiết vào các trường được hiển thị bằng dữ liệu của riêng bạn:
Country Name (2 letter code) [AU]:NL
State or Province Name (full name) [Some-State]:Your State
Locality Name (eg, city) []:Your City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Your Organization 
Organizational Unit Name (eg, section) []:Your Department
Common Name (e.g. server FQDN or YOUR name) []:Your Fullname
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: **LEAVE BLANK**
An optional company name []: **LEAVE BLANK**

Lưu ý: Nếu bạn đang yêu cầu chứng chỉ email S/MIME cho email cá nhân của mình, hãy nhập N/Avào các trường Organization Namevà Organizational Unit Name.

  1. Tệp certificate.csrtin hiện đã được tạo trong /tmpthư mục. Bạn có thể tải CSRtệp tin này lên một Tổ chức cấp chứng chỉ (CA) đáng tin cậy, chẳng hạn như Sectigo.

What is a S/MIME Certificate and How Does It Work

Cấu hình và cài đặt chứng chỉ email S/MIME

Sau khi CA ký chứng chỉ, bạn có thể tải xuống chứng chỉ, ví dụ, ở .crtđịnh dạng nhất định. .crtTệp này chính là khóa công khai của bạn.

  1. Hãy đặt khóa công khai của bạn certificate.crtvào /tmpthư mục đó cùng với khóa riêng tư trước đó certificate.key.
  2. Thực hiện lệnh sau để kết hợp khóa công khai với khóa riêng tư trong một .pfxtập tin đóng gói ( PKCS #12).
openssl pkcs12 -inkey /tmp/certificate.key -in /tmp/certificate.crt -export -out /tmp/your-email-com.pfx

Lưu ý: Nếu bạn muốn nhập chứng chỉ trên các hệ thống dựa trên BSD như macOS, bạn phải thêm -legacycờ vào cuối lệnh khi sử dụng OpenSSL v3. Phiên bản OpenSSL này đã thay đổi thuật toán mặc định, khiến nó không tương thích với thư viện LibreSSL mặc định được sử dụng trong các hệ thống dựa trên BSD.

  1. Chứng chỉ email S/MIME của bạn hiện đã sẵn sàng để cài đặt trên thiết bị hoặc ứng dụng email (MUA) của bạn. Dưới đây là một số hướng dẫn bên ngoài về cách cài đặt chứng chỉ trên thiết bị và ứng dụng email của bạn.
  • S/MIME trên iOS
  • S/MIME dành cho Outlook trên iOS và Android
  • S/MIME trên máy Mac
  • S/MIME trên Outlook cho Mac
  • S/MIME dành cho Windows
  • S/MIME trong Outlook trên web
  • S/MIME trong Outlook cho Windows
  • Cấu hình S/MIME trong Exchange Online
  • Sử dụng S/MIME trong Thunderbird

S/MIME Certificate Configuration for iOS Outlook – Trustico® Online Security

Để gửi tin nhắn đã ký, bạn cần cài đặt chứng chỉ S/MIME cá nhân của mình vào chuỗi khóa. Để gửi tin nhắn được mã hóa, chứng chỉ của người nhận cũng phải được lưu trữ trong chuỗi khóa của bạn, ví dụ như trên macOS. Sau khi đã nhập chứng chỉ email S/MIME vào thiết bị, bạn có thể cấu hình ứng dụng email của mình để ký điện tử các tin nhắn gửi đi và giải mã các tin nhắn đến đã được mã hóa bằng khóa công khai của bạn.

HÌNH ẢNH

Sau khi bạn gửi email cho người nhận, trình duyệt email của người nhận sẽ xác minh chữ ký bằng khóa công khai của bạn.

HÌNH ẢNH

Tóm lại

Giao thức S/MIME đóng vai trò quan trọng trong việc tăng cường bảo mật email bằng cách cung cấp mã hóa, chữ ký số và cơ chế xác thực. Khi các mối đe dọa trên mạng tiếp tục phát triển, việc triển khai các biện pháp bảo mật mạnh mẽ như S/MIME là điều cần thiết để bảo vệ thông tin nhạy cảm và duy trì niềm tin trong giao tiếp kỹ thuật số. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.

Bài viết liên quan

zalo-icon
phone-icon