Wat is S/MIME en hoe werkt het?

Als een e-mail zich een weg baant over het internet, stopt hij onderweg bij verschillende servers en routers. Het is mogelijk dat nieuwsgierige ogen bij elk van deze tussenstops het bericht oppikken en de inhoud lezen of een vals antwoord invoegen, wat bijvoorbeeld kan leiden tot gestolen aanmeldingsgegevens of verkeer dat wordt omgeleid naar een phishingsite. Deze man-in-the-middle (MitM)-aanvallen zijn moeilijk te detecteren, maar ze kunnen worden verijdeld met de encryptie en digitale handtekeningen van S/MIME.

Wat is S/MIME?

S/MIME, dat staat voor Secure/Multipurpose Internet Mail Extensions, is een protocol voor het ondertekenen en versleutelen van e-mail dat e-mailberichten versleutelt en van een digitale handtekening voorziet. Het kan een bericht ook comprimeren om de grootte ervan te beperken. S/MIME is geen nieuwe standaard, maar is in de loop der tijd wel steeds verder verbeterd. De meest recente versie, S/MIME versie 4.0, bevat updates van de inhoudsversleuteling, handtekening en digest-algoritmen van de standaard. [i]

De encryptie van S/MIME zorgt er meer bepaald voor dat e-mailberichten zo worden vervormd dat zij alleen toegankelijk zijn voor de ontvangers, die een privésleutel gebruiken om de berichten te ontcijferen. Zo wordt voorkomen dat anderen - met name aanvallers - de e-mailberichten onderscheppen en lezen terwijl ze van de verzender naar de ontvanger reizen.

De digitale handtekeningen van S/MIME beschermen de veiligheid van e-mailberichten ook op drie manieren:

• Authenticatie: Verifieert de identiteit van de afzender, zodat de ontvanger er zeker van kan zijn dat het bericht van de geïdentificeerde afzender afkomstig is. Dit helpt bij het voorkomen van e-mail spoofing, wat vaak voorkomt bij phishing-aanvallen.
• Integriteit van het bericht: Detecteert eventuele wijzigingen die na de verzending in het bericht zijn aangebracht.
• Onweerlegbaarheid: Voorkomt dat de afzender ontkent dat hij het bericht heeft verzonden. Dit kan belangrijk zijn voor productbestellingen, juridische documenten of strafzaken.

Hoe werkt S/MIME?

S/MIME maakt gebruik van asymmetrische cryptografie met een openbaar/privésleutelpaar. De twee sleutels zijn mathematisch aan elkaar gerelateerd, zodat een bericht dat met de openbare sleutel is versleuteld, alleen met de particuliere sleutel kan worden ontsleuteld. Elke verzender en ontvanger krijgt zowel een openbare als een particuliere sleutel. De openbare sleutel wordt bekendgemaakt en versleutelt de e-mail; de particuliere sleutel wordt geheim gehouden en ontsleutelt de e-mail. Zodra iemand op "verzenden" drukt voor een e-mail, versleutelt de software van de S/MIME verzendende agent het bericht met de openbare sleutel van de ontvanger, en de ontvangende agent ontsleutelt het bericht met de privé-sleutel van de ontvanger, zoals in het schema is aangegeven. Natuurlijk moeten zowel verzender als ontvanger S/MIME ondersteunen.

S/MIME-certificering

Voordat S/MIME kan worden geconfigureerd, heeft iedere verzender en ontvanger een digitaal certificaat nodig dat de identiteit van de persoon bindt aan een publieke sleutel. Een beheerder is meestal verantwoordelijk voor het configureren van S/MIME en het uitgeven van digitale certificaten. Een beheerder kan het beste twee certificaten uitgeven voor elke gebruiker, een voor ondertekening en een voor encryptie. [ii]

Certificaatautoriteiten (CA's) geven vertrouwde X.509-certificaten af, die verifiëren of een openbare sleutel toebehoort aan de persoon die hem gebruikt. Een root-certificaat, ondertekend door de CA, wordt gebruikt om andere certificaten te maken en te ondertekenen in een boomachtige of geketende structuur. Zowel Microsoft als Google raden aan om de keten op ten minste twee niveaus te configureren, zodat het root-certificaat niet rechtstreeks gebruikerscertificaten uitgeeft.

Alvorens een CA te kiezen, zou een beheerder de lijst van ondersteunde CA's voor het e-mailsysteem van het bedrijf moeten controleren. Door slechts één of twee CA's te kiezen worden certificaatbeheertaken vereenvoudigd, zoals het bewaken van certificaatvervaldata en het scannen op schaduwcertificaten die gebruikers via andere CA's hebben verkregen.

S/MIME configureren

In een bedrijfsomgeving is een beheerder ook verantwoordelijk voor het vaststellen van beleidslijnen voor het gebruik van S/MIME-encryptie en handtekeningen in e-mailclientsoftware. Hier kijken we naar specifieke aanwijzingen voor twee e-mailsystemen: Microsoft Outlook en Google Workspace.

S/MIME inschakelen op Outlook: Microsoft geeft stapsgewijze instructies voor het configureren van S/MIME voor Exchange. [iii] Dit ondersteunt e-mailclients die gebruikmaken van Outlook, Outlook Web app en Outlook op mobiele apparaten. Het proces bestaat uit vijf stappen:

1. S/MIME-certificaten instellen en publiceren. De beheerder installeert een CA van derden voor Windows en stelt de keten in voor het uitgeven van certificaten. Hoewel Exchange particulier uitgegeven certificaten ondersteunt, raadt Microsoft het gebruik van CA's van derden aan, omdat ontvangers certificaten van hen automatisch vertrouwen. Sommige clients en apparaten bieden geen ondersteuning voor zelf uitgegeven certificaten.
2. Stel een virtuele certificatenverzameling in Exchange Online in voor het valideren van de S/MIME-certificaten. Hiervoor exporteert de beheerder de root- en intermediate-certificaten naar een SST-bestand (Serialized Certificate Store) in Windows PowerShell en importeert vervolgens de certificaten uit dat SST-bestand in Exchange.
3. Synchroniseer gebruikerscertificaten voor S/MIME in Microsoft 365. De beheerder geeft gebruikerscertificaten uit en publiceert deze in Active Directory. Gebruikersgegevens worden vervolgens gesynchroniseerd naar Windows 365 met Azure Active Directory Connect synchronisatieservices.
4. Als gebruikers Outlook voor het web gebruiken, configureert de beheerder beleidsregels in de webbrowsers Chrome en Edge om S/MIME-extensies te installeren.
5. Configureer e-mailclients om S/MIME te gebruiken. Voor deze stap hebben gebruikers toegang tot hun certificaten nodig. De beheerder kan de certificaten van gebruikers automatisch naar hun apparaten distribueren met Endpoint Manager, of gebruikers kunnen hun certificaten handmatig naar hun mobiele apparaten exporteren. Vervolgens kunnen gebruikers S/MIME-encryptie instellen via de Trust Center-instellingen in het menu Opties.

S/MIME inschakelen op Gmail: Net als Microsoft biedt Google stapsgewijze instructies voor het configureren van hosted S/MIME op Google Workspace. [iv] Dit proces bestaat ook uit vijf stappen:

1. S/MIME inschakelen. Na het instellen van een rootcertificaat en ten minste één intermediate certificaat, schakelt de beheerder S/MIME in als instelling in de Workspace Admin-console. Standaard erven organisatorische eenheden de instellingen van de organisatie op het hoogste niveau, maar dit kan worden opgeheven om de S/MIME-instellingen voor een of meer organisatorische eenheden aan te passen.
2. Certificaten uploaden naar Gmail-gebruikers. Optioneel kan de beheerder gebruikers toestaan hun eigen certificaten te uploaden. Google raadt aan om certificaten programmatisch te uploaden met behulp van de Gmail S/MIME API, of gebruikers kunnen hun eigen certificaten uploaden via de Gmail-instellingen als de beheerder die functie heeft ingeschakeld.
3. Versleutelingsregels definiëren. De beheerder definieert vervolgens regels die ofwel versleuteling en ondertekening afdwingen van alle uitgaande Gmail-berichten of alleen van de berichten die voldoen aan de criteria van de regels.
4. Herlaad Gmail. Gebruikers moeten Gmail na 24 uur opnieuw laden voordat ze kunnen proberen berichten te coderen.
5. Gebruikers wisselen publieke sleutels uit. Om de publieke sleutel te publiceren, stuurt een gebruiker een andere gebruiker een ondertekend S/MIME-bericht. De handtekening zal de publieke sleutel van de afzender bevatten.

Hoe een S/MIME gecodeerde mail versturen

Wanneer een gebruiker een bericht in Gmail opstelt, verschijnt er een slotpictogram naast elke ontvanger die S/MIME heeft ingeschakeld. Als de gebruiker de e-mail aan meerdere ontvangers richt en deze ontvangers verschillende versleutelingsniveaus ondersteunen, gebruikt Gmail het laagste niveau van versleuteling dat door alle ontvangers wordt ondersteund.

Bij het samenstellen van een enkel bericht in Outlook kunnen gebruikers "Coderen met S/MIME" selecteren in het menu Opties. Om elke e-mail standaard digitaal te ondertekenen of te versleutelen, kunnen gebruikers in het menu Instellingen kiezen voor versleutelen, ondertekenen of beide.

De kern van de zaak

Het configureren van S/MIME voor een bedrijf houdt in het distribueren en beheren van digitale certificaten voor eindgebruikers. De beloning voor deze inspanning is duidelijk: S/MIME's e-mailversleuteling en digitale handtekeningen beschermen tegen MitM-aanvallen en e-mail-spoofing schemes.

[i] " Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 4.0 Message Specification ," IETF

[ii] " S/MIME ," Wikipedia

[iii] " S/MIME configureren in Exchange Online ," Microsoft

[iv] " Regels instellen om S/MIME-handtekening en encryptie te vereisen ," Google