S/MIME para la firma y el cifrado de mensajes en Exchange Online

S/MIME (extensiones de correo de Internet seguras o multipropósito) es un protocolo ampliamente aceptado para enviar mensajes firmados y cifrados digitalmente. S/MIME en Exchange Online proporciona los siguientes servicios para los mensajes de correo electrónico:

  • Cifrado: protege el contenido de los mensajes de correo electrónico.
  • Firmas digitales: comprueba la identidad del remitente de un mensaje de correo electrónico.

En el resto de este artículo se describe generalmente S/MIME y cómo funcionan estos servicios.

Para configurar S/MIME en Exchange Online, consulte los temas siguientes:

Configurar S/MIME en Exchange Online

S/MIME para Outlook para iOS y Android

Firmas digitales S/MIME

Las firmas digitales son el servicio más utilizado de S/MIME. Como su nombre sugiere, las firmas digitales son el homólogo digital de la firma tradicional y legal en un documento en papel. Al igual que con una firma legal, las firmas digitales proporcionan las siguientes funcionalidades de seguridad:

  • Autenticación: una firma sirve para validar una identidad. Comprueba la respuesta a "quién es usted" proporcionando un medio para diferenciar esa entidad de todas las demás y probar su exclusividad. Dado que no hay autenticación en el correo electrónico SMTP, no hay forma de saber quién envió un mensaje. La autenticación en una firma digital soluciona este problema al permitir que un destinatario sepa que la persona u organización que dice haber enviado el mensaje envió un mensaje.

  • No repetición: la unicidad de una firma impide que el propietario de la firma renuevo la firma. Esta funcionalidad se denomina norepudiation. Por lo tanto, la autenticación que proporciona una firma proporciona los medios para aplicar la no repetición. El concepto de no revisión es más familiar en el contexto de los contratos en papel: un contrato firmado es un documento jurídicamente vinculante y es imposible desmentir una firma autenticada. Las firmas digitales proporcionan la misma función y, cada vez más en algunas áreas, se reconocen como jurídicamente vinculantes, de forma similar a una firma en papel. Dado que el correo electrónico SMTP no proporciona un medio de autenticación, no puede proporcionar la no repetición de la prueba. Es fácil para un remitente desautorizar la propiedad de un mensaje de correo electrónico SMTP.

  • Integridad de datos: un servicio de seguridad adicional que proporcionan las firmas digitales es la integridad de los datos. La integridad de los datos es el resultado de las operaciones específicas que hacen posible las firmas digitales. Con los servicios de integridad de datos, cuando el destinatario de un mensaje de correo electrónico firmado digitalmente valida la firma digital, el destinatario está seguro de que el mensaje de correo electrónico que se recibe es, de hecho, el mismo mensaje que se firmó y envió, y no se ha modificado mientras está en tránsito. Cualquier modificación del mensaje mientras está en tránsito después de que se haya firmado invalida la firma. De esta manera, las firmas digitales proporcionan una garantía de que las firmas en papel no pueden, ya que es posible que un documento en papel se modifique después de que se haya firmado.

Importante

Aunque las firmas digitales proporcionan integridad de datos, no proporcionan confidencialidad. Los mensajes con solo una firma digital se envían en texto no cifrado, como los mensajes SMTP y otros pueden leerlos. En el caso de que el mensaje esté firmado con opaco, se logra un nivel de ofuscación porque el mensaje está codificado en base64, pero sigue siendo texto no cifrado. Para proteger el contenido de los mensajes de correo electrónico, se debe usar el cifrado.

Cifrado S/MIME

El cifrado de mensajes proporciona una solución para la divulgación de información. El correo electrónico de Internet basado en SMTP no protege los mensajes. Cualquier persona que lo vea mientras viaja o lo ve donde se almacena puede leer un mensaje de correo electrónico de Internet SMTP. Estos problemas se solucionan mediante S/MIME mediante cifrado. El cifrado es una manera de cambiar la información para que no se pueda leer ni entender hasta que se vuelva a cambiar a un formato legible y comprensible. El cifrado de mensajes proporciona dos servicios de seguridad específicos:

  • Confidencialidad: el cifrado de mensajes sirve para proteger el contenido de un mensaje de correo electrónico. Solo el destinatario previsto puede ver el contenido, y el contenido sigue siendo confidencial y no puede ser conocido por nadie más que pueda recibir o ver el mensaje. El cifrado proporciona confidencialidad mientras el mensaje está en tránsito y en almacenamiento.

  • Integridad de datos: al igual que con las firmas digitales, el cifrado de mensajes proporciona servicios de integridad de datos como resultado de las operaciones específicas que hacen posible el cifrado.

Importante

Aunque el cifrado de mensajes proporciona confidencialidad, no autentica al remitente del mensaje de ninguna manera. Un mensaje cifrado sin signo es tan susceptible a la suplantación del remitente como un mensaje que no está cifrado. Dado que la no repetición de la autenticación es un resultado directo de la autenticación, el cifrado de mensajes tampoco proporciona la no repetición de la prueba. Aunque el cifrado proporciona integridad de datos, un mensaje cifrado solo puede mostrar que el mensaje no se ha modificado desde que se envió. No se proporciona información sobre quién envió el mensaje. Para probar la identidad del remitente, el mensaje debe usar una firma digital.

Otras tecnologías de cifrado funcionan conjuntamente para proporcionar protección para los mensajes en reposo y en tránsito. S/MIME puede funcionar simultáneamente con las tecnologías de la lista siguiente, pero no depende de ellas:

  • Seguridad de la capa de transporte (TLS) que reemplaza a Capa de sockets seguros (SSL):
    • Cifra el túnel o la ruta entre los servidores de correo electrónico para ayudar a evitar el espionaje y la interceptación.
    • Cifra la conexión entre los clientes de correo electrónico y los servidores de correo electrónico.
  • BitLocker: cifra los datos en unidades de disco duro en equipos y servidores cliente. Si una entidad no autorizada obtiene acceso de alguna manera, no puede leer los datos en las unidades.

Cifrado de mensajes de Microsoft Purview es un competidor directo de S/MIME y tiene las siguientes ventajas sobre S/MIME:

  • Es un servicio de cifrado basado en directivas configurado por un administrador para cifrar los mensajes que se envían a cualquier persona dentro o fuera de la organización. Por el contrario, los usuarios deben decidir si aplican o no S/MIME a los mensajes que envían.
  • Se trata de un servicio en línea que se basa en Azure Rights Management (Azure RMS) y no se basa en una infraestructura de clave pública. Por el contrario, S/MIME requiere una infraestructura de publicación de certificados y certificados.
  • Cifrado de mensajes de Microsoft Purview proporciona funcionalidades adicionales. Por ejemplo, puede personalizar los mensajes con la marca de su organización.