Mac OS/iOS mail上的S/MIME证书体验
目前有两种方法可以完成对任意邮件的加密。一个是S/MIME,另一个是PGP。不过本文将重点介绍S/MIME的实现原理和具体过程。
什么是S/MIME
安全多用途互联网邮件扩展(SecureMultipurpose Internet Mail Extension,S/MIME)是指一种保障邮件安全的技术,它是MIME数据(MIME数据就是你的电子邮件)的公共密钥加密和签名的标准。之所以要对公共密钥加密和签名两部分进行安全扩展,是由于公共密钥扩展负责电子邮件的主体内容和附件的加密,只能由你和指定的收件人看到具体的内容。而签名扩展不仅仅是让收件人知道邮件是你发送的,也可以证明你在发送邮件后,发送过程中邮件内容没有被篡改过。
简而言之,S/MIME就是在你的设备上使用两个加密密钥来对电子邮件的私钥和公钥进行数字签名。私钥只存在于你的设备上,而公钥则会随你发送的电子邮件一起发送给收件人,当对方收到邮件后,用此公钥解密邮件内容。
使用S/MIME的前提条件
1.具有电子邮件地址;
2.一个S/MIME证书;
3.一个macOS设备;
4.S/MIME设置的收件人。
如何获得证书
有相当多的方法可以获得S/MIME证书,目前有免费的、付费的甚至是自己生成的。
首先,你要先访问Comodo的官网,然后点击“免费电子邮件证书”下的“免费下载”按钮。不过,此时你会被要求输入一些详细的个人信息,比如你的电子邮件地址,私钥大小和撤销密码。请注意,确保你填写的电子邮件地址是你将要应用加密的电子邮件地址。
现在你必须等待发送给你的电子邮件,其中将包含你的证书的下载链接。一旦下载,你将看到如下所示的文件。
备份这个文件,因为它是唯一存在的副本。如果你重新安装了Mac或使用其他要发送和接收加密电子邮件的Mac,则需要重新通过该下载链接安装。如果你认为有人有机会获得此证书,请考虑将其存储在加密的磁盘映像中。
如何安装证书
要安装证书,请双击.p7s文件,钥匙串访问将会打开,并询问你希望安装证书的位置。我会亲自将这些证书导入到我的系统钥匙串中,以便在所有用户帐户上都可以使用这些证书,但是你也可以选择登录钥匙串以使其仅用于当前用户帐户。
选择要导入证书的钥匙串,然后单击添加按钮。这样,证书就可以被安装并开始进行使用。
如何配置邮件以使用S/MIME证书
配置邮件使用证书的过程,就和重新启动邮件应用程序一样简单。但和重新启动邮件不同的是,配置邮件使用证书还有其他一些事情要检查,这样是为了确保你的电子邮件尽可能安全。在邮件中打开首选项,然后选择帐户选项卡。现在你就可以选择要使用S/MIME证书的帐户,然后转到“服务器设置”选项卡。此时,你需要取消所选中的“自动管理连接设置”框,这个是用来设置传入和传出服务器的,其他选项如下所示。
这样就可以确保你的帐户被设置为使用正确的端口和身份验证的TLS / SSL,不过,你的帐户的正确设置通常可以在提供给你的电子邮件地址的公司的官网上找到。这将确保你的Mac和电子邮件服务器之间的连接是安全的。对于每个你拥有的电子邮件帐户来说,检查这些设置都可以保护它们的安全性,而不仅仅是你将使用的S/MIME设置。
此时,如果你还尚未重新启动邮件,那么就可以使用S/MIME了。
如何使用S/MIME?
使用S/MIME的时候,先请你撰写一封新的电子邮件进行一下测试,以确保将其发送到与它连接的S/MIME证书的电子邮件地址。输入收件人的地址,点击收件人(请注意,这些收件人也需要配置S/MIME),此时你会注意到在“发件人”栏中出现了两个新的按钮(一个锁和一个印章) 。
除非你和收件人交换了密钥,否则锁定(加密)将不可用,这样就只有密封(签名)可用。此时,你会在发送的邮件和收件人的结尾,看到以下内容:
电子邮件的内容没有使用加密,因此内容是可见的,而电子邮件的印章则确认此邮件已被正确签名。现在收件人就可以回复电子邮件并使用签名和加密了,由于收件人有自己的S/MIME证书,则加密选项变为可用。
在收到收件人的电子邮件回复之后,你现在也拥有了他人的S/MIME证书,这样你在回复对方时,加密选项就可用,这是交换发送和接收密钥所必需的过程。不过该过程只需确认一次,之后你就可以立即签名并加密你发送给对方的每封电子邮件。
你可以给任何人发电子邮件并在电子邮件上签名,但只有在密钥交换后才能使用加密,这就要求发件人和收件人都配置了S/MIME。
请注意,如果你或其中一个收件人丢失了S/MIME证书和存储的密钥,则结果如下:
此时,所有使用加密方式发送和接收的电子邮件都无法再被查看。如果没有备份证书,即使此邮件被人给拦截了,也无法被打开。
如何在iPhone或iPad上使用S/MIME
不过在日常生活中,你可能在iPhone或iPad上发送和接收大量电子邮件的机会比较多,如果在iPhone或iPad上可使用S/MIME阅读加密的电子邮件并回复它们,那就太完美了。不过前提是,你要先将你的S/MIME证书传输到你的iPhone或iPad设备。
要在你的iPhone或iPad上使用S/MIME,你必须首先从Mac中提取证书并以iOS可以使用的格式导出。因此,你就要打开“钥匙串访问”应用程序并找到你的证书。你可能会在“登录”和“系统”钥匙串中找到多个条目,选择旁边有下拉箭头并在其中包含密钥的条目。你会发现,你正在查找的证书只是简单地用你的电子邮件地址命名的。
选择证书后,进入“文件”菜单并选择“导出项目”。此时将弹出一个窗口,要求你为导出的项目命名并选择文件格式。虽然名称你可以随便命名,但我建议你还是使用字母和数字的组合,而文件格式必须设置为“个人信息交换(.p12)”。
点击保存,此时,你将被要求输入一个密码,以保护导出的证书。虽然这可以保证足够的安全,但是你要把该密码记住,因为在稍后的操作中,你要不断输入次密码。
以下是必须传输到iPhone或iPad设备的文件:
这可以通过AirDrop或电子邮件完成,如果你是给自己发邮件来传输文件,一定不要加密此邮件。如果加密了,此时邮件就会让你提供安全选项,而由于证书是安装在你的Mac上的,所以iPhone或iPad设备将无法读取此内容。此时,你导出的证书会使用你刚刚输入的密码自动给自己加密,所以不用担心它会以未加密的方式发送。
你可能已经注意到,在你的iPhone或iPad上使用S/MIME并不像在macOS上那么简单,但是现在你已经完成了,你可以看到它是多么容易设置。虽然有很多步骤,但都很容易。在最后一步,即使锁定图标显示为开放或解锁状态,加密仍然有效,之所以会这样,是因为这个是iPhone或iPad上的一个漏洞,并不能反映真实的加密设置状态。要获得更准确的状态,只需查看标题是否显示了“Encrypted”一词。
你需要点击每个使用S/MIME的收件人的电子邮件地址,以查看其他们是否安装了加密证书,这就就像你在配置邮件时使用S/MIME证书所做的那样。在macOS上,只要收到邮件,发件人的证书,密钥和加密证书的发送就会自动发生。而在iOS上,这个过程是必须手动完成的,因此所有多一些额外的步骤。虽然设置它有点麻烦,但一旦设置完成,就再也不用管了,直到你的证书到期更新它时,才会重新设置。
更新新的证书时,你必须重复上述步骤,执行所有步骤大约需要10分钟。也许你会担心更新后,原来的旧密钥是否仍然会存在于你的钥匙串中?我可以很明确的告诉你,旧密钥始终可以看到过去的加密电子邮件内容。
S/MIME的优点和缺点
优点:
1.轻松获得证书;
2.易于在Mac上安装;
3.适用于macOS和iOS;
4.不需要额外的软件或插件
缺点:
在iOS上的安装步骤很繁琐,这是唯一让我感觉不好的地方。