Su terminología parece rara, pero aquí hay algunas explicaciones que probablemente sean relevantes para su pregunta:
Al hacer un correo electrónico "seguro" con S / MIME , en realidad usas dos funciones distintas:
Cifrado de correo electrónico: los correos electrónicos enviados a un destinatario R están cifrados, es decir, se vuelven ilegibles para todos, excepto R, que puede revertir el proceso de cifrado. R puede hacer eso porque el cifrado se realiza utilizando la clave pública de R, y R conoce la clave privada correspondiente (las claves pública y privada están vinculadas matemáticamente, pero solo la parte pública se hace público).
Firma de correo electrónico: los correos electrónicos enviados por un remitente S están firmados, es decir, S agrega al correo electrónico (generalmente como un "archivo adjunto") un valor (la firma) que es específico de los contenidos del correo electrónico y pueden ser calculados por S solo; pero todos pueden verificar que la firma coincida con el correo electrónico. El cálculo de la firma utiliza la clave privada de S, pero la verificación se realiza con la clave pública de S.
En un sistema de correo electrónico con todas las funciones, cada usuario tiene una clave privada para las firmas, y una clave privada para el cifrado. Usted usa su clave privada para las firmas cuando envía un correo electrónico (para firmarlo) y usa su clave privada para el cifrado cuando recibe un correo electrónico (para descifrar los correos electrónicos entrantes). De cualquier manera, las personas con las que intercambie correos electrónicos deben conocer su (s) clave (s) pública (s) con cierta certeza, por lo que las claves públicas se distribuyen a través de certificados digitales . Un certificado es un contenedor para un nombre y una clave pública, unidos en un paquete compacto que está firmado por un autoridad de certificación .
Dependiendo de su tipo de clave, lo que está escrito en el certificado correspondiente y algunas opciones de políticas, su clave para firmas y su clave para cifrado pueden o no ser las mismas (incluso cuando es tecnológicamente posible usar la misma clave) para ambos usos, hay buenas razones para mantenerlos separados unos de otros). Con S / MIME, la mayoría de las veces tiene las tres situaciones siguientes:
-
Su clave de firma y su clave de cifrado son las mismas (de tipo RSA). Usted tiene un certificado para su clave pública. (Ese es el caso más común.)
-
Tienes dos claves distintas para las firmas y para el cifrado; Cada clave pública se distribuye en su propio certificado.
-
Usted tiene una clave para las firmas, y la clave pública está en un certificado firmado por una CA regular. Para el cifrado, tiene otro par de claves, donde la clave pública no está almacenada en un certificado firmado por una CA; en su lugar, se distribuye como un objeto SMIMECapabilities
que se agrega a los mensajes firmados que envía (y es parte de lo que firma). En efecto, entonces actúa como su propia CA cuando publica su clave pública de cifrado.
Independientemente de cuántas claves y certificados tenga, lo envía todo cuando envía un mensaje firmado : esto significa que cada mensaje firmado que envíe contiene todo lo que el destinatario debe saber si quieren enviarle mensajes encriptados . Por ejemplo, el certificado que contiene su clave de cifrado pública (si tal certificado existe en su caso) se agregará al objeto de la firma que su agente de correo (Outlook) agrega a sus correos electrónicos salientes. Por lo tanto, es habitual iniciar una conversación segura por correo electrónico con algún otro usuario B enviándole un correo electrónico firmado.
En entornos integrados, los certificados y / o los objetos de capacidades de SMIM también pueden distribuirse a través de otros medios, como servidores LDAP (también conocido como "Active Directory" en la terminología de Microsoft).