Pianificare la crittografia dei messaggi di posta elettronica

Aggiornamento: aprile 2009

Si applica a: Office Resource Kit

 

Ultima modifica dell'argomento: 2009-04-03

Microsoft Office Outlook 2007 supporta caratteristiche relative alla sicurezza per consentire agli utenti di inviare e ricevere messaggi di posta elettronica crittografati. Queste caratteristiche includono messaggi di posta elettronica crittografati, etichette di protezione e conferme firmate.

[!NOTA] Per ottenere funzionalità di protezione complete in Outlook, è necessario installare Outlook con diritti amministrativi locali.

Caratteristiche di messaggistica crittografata in Outlook

Outlook supporta caratteristiche di messaggistica crittografata che consentono agli utenti di eseguire le operazioni seguenti:

  • Firmare digitalmente un messaggio di posta elettronica. La firma digitale assicura il non ripudio e la verifica del contenuto (il messaggio contiene ciò che la persona ha inviato, senza alcuna modifica).

  • Crittografare un messaggio di posta elettronica. La crittografia consente di assicurare la privacy rendendo il messaggio illeggibile per tutti tranne che per il destinatario desiderato.

Ulteriori caratteristiche possono essere configurate per la messaggistica con impostazioni di protezione avanzate. Se l'organizzazione offre supporto per queste caratteristiche, la messaggistica con impostazioni di protezione avanzate consente agli utenti di eseguire le operazioni seguenti:

  • Inviare un messaggio di posta elettronica con una richiesta di conferma. Ciò consente di verificare che il destinatario stia convalidando la firma digitale dell'utente (il certificato che l'utente ha applicato a un messaggio).

  • Aggiungere un'etichetta di protezione a un messaggio di posta elettronica. L'organizzazione può creare un criterio di protezione /MIME V3 personalizzato che aggiunge etichette ai messaggi. Un criterio di protezione S/MIME V3 è costituito da codice aggiunto a Outlook, che aggiunge informazioni all'intestazione del messaggio in merito alla riservatezza del messaggio. Vedere Etichette di protezione e conferme firmate più avanti in questo argomento.

Modalità con cui Outlook implementa la messaggistica crittografata

Il modello di crittografia di Outlook utilizza la crittografia a chiave pubblica per inviare e ricevere messaggi di posta elettronica firmati e crittografati. Outlook supporta la protezione S/MIME V3, che consente agli utenti di scambiare messaggi di posta elettronica con impostazioni di protezione avanzate con altri client di posta elettronica S/MIME su Internet o sull'Intranet. I messaggi di posta elettronica crittografati con la chiave pubblica dell'utente possono essere decrittografati solo utilizzando la chiave privata associata. Ciò significa che quando un utente invia un messaggio di posta elettronica crittografato, il certificato del destinatario (chiave pubblica) lo crittografa. Quando un utente legge un messaggio di posta elettronica crittografato, la chiave privata dell'utente lo decrittografa.

In Outlook, gli utenti devono avere un profilo di protezione per utilizzare le caratteristiche di crittografia. Un profilo di protezione è un gruppo di impostazioni che descrive i certificati e gli algoritmi utilizzati quando un utente invia messaggi che utilizzano caratteristiche di crittografia. I profili di protezione vengono configurati automaticamente se non sono già presenti quando:

  • L'utente dispone di certificati per la crittografia sul proprio computer.

  • L'utente inizia a utilizzare una caratteristica di crittografia.

È possibile personalizzare in anticipo queste impostazioni di protezione per gli utenti. È possibile utilizzare impostazioni del Registro di sistema o di Criteri di gruppo per personalizzare Outlook, al fine di soddisfare i criteri di crittografia dell'organizzazione e configurare (e applicare con Criteri di gruppo) le impostazioni desiderate nei profili di protezione. Queste impostazioni sono descritte nella tabella in Impostare opzioni di crittografia di Outlook 2007 coerenti per un'organizzazione.

ID digitali: una combinazione di chiavi pubbliche/private e certificati

Le caratteristiche S/MIME si basano su ID digitali, che associano l'identità di un utente a una coppia di chiavi pubbliche e private. La combinazione di un certificato e di una coppia di chiavi pubbliche e private viene definita ID digitale. La chiave privata può essere salvata in un archivio con impostazioni di protezione avanzate, ad esempio l'archivio certificati di Microsoft Windows, sul computer dell'utente o su una smart card. Outlook supporta interamente lo standard X.509v3, che richiede che le chiavi pubbliche e private vengano create da un'autorità di certificazione quale VeriSign, Inc.

Gli utenti possono ottenere ID digitali utilizzando autorità di certificazione pubbliche basate sul Web quali VeriSign e Microsoft Certificate Server. Per ulteriori informazioni su come sia possibile per gli utenti acquisire un ID digitale, vedere l'argomento della Guida di Outlook "Ottenere un ID digitale". Gli amministratori possono fornire ID digitali a un gruppo di utenti. Outlook continua inoltre a supportare l'utilizzo di Microsoft Exchange Key Management Server per ottenere o fornire ID digitali.

Quando i certificati per gli ID digitali scadono, gli utenti devono in genere ottenere certificati aggiornati dall'autorità di certificazione emittente. Se, per la gestione dei certificati, l'organizzazione si basa su Microsoft Exchange Key Management Server, Outlook gestisce automaticamente l'aggiornamento dei certificati per gli utenti.

Etichette di protezione e conferme firmate

Outlook include il supporto per le estensioni ESS (Enhanced Security Services) S/MIME V3 relative a etichette di protezione e conferme firmate. Queste estensioni consentono di garantire comunicazioni di posta elettronica con impostazioni di protezione avanzate all'interno dell'organizzazione e di personalizzare la protezione per soddisfare i propri requisiti.

Se l'organizzazione sviluppa e fornisce criteri di protezione S/MIME V3 per l'aggiunta di etichette di protezione personalizzate, il codice nei criteri di protezione può imporre l'associazione di un'etichetta di protezione a un messaggio di posta elettronica. Di seguito sono riportati due esempi di etichette di protezione:

  • Un'etichetta Solo per uso interno può essere implementata come etichetta di protezione da applicare alla posta che non deve essere inviata o inoltrata all'esterno dell'azienda.

  • Un'etichetta può specificare che determinati destinatari non possono inoltrare o stampare il messaggio, se anche il destinatario dispone del criterio di protezione installato.

Gli utenti possono inoltre inviare richieste di conferma con impostazioni di protezione avanzate con i messaggi, per verificare che i destinatari riconoscano la firma digitale dell'utente. Quando il messaggio viene ricevuto e salvato (anche se non ancora letto) e la firma viene verificata, viene restituita alla Posta in arrivo dell'utente una conferma che implica che il messaggio è stato letto. Se la firma dell'utente non viene verificata, non viene inviata alcuna conferma. Quando la conferma viene restituita, poiché è anch'essa firmata, si ha la sicurezza che l'utente ha ricevuto e verificato il messaggio.

Classi di livelli di crittografia

Microsoft mette a disposizione due classi di livelli delle chiavi di crittografia: elevate (128 bit) e basse (40 bit). Microsoft fornisce funzionalità di crittografia a 128 bit in Windows 2000 e Windows XP, i sistemi operativi necessari per Microsoft Office System 2007. Assicurare che gli utenti dispongano di versioni del software che supportano un livello di crittografia elevato serve a garantire un alto livello di messaggistica di posta elettronica con impostazioni di protezione avanzate.

Ulteriori risorse

L'API (Application Programming Interface) Etichette di protezione di Outlook crea moduli di criteri per etichette di protezione che definiscono la riservatezza del contenuto di un messaggio nell'organizzazione. Per una descrizione dettagliata della creazione di moduli di criteri ed esempi di codice, vedere l'articolo MSDN Creating Security Label Policy Modules .

La crittografia a chiave pubblica può consentire di garantire sistemi di posta elettronica con impostazioni di protezione avanzate. Per ulteriori informazioni sull'utilizzo della crittografia a chiave pubblica in Outlook, ricercare il white paper sulla protezione di Outlook 98 nella pagina di ricerca della Knowledge Base del sito Web del Servizio Supporto Tecnico Clienti Microsoft.

Microsoft Exchange Key Management Server 5.5 genera chiavi solo per la protezione di Microsoft Exchange Server. Microsoft Exchange Key Management Server 5.5 Service Pack 1 supporta sia la protezione di Exchange che la protezione S/MIME. Per ulteriori informazioni, vedere la guida alla risorse di Microsoft Exchange Server 5.5 nel Microsoft BackOffice Resource Kit, seconda edizione.