In un’epoca in cui i dipendenti passano quotidianamente da un dispositivo all’altro, dai laptop agli smartphone, la sicurezza della posta elettronica sta diventando sempre più complessa. S/MIME svolge un ruolo cruciale in questo senso, crittografando le email e autenticando il mittente (firma digitale). Sebbene S/MIME offra una solida soluzione di sicurezza, presenta sfide specifiche in termini di accessibilità multi-dispositivo (o rollover delle chiavi, per essere precisi).
Un limite importante è che le autorità di certificazione (CA) non possono gestire efficacemente le chiavi private a causa della natura sensibile delle loro operazioni, il che complica l’implementazione e l’utilizzo di S/MIME su più dispositivi. In questo blog, analizzeremo perché questo rappresenta un problema, come viene spesso risolto in modo poco efficace e perché KeyTalk offre la soluzione ideale.
Cos’è l’accessibilità multi-dispositivo nel contesto di S/MIME?
L’accessibilità multi-dispositivo (key rollover) significa che gli utenti possono leggere e inviare e-mail sicure da tutti i loro dispositivi, indipendentemente dal fatto che si tratti di un computer desktop, un laptop, uno smartphone o un tablet. Per rendere ciò possibile, i certificati S/MIME e le stesse identiche chiavi private devono essere disponibili su ciascun dispositivo.
In teoria, questo sembra semplice, ma in pratica è un processo complesso. La chiave privata, necessaria per decifrare le email crittografate, deve essere conservata in modo sicuro ed essere accessibile su ogni dispositivo. Qui, ci imbattiamo in un problema fondamentale nell’ecosistema PKI tradizionale.
I limiti delle autorità di certificazione (CA)
Le CA svolgono un ruolo centrale nell’emissione dei certificati S/MIME. Verificano l’identità dell’utente e forniscono un certificato con la chiave pubblica. Tuttavia, ciò che le CA non sono autorizzate a fare è gestire le chiavi private. Questa è una limitazione deliberata e un principio fondamentale dell’infrastruttura a chiave pubblica (PKI). Se una CA dovesse gestire le chiavi private, minerebbe la fiducia nell’infrastruttura crittografica. Gli utenti confidano che le loro chiavi private siano accessibili solo alle persone autorizzate.
Nonostante queste limitazioni, alcune CA, come DigiCert, Sectigo o GlobalSign, continuano a dichiarare di offrire la gestione e l’automazione dei certificati S/MIME. In realtà, questo spesso significa che automatizzano solo il processo di emissione e rinnovo dei certificati, ma gli utenti rimangono responsabili della distribuzione delle chiavi private ai propri dispositivi. Questo non risolve il problema dell’accessibilità multi-dispositivo tramite la sincronizzazione delle chiavi e rimane un compito laborioso per i reparti IT.
Come viene spesso gestita l’accessibilità multi-dispositivo?
Nella pratica, organizzazioni e utenti cercano di rendere i certificati S/MIME disponibili su più dispositivi in due modi. Tuttavia, questi metodi sono spesso macchinosi e comportano rischi.
L’approccio più comune prevede che gli utenti esportino la propria chiave privata e il certificato da un dispositivo e li importino manualmente su altri dispositivi. Tuttavia, questo processo è piuttosto tecnico e soggetto a errori. Le chiavi private vengono spesso trasferite in un formato non sicuro, il che aumenta il rischio di compromissione.
Alcune organizzazioni utilizzano token hardware, come smart card o token USB, per memorizzare le chiavi private. Questi token possono essere collegati a diversi dispositivi. Lo svantaggio di questo metodo è che l’utente deve sempre portare con sé il token, il che è poco pratico in un ambiente di lavoro mobile. Inoltre, la perdita o il danneggiamento del token può portare al blocco completo dell’accesso alle e-mail crittografate.
Perché KeyTalk offre la soluzione ideale, anche con certificati di una CA pubblica
KeyTalk utilizza un approccio innovativo che supera i limiti dei metodi tradizionali, anche quando si lavora con certificati S/MIME emessi da CA pubbliche. Questo è fondamentale, poiché le CA pubbliche rappresentano lo standard per i certificati di posta elettronica considerati affidabili dai principali client di posta elettronica come Microsoft Outlook, Apple Mail e Gmail.
KeyTalk si integra perfettamente con le CA pubbliche e può richiedere e gestire automaticamente i certificati per conto dell’utente. Ciò significa che gli utenti hanno accesso a certificati considerati attendibili da tutti i principali client di posta elettronica, mentre KeyTalk elimina la complessità della gestione.
KeyTalk elimina la necessità di esportare o condividere manualmente le chiavi private. La piattaforma garantisce invece che il certificato venga recuperato centralmente e che le chiavi private vengano generate centralmente. Queste vengono poi distribuite in modo sicuro al dispositivo o al software di gestione dei dispositivi mobili (MDM).
Grazie all’integrazione con soluzioni di gestione dei dispositivi mobili (MDM) come Microsoft Intune e MobileIron, KeyTalk può configurare automaticamente i client di posta elettronica sui dispositivi per S/MIME. Ciò significa che sia il certificato che le impostazioni di utilizzo di S/MIME (come crittografia e firme digitali) vengono applicate automaticamente. I vantaggi di questa automazione:
KeyTalk consente agli utenti di utilizzare facilmente i certificati S/MIME su più dispositivi. Ogni dispositivo gestito dall’utente viene registrato e autenticato tramite KeyTalk. Successivamente, ogni dispositivo riceve automaticamente il certificato con la stessa identica chiave privata. I vantaggi:
La piattaforma offre alle organizzazioni un ambiente di gestione centralizzato per la richiesta, il rinnovo e la revoca dei certificati emessi dalle CA pubbliche. Di conseguenza, la gestione dei certificati è automatizzata senza compromettere la conformità o la praticità per l’utente. I vantaggi:
Conclusione
L’accessibilità multi-dispositivo (key rollover) dei certificati S/MIME è essenziale in un mondo in cui i dipendenti utilizzano più dispositivi per la posta elettronica. Tuttavia, le limitazioni delle autorità di certificazione rendono difficile gestire le chiavi private in modo sicuro e pratico su più dispositivi. Sebbene le autorità di certificazione affermino di poter automatizzare la gestione dei certificati S/MIME, non risolvono il problema fondamentale della gestione delle chiavi private. Questo rende spesso le loro soluzioni incomplete e macchinose nella pratica.
KeyTalk offre una soluzione innovativa e sicura gestendo e distribuendo dinamicamente i certificati S/MIME provenienti dalle CA pubbliche. Il certificato e la stessa chiave privata vengono generati centralmente dalla piattaforma e quindi distribuiti in modo sicuro ai vari dispositivi dell’utente. Grazie all’integrazione con soluzioni MDM come Intune e MobileIron, KeyTalk configura automaticamente i client di posta elettronica per S/MIME, semplificando l’accessibilità multi-dispositivo. Ciò consente alle organizzazioni di migliorare la sicurezza delle comunicazioni e-mail senza sacrificare l’usabilità. Con KeyTalk, il complesso mondo dei certificati S/MIME diventa gestibile, anche negli ambienti IT più diversificati e mobili.
Vuoi scoprire cosa può fare per la tua organizzazione l’accessibilità multi-dispositivo di S/MIME e KeyTalk CKMS? Contattaci compilando il modulo sottostante e scopri come possiamo aiutarti a ottimizzare la gestione dei tuoi certificati.
Il team di KeyTalk
