Het beveiligen van e-mailcommunicatie is essentieel voor digitaal vertrouwen, maar het kiezen van de juiste versleutelingsmethode kan een uitdaging zijn. Dit artikel onderzoekt twee standaarden voor e-mailversleuteling: Microsoft Purview Message Encryption en Secure/Multipurpose Internet Mail Extensions (S/MIME).
Beide standaarden beschermen de inhoud van e-mails, maar verschillen in encryptiearchitectuur, sleutelbeheer en gebruikerservaring. Inzicht in deze verschillen helpt IT-teams de beste aanpak te bepalen voor het beveiligen van verschillende niveaus van gevoelige gegevens.
Microsoft Purview Message Encryption is een cloudservice die is gebouwd op Azure Rights Management (Azure RMS). Het integreert versleuteling met identiteits- en autorisatiebeleid.
MS Purview legt de nadruk op toegangscontrole. Wanneer een e-mail aan specifieke criteria voldoet, zoals wanneer een gebruiker ‘Versleutelen’ selecteert of wanneer een e-mailstroomregel wordt geactiveerd, beveiligt de service het bericht met behulp van tenantspecifieke Azure-sleutels. Afzenders kunnen ook rechtenbeleid toepassen, zoals ‘Niet doorsturen’ of ‘Alleen versleutelen’.
MS Purview is handig omdat het gebruiksvriendelijk is. Interne gebruikers kunnen er probleemloos mee werken en externe ontvangers ontvangen berichten via een beveiligd webportaal of door hun identiteit te verifiëren met diensten zoals Google of Microsoft. Omdat de encryptiesleutels worden beheerd door de tenant of Microsoft, biedt MS Purview geen echte end-to-end-encryptie. De serviceprovider kan de inhoud technisch gezien nog steeds decoderen indien nodig voor verwerking.
Een belangrijk aandachtspunt voor bedrijven is dat Microsoft in de Verenigde Staten gevestigd is. Amerikaanse overheidsinstanties kunnen op grond van wetten zoals de Patriot Act toegang vragen tot encryptiesleutels. Als de autoriteiten deze sleutels in handen krijgen, kunnen gebruikers de toegang tot hun versleutelde e-mails verliezen.
De Amerikaanse CLOUD Act verplicht Microsoft om te voldoen aan geldige Amerikaanse overheidsbevelen met betrekking tot klantgegevens, zelfs als de gegevens buiten de VS worden opgeslagen of als klanten BYOK gebruiken. Dit betekent dat Microsoft mogelijk onversleutelde content moet leveren, aangezien het bedrijf nog steeds toegang heeft tot diensten, zelfs wanneer klanten hun eigen sleutels gebruiken. Critici merken op dat BYOK weliswaar bescherming biedt tegen diefstal door tenants, maar geen juridische dagvaardingen voorkomt. Voor betere bescherming zouden klanten Hold Your Own Key (HYOK) moeten gebruiken of kiezen voor niet-Amerikaanse providers, hoewel HYOK mogelijk bepaalde functionaliteiten beperkt.
Hoewel sommige organisaties dit als een voordeel zien, kan het een probleem zijn voor diegenen die volledige controle over hun encryptiesleutels willen. Gezien de huidige geopolitieke spanningen kan dit risico de bedrijfsvoering ernstig beïnvloeden.
S/MIME is een open standaard gebaseerd op Public Key Infrastructure (PKI). In tegenstelling tot de tenant-gebaseerde aanpak van MS Purview, gebruikt S/MIME unieke publieke en private sleutelparen voor elke gebruiker.
Deze norm biedt twee cruciale beveiligingseigenschappen:
De keuze tussen MS Purview en S/MIME hangt af van de prioriteit: gecentraliseerde controle of cryptografische beveiliging.
Om MS Purview te gebruiken, heeft u een geschikt Microsoft 365-abonnement nodig, zoals:
Deze abonnementen omvatten Azure Rights Management, dat de tenant kan inschakelen. Er is geen extra software nodig voor gebruikersapparaten. Interne gebruikers hebben rechtstreeks toegang tot versleutelde e-mail in Outlook, terwijl externe ontvangers een beveiligd webportaal gebruiken.
Voor abonnementen van een lager niveau, zoals Exchange Online Plan 1/2, Microsoft 365 Business Basic/Standard of Office 365 F1/E1/F3, moet u een add-on aanschaffen, zoals Azure Information Protection Plan 1 of de Microsoft Purview Message Encryption-add-on, om deze functie in te schakelen.
Organisaties zonder MS Purview of de Azure Information Protection Plan 1-add-on kunnen met deze functie geen versleutelde e-mails verzenden. Gebruikers zien de optie ‘Versleutelen’ niet in Outlook of OWA en regels voor e-mailverkeer passen de versleuteling niet toe.
Interne gebruikers kunnen nog steeds MS Purview-versleutelde e-mails van externe afzenders in Outlook ontvangen en bekijken . Ontsleuteling is afhankelijk van het RMS-systeem van de afzender en de authenticatie van de ontvanger.
Om S/MIME te gebruiken, is het volgende vereist:
Het certificaat van elke gebruiker moet in hun e-mailclient, zoals Outlook, of via een plug-in worden geïnstalleerd. Gebruikers kunnen kiezen wanneer ze berichten willen versleutelen of ondertekenen, of versleuteling als standaard instellen. Ontvangers moeten een e-mailclient gebruiken die S/MIME ondersteunt en over een eigen certificaat beschikken om berichten te kunnen decoderen. Er wordt geen webportaal gebruikt.
Omdat automatisering nu essentieel is voor het beheren van de steeds korter wordende geldigheidsperioden van SSL/TLS-systemen, is het ook cruciaal om de volledige beveiligingsvoordelen van S/MIME te benutten zonder extra administratieve lasten.
KeyTalk CKMS (Certificate Key Management System) transformeert S/MIME van een arbeidsintensieve taak naar een schaalbare, geautomatiseerde oplossing. KeyTalk elimineert traditionele S/MIME-uitdagingen door de volledige certificaatlevenscyclus te automatiseren, inclusief uitgifte, verlenging en intrekking.
KeyTalk CKMS pakt de technologische en operationele uitdagingen aan die vaak gepaard gaan met de implementatie van S/MIME, waardoor het eenvoudig is om een complete S/MIME-architectuur in elke organisatie te implementeren en te automatiseren.
Voor organisaties die een hoge mate van zekerheid over identiteitsverificatie en echte end-to-end-encryptie vereisen, blijft S/MIME de gouden standaard. Door geautomatiseerde beheersoplossingen te implementeren, kunnen IT-teams deze strenge beveiligingsnormen naleven en tegelijkertijd de operationele valkuilen van handmatig certificaatbeheer vermijden.
In dit blogbericht bespraken we Microsoft Purview Message Encryption genoemd, en Secure/Multipurpose Internet Mail Extensions (S/MIME) voor e-mailversleuteling. Beide beschermen de inhoud van e-mails, maar ze gebruiken verschillende technologieën, versleutelingsmethoden, authenticatie- en vertrouwensmodellen. Ze verschillen ook in de gebruikerservaring, het installatiegemak en de mate waarin ze binnen organisaties functioneren.
MS Purview is gebaseerd op Azure Rights Management (Azure RMS), waardoor het eenvoudig in te stellen en te gebruiken is met Microsoft 365. Het biedt echter geen volledige end-to-end-versleuteling, omdat Microsoft nog steeds toegang heeft tot de berichten. Gezien de geopolitieke ontwikkelingen moet dit zorgvuldig worden heroverwogen, aangezien overheidsinstanties toegang kunnen krijgen tot gevoelige e-mailinformatie en daardoor de bedrijfsvoering kunnen beïnvloeden.
S/MIME maakt gebruik van een publieke sleutelinfrastructuur (PKI) voor sterkere encryptie en digitale handtekeningen, maar is lastiger te beheren en zowel de verzender als de ontvanger moeten certificaten gebruiken.
KeyTalk’s Certificate Key Management System (CKMS) maakt S/MIME gebruiksvriendelijker door certificaatbeheer te automatiseren, de installatie en configuratie te vereenvoudigen, externe ontvangers te ondersteunen en de beveiliging en naleving van regelgeving te verbeteren.
——-
Heeft u vragen over dit artikel of over hoe KeyTalk CKMS u helpt bij het vereenvoudigen van het beheer en de automatisering van digitale certificaten? Ons supportteam staat 24/7 voor u klaar om u te helpen en te begeleiden bij de implementatie van een volledig geautomatiseerde PKI-architectuur. U kunt contact met ons opnemen via e-mail of onze contactpagina .
Het KeyTalk-team
