Garantir a segurança das comunicações por e-mail é essencial para a confiança digital, mas a seleção do método de encriptação adequado pode ser um desafio. Este artigo examina dois padrões de encriptação de e-mail: Microsoft Purview Message Encryption e Secure/Multipurpose Internet Mail Extensions (S/MIME).
Ambas as normas protegem o conteúdo dos e-mails, mas diferem na arquitetura de encriptação, gestão de chaves e experiência do utilizador. Compreender estas diferenças ajuda as equipas de TI a determinar a melhor abordagem para proteger vários níveis de dados confidenciais.
O Microsoft Purview Message Encryption é um serviço baseado na nuvem, construído com base no Azure Rights Management (Azure RMS). Integra a criptografia com políticas de identidade e autorização.
O MS Purview enfatiza o controlo de acesso. Quando um e-mail cumpre critérios específicos, como um utilizador selecionar “Criptografar” ou uma regra de fluxo de e-mail ser ativada, o serviço protege a mensagem utilizando chaves do Azure específicas do tenant. Os remetentes também podem aplicar políticas de direitos, incluindo “Não reencaminhar” ou “Apenas encriptação”.
O MS Purview é útil por ser fácil de utilizar. Os utilizadores internos podem trabalhar com ele sem problemas, e os destinatários externos recebem mensagens através de um portal web seguro ou verificando a sua identidade com serviços como a Google ou a Microsoft. Como as chaves de encriptação são geridas pelo tenant ou pela Microsoft, o MS Purview não oferece encriptação de ponta a ponta verdadeira. O fornecedor de serviços pode ainda, tecnicamente, desencriptar o conteúdo, se necessário para o processamento.
Uma das principais preocupações das empresas é que a Microsoft está sediada nos Estados Unidos. As agências governamentais americanas podem solicitar o acesso às chaves de encriptação com base em leis como o Patriot Act. Se as autoridades obtiverem estas chaves, os utilizadores poderão perder o acesso aos seus e-mails encriptados.
A Lei CLOUD dos EUA exige que a Microsoft cumpra ordens válidas do governo americano para dados de clientes, mesmo que os dados estejam armazenados fora dos EUA ou que os clientes utilizem o modelo BYOK (Bring Your Own Key). Isto significa que a Microsoft poderá ter de fornecer conteúdo desencriptado, se possível, uma vez que ainda tem acesso aos serviços mesmo quando os clientes utilizam as suas próprias chaves. Os críticos observam que o BYOK protege contra o roubo de dados por parte do cliente, mas não impede as citações judiciais. Para uma melhor proteção, os clientes devem utilizar o modelo HYOK (Hold Your Own Key) ou escolher fornecedores fora dos EUA, embora o HYOK possa limitar algumas características.
Embora algumas organizações possam ver isto como uma vantagem, pode ser um problema para aquelas que desejam um controlo total sobre as suas chaves de encriptação. Face às actuais questões geopolíticas, este risco pode afectar gravemente as operações comerciais.
O S/MIME é uma norma aberta baseada em Infraestrutura de Chaves Públicas (PKI). Ao contrário da abordagem baseada em locatários do MS Purview, o S/MIME utiliza pares de chaves pública e privada exclusivos para cada utilizador.
Esta norma proporciona duas propriedades de segurança essenciais:
A escolha entre MS Purview e S/MIME depende de a prioridade ser o controlo centralizado ou a garantia criptográfica.
Para utilizar o MS Purview, precisa de um plano Microsoft 365 elegível, como:
Estes planos incluem o Azure Rights Management, que o locatário pode ativar. Não é necessário software adicional para os dispositivos dos utilizadores. Os utilizadores internos acedem a e-mails encriptados diretamente no Outlook, enquanto os destinatários externos utilizam um portal web seguro.
Para subscrições de nível inferior, como o Exchange Online Plano 1/2, o Microsoft 365 Business Basic/Standard ou o Office 365 F1/E1/F3, é necessário adquirir um suplemento, como o Azure Information Protection Plano 1 ou o suplemento Microsoft Purview Message Encryption, para ativar esta funcionalidade.
As organizações sem o MS Purview ou o add-on Azure Information Protection Plano 1 não podem enviar e-mails encriptados com esta funcionalidade. Os utilizadores não verão a opção “Criptografar” no Outlook ou no OWA, e as regras de fluxo de emails não aplicarão a encriptação.
Os utilizadores internos podem ainda receber e visualizar e-mails encriptados com MS Purview de remetentes externos no Outlook. A desencriptação depende do RMS do tenant do remetente e da autenticação do destinatário.
Para utilizar o S/MIME, é necessário o seguinte:
O certificado de cada utilizador deve ser instalado no seu cliente de e-mail, como o Outlook, ou através de um plugin. Os utilizadores podem escolher quando encriptar ou assinar as mensagens, ou definir a encriptação como predefinição. Os destinatários devem utilizar um cliente de correio eletrónico compatível com S/MIME e possuir o seu próprio certificado para desencriptar as mensagens. Nenhum portal web é utilizado.
Uma vez que a automatização é essencial para gerir a redução contínua dos períodos de validade do SSL/TLS, é também fundamental para tirar o máximo partido dos benefícios de segurança do S/MIME sem sobrecarga administrativa adicional.
O KeyTalk CKMS (Certificate and Key Management System) transforma o S/MIME de uma tarefa complexa e trabalhosa numa solução escalável e automatizada. O KeyTalk elimina os desafios tradicionais do S/MIME ao automatizar todo o ciclo de vida do certificado, incluindo a emissão, renovação e revogação.
O KeyTalk CKMS aborda os desafios tecnológicos e operacionais frequentemente associados à adoção do S/MIME, facilitando a implementação e a automatização de uma arquitetura S/MIME abrangente em qualquer organização.
Para as organizações que exigem identidade de alta segurança e encriptação verdadeira de ponta a ponta, o S/MIME continua a ser o padrão de ouro. Ao adotar soluções de gestão automatizadas, as equipas de TI podem implementar estes rigorosos padrões de segurança, evitando as armadilhas operacionais da gestão manual de certificados.
Este post de blog analisou o Microsoft Purview Message Encryption e o Secure/Multipurpose Internet Mail Extensions (S/MIME) para encriptação de e-mail. Ambos protegem o conteúdo do e-mail, mas utilizam tecnologias, métodos de encriptação, autenticação e modelos de confiança diferentes. Também variam na experiência do utilizador, na facilidade de configuração e na eficácia em diferentes organizações.
O MS Purview é baseado no Azure Rights Management (Azure RMS), o que facilita a sua configuração e utilização com o Microsoft 365. No entanto, não oferece encriptação completa de ponta a ponta, dado que a Microsoft ainda pode aceder às mensagens. Perante possíveis desenvolvimentos geopolíticos, esta solução deve ser cuidadosamente reavaliada, uma vez que as agências governamentais podem ter acesso a informações confidenciais de e-mail e, consequentemente, ter impacto nas operações comerciais.
O S/MIME utiliza infraestrutura de chave pública (PKI) para fornecer encriptação e assinaturas digitais mais robustas, mas é mais difícil de gerir e tanto o remetente como o destinatário necessitam de utilizar certificados.
O Sistema de Gestão de Certificados e Chaves (CKMS) da KeyTalk facilita a utilização do S/MIME ao automatizar a gestão de certificados, simplificar a configuração e o processo, suportar destinatários externos e ajudar a melhorar a segurança e a conformidade.
——-
Tem dúvidas sobre este artigo ou sobre a forma como o KeyTalk CKMS facilita a gestão e a automatização de certificados digitais? A nossa equipa de suporte está disponível 24 horas por dia, 7 dias por semana, para o ajudar e orientar na implementação de uma arquitetura PKI totalmente automatizada.e-mailou o nossopágina de contacto.
A equipa KeyTalk
