社内の電子メールにはS/Mime証明書を使用しています。
証明書の署名アルゴリズムは、すべてSHA256のハッシュを持つSHA256RSAです。公開鍵がRSA(2048ビット)であることを確認しました。
ほとんどの場合、メールは期待どおりにAES256暗号化で暗号化されています。ただし、一部のユーザーのOutlookは168ビット3DESでのみ暗号化します。これらの人々が他の人に送信される電子メールにccされている場合、すべての電子メールは3DESとして受信されます(これは、一部のユーザーの上位レベルで暗号化する意味がないためだと思います他人向けではありません)。これは、すべての証明書が同じCAによって発行されているにもかかわらず、ほとんど同時に発生しています。
現在、この問題に気付いたユーザーはすべてMacユーザーです。ただし、一部はAppleメールおよびその他のMac上のOutlookを使用しているため、偶然の一致である可能性があります。
すべての暗号化がAES256であることを確認するには、何を更新する必要がありますか?
あなたの質問は、証明書やハッシュとは何の関係もないようです。どちらも対称暗号(DESまたはAES)など)をまったく含みません。実際の答えは、各マシンでのOutlook(またはMail.app)の構成方法の問題だけで、それ以上はありません。 Outlook for Macで使用される暗号を制御する方法はわかりませんが、WindowsでのOutlook 2013の手順は次のとおりです。うまくいけば、Macでも同等のものを見つけることができます。
File
タブを開きます。Options
を選択します。Trust Center
_を選択します。Trust Center Settings
_ボタンをクリックします。E-mail Security
_を選択します。AES (256-bit)
に設定します。Outlook for Macユーザーには、次のページが役立つ場合があります。 https://support.office.com/en-us/article/Digital-signing-and-encryption-settings-8A6EB21D-0BEB-4E66- A63A-2D362966CF77 。特に、設定ページにアクセスするための手順を示します。
Outlookアカウントの基本設定画面からこれらの設定にアクセスするには、アカウントを選択し、[詳細設定]をクリックして、[セキュリティ]タブをクリックします。
その後、上記の手順と同様になります([暗号化設定]で、[暗号化アルゴリズム]オプションを見つけて、_AES-256
_を選択します)。
解決すべきこと:証明書は、バルク暗号化に使用される対称暗号とは関係ありません。ここでは3つのタイプの暗号プリミティブが使用されていますが、それらのどれも他のものとは何の関係もありません。
1つのプリミティブの選択は、別のプリミティブとは関係ありません。 MD5ハッシュ(暗号化されていない)の512ビットRSA(超脆弱)署名を使用して署名されたが、その人へのメッセージを暗号化するために使用できる4096ビットRSAキーを含む誰かの証明書を持つことができます。証明書の署名を信頼することはできませんが、とにかく証明書のソースを信頼する場合は、その強力なRSAキーを使用できなかった理由はありません。信じられないほど弱いDES(56-bit)暗号を使用するか、256ビットAESを使用して、その人へのメッセージを暗号化できます;どちらの場合も、以下によって保護された対称暗号鍵を送信しますその4096ビットのRSA鍵。
プリミティブの潜在的な組み合わせは多数あります(非対称暗号と対称暗号、ハッシュ関数、必要に応じて鍵交換アルゴリズム、必要に応じて操作モード、必要に応じてパディングアルゴリズム)。 TLSで使用するために、いくつかの人気のあるものが " cipher suites "という名前でグループ化されています。この用語は、S/MIMEでは一般的に使用されません(そして、一時鍵などのTLSの使用可能な機能の一部は、電子メールなどの非同期通信では使用できません)。ただし、プリミティブのセットを組み合わせて、複数のタイプの攻撃に対して強力なセキュリティを提供するという考えは、依然として重要です。