17.9 Invio di messaggi S/MIME sicuri

GroupWise funziona in congiunzione con il software di sicurezza installato per inviare elementi sicuri.

17.9.1 Requisiti

Le funzioni di sicurezza descritte in questa sezione sono disponibili presso qualsiasi provider di servizi di cifratura che utilizzi Microsoft Cryptographic API e supporti completamente RSA e/o AES.

Maggiore sicurezza

È possibile rendere gli elementi inviati più sicuri apponendo una firma digitale o cifrandoli. Quando si appone una firma digitale a un elemento, il destinatario è in grado di verificare se l'elemento è stato modificato durante la trasmissione e l'identità del mittente. La cifratura di un elemento, invece, garantisce che il destinatario desiderato è l'unico in grado di leggerlo.

Quando si appone una firma o si cifrano elementi utilizzando GroupWise, i destinatari possono leggere gli elementi con qualsiasi programma di posta compatibile con S/MIME.

Descrizione dei certificati di sicurezza

Un certificato di sicurezza è un file che identifica una persona o un'organizzazione. Prima di poter inviare elementi sicuri, occorre ottenere un certificato di sicurezza. Utilizzare il proprio browser Web per ottenere un certificato da un'autorità di certificazione indipendente. Per un elenco delle autorità di certificazione, consultare la pagina Specifiche GroupWise.

È inoltre possibile utilizzare LDAP cercare un certificato di sicurezza.

Il certificato di sicurezza è utilizzato per apporre la firma digitale agli elementi inviati. È possibile utilizzare i certificati di sicurezza pubblici degli altri utenti per verificare gli elementi con firma digitale ricevuti da tali utenti.

Per cifrare un elemento e consentire al destinatario di decifrarlo, è necessario aver già ricevuto il certificato di sicurezza pubblico dell'utente. Infatti per la cifratura dell'elemento viene utilizzato un componente del certificato di sicurezza, detto chiave pubblica. Quando il destinatario apre l'elemento cifrato, esso verrà decifrato con un altro componente del certificato di sicurezza, detto chiave privata.

Il certificato di sicurezza pubblico di un utente può essere ottenuto in due modi:

  • L'altro utente può inviare un elemento con firma digitale. All'apertura dell'elemento, viene richiesto di aggiungere certificato di sicurezza e concedergli fiducia.

  • L'utente può esportare il proprio certificato pubblico, salvarlo su un disco o unità esterna e consegnarlo. A questo punto, è possibile importare il certificato pubblico dell'altro utente.

Ricezione di un elemento sicuro

Gli elementi sicuri sono contrassegnati nell'elenco di elementi con le seguenti icone.

Icona

Descrizione

Elemento firmato

Elemento cifrato

Elemento firmato e cifrato

Tramite i provider di servizi di sicurezza

A seconda del software di sicurezza installato, è possibile selezionare diversi provider di servizi di sicurezza per gli elementi inviati. Ad esempio, la propria organizzazione potrebbe richiedere di utilizzare un provider di servizi di sicurezza specifico per gli elementi di lavoro perché il metodo di cifratura utilizzato è preferito, ma l'utente potrebbe preferire un diverso provider per l'invio di elementi personali. La opzioni di sicurezza disponibili dipendono dal provider di servizi di sicurezza selezionato.

Per ulteriori informazioni, vedere Selezione di un provider di servizi di sicurezza.

Informazioni avanzate

GroupWise è compatibile con le specifiche S/MIME versioni 2 e 3. I provider di servizi di sicurezza supportati da GroupWise presentano algoritmi di cifratura comuni, come RC2, RC4 e in Windows 7 o versione successiva, AES. Quando si appone una firma digitale a un elemento, GroupWise crea un hash per l'elemento in un sommario dei messaggi con l'algoritmo SHA-1 standard. Il sommario dei messaggi viene distribuito con l'elemento inviato.

Per ulteriori informazioni, vedere Selezione di un provider di servizi di sicurezza.

17.9.2 Inserimento di una firma digitale o cifratura di un messaggio

Per cifrare un documento e consentire al destinatario di decifrarlo, è necessario aver ricevuto il certificato di sicurezza pubblico del destinatario.

  1. Assicurarsi di disporre di un certificato di sicurezza e di aver selezionato il provider di servizi di sicurezza che si desidera utilizzare.

  2. Aprire una vista Elemento.

  3. Fare clic sul campo A, digitare un nome utente, quindi premere Invio. Ripetere l'operazione per gli altri utenti.

  4. Fare clic su per inserire una firma digitale nell'elemento.

  5. Fare clic su per cifrare l'elemento.

  6. Digitare un oggetto e un messaggio.

  7. Sulla barra degli strumenti fare clic su Invia.

    Se al momento di inviare l'elemento viene visualizzato un messaggio in cui viene indicato che è impossibile trovare il certificato del destinatario, è possibile che si sia verificata una delle seguenti condizioni: 1) si sta tentando di cifrare un elemento per un destinatario di cui non si possiede il certificato pubblico; 2) l'indirizzo di e-mail nel certificato pubblico non corrisponde all'indirizzo e-mail del destinatario; oppure 3) il certificato pubblico del destinatario non contiene un indirizzo di e-mail e non è quindi possibile verificare l'indirizzo di e-mail del destinatario.

    Se è vera la situazione 1), è necessario ottenere il certificato di sicurezza pubblico del destinatario. Se è vera la situazione 2) o 3), fare clic su Trova certificato per individuare il certificato del destinatario.

17.9.3 Inserimento di una firma digitale o cifratura di tutti i messaggi

Per inserire una firma digitale o cifrare tutti i messaggi:

  1. Fare clic su Strumenti > Opzioni.

  2. Fare doppio clic su Sicurezza, quindi selezionare la scheda Opzioni di invio.

  3. Selezionare Firma digitale o Cifratura per destinatari.

  4. Fare clic su Opzioni avanzate, quindi effettuare le selezioni.

  5. Fare clic due volte su OK, quindi su Chiudi.

17.9.4 Richiesta di un certificato di sicurezza da un'autorità di certificazione

Per la maggior parte delle società i certificati di sicurezza vengono emessi dall'amministratore di GroupWise locale. In caso di dubbi su dove ottenere un certificato di sicurezza, contattare l'amministratore di GroupWise.

  1. Fare clic su Strumenti > Opzioni.

  2. Fare doppio clic su Certificati.

  3. Fare clic su Ottieni certificato.

    Il browser Web si avvia e viene visualizzata la pagina Web di GroupWise contenente un elenco delle autorità di certificazione. Questo è un elenco parziale. GroupWise infatti supporta una vasta gamma di autorità di certificazione.

  4. Selezionare l'autorità di certificazione che si desidera utilizzare, quindi seguire le istruzioni riportate nel sito Web.

    Se per ottenere il certificato si è utilizzato Internet Explorer, tale certificato sarà disponibile in GroupWise. Se per ottenere il certificato si è utilizzato Firefox o Chrome, è necessario esportare o eseguire il backup del certificato dal browser (vedere la documentazione relativa al browser per le istruzioni su come compiere tali operazioni). Per ulteriori informazioni, consultare il Importazione o esportazione di certificati di sicurezza.

  5. In GroupWise fare clic su Strumenti > Opzioni, fare doppio clic su Sicurezza, quindi selezionare la scheda Opzioni di invio.

  6. Selezionare Microsoft Base Cryptographic Provider o Microsoft Enhanced Cryptographic Provider nell'elenco a Discesa nome sotto a Selezionare un provider di servizi di sicurezza.

    Selezionare il provider di servizi di sicurezza appropriato in base al livello di cifratura del certificato utilizzato. Il livello di cifratura di un certificato dipende dal livello di cifratura del browser utilizzato per ottenerlo. Ad esempio, se si utilizza Internet Explorer con la cifratura a 128 bit installata, poiché il livello di cifratura è elevato, è possibile usare solo il provider dei servizi di sicurezza Microsoft Enhanced Cryptographic Provider.

  7. Fare clic su OK.

  8. Fare doppio clic su Certificati, selezionare il certificato da usare, quindi fare clic su Imposta come default.

  9. Fare clic su OK, quindi su Chiudi.

17.9.5 Selezione di un provider di servizi di sicurezza

  1. Nella finestra principale, fare clic su Strumenti > Opzioni.

  2. Fare doppio clic su Sicurezza, quindi selezionare la scheda Opzioni di invio.

  3. Selezionare un provider di servizi di sicurezza dall'elenco a discesa Nome.

  4. Fare clic su OK, quindi su Chiudi.

Il provider di servizi di sicurezza selezionato inizia a essere operativo appena si effettua il login al provider (se richiesto). Le opzioni e i metodi di cifratura disponibili dipendono dal provider di servizi di sicurezza selezionato.

Non è possibile selezionare il provider di servizi di sicurezza in un singolo elemento. Queste opzioni devono essere selezionate dalla finestra principale.

17.9.6 Selezione di un certificato di sicurezza per la firma digitale degli elementi

Per selezionare un certificato di sicurezza per apporre la firma digitale:

  1. Fare clic su Strumenti > Opzioni.

  2. Fare doppio clic su Certificati.

  3. Fare clic sul nome del certificato.

  4. Fare clic su Imposta come default.

  5. Fare clic su OK, quindi su Chiudi.

17.9.7 Uso di LDAP per la ricerca di certificati di cifratura dei destinatari

Per poter usare il servizio di directory LDAP per ricercare i certificati di sicurezza, è necessario aggiungerlo alla rubrica di GroupWise. Per ulteriori informazioni, consultare Aggiunta di un servizio di directory a una rubrica.

  1. Fare clic su Strumenti > Opzioni, quindi fare doppio clic su Sicurezza.

  2. Selezionare la scheda Opzioni di invio.

  3. Fare clic su Opzioni avanzate.

  4. Selezionare Cerca i certificati di cifratura del destinatario nella directory LDAP di default definita nella rubrica di indirizzi LDAP.

  5. Fare clic due volte su OK, quindi su Chiudi.

17.9.8 Selezione del metodo usato per la cifratura degli elementi

  1. Fare clic su Strumenti > Opzioni.

  2. Fare doppio clic su Sicurezza, quindi selezionare la scheda Opzioni di invio.

  3. Fare clic su Opzioni avanzate.

    Utilizzare l'algoritmo di cifratura preferito dal destinatario, se disponibile: GroupWise tenterà di utilizzare l'algoritmo di cifratura preferito del destinatario, se questo è disponibile.

    Cerca i certificati di cifratura del destinatario nella directory LDAP di default definita nella rubrica di indirizzi LDAP: in GroupWise viene utilizzata la rubrica LDAP di default per tentare di trovare i certificati di cifratura per il destinatario.

    Algoritmo di cifratura di default: gli elenchi a discesa degli algoritmi di cifratura nella casella Elemento cifrato sono a scorrimento e includono tutti gli algoritmi di cifratura supportati dalla versione del browser Web installato sulla workstation su cui è in esecuzione il client di GroupWise. Il seguente è un elenco di esempio:

    • 3DES (168 bit)

    • DES (56 bit)

    • RC2 (128 bit)

    • RC2 (40 bit)

    • RC2 (56 bit)

    • RC2 (64 bit)

    • RC4 (128 bit)

    • AES (128 bit)

    • AES (256 bit)

    Diffondi algoritmo di cifratura preferito nell'elemento firmato come: quando si invia un elemento cifrato, è possibile specificare l'algoritmo di cifratura preferito da utilizzare.

    Invia il testo del messaggio in formato testo non cifrato (firma non cifrata): invia il messaggio in formato testo non cifrato. In caso contrario, il messaggio viene inviato come messaggio codificato PKCS7.

    Includi certificati dell'autorità di certificazione: il certificato dell'autorità di certificazione viene incluso nel messaggio inviato.

    Controlla elemento di sicurezza in entrata/in uscita per certificati revocati: controlla gli elementi di sicurezza in entrata e in uscita confrontandoli con l'Elenco revoche certificati.

    Avvisa se il server di revoca non è online: viene visualizzato un avviso quando GroupWise rileva che il server di revoca è offline.

    Avvisa se i certificati non contengono informazioni di revoca dei certificati: viene visualizzato un avviso se il certificato non include le informazioni sulla relativa revoca.

    Non controllare conformità per la certificazione S/MIME: non viene verificata la compatibilità del certificato con S/MIME.

    Controlla conformità certificato con S/MIME versione 2: viene controllato se il certificato è compatibile con S/MIME versione 2 standard.

    Controlla conformità certificato con S/MIME versione 3: viene controllato se il certificato è compatibile con S/MIME versione 3 standard.

  4. Selezionare le opzioni desiderate nella casella di gruppo Elemento cifrato.

  5. Fare clic due volte su OK, quindi su Chiudi.

I metodi di cifratura disponibili dipendono dal provider di servizi di sicurezza selezionato.

17.9.9 Controllo della verifica di una firma digitale di un elemento

Per vedere se una firma digitale è stata verificata:

  1. Aprire un elemento con firma digitale ricevuto.

  2. Fare clic su File > Proprietà sicurezza.

  3. Fare clic sulle schede per visualizzare le informazioni relative al certificato di sicurezza utilizzato.

La firma digitale viene verificata all'apertura dell'elemento. Se vengono rilevate informazioni sospette sui certificati usati per la firma dell'elemento, viene visualizzato immediatamente un messaggio di errore o un avviso e sulla barra di stato relativa all'elemento viene indicato "Non attendibile".

Se la firma digitale non è stata verificata, il certificato di sicurezza potrebbe essere non valido o il testo potrebbe essere stato modificato dopo l'invio dell'elemento.

17.9.10 Visualizzazione dei certificati di sicurezza ricevuti e modifica della fiducia

Per visualizzare i certificati di sicurezza ricevuti o per modificare un'impostazione di fiducia:

  1. Fare clic su Contatti nell'Elenco cartelle completo.

    Per visualizzare l'Elenco cartelle completo, fare clic sull'elenco a discesa nell'intestazione Elenco cartelle (sopra all'Elenco cartelle dove probabilmente è visualizzato Online o Memorizzazione nella cache, a indicare la modalità di esecuzione di GroupWise). Quindi fare clic su Elenco cartelle completo.

    oppure

    Aprire la rubrica.

  2. Fare doppio clic su un contatto, quindi selezionare la scheda Avanzate.

  3. Fare clic su Gestisci certificati.

  4. Fare clic su un certificato, quindi su Visualizza dettagli.

Per concedere la fiducia a un certificato di sicurezza inizialmente considerato non affidabile, aprire l'elemento con firma digitale inviato dal destinatario, fare clic sul certificato di sicurezza, selezionare Modifica fiducia, scegliere un'opzione di fiducia, quindi fare clic su OK.

Per revocare la fiducia a un certificato di sicurezza di un destinatario, selezionare il certificato di sicurezza, scegliere Rimuovi, quindi fare clic su .

Quando si rimuove un certificato di sicurezza di un destinatario dall'elenco, questo viene rimosso anche dal database dei certificati. Se in futuro si riceve un elemento che utilizza tale certificato, verrà considerato sconosciuto.

17.9.11 Visualizzazione dei propri certificati di sicurezza

Per visualizzare i propri certificati di sicurezza:

  1. Fare clic su Strumenti > Opzioni.

  2. Fare doppio clic su Certificati.

  3. Fare clic su un certificato, quindi su Visualizza dettagli.

Se si possiedono più certificati di sicurezza, quello di default è indicato da un segno di spunta. Per modificare l'impostazione di default, fare clic sul certificato, quindi selezionare Imposta come default.

È possibile modificare il nome del certificato di sicurezza facendo clic su Modifica proprietà e modificando il testo contenuto nel campo Nome certificato. Il nome del certificato viene visualizzato nell'elenco ma non viene memorizzato nel certificato.

17.9.12 Importazione o esportazione di certificati di sicurezza

Quando si esporta il proprio certificato di sicurezza con la chiave privata in un file, viene richiesta una password per proteggere il file esportato. È possibile utilizzare il file esportato come copia di backup o importarlo su un'altra workstation. Se un altro utente entra in possesso del file e della relativa password, potrà apporre la firma digitale agli elementi con il nome del proprietario del certificato oltre a leggere gli elementi cifrati.

Quando si esporta il proprio certificato pubblico, è possibile inviarlo a un altro utente. L'altro utente può quindi importare il certificato pubblico e inviare gli elementi cifrati.

  1. Fare clic su Strumenti > Opzioni.

  2. Fare doppio clic su Certificati.

  3. Fare clic su Importa o Esporta.

    oppure

    Fare clic su Certificati delle autorità di certificazione, quindi selezionare Importa o Esporta.

  4. Digitare un nome di file, includendo il percorso.

    È possibile anche fare clic su Sfoglia per cercare il file del certificato, fare clic sul nome del file, quindi selezionare Salva o Apri.

  5. Se richiesta, digitare la password del certificato.

  6. Fare clic su OK.