注:以下是工作内容相关思考,只是为了记录和讨论,仅代表个人看法和理解,不是权威解释
公司采用Outlook 365办公,每个员工都有个人证书,在发送前,可经选项-》加密,选择“加密/仅公司内/仅读不转发”等等,除了加密,其他基本是IRM相关的内容。我之前认为,既然有了个人证书,而Outlook官方又说它在用S/MIME,那么一定是支持端到端加密的,或者说,只有接收方可以获得加密密钥,这是数字信封的定义,而标准的S/MIME就是这样做的,S/MIME加密模式,采用接收方的公钥加密数据密钥。
然而,Outlook没有依此实现,我尝试发送一个加密邮件给外网,这个过程Outlook不可能获得接收者的公钥,如果是数字信封,此时会不成功;而外网的邮箱接收到了该加密邮件,虽然不能直接读到内容,但是里面提供了一个Outlook 365提供的网址,通过这个网址就可以看到邮件内容,说明这个数据密钥,微软自己掌握。这与数字信封的目的完全不同。
其官网上讲它采用S/MIME后,提供了防抵赖能力,对的,它是用发送方的私钥做的签名和数据密钥的保护,但这不是S/MIME的加密模式,因此“采用S/MIME的Outlook的加密,不是S/MIME的加密”,大家不要被混淆了。
随便提一句,微软这个实现方式,微软本身可以接触到数据密钥,是十分不当的选择。