S/MIME

Inhoudsopgave

Status

Lijst status ‘Verplicht ('Pas toe of leg uit’)' betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten. ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt. ‘In behandeling’ betekent dat de standaard wordt getoetst voor opname op een van de lijsten. ‘Archief’ betekent dat de standaard in het verleden op de lijst heeft gestaan of in behandeling is geweest en nu niet (meer) verplicht of aanbevolen wordt.	Aanbevolen
Functioneel toepassingsgebied Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).	S/MIME kan worden toegepast op het digitaal ondertekenen van e-mail berichten wanneer aanvullende beveiliging nodig is.
Europese status ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.	Nee

Nut en werking

Typering	E-mail beveiliging
Nut	Waar een hoog niveau van e-mail beveiliging nodig is kan S/MIME toegevoegde waarde bieden ten opzichte van de standaarden SPF, DKIM en DMARC op de pas-toe-of-leg-uit lijst van het Forum Standaardisatie. S/MIME waarborgt naast de betrouwbaarheid van de afzender namelijk ook de integriteit (door digitale tekening) van de inhoud van de e-mail tussen de verzendende en ontvangende e-mail applicatie ('end-to-end').
Werking	S/MIME is een standaard voor de ondertekening en versleuteling van e-mail tussen gebruikersapplicaties ('end-to-end'). De verzender ondertekent en/of versleutelt zijn mail met behulp van een certificaat dat de ontvanger op echtheid kan controleren, net als bij https en TLS. In mei 2018 werd een veiligheidsprobleem gepubliceerd dat S/MIME raakt (zie https://efail.de). Als gevolg hiervan adviseert het Nationaal Cyber Security Centrum (https://www.ncsc.nl) om S/MIME alleen nog te gebruiken voor digitale ondertekening, en niet meer voor versleuteling van e-mail.
Domein	Veilig internet
Relatie met andere standaarden	SPF
Relatie met andere standaarden	DKIM
Relatie met andere standaarden	STARTTLS en DANE
Trefwoorden	Informatiebeveiliging E-mail

Detailinformatie

Volledige naam	Secure Multipurpose Internet Mail Extensions
Versie	3.2
Specificatiedocument	RFC 5751 (IETF)
Beheerorganisatie	IETF

Toepassing

Community Organisaties waarbij men terecht kan voor adoptieondersteuning, best practices, use cases en/of nadere informatie over de standaard.	De standaard is in beheer bij de internationale organisatie IETF. Er is ondersteuning in het gebruik van de standaard vanuit IETF, waar een community bestaat. Grote softwareleveranciers zoals Microsoft, Apple, Mozilla en Google ondersteunen S/MIME.

Toetsingsinformatie

Toelichting bij opname	S/MIME biedt een hoger beveiligingsniveau voor e-mail dan de standaarden SPF, DKIM en DMARC op de pas-toe-of-leg-uit lijst, maar is ook aanzienlijk kostbaarder om toe te passen. S/MIME vereist dat iedere afzonderlijke gebruiker wordt voorzien van een certificaat - certificaten uitgegeven door een betrouwbare autoriteit vertegenwoordigen een significante kost. Vooral organisaties die de hoogste categorie van beveiliging bij mailverkeer nastreven zullen baat hebben bij de complexe implementatie van de standaard. De oudere standaard PGP biedt vergelijkbare functionaliteit als S/MIME. Hoewel PGP minder toekomstperspectief lijkt te hebben dan S/MIME, wordt deze standaard ook nog actief gebruikt. S/MIME en PGP kunnen naast elkaar gebruikt worden.
Adoptieadviezen De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing van de standaard op de 'Pas toe of leg uit'-lijst of lijst aanbevolen standaarden.	Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan: Oproep aan gebruikende organisaties voor het opstellen van een handreiking voor de implementatie/het gebruik van S/MIME bij de meest voorkomende e-mailapplicaties. Bijvoorbeeld opname op internet.nl. Oproep aan gebruikende organisaties om een businesscase op te stellen. Dit helpt organisaties die nadenken over mogelijk gebruik van de standaard. Oproep aan softwareleveranciers om bij webmail-omgevingen meer ondersteuning van S/MIME te bieden.
Uitstekend beheer ‘Ja’ betekent dat een nieuwe versie van de standaard na aanmelding op de lijst wordt overgenomen zonder aanvullende toetsing door het Forum Standaardisatie. ‘Nee’ betekent dat een nieuwe versie van de standaard na aanmelding eerst door het Forum Standaardisatie wordt getoetst voordat de huidige versie op de lijst door de nieuwe versie kan worden vervangen.	Nog niet getoetst
Expertadvies	20180222 Expertadvies S-MIME_0.pdf PDF Document \| 467.31 KB
Consultatie	20180401 Reacties uit openbare consultatie SMIME 3.2.pdf PDF Document \| 134.45 KB
Consultatie	Commentaar-uit-de-openbare-consultatie-SMIME.pdf PDF Document \| 186.83 KB
Intakeadvies	FS171113.4F-intakeadvies-S_MIME.pdf PDF Document \| 281.29 KB
Forumadvies	FS180425.3G-Forum-advies-S-MIME-3.2.pdf PDF Document \| 166.05 KB
Toelichting	FS181010.3-Oplegnotitie-Lijsten-Open-Standaarden_0.pdf PDF Document \| 292.28 KB
Datum van aanmelding Datum waarop een organisatie de standaard heeft aangemeld voor verplichten aan de overheid ('Pas toe of leg uit') of aanbevelen aan de overheid door plaatsing op een van de lijsten. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer zeven maanden.	24-10-2017
Datum van besluit Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen.	29-11-2018

Standaard Samenwerken