Geum.ru

Шифрование почты

Вид материалаДокументы

Содержание


Данные, сохраняемые на компьютерах вторых и третьих лиц
Хранение у вашего сервис-провайдера
Хранение у ваших корреспондентов
Оконечное (сквозное) шифрование почты
Команда приведена для ОС Ubuntu Linux
Подобный материал:
1   2   3   4   5   6

Данные, сохраняемые на компьютерах вторых и третьих лиц


Есть две основные причины, почему ваши письма будут сохраняться на компьютерах, контролируемых третьими лицами.

Хранение у вашего сервис-провайдера


Если вы не поддерживаете свой собственный почтовый сервер, то должна быть третья сторона, которая получает (и может сохранять) копии всех ваших мэйлов. Такой стороной обычно выступает интернет-провайдер, работодатель или провайдер почтовой службы. Копии сообщений будут также разбросаны по компьютерам, контролируемым провайдерами, работодателями и почтовыми системами ваших корреспондентов.

Убедитесь, что ваш мэйл-клиент настроен таким образом, чтобы удалять сообщения с почтового сервера провайдера, когда вы их скачиваете. Это наиболее распространённый порядок работы, если вы используете POP для скачивания почты, но обычно люди, использующие IMAP или вебмэйл, оставляют копии сообщений на сервере.

Если вы используете IMAP, старайтесь удалять сообщения немедленно после их прочтения. Помните, что в случае крупнейших вебмэйл-служб может потребоваться значительное время, возможно даже месяцы, прежде чем письмо действительно будет удалено, независимо от того, имеете вы всё ещё к нему доступ или нет. В случае с небольшими IMAP- или вебмэйл-серверами остаётся возможность, что с помощью криминалистических методов электронные письма могут быть затребованы по судебной повестке годы спустя после того, как пользователь их удалил.

Содержимое зашифрованных PGP/GnuPG мэйлов не будет доступно через этих третьих лиц, хотя заголовки писем (такие как Кому: и Тема:) — будут.

Запуск своего собственного почтового сервера на шифрованном диске или использование оконечного шифрования для чувствительных сообщений — лучшие способы снижения этих рисков.

Хранение у ваших корреспондентов


Большинство людей и организаций сохраняют все письма, которые они отсылали или получали. Поэтому практически каждое письмо, которое вы отправили или получили, будет храниться по крайней мере ещё в одном месте, независимо от практик и процедур, которым следуете вы. Помимо персонального компьютера человека, которому вы отправили (или от которого поучили) сообщение, копии могут быть сделаны его провайдером либо почтовым сервером или сервером резервного копирования, размещённым в организации. Вы должны принимать эти копии во внимание, и если модель угрозы, которую вы применяете к чувствительным коммуникациям, включает противника, способного получить доступ к этим копиям, то вы должны либо использовать PGP для шифрования этих сообщений, либо передавать их иным способом, а не электронной почтой. Учтите, что даже если вы используете PGP, то ваши письма, хранящиеся у ваших корреспондентов, могут быть расшифрованы по требованию правоохранительных органов либо по обращённой к ним судебной повестке.

Оконечное (сквозное) шифрование почты

Шифрование почты — тема, которая может занять целую книгу, и так и случилось: смотрите книгу Брюса Шнайера "Безопасность электронной почты: как сохранить приватность ваших электронных сообщений". Хотя эта книга отчасти устарела (она ссылается на старые версии программного обеспечения), изложенные в ней концепции по-прежнему сохраняют актуальность.


ссылка скрыта


Шифрование сообщения электронной почты в Microsoft Office Outlook 2007 защищает его конфиденциальность, преобразуя читаемый открытый текст в зашифрованный (скремблированный). Расшифровать сообщение может только получатель, который обладает закрытым ключом (Закрытый ключ. Секретный ключ, сохраняющийся на компьютере отправителя, который используется отправителем для цифровой подписи сообщений, отправленных получателям, и для расшифровки сообщений от этих получателей. Закрытые ключи должны защищаться паролем.), соответствующим открытому ключу (Открытый ключ. Ключ, который отправитель предоставляет получателю, чтобы получатель мог проверить подпись отправителя и убедиться, что сообщение не было изменено. Получатели также используют открытый ключ для шифрования почтовых сообщений, предназначенных отправителю.), использованному для его шифрования.

 Примечание.   Это отдельная процедура, никак не связанная с ссылка скрыта сообщения.

В этой статье:


  • Шифрование отдельного сообщения
  • Шифрование всех сообщений



Шифрование отдельного сообщения
  1. В окне сообщения на вкладке Сообщение в группе Параметры нажмите кнопку Шифрование текста сообщения и вложений .
  2. Составьте сообщение и отправьте его

К началу страницы

Шифрование всех сообщений
  1. В меню Сервис выберите команду Центр управления безопасностью, а затем перейдите на страницу Защита электронной почты.
  2. В группе Шифрованная электронная почта, установите флажок Шифровать содержимое и вложения исходящих сообщений.
  3. Чтобы изменить дополнительные параметры настройки, такие как выбор особого сертификата, нажмите кнопку Параметры.
  4. Два раза нажмите кнопку ОК.

 Примечания 
  • Чтобы отправить зашифрованное сообщение через Интернет, необходимо обменяться сертификатами (Сертификат. Цифровое средство подтверждения идентичности пользователя. При отправке сообщения с цифровой подписью отправляется сертификат и открытый ключ. Сертификаты выдаются центром сертификации; они могут быть просрочены или отозваны, аналогично водительским правам.) (СER-файлы (Файл .cer. Файл, содержащий сертификат с открытым ключом, но без закрытого ключа. Файлы .cer импортируются в папку «Контакты» с помощью кнопки «Импорт» на вкладке «Сертификаты» и используются для отправки шифрованных сообщений.)) с получателем. Существует несколько способов такого обмена.
    • Отправка сообщения с цифровой подписью. Добавляя имя электронной почты отправителя в папку Контакты, получатель тем самым добавляет сертификат отправителя.
    • Отправка CER-файла получателю в сообщении электронной почты либо на дискете. Это дает возможность получателю импортировать CER-файл в карточку контактов.
    • Создание карточки контакта с CER-файлом и ее отправка.
    • Публикация сертификата в каталоге LDAP (Протокол LDAP. Упрощенный протокол, обеспечивающий доступ к каталогам Интернета.) или в любом каталоге, доступном другим пользователям.
    • Помещение сертификата в общую папку, доступную другим пользователям.
  • Если безопасность в сети настроена с помощью Microsoft Exchange, обмен сертификатами не требуется.
  • Алгоритм шифрования 3DES (3DES. Алгоритм шифрования, базирующийся на стандарте шифрования DES (Data Encryption Standard). В тройном шифровании DES (3DES) шифрование повторяется три раза DES. Как следствие, стандарт 3DES требует больше времени, чем DES, но является более безопасным.) применяется по умолчанию. Степень шифрования сообщения более не регламентирована законодательными актами правительства США. При работе в 40-разрядной операционной системе, в которой отсутствуют возможности 128-разрядного шифрования, программой Microsoft Outlook по умолчанию применяется алгоритм шифрования RC2.


 

ссылка скрыта


Довольно интересный способ шифрования сообщений, основанный на использовании протокола OTR, существует в кроссплатформенном клиенте мгновенных сообщений – Pidgin, который, однако, в большей степени используется пользователями ОС Linux. Хотя мне лично гораздо более импонирует OpenPGP шифрование, данный способ может быть интересен пользователям данной программы обмена мгновенными сообщениями, к тому же производимые настройки не вызовут больших затруднений. С другой стороны данный протокол нельзя сравнивать с технологией OpenPGP по причине ряда существенных, принципиальных отличий (в частности, отсутствия ЭЦП), о деталях протокола можно почитать в данном обсуждении. Насколько совместим протокол, используемый в модуле Pidgin, с модулями поддержки OTR в некоторых других мессенджерах мне неизвестно. Скрин-шот окна модуля приведен на рисунке.


Итак приступим:

Сначала загляните в меню Pidgin "Сервис – Модули" и попробуйте найти модуль "Off-the-Record Messaging". Если этого модуля у вас нет, то нужно сделать следующее:

1. Выйдите из программы Pidgin

2. Установите модуль "Off-the-Record Messaging" с помощью следующей команды:
  1. sudo apt-get install pidgin-otr

Команда приведена для ОС Ubuntu Linux

3. Запустите Pidgin

4. Найдите установленный модуль в меню "Сервис – Модули"

5. Отметьте галочкой данный модуль с целью его активации

6. Нажимте на кнопку "Настроить модуль"

7. Откройте вкладку окна "Config"

8. Выберите нужную (если она не одна) учетную запись напротив поля "Key for Account"

9. Нажмите кнопку "Generate" для генерации ключа шифрования

После этих операций вместо слов "No Key Present", что изображено на скрин-шоте, появится слово "fingerprint" (отпечаток), а далее, против этого слова, длинный буквенно-цифровой код. Это хеш-значение вашего ключа шифрования. Если кнопка "Generate" не активна, проверьте, возможно вместо слов "No Key Present" у вас уже присутствует слово "fingerprint" с отпечатком ключа шифрования. Это значит, что ключ уже создан и скорее всего это произошло при установке модуля (если же ключ был сгенерирован заранее сборщиками пакета, то это очень плохой знак, однако подробного расследования автор данной заметки не проводил. Данный случай описывается по причине того, что мой собеседник пожаловался именно на такую ситуацию). Остальные настройки окна оставьте по умолчанию.

Теперь в окне обмена сообщениями вы получите дополнительное информационное поле "OTR Not Private". Ваша программа готова для начала приватного общения с вашими собеседниками, но необходимо, что бы они произвели те-же самые процедуры.

После проведения данных процедур вашими собеседниками и попытке установления чата вы получите сообщение с отпечатками ключа вашего собеседника (для того, что бы получить отпечатки предварительно отправьте друг-другу одно-два произвольных сообщений, это важно для генерации так называемых MAC-кодов, этой же операцией вы даете программе клиента понять, с кем необходимо обменяться этим кодами).

10. Вновь откройте модуль, только на этот раз не вкладку "Config", а вкладку "Known finderprint". В данном поле вы увидите учетную запись вашего собеседника и значение поля "fingerprint", соответствующее хеш-значению ключа вашего собеседника (иначе это можно назвать отпечатком ключа).

После этого, если для вас это важно, свяжитесь каким-либо другим способом с вашим собеседником (например по телефону или зашифрованной и подписанной с помощью заверенных ключей OpenPGP электронной почтой) и сверьте коды друг друга. Коды должны совпадать. Это будет значить, что вы действительно общаетесь с тем человеком, которого считаете своим собеседником. До тех пор пока вы не произведете эту проверку и операцию, приведенную в п.11, в информационном поле чата вы будете видеть сообщение "OTR Unverified", свидетельствующее о том, что проверка отпечатков не произведена и чат не может считаться авторизованным.

11. Отметьте мышью (все это делается во вкладке "Known finderprint"), что бы выделить, учетную запись вашего корреспондента и нажмите накнопку "Verify Fingerprint".

12. После в выпадающем меню выберите ответ "I Have" verifid that this is in fact correct fingerprint for the [ник вашего собеседника]". Давая утвердительный ответ на данное предложение вы тем самым подтверждаете, что произвели проверку отпечатков ключей, т.е. на стороне вашего собеседника присутствует действительно тот человек, за которого себя выдает собеседник чата (вы это сверили по телефону, с помощью заверенных ключей OpenPGP по e-mail или иным способом).

После проведения этих операций в окне чата вы будете видеть информационное поле "OTR Private". Это значит, что теперь вы общаетесь в приватной беседе.


При повторном установлении сеанса переписки (к примеру на следующий день) в информационном поле вы будете видеть сообщение "OTR Not Private", которое сменится на сообщение "OTR Private", свидетельствующее о начале приватного чата, после отправки одним из вас любого произвольного сообщения.

В окне настройки модуля вы так же сможете видеть кнопки "Start Privatr Connection" и "End Private Connection", назначение которых логически понятно, а так же кнопку "Forget Fingerprin", по нажатию на которую вы обнулите поле отпечатков ключей "Known finderprint". Для их генерирования вам вновь придется пройти процедуру генерирования MAC-кодов и проверки доверия, как описано в п. 10-12.

После установки модуля вам будет так же доступно дополнительное меню в листе контактов по клику правой кнопки мыши на контакте собеседника.



Нужно сказать, что для Pidgin предусмотрен еще один модуль шифрования – "Pidgin-Encryption".


Если в вашем клиенте он отсутствует по умолчанию, его можно установить следующей командой:
  1. sudo apt-get install pidgin-encryption

Команда приведена для ОС Ubuntu Linux

Для запуска модуля в работу необходимо сделать следующее:

1. В меню Pidgin "Сервис-Модули" найдите этот модуль и отметьте его кликом мыши (поставьте галочку) с целью активации.

2. Нажмите на кнопку "Настроить модуль"

3. В открывшейся по умолчанию первой вкладке "Конфиг" в дополнение к отмеченным пунктам отметьте последний пункт "Show lock icon for each line of chat". Это не обязательно, но впоследствии в окне чата вы будете видеть символ замка около каждого сообщения, свидетельствующий о том, что чат шифрован.

4. Перейдите во вкладку "Локальные ключи". В этой вкладке вы увидите сгенерированные при старте модуля ключи для каждой учетной записи Pidgin. Размер сгенерированных по умолчанию ключей составляет 1024 бит. При желании вы можете произвести генерирование новых ключей, нажав на кнопку "Создать ключ заново". При этом вам будет предложено указать размер ключа. Максимальный размер ключа, который можно сгенерировать в этом модуле, составляет 4096 бит.

После активации модуля правее слова "Адресат" окна чата Pidgin появится символ замка (до активации кодированного канала связи он будет серого цвета).


Для начала защищенного чата вашему собеседнику необходимо произвести те-же самые действия.

5. После того, как вы выполнили предварительные настройки и готовы начать чат вам нужно кликом мыши по символу замка вызвать меню активации защищенного чата, которое состоит из одного единственного пункта – "Включить шифрование".

6. Отправьте друг другу произвольное сообщение, что бы программы установили контакт, при этом произойдет обмен открытыми ключами. После этого вы увидите окно с сообещением об отпечатке ключа вашего корреспондента.

7. Сверив отпечаток нажмите в полученном окне кнопку "Принять ключи". При этом ключ вашего собеседника должен появится во вкладке "Ключи надежного контакта". На этом этапе возможно придется перезапустить Pidgin.

8. Проверьте, что бы режим шифрования был включен у вашего собеседника, это видно по символу второго замка, который должен находится напротив "вашего" замка, только в правом углу строки меню.

9. Вы можете начать сеанс защищенного общения. О том, что сообщения шифрованы вы будете извещены символом замка напротив каждого вашего послания и посланий вашего собеседника (п.3).

После установки модуля вам будет так же доступно дополнительное меню в листе контактов по клику правой кнопки мыши на контакте собеседника.



Сравнивая два описанных модуля, субъективно первый из них мне понравился немного больше. Возможно потому, что со вторым пришлось повозиться чуть дольше. О безошибочности реализации конкретных модулей мне ничего не известно. В описании не исключены небольшие неточности по причине опробования модулей "на скорую руку"



PS. Уже после опробования в работе этих двух модулей мной был обнаружен еще один модуль для шифрования сообщений Pidgin с забавным наименованием "Pidgin-Paranoia". Принципы его работы мне неизвестны. Однако устанавливать и пробовать его у меня уже просто не хватило желания тому же очень жаль, что Pidgin, при указанном разнообразии средств защиты, не имеет модуля шифрования годами проверенной технологии OpenPGP, что заставляет пользователей устанавливать для использования OpenPGP-защиты ссылка скрыта.



Условия распространения данного материала: Вы можете любым способом копировать, распространять, перепечатывать данный материал. Создавать производные работы на основе данного материала при соблюдении следующих условий:
Вы должны явно указать, что источником публикуемых материалов или основой производной работы являются материалы сайта "openPGP в России" (с обязательной ссылкой на сайт ссылка скрыта). Это необходимо сделать, независимо от типа подачи материала, будь то веб-страница, статья, презентация, лекция или что-либо иное. Распространяя производную работу или перепечатывая материалы сайта, вы обязаны предоставлять их на условиях, идентичных изложенным здесь, и довести эти условия и нормы до сведения своих читателей. Иными словами, вы не имеете права ограничивать распространение материалов (например, требуя за них гонорар, хотя и имеете на него право) и должны указать, что публикуете материал под лицензией ссылка скрыта


ссылка скрыта


Copyright © 2023. All rights Reserved.