Шифрование почты

Вид материалаДокументы

Содержание


Использование программы PGP с почтовой программой The Bat!
Импорт открытого ключа PGP из сообщения
Шифрование сообщения с помощью PGP
Расшифровка сообщений, зашифрованных PGP
Добавление цифровой подписи в сообщение
Верификация сообщений, снабженных цифровой подписью
Подобный материал:
1   2   3   4   5   6

Использование программы PGP с почтовой программой The Bat!

Генерация общедоступного и личного ключей

При использовании PGP в первый раз, сначала необходимо сгенерировать пару ключей, выбрав в меню “Keys” программы PGPkeys пункт “New Key”. После генерации ключей вам будет предложено отослать отрытый ключ на публично доступный сервер ключей certserver.pgp.com.

Пользователь, с которым вы ведете переписку, должен знать ваш открытый ключ. Он может получить его с сервера certserver.pgp.com, если вы туда его отослали, или вы можете отослать его пользователю электронным письмом. Для этого надо скопировать ключ из главного окна PGPkeys в окно почтового сообщения.

Пользователь, получивший ваш ключ, сможет шифровать направляемую вам почту. Чтобы посылать зашифрованные письма ему, вам потребуется получить его открытый ключ.

Идентификатор своего личного ключа можно узнать, выбрав этот ключ в главном окне программы PGPkeys и использовав пункт “Properties” меню “Keys” этой программы.


Чтобы подтвердить подлинность общедоступного ключа другого пользователя, этот ключ надо подписать. Для этотго выделите его и выберите пункт “Sign” из меню ”Keys” в PGPkeys.

Чтобы указать степень доверия, с которой вы относитесь к какому либо общедоступному ключу, выделите его и щелкните на нем правой кнопкой мыши, выберите из контекстного меню пункт “Key Properties”. Если вы установите степень доверия к этому ключу (“Trusted”), другие ключи, подписанные его владельцем, будут считаться действительными.

Чтобы отозвать ключ, выделите его и выберите пункт “Revoke” из меню ”Keys” в PGPkeys.
Импорт открытого ключа PGP из сообщения

Открытые ключи PGP могут рассылаться в виде текстовых ASCII-файлов. Для импортирования открытого ключа PGP из почтового сообщения служит команда главного меню “Инструменты”>“Импортировать PGP ключ”.
Шифрование сообщения с помощью PGP

Чтобы зашифровать сообщение для определенного получателя, надо иметь его открытый ключ.
       При помощи The Bat! можно зашифровать сообщение либо вручную из редактора сообщений, используя команду меню “PGP”>“Зашифровать весь текст”, либо автоматически, включив опцию “PGP”>“Зашифровать перед отправкой”.
Расшифровка сообщений, зашифрованных PGP

Для расшифровки зашифрованного сообщения необходимо в программе The Bat! выбрать пункт меню “Инструменты”>“Расшифровать PGP”.
Добавление цифровой подписи в сообщение

Сообщение можно подписать либо вручную из редактора сообщений, используя команду меню “PGP”>“Подписать весь текст” или “PGP”>“Подписать блок”, либо автоматически, включив опцию “Подписать перед отправкой” из меню PGP.
Верификация сообщений, снабженных цифровой подписью

Для верификации полученного подписанного сообщения необходимо выбрать команду главного меню “Инструменты”>“Проверить подпись PGP”. Алгоритм обработки цифровой подписи позволяет выяснить, является ли отправитель сообщения, указанный в заголовке письма, и поставивший цифровую подпись одним и тем же лицом, и не претерпело ли сообщение модификацию в пути. ссылка скрыта

5.4 Шифрование данных, передаваемых по электронной почте: S/MIME и PGP

Шифрование сообщений электронной почты, S/MIME и PGP, WinPT

В предыдущем разделе мы рассмотрели некоторые возможности, связанные с шифрованием передаваемых данных между почтовым сервером и клиентами. Однако остаются нерешенными еще две принципиальными проблемы:

        при взаимодействии Exchange Server с другими серверами электронной почты в Интернете взаимодействие все равно будет происходить по стандартному SMTP - повлиять на настройки этих серверов вы вряд ли сможете. Таким образом, сообщения, отправляемые в Интернет, все равно будут доступными для перехвата;

        в зависимости от настроек почтового клиента сообщения электронной почты могут "оседать" на компьютерах клиентов (например, в файлах *.PST и *.OST Outlook, каталогах The Bat! и т.п.). Защита для таких файлов предусмотрена очень условная - получается еще одна потенциальная брешь системы безопасности.

Единственный выход в этой ситуации - шифровать сообщения электронной почты. В сетях Windows для этой цели чаще всего используются два метода - S/MIME и PGP.

S/MIME - это протокол шифрования электронной почты, разработанный фирмой RSA. Именно его реализует Microsoft на основе связки Certificate Services - Exchange Server - Outlook. Впервые шифрование S/MIME у Microsoft появилось в Exchange 4.0. Реализация шифрования электронной почты на уровне всего предприятия выглядит так:

        в дополнение к Exchange Server необходимо установить Certificate Services (обязательно в режиме Enterprise Root или Subordinate CA). В версиях до Exchange Server 2003 необходимо было установить специального программное обеспечение - сервер Key Management Service (KMS), которое выполняло роль центрального хранилища ключей с возможностью их восстановления, рассылки, поддержки списка отозванных ключей и т.п. В Exchange Server 2003/Windows Server 2003 возможности KMS встроены в Certificate Services;

        необходимо установить требуемые ключи в Outlook (меню Сервис -> Параметры -> вкладка "Безопасность") того клиента, который будет принимать зашифрованные данные. Стандартные средства работы с S/MIME предусмотрены и в Outlook Express, но, в отличие от Outlook, они практически неработоспособны;

        необходимо переслать сертификат с открытым ключом и установить в Outlook для того пользователя, который будет принимать сообщения (если отправитель и получатель находятся в одном лесе Active Directory/организации Exchange, то установка необходимых открытых ключей упрощается). Кроме того, необходимо поместить сертификат CA в список Trusted Root Certificate Authorities.

        после этого можно отправлять и получать зашифрованные и подписанные цифровой подписью сообщения. На уровне отдельного сообщения зашифровать его можно, выбрав в режиме редактирования сообщения в меню Tools команду Encrypt (реально оно будет зашифровано при отправке), для всех сообщений - меню Tools -> Options ->Security. Расшифровать полученное сообщение можно в режиме чтения (меню Message -> Unscramble).

Пошаговое развертывание системы шифрования электронной почты в системе Exchange Server можно прочитать в модуле 13 курса MOC 2821A Designing and Managing a Windows Public Key Infrastructure. По причине большой трудоемкости развертывания лабораторной по такому развертыванию не будет.

Если ваша задача - обеспечить шифрование всей электронной почты внутри большой организации с филиалами, то, по всей видимости, связка Certificate Services -> Exchange -Outlook (или Lotus Notes, в котором используется похожая схема работы по S/MIME) будет наилучшим решением. Однако при необходимости передачи шифрованной электронной почты за пределы организации предпочтительнее использовать другое средство - PGP.

Стандарт PGP (чаще всего расшифровывается как Pretty Good Privacy) появился исторически первым - в 1991 году и был сразу же предоставлен его создателем - Филиппом Циммерманом для всеобщего пользования (за что он в течение трех лет подвергался уголовному преследованию). Если S/MIME в основном распространен в корпоративных решениях, то PGP чаще всего используется как открытое (в том числе на уровне исходного кода) бесплатное средство шифрования электронной почты, доступное для множества платформ и приложений (хотя и его можно использовать на корпоративной уровне - такие решения называются PGP Corporate и Universal). По степени защищенности и функциональности S/MIME и PGP очень похожи (отличия между ними с точки зрения конечного пользователя часто сравнивают с отличиями между JPG и GIF).

Некоторые преимущества PGP по сравнению с S/MIME:

        генерация ключей - только на компьютере пользователя (в S/MIME для этого нужно использовать корпоративное CA или CA в Интернете - например, Outlook и Outlook Express обращаются за ключами на сайт MSN). Если генерация ключей производится за пределами компьютера пользователя, то очевидно, что безопасность при этом принципиально снижается;

        решения на основе PGP не привязаны к продуктам какого-либо одного производителя (чем грешат, например, Microsoft и Lotus);

        поддержка огромного количества операционных систем/почтовых клиентов/броузеров. Для большинства (в том числе Outlook и Outlook Express) поставляются plug-in, в некоторых клиентах/оболочках (The Bat!, KDE) реализована "родная" поддержка;

        чаще всего продукты на основе PGP официально бесплатны (по крайней мере для личного использования) и поставляются с открытым исходным кодом, в отличие от большинства распространенных продуктов на основе S/MIME.

У самой фирмы PGP (www.pgp.com) достаточно трудная судьба, связанная с уголовными преследованиями, экспортными ограничениями, приобретения этой фирмы корпорацией Computer Associates и отпуском затем на волю, необходимостью зарабатывания денег и т.п. По причине лицензионных ограничений "родной" продукт PGP использовать менее удобно, чем ее бесплатные (и полностью с ней совместимые по протоколу OpenPGP) клоны. Одним из самых распространенных является клон PGP под названием GnuPG (или GPG), который является полностью open-source решением (созданным на деньги Федерального министерства Германии по науке и технике). Сама программа GnuPG - консольная (есть версии под Linux и Windows), поэтому удобнее пользоваться оболочками для нее. Наиболее распространенные бесплатные оболочки под Windows - WinPT и GPGShell (на компакт-диске в каталоге Mail\Шифрование). В WinPT (от Windows Privacy Tools), помимо стандартных средств шифрования/цифровой подписи для электронной почты (плагины для Outlook Express и Eudora) предусмотрены также расширения к Windows Explorer, которые позволяют шифровать данные на диске, безвозвратно их удалять, шифровать содержимое буфера обмена и т.п. Очень удобно реализованы также графические средства по импорту-экспорту сертификатов, настройке горячих клавиш операционной системы и т.п.

ссылка скрыта