Конфиденциальность электронной почты и цифровые сертификаты

Игорь Ананченко (С.-Петербург)

Средства шифрования и ЭЦП для повседневной работы

Работаем с Comodo  Secure Email

Практически каждый человек, достаточно долго пользующийся услугами сети Интернет, что-то слышал об электронных цифровых сертификатах и электронной цифровой подписи (ЭЦП). Использование сертификата позволяет шифровать электронную почту и не только почту, а ЭЦП гарантирует, что письмо или иной другой подписанный вами документ было отправлено именно вами, а не неким другим человеком. Многие продвинутые пользователи знают, что в основе технологии лежит использование алгоритмов ассиметричного шифрования. Алгоритмы шифрования можно разделить на две большие группы:  симметричные и ассиметричные. В алгоритмах первой группы используется один и тот же ключ шифрования для зашифровки и расшифровки информации. Симметричные алгоритмы работают быстрее, но использование одного ключа ставит перед проблемой, что делать, если нужно передать, например, ключ вашему знакомому, но каналы связи могут контролироваться злоумышленником. Если злоумышленник перехватит ключ, то сможет читать всю зашифрованную этим ключом информацию. Можно попробовать передать ключ на флэшке при личной встрече или отправить носитель с ключом ценной бандеролью, но это не лучший вариант. Вторая группа, т.е. ассиметричные алгоритмы шифрования, лишена этого недостатка, так как при создании ключа генерируется не один ключ, а ключевая пара: открытый ключ шифрования (ОКШ) и закрытый ключ шифрования (ЗКШ). Открытый  ключ используется только для целей шифрования, расшифровать информацию с помощью этого ключа нельзя. Если злоумышленник получит открытый ключ и зашифрованное этим ключом сообщение, то останется ни с чем, так как ключ для расшифровки бесполезен.  Расшифровать можно только с помощью закрытого ключа, которого  у злоумышленника нет, и который ему придется подбирать. Длина ключа может составлять 512, 1024 и большее число бит. Несколько от нескольких недель до нескольких лет  или десятков лет работы суперкомпьютера и золотой ключик (закрытый ключ) в кармане взломщика. Задействовать для взлома суперкомпьютер сколь либо длительное время рядовой хакер или специалист по промышленному шпионажу не сможет, так как слишком велики расходы. Реально такие возможности есть только у структур, отвечающих за государственную безопасность. Эти возможности будут задействованы, если не останется альтернативных вариантов получения той же информации, а сама информация крайне важна для государства.

Так как открытый ключ ОКШ(А) необходим только для шифрования, пользователь А может разместить его в свободном доступе, чтобы все пользователи могли использовать этот ключ. Например, пользователь В скачал этот ключ ОКШ(А)  и с его помощью зашифровал письмо, которое и отправил пользователю А. Только А может прочесть письмо, так как у него есть закрытый ключ ЗКШ(А). Хитрый и умный хакер H(acker) для чтения секретной информации делает следующее. Генерирует пару ЗКШ(Н) и ОКШ(Н). Затем взламывает сайт пользователя А и заменяет его ключ ОКШ(А) на свой ОКШ(Н). Ничего не подозревающий пользователь В шифрует свое письмо ключом ОКШ(Н). Хакер перехватывает письмо от В, так как контролирует сетевой трафик, и расшифровывает письмо своим ключом ЗКШ(Н). Хакер читает, а при желании и редактирует письмо, а затем шифрует письмо ключом ОКШ(А) и отправляет его получателю А. Получатель А расшифровывает письмо ЗКШ(А) и полагает, что содержимое письма никому постороннему не известно, но это не так. Видно, что слабое место схемы с открытым и закрытым ключом в том, что нет гарантий, что открытый ключ пользователя А – это действительно ключ А.

BIGITALRU_post-(2)

Для решения этой проблемы и используются электронный цифровые сертификаты. Сертификат, используемый для шифрования, включает в себя открытый ключ шифрования, информацию о том, кому выдан сертификат, информацию о сроке действия сертификата и, что очень важно, информацию о Центре сертификации, выдавшем этот сертификат. Обращение к Центру сертификации (обычно выполняется в фоновом режиме и пользователь этого не видит) позволяет проверить, что сертификат является действительным. Если это не так, то пользователь получаем сообщение и ему решать, использовать дальше сертификат или нет. Пользователь получает предупреждающее сообщение с рекомендацией не использовать сертификат, если Центр сертификации не относится к тем Центрам сертификации, которым доверяет пользователь (доверенным центрам сертификации). Замечу, что при желании развернуть свой собственный Центр сертификации довольно просто, так как  роль CA (Центр сертификации) одна из 17 ролей операционной системы Windows Server 2008 R2 Enterprise.

Однако уровень доверия пользователей к сертификатам такого центра сертификации будет нулевым, если, конечно, это не пользователи вашей корпоративной сети.

Обычно для работы используются сертификаты, выданные известными и заслуживающими самого высокого уровня доверия Центрами сертификации. Например, на <a href=»http://www.verisign.com/»>http://www.verisign.com/</a> можно купить SSL Certificat на один год всего за $1499. Дополнительно предлагается набор полезных услуг, но даже с их учетом стоимость значительна. В сети Интернет можно найти достаточно известные Центры сертификации, которые некоторые типы сертификатов (например, предназначенные для работы с электронной почтой) предоставляют бесплатно или за небольшую плату в размере $15-20 в год, что вполне приемлемо для рядового пользователя сети Интернет.

BIGITALRU_post-(22)

Такова краткая теория по работе с сертификатами и ее многие знают, но, как показывает опыт, как пользоваться сертификатами на практике знают не очень многие. Для работы можно использовать привычные почтовые клиенты, например, Windows Mail,  Incredimail, Windows Live Mail, Eudora, но с дополнительным модулем, обеспечивающим шифрование и работу с сертификатами.

Для примера рассмотрю работу с программным обеспечением для шифрования и подписи электронной почты Comodo  Secure Email (разработчик Comodo Security Solutions, Inc.). Программа достаточно хорошо показала себя в повседневной работе, программа бесплатная (при использовании для некоммерческих целей), бесплатно можно получить и необходимый для работы сертификат. Программное обеспечение представлено двумя версиями для работы в 32- и 64-разрядных системах класса Windows. Поддерживаются почтовые клиенты: Outlook 2000 (и вышедшие позже версии этого программного продукта);  Outlook Express 5 (и вышедшие позже версии этого программного продукта); Thunderbird 1.5 (и вышедшие позже версии этого программного продукта); Windows Mail; Incredimail; Windows Live Mail; Eudora. Уточнить список поддерживаемых клиентов можно на странице вебсайта фирмы-производителя. Скачать программный продукт можно по ссылке: http://www.comodo.com/home/email-security/secure-email.php. При обращении к странице следует выбрать кнопку “FREE DOWNLOAD”. После обращения будет предложена версия, соответствующая разрядности используемой операционной системе.

Скачав файл для установки программы, необходимо выполнить установку в соответствии с инструкции. Процесс  установки стандартный, как и для большинства программ, устанавливаемых в операционной среде Windows. Для установки используемая учетная запись должна быть с правами системного администратора.

После установки программы следует запустить SecureEmail Configuration.

Следует выбрать пункт “Certificates”  (Сертификаты). Бесплатно получить электронный цифровой сертификат для адреса электронной почты, письма с которого вы станете шифровать или подписывать, можно прямо из программы, выбрав кнопку “Sign Up”. Замечу, что, используя Мастер получения сертификата, запускаемый по нажатию кнопки, не всегда удается получить сертификат — случаются ошибки. В этом случае следует воспользоваться веббраузером для получения сертификата, перейдя по ссылке: https://secure.comodo.com/products/frontpage?area=SecureEmailCertificate&currency=USD&region=Asia+%26+Pacific&country=RU&entryURL=http%3A//www.comodo.com/home/email-security/secure-email.php»>https://secure.comodo.com/products/frontpage?area=SecureEmailCertificate&currency=USD&region=Asia+%26+Pacific&country=RU&entryURL=http%3A//www.comodo.com/home/email-security/secure-email.php

Указываем информацию о пользователе: First Name (имя пользователя), Last Name (фамилия пользователя), Email Address (электронный адрес, на который хотим получить сертификат), выбираем страну проживания (Country). Указываем пароль (например, Pa$$w0rd), чтобы можно было отозвать выданный сертификат. Повторяем пароль еще раз, так как при наборе он не отображается и необходимо убедиться, что пароль введен правильно (должна совпасть информация в полях Revocation Password и Re-enter Revocation Password). Обязательно читаете лицензионное соглашение и подтверждаете его прочтение, поставив соответствующий знак в поле чекбокса (I ACCEPT the terms of this Subscriber Agreement).

На следующей странице (“Next”) происходит проверка введенной информации (если что-то было введено некорректно или не было заполнено какое-либо необходимое поле, это будет отмечено – информацию надо ввести). Если ошибок нет, то получаем сообщение, что по указанному в запросе на получение сертификата электронному адресу выслано письмо для активации.

Обращаетесь к своему почтовому адресу, находите присланное вам письмо.

BIGITALRU_post-(33)

Активируете сертификат, нажав кнопку “Click & Install Comodo Email Certificate”. Получаете сообщение о том, что полученный сертификат успешно установлен.

Будет запущен Мастер экспорта сертификатов.

Указываем, что не будем экспортировать закрытый ключ (ВАЖНО!!!)

После этого  выбираем формат файла экспорта (можно оставить в соответствии с предлагаемой рекомендацией)

Имя файла и место хранения можно выбирать любое, я предпочитаю сохранять файлы экспорта сертификатов на отдельном съемном носителе, так как у меня достаточно много адресов электронной почты, то даю имя файлу, совпадающее с именем адреса электронной почты.

Переходя к следующему этапу, вы должны иметь файл экспорта сертификата с расширением cer, содержащий только ваш открытый ключ и файл экспорта с закрытым и открытым ключом (pfx). Второй файл можно создать позже, так как непосредственно для работы он не нужен, но необходим, чтобы можно было импортировать ваш персональный сертификат (например, если захотите работать на другом компьютере или переустанавливаете операционную систему).

Необходимо передать файл экспорта сертификата с расширением cer тому человеку (или тем людям), с которыми  решили вести защищенную переписку.

В рассматриваемом примере владельцу почтового ящика igor@anantchenko.ru необходимо осуществлять  конфиденциальную переписку с владельцем почтового ящика miltonia@fx-fx.ru. От этого пользователя получаем сертификат cer-типа, который содержит открытый электронный ключ этого пользователя. С помощью этого ключа будем шифровать передаваемую пользователю информацию. Чтобы пользователь мог отправлять владельцу почтового ящика igor@anantchenko.ru зашифрованную и подписанную электронной цифровой подписью (ЭЦП) корреспонденцию, необходимо предоставить владельцу почтового ящика miltonia@fx-fx.ru сертификат cer-типа пользователя igor@anantchenko.ru.

Окончание в следующем номере

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *