- Проектировать системы электронной почты с почтовыми клиентами outlook и s/mime – это просто.
- S/mime – спасательный круг
- Асимметричное шифрование
- Защита электронной почты сертификатами s/mime
- Настройка и использование s/mime
- Неотрекаемость
- Особенности проектирования и развертывания
- Цифровые подписи
- Шифрование почты на мобильных устройствах android
- Шифрование почты на мобильных устройствах ios
- Шифрованная электронная почта
Проектировать системы электронной почты с почтовыми клиентами outlook и s/mime – это просто.
В данной статье рассказывается, как применить S/MIME для защиты сообщений в среде Microsoft. Настроить текущие версии Microsoft Outlook на использование S/MIME просто, но как будет показано, требуется тщательно продумать и подготовить базовую инфраструктуру сертификации, необходимую для S/MIME.
S/mime – спасательный круг
S/MIME обеспечивает мощные расширения функций почтовой безопасности, которые могут быть очень полезными пользователям. Функциональность S/MIME реализована в различных клиентах обработки сообщений Outlook и сервере Exchange. Настроить и применить S/MIME в программах Microsoft довольно просто, но для успешного развертывания S/MIME требуется уделить значительное время и усилия планированию и подготовке инфраструктуры сертификатов.
Асимметричное шифрование
Как и SSL /TLS протокол, S/MIME работает криптография с открытым ключом для шифрования и дешифрования данных сообщений и цифровых подписей. Закрытый ключ хранится в безопасности, в то время как открытый ключ может распространяться широко.
Существует специальная математическая связь между двумя ключами, так что данные, зашифрованные одним ключом, могут быть расшифрованы только другим. Если сообщение зашифровано вашим открытым ключом, только ваш личный ключ может его расшифровать, а если сообщение подписано вашим личным ключом, то кто-то с вашим открытым ключом может проверить этот факт.
Защита электронной почты сертификатами s/mime
GlobalSign является ведущим поставщиком надежных решений идентификации и безопасности, которые позволяют организациям, крупным предприятиям, поставщикам облачных услуг и инноваторам IoT по всему миру обеспечить безопасность онлайн-коммуникаций, управлять миллионами проверенных цифровых учетных данных и автоматизировать аутентификацию и шифрование. Масштабируемая инфраструктура открытых ключей (PKI) и решения идентификации поддерживают миллиарды сервисов, устройств, людей и вещей, составляющих Всеобъемлющий Интернет (IoE).
Настройка и использование s/mime
Для настройки S/MIME в Outlook 2003 (продукте с наиболее исчерпывающим набором функций S/MIME) следует перейти на вкладку Security (Рис. 2) и щелкнуть на кнопке Settings. Появляется диалоговое окно Change Security Settings (Рис. 3). В поле Security Settings Name необходимо ввести или выбрать имя (в данном примере, Jan De Clercq’s S/MIME Settings).
Затем из раскрывающегося списка Cryptography Format нужно выбрать пункт S/MIME и установить флажки Default Security Setting for this cryptographic message format и Default Security Setting for all cryptographic messages. В поле Signing Certificate необходимо указать подписной сертификат, а затем назначить алгоритм хэширования (рекомендуется SHA1).
Теперь можно возвратиться к вкладке Security и задать выбираемое по умолчанию поведение S/MIME, которое будет применяться ко всем сообщениям, отправляемым пользователем. Как показано на Рис. 2, по умолчанию в сообщениях используется явная подпись. Можно шифровать и/или подписывать все исходящие сообщения, всегда отправлять сообщения с явной подписью и/или всегда запрашивать подтверждение приема подписанных сообщений.
Пользователи могут изменять стандартные параметры для отдельных сообщений. В окне Message (Рис. 4) они могут щелкнуть на пиктограмме Encrypt или Sign, или на пункте Options для доступа к функциям шифрования и подписывания из раздела Security Settings в диалоговом окне Options.
Пользователям необходимо разъяснить, что отправляя зашифрованное сообщение, они должны иметь доступ к открытому ключу и сертификату получателя. Если используется инфраструктура Windows Public Key Infrastructure (PKI), интегрированная с Active Directory (AD)
, то Outlook 2003 может получить сертификат получателя от сервера Global Catalog (GC). Если получатели не определены в AD (например, внешние получатели), то пользователи могут получить копии их сертификатов, попросив получателей выслать подписанные сообщения электронной почты.
Неотрекаемость
Поскольку подлинность и целостность электронной почты с цифровой подписью гарантированы, получатели могут доказать, что конкретное лицо (или, по крайней мере, лицо, обладающее своим закрытым ключом) отправило конкретное сообщение. И наоборот, отправителю трудно отрицать, что он отправил то же сообщение.
Особенности проектирования и развертывания
Была рассмотрена простая, внешняя составляющая решения безопасности почты на базе S/MIME. При проектировании и развертывании эффективного механизма обработки сертификатов необходимо учитывать и более глубокие аспекты. Прежде, чем приступить к задаче, необходимо ответить на следующие вопросы.
Обеспечивают ли применяемые на предприятии почтовые клиенты достаточные службы S/MIME? Если почтовые клиенты не поддерживают полный функциональный набор S/MIME, необходимый пользователям (см. Таблицу 1, в которой приведен обзор различных функциональных наборов S/MIME), то нужно обновить клиентские программы электронной почты.
Если текущий почтовый клиент совсем несовместим с S/MIME, то пользователи не смогут создавать S/MIME-защищенные сообщения или прочитать зашифрованные или неявно подписанные послания, хотя всегда смогут прочитать явно подписанные сообщения. На серверах Exchange Server 2003 можно активизировать S/MIME для пользователей через OWA.
Цифровые подписи
Когда вы подписываете сообщение электронной почты с вашим S/MIME сертификат, ваше почтовое клиентское программное обеспечение генерирует хэшили дайджест сообщения фиксированной длины, а затем шифрует его вашим закрытым ключом, чтобы создать цифровую подпись, которая будет включена в электронное письмо.
Когда получатель получает сообщение, его программное обеспечение электронной почты использует ваш открытый ключ (также включенный в сообщение), чтобы убедиться, что электронное письмо действительно было отправлено вами и что его содержимое не было изменено при передаче.
Если кому-то каким-то образом удастся перехватить сообщение и изменить текст, хеш, вычисленный получателем, не будет совпадать с хешем в подписи. Кроме того, поскольку сама подпись может быть сгенерирована только с вашим закрытым ключом, практически невозможно для кого-то, кто не владеет ключом, создать новую действительную подпись для соответствия измененному содержимому или иным образом успешно отправить сообщения, якобы от вас. .
Шифрование почты на мобильных устройствах android
1. Отправляем полученные сертификаты (файл ключа .pfx и файл сертификата корневого Центра Сертификации .cer) на электронную почту, установленную на телефоне, или переносим их в любую папку (в т.ч можно в коневой каталог) посредством usb-соединения с компьютером.
Шифрование почты на мобильных устройствах ios
1. Отправляем полученные сертификаты (файл ключа .pfx и файл сертификата корневого Центра Сертификации .cer) на электронную почту, установленную на телефоне, или переносим их в любую папку (в т.ч можно в коневой каталог) посредством usb-соединения с компьютером.
Шифрованная электронная почта
Чтобы отправить кому-либо сообщение электронной почты, которое могут прочитать только они, нужно только зашифровать его своим открытым ключом, который включен в любое подписанное электронное письмо, которое они могли отправить вам или могут отправить отдельно.
Если вы подписали электронное письмо, они могут быть уверены, что оно от вас. Обратите внимание, что также можно отправить подписанный, незашифрованном электронная почта, которая может понадобиться, если у вашего адресата нет открытого ключа или у вас его нет.
