NEXT 1/2007 - Poczta zawsze bezpieczna

Wysyłanie e-maili jest podstawowym sposobem komunikacji wykorzystującym łącza internetowe. Jednak jest to także najmniej bezpieczna metoda wymiany informacji. Bardzo łatwo (oczywiście przypadkowo) możesz udostępnić poufne informacje złodziejowi. Zapobiec temu może stosowanie narzędzi do szyfrowania PGP/GnuPG.

Szyfrowanie wiadomości kluczem publicznym

1. Pan X umieszcza swój klucz publiczny na stronie WWW. 2. Pan Y pobiera ze strony WWW klucz publiczny pana X i zapisuje go w swoim kliencie pocztowym. 3. Pan Y koduje wysyłaną do pana X wiadomość jego kluczem publicznym. 4. Pan Y wysyła wiadomość. 5. Pan X odczytuje wiadomość i na podstawie klucza prywatnego deszyfruje jego treść.

W internecie codziennie przekazywane są miliony informacji. Największa ich część przepływa pomiędzy komputerami w postaci e-maili. Niestety, świadomość istniejących zagrożeń statystycznego użytkownika jest na tyle mała, że w żaden sposób nie zabezpiecza on wysyłanych listów (patrz: wykres na strona 84). Znacznie ułatwia to kradzież przesyłanych danych lub podanie się za osobę, którą znasz (patrz: zjawisko8 phishingu). O ile podsłuchanie transmisji i wyłuskanie z niej danych jest trudnym przedsięwzięciem (ale wykonalnym), o tyle podszycie się pod dowolnego internautę jest bardzo proste. Spowodowane jest to niedoskonałościami protokołów i często budową klientów pocztowych (które błędnie wyświetlają informacje o nadawcy listu lub nie blokują niechcianej poczty). Np. POP3 służący do pobierania e-maili wymaga uwierzytelniania hasłem, ale SMTP wykorzystywany do przesyłania listów nadal w większości przypadków nie wymaga już żadnego sposobu autoryzacji. Wystarczy więc, że złodziej uruchomi własny serwer SMTP (nawet na domowym pececie z Windows), a będzie mógł masowo wysyłać sfałszowane listy.

Jest prosty sposób na ochronę przed takimi niebezpieczeństwami – wystarczy podpisywać i szyfrować e-maile. Jeśli proces ten byłby wykorzystywany masowo, to mógłby być skutecznym sposobem na zwalczanie spamu. Jeżeli ktoś przysłałby do ciebie niezabezpieczoną wiadomość, to od razu byłaby ona usuwana. Niestety, w tym przypadku pojawia się problem z dostępem do kluczy publicznych osób, do których wysyłane są listy.

Skuteczne zabezpieczanie

Aby zabezpieczyć pocztę, wystarczy zastosować PGP (Pretty Good Privacy) lub GnuPG (GNU Privacy Guard), czyli system podpisywania i szyfrowania wiadomości. Aby to zrobić, musisz jedynie wygenerować klucze i odpowiednio skonfigurować klienta. Dzięki temu twoja korespondencja będzie w pełni bezpieczna. System ten przyda ci się nie tylko na domowym komputerze. Jeśli zarządzasz firmą lub pomagasz w administracji, to zapewnisz poufność przesyłanych informacji.

GnuPG nie jest jedynym zabezpieczeniem poczty. Możesz także korzystać z certyfikatów lub S/MIME. Więcej o tych sposobach przeczytasz w następnym wydaniu.

Czym jest PGP/GnuPG?

PGP to zestaw narzędzi kryptograficznych umożliwiających szyfrowanie, deszyfrowanie i podpisywanie listów, a także weryfikację autentyczności nadawcy. Używa do tego kombinacji algorytmów symetrycznych (np. IDEA) i asymetrycznych (klucz publiczny/prywatny generowany przy użyciu algorytmu RSA). Został stworzony przez Philipa Zimmermanna na początku lat 90. w USA i był pierwszą tego typu aplikacją umożliwiającą ukrycie informacji zawartych w e-mailach. Na początku PGP było darmowym rozwiązaniem (dostępnym do Linuksa, Uniksa czy Mac OS), jednak od wersji 5.0, która powstała w 1997 r., jest płatnym produktem. W roku 2001 zatwierdzono standard OpenPGP. W ten sposób umożliwiono tworzenie narzędzi kompatybilnych z PGP.

Dokładnym odwzorowaniem Pretty Good Privacy jest GnuPG. Najważniejsza informacja, jaką warto wiedzieć o tym systemie zabezpieczeń, jest taka, że jest on w pełni darmowy (udostępniony jest na licencji GNU GPL) i że spełnia standard OpenPGP. GnuPG od PGP różni się rodzajami wykorzystywanych szyfrów: symetryczny – np. 3DES, asymetryczny – darmowy RSA lub DSA. Współcześnie oba zestawy programów zaczynają używać silniejszego algorytmu AES. W większości przypadków GnuPG umożliwia bezproblemową współpracę z innymi systemami kryptograficznymi. Jeśli zamierzasz kiedyś używać tego systemu, to zapamiętaj, że ze względu na ograniczenia korzystania z algorytmu RSA GnuPG nie można używać w Stanach Zjednoczonych.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Poczta zawsze bezpieczna »
  Program do szyfrowania poczty
• E-maile pod kluczem »
  raport: narzędzia do szyfrowania e-maili – część II
• Firmowa sieć LAN zawsze bezpieczna »
  pełne wersje
• Bezpieczny kanał wirtualny »
  raport: wirtualne sieci prywatne – część I
• Bez limitów »
  Usługa Backup Online Bezpieczna Kopia