NEXT 2/2007 - E-maile pod kluczem

Mimo wielu zalet poczty elektronicznej wymiana informacji za jej pośrednictwem wcale nie należy do najbezpieczniejszych. O zapewnienie poufności danych musisz zadbać sam, szyfrując lub podpisując przesyłane wiadomości. Jednym z narzędzi służących do tego celu jest S/MIME.

Zdaniem redaktora

Paweł Małkowski redaktor działu Software i Internet Większość osób, nawet tych zawodowo zajmujących się administracją systemami IT, nie dostrzega potrzeby szyfrowania i cyfrowego podpisywania wiadomości. Do czasu, gdy wśród tysiąca, miliona czy nawet miliarda odebranych wiadomości elektronicznych trafi się jedna – fałszywa. Straty związane z jej otrzymaniem będą zależały od tego, na ile poważnie traktujemy korespondencję elektroniczną. Jeśli e-mail jest dla nas kluczowym środkiem komunikacji, bez wahania powinniśmy zadbać o jego zabezpieczenie za pomocą standardów PGP lub S/MIME.

Podstawowy protokół SMTP, wykorzystywany do przekazywania elektronicznych listów, został opracowany ponad 20 lat temu. W czasach gdy internet dopiero powstawał, nikt nie przykładał większej wagi do zapewnienia bezpieczeństwa. Oprócz SMTP, używanego do wysyłania poczty oraz rozsyłania jej między serwerami, do odbioru wiadomości stosuje się mechanizmy POP3 lub IMAP. Wszystkie one mają jedną podstawową wadę – są podatne na ataki. Transmisja danych odbywa się w postaci czystego tekstu, zatem możliwe jest podsłuchanie treści wiadomości oraz haseł. Kolejne z czyhających zagrożeń to podszywanie się pod inną osobę. Za pomocą odpowiednio spreparowanej wiadomości i użycia serwerów niewymagających autoryzacji nawet początkujący haker będzie mógł rozsyłać sfałszowane listy.

Szyfrowanie e-maili

Sposobów na zabezpieczenie poczty jest kilka. Najlepiej, gdy zastosujesz je wszystkie. Jedna z metod polega na wykorzystaniu protokołu SSL do szyfrowania transmisji danych między programem pocztowym a serwerem. Większość dostawców usług internetowych udostępnia takie funkcje. Wystarczy skonfigurować klienta pocztowego do pracy na portach: 995 dla POP3 i 465 dla SMTP. Wybierając dostawcę konta poczty elektronicznej, powinieneś także zwrócić uwagę na to, czy przed wysłaniem wiadomości wymagana jest autoryzacja użytkownika podczas łączenia z serwerem. Jest to dodatkowy mechanizm pozwalający ograniczyć możliwość podszywania się innym osobom pod twój adres e-mailowy.

Jednak skuteczne zabezpieczenie poczty możliwe jest dopiero za pomocą narzędzi do podpisywania i szyfrowania wiadomości. Choć istnieje kilka standardów realizujących te funkcje, w praktyce tylko dwa z nich uzyskały uznanie. PGP oraz S/MIME, bo o nich mowa, są stosowane zarówno przez osoby indywidualne, jak i firmy. W odróżnieniu od drogich rozwiązań korporacyjnych nie wymagają zbyt wielkich nakładów na ich wdrożenie, natomiast szeroka dostępność (przede wszystkim standardu PGP) sprawia, że z powodzeniem mogą być wykorzystywane do szyfrowania prywatnej poczty.

Zadaniem PGP i S/MIME jest zapewnienie prywatności e-maila (tylko osoba, do której kierowana jest dana informacja, może ją odczytać) oraz potwierdzenie tożsamości (czy nadawca – adres umieszczony w nagłówku listu – jest rzeczywiście tym, za kogo się podaje). Zarówno PGP, jak i S/MIME wykorzystują szyfrowanie asymetryczne. Technika ta polega na zastosowaniu dwóch kluczy: publicznego i prywatnego, z których pierwszy służy do szyfrowania wiadomości, natomiast drugi do jej odszyfrowania. Nadawca listu koduje go kluczem publicznym adresata. Jego odczytanie jest możliwe tylko przy użyciu klucza prywatnego należącego do osoby, do której skierowana jest przesyłka. Klucz publiczny jest ściśle powiązany z prywatnym, ale w przeciwieństwie do prywatnego powinien być ogólnie dostępny.

Więcej o systemie PGP, jego odmianach i sposobach użycia przeczytasz w pierwszym numerze magazynu NEXT na stronie 80. W tym wydaniu dokładniej przedstawiamy mechanizm S/MIME – mniej popularny w prywatnych zastosowaniach, natomiast bardziej ceniony przez firmy i instytucje. Oba standardy realizują te same zadania, ale nie są w żaden sposób ze sobą zgodne. Nie ma również możliwości współpracy między obydwoma systemami, zatem wiadomość zakodowana przez PGP nie może zostać odszyfrowana przy użyciu S/MIME i na odwrót. Powodem jest inny format przesyłanej informacji.

Na kłopoty S/MIME

S/MIME (Secure/MIME) jest jednym z rozszerzeń protokołu MIME wzbogacającym go o funkcje związane z szyfrowaniem i podpisywaniem wiadomości elektronicznych. Zaprojektowany przez RSA Data Security, został oparty na standardach PKCS #7 (format wiadomości) oraz X.509v3 (format certyfikatów), a następnie zaproponowany organizacji IETF (Internet Engineering Task Force) do akceptacji jako standard przemysłowy. S/MIME wykorzystuje technologię opartą na kluczu publicznym RSA (Rivest-Shamir-Adelman), a w wersji 3 także Diffie-Hellman (X.9.42). Używane algorytmy szyfrowania to: DES, RC2, IDEA i 3DES o długościach klucza odpowiednio 40, 128 i 156 bitów. Do podpisu stosuje się 128- i 160-bitowe algorytmy MD-5 i SHA-1.

Wykorzystanie dobrze znanej technologii MIME sprawiło, że S/MIME szybko zyskało uznanie producentów oprogramowania, którzy zaimplementowali jego obsługę w swoich produktach. Nie ma więc potrzeby instalowania dodatkowych modułów czy wprowadzania zmian w konfiguracji programów pocztowych. S/MIME jest bezpośrednio wspierane przez aplikacje działające na wielu platformach systemowych (Windows, Linux, Mac OS). Należą do nich m.in. Microsoft Outlook i Outlook Express, Mozilla Thunderbird, The Bat!, Lotus Notes, KMail i inne.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Poczta zawsze bezpieczna »
  raport: narzędzia do szyfrowania e-maili
• Poczta zawsze bezpieczna »
  Program do szyfrowania poczty
• Filtruj z Gmailem »
  zaawansowane filtry wiadomości w Gmailu
• Partycje pod kluczem »
  porównanie narzędzi do szyfrowania zawartości pamięci masowych
• Kamuflaż danych »
  raport: steganografia – ukrywanie danych