поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Защищенный и аутентифицированный обмен данными по электронной почте

Обмен

В рабочем процессе организаций, работающих, например, с экспертами, или другим широким кругом абонентов, не всегда даже являющихся непосредственными сотрудниками организации, постоянно осуществляется обмен информацией с удаленными абонентами, находящимися, вне охраняемого контура организации. В зависимости от того, что следует доставить и где располагается получатель, средства передачи могут различаться - это может быть почта, экспресс почта, курьерская доставка. Регламент обмена информацией особенно важен в тех случаях, когда приходится работать с документами, для которых принципиально важным является авторство конкретного человека и неизмененность содержания. Документ в твердой копии, сшитый, нотариально заверенный и скрепленный собственноручной подписью, - не только сложно получить (и передать!), но и неудобно хранить и использовать (предоставлять по запросам, и прочее). При этом проверка подлинности подписи и атрибутов нотариальных полномочий заверившего ее нотариуса представляет собой отдельную важную задачу (многие ли могут на глаз четко определить, действительно ли это подпись нотариуса? Многие ли обращаются к нотариусу с просьбой о проверке по журналам?). Очевидно, что сегодня необходим способ обмена информацией, который позволит быстро и удобно предоставить информацию всем участникам, но при этом не снизит доверия к аутентичности полученного документа.

Оперативность

Электронная почта на сегодняшний день является наиболее популярным и привычным способом деловой переписки, как между организациями, так и в пределах одного учреждения. Почему электронную почту можно взять в качестве основы для построения системы оперативного обмена информацией:

  • Это привычный способ обмена информацией.
  • Можно передавать различные форматы электронных документов
  • Скорость доставки высока, также существует возможность отложенной доставки
  • Получение электронного сообщения возможно из любого местоположения, где есть сеть Интернет.

Аутентичность и целостность

Передаваемые документы могут носить конфиденциальный характер или просто должны быть недоступны для ознакомления третьим лицам. Кроме этого, получающая сторона должна быть уверена в источнике (отправителе) и подлинности (неизмененности) полученной информации.

Стандартные протоколы (SMTP, POP3, IMAP4), которые применяются для работы с электронной почтой, не содержат механизмов защиты пересылаемых электронных сообщений, поэтому при передаче сообщение может быть легко перехвачено и изменено. Именно по этой причине электронная почта считается ненадежным каналом передачи чувствительных данных.

Существующие решения по защите электронной почты

Для решения проблемы безопасного обмена данными производителями почтовых клиентов разработаны дополнительные средства защиты информации пользователя, передаваемой в сети.

Например, клиенты Microsoft Outlook и Microsoft Outlook Express имеют встроенные возможности отправлять защищенные сообщения с помощью функций Crypto API 2.0 и сертификатов открытых ключей формата X.509.

Этот способ имеет два основных недостатка:

1) сертификаты открытых ключей - платные, и получить их гражданин может только лично по предъявлении целого ряда документов, то есть вменить в обязанность, например, внешним экспертам приобрести сертификаты для обмена данными с организацией не всегда удобно, а решить этот вопрос централизованно заранее с учетом возможного расширения круга экспертов организация не может;

2) клиенты Microsoft Outlook и Microsoft Outlook Express не работают с российскими криптографическими алгоритмами - для того чтобы организовать обмен на сертификатах ГОСТ, необходимо «патчить» операционную систему.

Существуют возможности подключения к почтовым клиентам дополнительных модулей защиты от сторонних производителей. Так в настройках почтового клиента The Bat! можно указать версию PGP и использовать средства защиты данного программного продукта.

Однако и у этого способа есть недостатки:

1) PGP также не работает с российскими алгоритмами;

2) PGP сложна в настройке для пользователя, не являющегося специалистом или увлеченным любителем криптографии.

Однако самая важная причина, по которой данные решения по защите электронной почты не решат до сих пор задачи организации защищенного обмена данными, связана с уровнем безопасности: это программные средства.

Если ключевая информация хранится на компьютере, на котором установлена программа, а злоумышленник может получить доступ к компьютеру, то он сможет получить доступ и к криптографическим ключам, а, следовательно, он может, например, отправить сообщение с ЭЦП от лица, которому принадлежит данный компьютер и полученные ключи.

При этом сам легальный владелец ключей не может отправлять защищенную почту с других ПК, даже если там настроена его учетная запись, так как на других ПК нет его ключей.

Существует также масса способов перехвата ключей из оперативной памяти в момент выполнения преобразований, поэтому даже если хранятся ключи на отчуждаемых носителях, они могут быть похищены.

Широко известно, что один из наиболее распространенных на сегодняшний день видов вредоносных программ - это трояны, распространяемые со спамом и перехватывающие ключи.

Кроме того, сами криптографические алгоритмы, если они реализованы программно и выполняются в оперативной памяти ПК, могут быть несанкционированно модифицированы, и результат вычислений будет не правильный, а тот, что нужен злоумышленнику.

Это именно те причины, по которым обмен по электронной почте не принято считать доверенным каналом обмена информацией.

Система обмена сообщениями может считаться защищенной, если она соответствует следующим требованиям:

1. Все критичные вычисления (криптографические преобразования) производятся в доверенной среде

2. Все критичные с точки зрения безопасности данные (криптографические ключи) на всех этапах своего жизненного цикла (создание, хранение, применение) находятся в доверенной среде

3. Сообщения, обмен которыми производится с применением системы, должны быть защищены во всех точках, в которых на них могут быть осуществлены атаки:

- при создании (отправка ложного сообщения от чужого лица)

- при передаче (перехват сообщения с целью его чтения, искажения или удаления)

- при получении (получение сообщения тем, кому оно не предназначено).

Безусловно, специалистам хорошо известны решения по организации защищенной корпоративной электронной почты, однако в случаях работы с удаленными абонентами, такими как эксперты, аудиторы, инспекторы - применение таких решений почти невозможно, так как накладывает слишком большую материальную и организационную нагрузку на процесс, для которого передача по электронной почте не является одной из основных задач. Как правило, при этом просто производится выбор между защищенностью и оперативностью, и либо не используют электронную почту, либо используют ее «как есть», незащищенной, зато оперативной и удобной.

Система обмена сообщениями может считаться оперативной, если она соответствует следующим требованиям:

  1. Ее применение не сказывается существенным образом на оперативности обмена в сравнении с простым обменом сообщениями по электронной почте.
  2. Ее настройка не требует специальных знаний и навыков.
  3. Ее использование не связано жестко с работой только на одном рабочем месте, возможна работа на разных компьютерах без потери уровня защищенности.

Предлагаемое решение

Обе эти задачи - безопасные вычисления и простота настройки - решаются применением программно-аппаратного комплекса (ПАК) Privacy, в состав которого входит ПСКЗИ ШИПКА (аппаратное средство криптографической защиты информации) и ПО Privacy.

 PRIVACY - это программно-аппаратный комплекс, аппаратной частью которого является ПСКЗИ ШИПКА, а программной - набор модулей для

- работы с ключами,

- шифрования файлов и папок,

- защиты (с помощью шифрования и ЭЦП) сообщений электронной почты,

- защиты (с помощью шифрования и ЭЦП) мгновенных сообщений (ICQ и т. п., далее - ICQ),

- работы с защищенными виртуальными дисками.

Программная часть комплекса является интерфейсом для использования функций ШИПКИ, то есть все криптографические преобразования и работа с ключами производятся исключительно процессором ШИПКИ, а не в ОС компьютера, на котором установлен PRIVACY.

ПАК PRIVACY - это инструмент для использования инфраструктуры открытых ключей для решения личных и корпоративных задач защиты информации. При этом Privacy работает не только с импортной, но и с российской криптографией, являясь интерфейсной программной надстройкой над сертифицированным по классу КС3 российским криптосредством.

ПАК Privacy имеет следующие принципиальные преимущества перед другими средствами обеспечения защищенного обмена данными по электронной почте:

  • Предлагаемое решение аппаратное. Все вычисления осуществляются ПСКЗИ ШИПКА, закрытая ключевая информация не покидает устройства.
  • ПАК Privacy легко настраивается и не требует внесения изменений в настройки почтовых клиентов.
  • Настройки обработки сообщений для всех учетных записей хранятся в устройстве, поэтому пользователи могут отправлять сообщения с разных компьютеров в защищенном виде.

 В предлагаемой системе оперативного обмена информацией с применением ПАК Privacy на базе ПСКЗИ ШИПКА реализован подход организации пространства открытых ключей с помощью сети доверия или системы поручителей. Это подход альтернативный использованию Удостоверяющих центров, которые возлагают на себя задачи проверки подлинности связи между открытым ключом субъекта и информации, которая его идентифицирует (и услуги которых, к слову, являются платными).

Инфраструктура открытых ключей в Privacy организована по принципу «сети доверия», известному в наибольшей степени по программе PGP. «Сеть доверия» (Web of trust) - это система, в которой в качестве метода подтверждения принадлежности открытого ключа тому или иному пользователю применяется подписывание ключей, подлинность которых установлена, непосредственно пользователями. В этом случае решение о доверии тому или иному ключу пользователь принимает самостоятельно, под свою ответственность, на основании доверия тем доводам, которые он сам считает достаточными (сличение «отпечатка», наличие подписи лица, которому он доверяет на ключе, которому он доверяет, и т. д.).

При этом, конечно, нельзя забывать о том, что решение о доверии ключу может быть принято пользователем легкомысленно, безосновательно или ошибочно. Поэтому для построения защищенного обмена сообщениями по электронной почте в организации целесообразно вменить проверку подлинности ключей специально назначенному ответственному лицу или подразделению, которое будет подписывать ключи своим ключом, гарантируя их подлинность. Это может производиться одновременно с выдачей новому участнику взаимодействия ШИПКИ и ПО Privacy и сопровождаться регистрацией участника, серийного номера его ШИПКИ и свойств его ключевой пары в специальном журнале. Подробнее об одном из вариантов организации корпоративной системы распределения ключей с помощью Privacy читайте тут.

После того, как в ШИПКЕ нового участника взаимодействия создана ключевая пара для защиты обмена сообщениями в организации, ее открытый ключ подписан уполномоченным сотрудником организации и зарегистрирован в журнале вместе с серийным номером ШИПКИ и ФИО участника взаимодействия, указанный ключ, подписанный уполномоченным лицом, передан в ШИПКУ сотрудника, который будет осуществлять взаимодействие со стороны организации, а открытый ключ его ключевой пары, необходимым образом заверенный, передан в ШИПКУ абонента и верифицирован им (то есть доверие ключу подтверждено), необходимо настроить правила для обработки исходящих сообщений (например «при отправке сообщения с вложением в адрес организации, шифровать и подписывать его», или «при отправке сообщения с темой «заключение» в адрес организации, подписывать его ЭЦП») и включить защиту. Дальнейшая работа с электронной почтой выполняется точно так же, как и до установки средств защиты.

В случае, когда создаются условия для защищенной переписки не между отдельно взятыми частными лицами, а между организацией и неким кругом ее абонентов, целесообразно правила обработки сообщений устанавливать не на вкус абонентов, а по регламенту. Более того, в этом случае организация может взять это на себя, сняв с абонентов излишнюю нагрузку. Поскольку пользователь волен сменить PIN-код ШИПКИ в любое время, и без знания нового PIN-кода доступа к устройству никто не получит, а закрытые ключи «переписать» из устройства каким-либо образом невозможно, вероятность компрометации ключей или иного злоупотребления со стороны персонала при осуществлении настройки Privacy для нового абонента практически исключена.

Обработка Privacy исходящих и входящих сообщений электронной почты осуществляется в процессе отправки/получения сообщений. Но предусмотрен механизм, позволяющий выполнить расшифровывание или проверку ЭЦП тех сообщений, которые были получены, когда защита по какой-то причине была отключена. Но в любом случае для этого необходимо подключение ШИПКИ - без этого невозможно ни отправить зашифрованное и/или подписанное сообщение, ни прочитать входящее защищенное сообщение.

В то же время владелец устройства может отправлять обработанные сообщения с любого компьютера, на котором настроена защищаемая учетная запись электронной почты, так как все правила обработки для ученой записи сохраняются в ПСКЗИ ШИПКА, которую он носит с собой.