КАК ОБЕСПЕЧИТЬ ТАЙНУ ПЕРЕПИСКИ ЭЛЕКТРОННОЙ ПОЧТЫ

Кто знает, когда появилось первое письмо? Кто был его адресатом? Никто этого, наверно, не знает. И данный вопрос волнует только историков и лингвистов. Но есть проблема, которая касается всех нас в большей или меньшей степени.

Человек доверял бумаге свои мысли и чувства, военные секреты, коммерческие планы или описание острова сокровищ и надеялся, что посторонние глаза не увидят, не прочтут.

Увы! Как и много лет назад, так и теперь есть желающие проникнуть в тайну переписки. Кого-то волнует чужая личная жизнь, кто-то занимается шпионажем, а кто-то хочет навредить “ближнему” - поссорить друзей, испортить чью-то репутацию, подделать финансовый документ.

Все возможно – письма вскрываются, вместо одного документа вкладывается другой, подделываются подписи.

Человек борется за свою безопасность - придумывает шифры (от простейших типа шифра Цезаря до очень сложных, использующих элементы высшей математики), подтверждает (удостоверяет) подпись под документом печатью, создает нотариальные конторы.

Со временем многое изменилось. Обыкновенный документ все чаще заменяется электронным. А стишок «Кто стучится в дверь ко мне с толстой сумкой на ремне?» требует пояснения современному ребенку.

Итак, заветная кнопка нажата, и электронное письмо отправилось в путь. Этот путь может быть достаточно длинным – через города и страны по кабелям и спутниковым каналам через десятки компьютеров. Нужно помнить, что у электронного письма нет конверта (это хотя и весьма скромная, но все-таки защита от посторонних глаз).

Но, даже, если письмо благополучно преодолело расстояние и попало к адресату, мы не можем считать его в полной безопасности. И вот почему. Полученное электронное письмо хранится в базе почтового клиента. Злоумышленник, получивший доступ к компьютеру, сможет его прочитать. Кроме того, сам компьютер или его жесткий диск могу сломаться. Никто не даст гарантии, что мастера сервисного центра не заглянут одним глазком в чужие письма.

Не будем забывать и о потерянных ноутбуках и различных мобильных устройствах, на которых хранились почтовые базы. Кто знает, в чьи руки они попадут или уже попали? Если же для работы с электронными письмами пользоваться веб-интерфейсом почтового хостинга, то возможность читать их и писать от вашего имени есть и у хакера, подобравшего пароль к вашей учетной записи, и у спецслужб, которым владелец хостинга предоставил доступ к учетным записям своих клиентов.

Кто может помешать Вашей переписке или воспользоваться ею?

Во-первых, администраторы всех Internet-узлов, через которые проходит отправленное письмо. Хотя это и запрещено, но не все законопослушны. Иногда это простое любопытство, а бывает и корыстный интерес.

Во-вторых, спецслужбы, о которых уже упоминалось выше. Уже не первый раз поднимается вопрос о праве этих организаций на беспрепятственный доступ ко всей электронной почте. А скандальные события последнего времени с перлюстрацией электронной корреспонденции миллионов жителей во всех странах мира явное тому подтверждение.

В-третьих, существует такая вещь, как промышленный шпионаж. Иногда достаточно уловить какую-то мелкую деталь, чтобы по ней восстановить всю идею в целом. В этом случае очень трудно доказать авторские права, не говоря уже о материальном и моральном ущербе.

В-четвертых, немало найдется желающих перехватить у конкурента выгодного клиента - и все средства в этом деле хороши. Кроме того, можно подменить письмо с целью компрометации кого-либо.

В-пятых, вокруг нас немало любопытных глаз, старающихся проникнуть в "тайны" нашей личной жизни, которая принадлежит только нам.

Как же в таком случае узнать руку автора, как удостовериться, что никто без его разрешения не внес какие-либо изменения? Как защитить свои тайны от посторонних глаз? Как известно, безвыходных положений не бывает!

Рассмотрим первую опасность. Если место рукописного текста занял файл, то место подписи заняла электронно-цифровая подпись (ЭЦП). Но, в отличие от обыкновенной "человеческой" подписи, ЭЦП не только определяет личность автора, но и жестко привязана к содержанию подписанного ею документа. Любые изменения, произведенные злоумышленником, автоматически при проверке будут выявлены. Подписать электронный документ и проверить его подлинность, зашифровать и расшифровать его можно с помощью специальной технологии - инфраструктуры защиты информации на основе открытых ключей. Каждый входящий в нее обладает парой ключей: открытым и секретным. Специальная организация Центр сертификации открытых ключей взяла на себя функции "электронной нотариальной конторы". Этот Центр выдает сертификаты открытых ключей пользователей. После получения подобного сертификата можно будет воспользоваться двумя встроенными функциями почтовых клиентов - «подписать письмо» (разумеется речь идет о цифровой подписи) и «зашифровать письмо».

В Интернете можно найти подобные организации, которые выдают требуемые сертификаты бесплатно или за деньги.

Компания Microsoft рекомендовала следующие Центры сертификации открытых ключей:

• ARX CoSign Digital Signatures, который предлагает получить свой собственный цифровой сертификат (Digital ID) для подписывания не только электронных писем в Outlook, но и электронных документов в приложениях Microsoft Office (2000/XP/2003/2007).

• ChosenSecurity , позволяющий получить Digital ID не только для любых почтовых клиентов, поддерживающих стандарт S/MIME, но и приложений Microsoft Office.

• Центр сертификации компании Comodo (Comodo Email certificates), предназначенный для выдачи сертификатов открытых ключей, которые используются для подписывания и шифрования электронных писем.

• My Credential компании GeoTrust и GlobalSign PersonalSign & ObjectSign компании GlobalSign, позволяющие получить Digital ID для Microsoft Office Outlook.

• VeriSign, выдающий пользователям Digital ID для защиты электронных писем.

Кроме того, можно воспользоваться бесплатными сервисами компании Dekart (Молдова) и университета Winscosin-Madison (США).

А вторая опасность преодолевается за счет использования зашифрованного виртуального диска, на котором будут храниться почтовые базы почтовых клиентов. Виртуальный зашифрованный диск представляет собой обычный файл – так называемый файл-образ диска, в котором данные хранятся в зашифрованном виде. После подключения файла-образа (с помощью той или иной программы) операционная система видит его, как обычный диск. Файл-образ виртуального зашифрованного диска может иметь любое имя, любое расширение и любой путь доступа к нему (иногда даже сетевой). Подключение зашифрованного диска и работа с зашифрованными данными возможны только после ввода пароля или при предъявлении специального устройства (смарт-карты, флэш-диска, токена и т.п.). Далее приведем описание некоторых программ по созданию виртуальных зашифрованных дисков.

Private Disk / Private Disk Multifactor

Производитель - Dekart (Молдова).

Ключи шифрования генерируются программой, а затем хранятся в файле-образе диска, а их резервная копия в отдельном файле. Используется алгоритм шифрования AES – 256. Программные модули, реализующие алгоритмы AES и SHA, были сертифицированы в NIST. Доступ к диску может осуществляться как по паролю, так и с помощью смарт-карт, токенов, флэш-дисков (т.е. любых устройств, определяемых операционной системой как съемный носитель), а также посредством биометрической идентификации. Предусмотрено архивирование содержимого виртуального диска.

Размер зашифрованного диска может достигать 1000 GB. Файл-образ зашифрованного диска может храниться в сети. При необходимости может быть обеспечен многопользовательский режим доступа к зашифрованным данным.

Поддерживаемые операционные системы - Windows 95/98/ME/NT4/2000/2003/XP/Vista/7.

Виртуальный диск может монтироваться как вручную, так и при старте операционной системы. Демонтирование диска может осуществляться вручную или по “горячей” клавише или после периода неактивности пользователя.

Кроме того, программа предоставляет дополнительные средства защиты информации:

• возможность изменения времени последнего доступа к зашифрованному диску;

• функцию FireWall;

• возможность изменения свойств файла-образа (скрытый, только для чтения).

Для восстановления данных в программе предусмотрена возможность создания резервной копии диска и ключа шифрования, а также встроена опция для восстановления забытого пароля.

Secret Disk

Производитель - Аладдин Р.Д. (Россия)

Так же как и в Dekart Private Disk, ключи шифрования создаются самой программой и хранятся в файле-образе диска и в отдельном файле. Данная разработка использует алгоритмы шифрования, реализованные в криптопровайдерах, а именно AES с длиной ключа 128 и 256 бит; Twofish с длиной ключа 256-бит, RC2 с длиной ключа 128-бит (используется по умолчанию); Triple DES с длиной ключа 168-бит, ГОСТ 28147-89 с длиной ключа 256-бит. Доступ к зашифрованному диску осуществляется либо по паролю, либо с помощью специального электронного ключа eToken, различные модификации которого выпускает компания Аладдин Р.Д.

Зашифрованный диск при необходимости может «растягиваться» до предварительно указанного размера. Максимальный объем зашифрованного диска - 2000 GB.

Если подключен сетевой диск, то файл-образ можно хранить в сети.

В программе предусмотрен многопользовательский режим работы.

Программа работает в среде операционных систем Windows XP/Vista/7, а также Novell NetWare.

Виртуальный диск может монтироваться как вручную, так и при старте операционной системы. Демонтирование диска может осуществляться вручную или по “горячей” клавише.

Предусмотрено архивирование содержимого виртуального диска, а также экстренное уничтожение информации.

Программа имеет Сертификат соответствия ФСТЭК России №1742/1.

Strong Disk

Производитель - компания PhysTechSoft (Россия).

Ключ шифрования создается программой и хранится в файле-образе диска или в отдельном файле. Программа позволяет шифровать данные с помощью одного из следующих алгоритмов– AES c длиной ключа 128 и 256 бит, Blowfish c длиной ключа 128 и 448 бит, Cast, 3DES, ГОСТ. Поддерживаются операционные системы Windows 2000/ XP/ Vista/ 7/ 8.

Доступ к виртуальному диску возможен по паролю либо с помощью USB-носителя, электронного ключа, или файла-ключа.

Максимальный размер файла-образа (NTFS) – 16000 GB. Зашифрованный диск может «растягиваться».

Монтирование диска выполняется вручную или по “горячей” клавише, а демонтированияе диска может осуществляться как вручную, так и по “горячей” клавише или по истечению заданного промежутка времени. В качестве дополнительного средства защиты предусмотрена опция экстренного уничтожения данных.

PGPDisk

Производитель - Symantec (США).

Генератором ключей является программа, в которой реализован алгоритм шифрования AES с длиной ключа 128 и 256 бит. Сами ключи хранятся в файле-образе диска. Доступ к диску возможен только по паролю. Поддерживаются операционные системы -Windows XP/ Vista/ 7, Windows Server 2003/ 2008, Apple Mac OS X, 10.7.x, 10.8x (Intel), Ubuntu 10.04 LTS, Red Hat Enterprise Linux 5.4 - 6.2.

Объем файла-образа не может превышать 16000 GB.

«Подключение» диска выполняется вручную, а демонтирование - вручную, по “горячей” клавише, или по истечению заданного времени.

Программа прошла сертификацию FIPS140-2, CAPS-approved, DIPCOG-approved, CC EAL 4+.

BestCrypt

Производитель - Jetico (Финляндия).

Шифрование данных осуществляется с помощью одного из следующих алгоритмов - Blowfish, DES, GOST, Twofish. Ключи хранятся в файле-образе диска. Генератором ключей является программа. Доступ к диску осуществляется только по паролю.

Программа может функционировать в следующих операционных системах - Windows 95/ 98/ ME/ NT4/ 2000/ 2003/ 2008/ XP/ Vista/ 7/ 8. Если подключен сетевой диск, то файл-образ можно хранить в сети. На объем файла-образа накладывается ограничение - 2000 GB.

Диск может монтироваться как вручную, так и при старте операционной системы, а демонтироваться диска - вручную, по “горячей” клавише или по истечению времени.

Как видно, у вышеперечисленных программ базовые функции идентичны. Критерии для выбора средства защиты у каждого пользователя свои. На мой взгляд, программы, предлагающие различные алгоритмы шифрования, ориентированы в основном на специалистов в области информационной безопасности. Обычному пользователю оптимально использовать программу с одним алгоритмом шифрования при условии, что алгоритм принят в качестве стандарта, а его реализация сертифицирована. Это обусловлено следующими обстоятельствами. Во-первых, описание алгоритма опубликовано. Во-вторых, его надежность (криптостойкость) подтверждена специалистами. В-третьих, специалисты организаций по стандартизации в области криптографии отслеживают ситуацию в сфере информационной безопасности и своевременно устаревший (утративший стойкость) алгоритм, принятый в качестве стандарта, на более надежный. В-четвертых, прохождение процедуры сертификации программного продукта позволит его авторам убедиться в том, что их разработка полностью соответствует стандарту.

Разумеется, любые, даже самые надежные, средства защиты будут бесполезны, если человек не будет соблюдать правила простейшей компьютерной безопасности.

• Отправлять письма нужно в зашифрованном и подписанном виде.

• Шифровать свои данные необходимо самому на своем компьютере.

• Нужно использовать только надежный пароль (пароли типа «1111» или «qwerty» надежными, разумеется, не считаются).

• Нельзя хранить пароль доступа на памятке рядом с компьютером.

• Нельзя отходить от компьютера, не отключив предварительно зашифрованный диск.

• Необходимо регулярно делать резервные копии зашифрованных дисков.

Итак, на вопрос «Кто нам гарантирует безопасность электронной переписки?» можно ответить – «Только мы сами! А инструменты для этого найдутся….»

Источник: Daily.sec.RU - https://daily.sec.ru/publication.cfm?pid=42438

Опубликовано: 25.09.2013