Защищаем личную перепискуАвтор: Михаил Брод
Опубликовано: 27.11.2013
Источник: SoftKey.info  Множество громких скандалов на различных уровнях - будь это межгосударственные отношения, внутригосударственные, финансовые или личные - оказалось связано с доступом и перлюстрацией личной переписки. Пострадали от этого не только пользователи общедоступных почтовых серверов или социальных сетей, но и лица, облеченные властью - депутаты и гос. служащие, лидеры европейских государств и сотрудники ООН.
При этом в ряде случаев перлюстрацией личной и деловой переписки занимались (и занимаются) официальные органы. За примерами далеко ходить не надо. Достаточно вспомнить хотя бы то, что представителям Российских спецслужб удалось согласовать вариант приказа Минкомсвязи, в соответствие с положениями которого, начиная с июля следующего года, все интернет-провайдеры должны в обязательном порядке установить специальное оборудование, предназначенное для записи и хранения информации о пользовательском трафике.
Под наблюдением спецслужбы будут находиться не только телефонные номера, имена учетных записей, IMEI мобильных аппаратов, но и адреса электронной почты и IP-адреса всех пользователей социальных сетей. Ну а там недалеко и до доступа к почтовым сообщениям, хранящимся на публичных почтовых серверах.
При этом всем понятно, что подавляющее большинство пользователей электронную почту использует либо для личной переписки, либо по рабочим вопросам, к сфере интересов ФСБ никакого отношения не имеющих. Личная - она и есть личная, и вряд ли найдутся желающие, чтобы посторонние лица могли иметь к ней доступ. Как следствие встает вопрос - каким образом можно защитить свою личную или корпоративную переписку от перлюстрации.
Как ни жаль, но следует отказаться от работы с публичными почтовыми сервисами - и не важно при этом, находятся они в России или за рубежом - и те, и другие так или иначе сотрудничают, либо будут вынуждены сотрудничать, с силовыми органами. А это значит, что доверия они не вызывают. Социальные сети, облака - их также нельзя назвать доверенными средами для хранения или передачи вашей деловой, да и личной тоже, переписки.
Для обеспечения защиты деловой переписке правильным решением будет развертывание в организации собственного почтового сервера. А для личной - защита переписки путем ее шифрования при отправке. Также желательно защищать и базы почтовых клиентов. Эти задачи могут быть решены при использовании широко распространенной почтовой программы The Bat!
Итак, что может предложить этот почтовый клиент для защиты вашей переписки. Во-первых, вы можете закрыть доступ к почтовому ящику паролем. Для этого через контекстное меню надо выбрать опцию "Пароль на доступ к ящику" и в открывшемся окне дважды ввести новый пароль. Для снятия пароль нужно ввести пустую строку. Все хорошо, но пароль доступа позволяет контролировать лишь доступ к вашей переписке через интерфейс почтового клиента. Но злоумышленник все равно сможет прочитать письма (пусть это будет и не очень удобно), открыв файл почтовой базы в текстовом редакторе, либо подключив эту базу к другой почтовой программе.
Впрочем, "летучая мышь" поможет вам защитить и почтовые базы (в профессиональной версии). Решается это двумя способами, но принять решение - будете ли вы защищать базы или нет - в любом случае необходимо до того, как вы приступите к формированию почтовых ящиков. Дело в том, что при выборе защиты ваши базы данных будут шифроваться и, поэтому, будут иметь несколько иную структуру, нежели обычные базы этого почтового клиента. Шифроваться будут все почтовые ящики, сколько бы их у вас не было, а также все адресные книги. Словом, вся информация, связанная с вашей почтой, будет храниться только в зашифрованном виде.
Первый вариант шифрования основан на использовании пароля. Пароль нужен для получения доступа к файлу mastrkey.dat, содержащему ключ шифрования. Этот ключ формируется при первом запуске программы и хранится в ключевом контейнере PKCS#12. Будьте аккуратны при работе с "летучей мышью" и шифровании баз данных - если будет удален файл mastrkey.dat, то получить доступ к базе не представится возможным, даже в случае установки программы в другом месте с тем же паролем и копировании mastrkey.dat
Для шифрования базы писем, адресных книг и файлов конфигурации используется алгоритм AES в режиме CBC с размером ключа 128 бит. Чтобы получить доступ при запуске программы необходимо ввести пароль. При работе с почтовым клиентом шифрование и расшифрование происходит "на лету" и не оказывает существенного влияния на скорость работы.
Второй вариант, более надежный и удобный, заключается в использовании аппаратных брелков безопасности. В настоящее время поддерживается два типа таких устройств - ikey1000 и eToken. Каждый брелок содержит уникальный 64-битный фабричный серийный номер, который отличает его от всех остальных. Брелок также имеет настраиваемое пользовательское имя, что идентифицирует его более удобным способом, например "Брелок для почты".
Рассмотрим, что необходимо выполнить на подготовительном этапе, чтобы можно было использовать брелок для шифрования почтовых баз. Первое, что необходимо сделать - установить драйвера для брелка. Затем потребуется выполнить две задачи - активировать токен и записать на него специальный идентификатор, который будет использоваться для шифрования. Идентификатор состоит из 3 компонентов: 128-битового ключа шифрования, отличительного имени пользователя и текстового описания. Он хранится в токене и извлекается из него при запуске The Bat! Professional.
Активация токена производится с помощью специальной утилиты из состава программы Token Manager. Для активации потребуется ввести номер заказа (счета), полученный вами от вендора. Утилита активации произведет подключение к серверу разработчика и в окне браузера вы увидите код, который надо будет скопировать и вставить в форму утилиты активации.
Активация токена означает, что серийный номер этого токена и номер лицензии подписывается открытым ключом компании Ritlabs. Активация служит для предотвращения незаконного копирования программы. Она не связана с защитой данных, не содержит ключей шифрования. Активировать токен достаточно один раз. При этом в токен записывается результат наложения электронно-цифровой подписи, и, если не переформатировать токен, то дальнейших активаций не потребуется.
Также на этом этапе можно изменить отображаемое наименование токена для удобства использования. На этом первый этап настройки завершен.
На втором этапе работаем с программой Token Manager. Если почтовый клиент используется в организации как основной, данную программу лучше всего установить администратору для централизованной настройки и управления ключами (токенами).
В руках администратора программа - это средство управления всеми ключами, обеспечение привязки ключей к токенам, а также удаление с токенов не нужных ключей. Следует отметить, что на одном токене может быть несколько различных ключей, каждый из которых будет обеспечивать возможность подключения к одной из инсталляций почтового клиента. Новый ключ шифрования создается при формировании нового идентификатора (ID), а это значит, что даже если создавать новый идентификатор с тем же именем и текстовым описанием, ключ шифрования у него будет иной. Рекомендуется поэтому хранить сформированные ID либо в программе управления токенами, либо делать их резервные копии на другие носители.
Итак, с помощью Token Manager необходимые ключи записываются на токен. Для дополнительной защиты доступа к ключам используется PIN-код.
При первичной установке почтового клиента вы можете выбрать защиту данных с использованием ключей, записанных на токен. В этом случае установщик потребует подключить токен к компьютеру, а после обнаружения его и ввода PIN-кода покажет все ключи, которые записаны на токене. Теперь самое главное - выбрать для установки тот ключ, с которым на этом рабочем месте будет работать пользователь - сменить ключ после установки и формирования почтовых баз будет невозможно без их полного удаления.
При дальнейшем использовании The Bat! программа будет определять наличие подключенного токена, считывать с него ID (для этого нужно будет вводить защитный PIN-код), и, используя 128-битный ключи шифрования, предоставлять доступ к почтовым базам, конфигурационным файлам, адресным книгам. Если токен отсоединить от компьютера, почтовый клиент закроет все свои окна и запросит пользователя - собирается ли он завершить работу без сохранения выполненных изменений, либо подключить токен для продолжения работы. Отсоединение токена можно использовать и для экстренного завершения работы и выхода из программы. Необходимо отметить, что реализованное в почтовом клиенте шифрование "на лету" практически не сказывается на скорости работу программы.
Таким образом можно защитить информацию, которая хранится на вашем компьютере. А вот для защиты почтовых сообщений при их пересылке адресату требуется шифровать сами сообщения. Рассмотрим решение этой задачи с использованием внешнего криптопровайдера и сертификатов, выпускаемых удостоверяющим центром. Для шифрования писем потребуется два сертификата - один ваш собственный, чтобы вы могли расшифровать свое сообщение. Второй сертификат - сертификат получателя письма (можно шифровать и в адрес нескольких получателей, тогда потребуются сертификаты каждого).
Каковы особенности сертификата, который вы будете использовать для шифрования или подписи сообщений? Он обязательно должен содержать тот почтовый адрес, с которого вы будете отправлять почту. Именно по этому признаку программа The Bat! позволяет связывать сертификат с отправителем или получателем. Поэтому, если у вас есть несколько почтовых адресов, для шифрования и подписи писем на каждом потребуется отдельный сертификат.
В общем случае, связывание сертификата с пользователем или респондентом выполняется по единому принципу за счет импортирования сертификата из файла. Разница лишь в том, что связать пользователя с его сертификатом удобнее через свойства почтового ящика, а респондента - через адресную книгу. После того, как сертификаты будут импортированы, вы сможете подписывать свои письма (используя личный сертификат), либо шифровать письма на получателя (и не забывать при этом шифровать и на себя). Как выполнить эти действия, и как настроить свою программу на автоматическое шифрование или подпись, довольно подробно сказано в документации.
Остается добавить, что для шифрования и подписи можно использовать как стандартные криптопровайдеры, входящие в состав операционной системы Windows, так и некоторые российские сертифицированные криптопровайдеры. На текущий момент поддерживается работа с криптографическими программами таких компаний, как "Крипто-ПРО" и "Сигнал-КОМ".
Подводя итог, можем сделать следующий вывод. Почтовый клиент The Bat! дает пользователю различные возможности защиты своей личной или корпоративной переписки. Возможности разные - от простейшей защиты доступа установкой пароля, до шифрования как всей локальной почтовой базы, так и отдельных писем. Это обеспечивает защиту как на локальном компьютере или в локальной сети, так и защиту от перлюстрации почты при прохождении ее через общедоступные почтовые сервера и сети Интернет.
|
