Продолжаем шифровать корреспонденцию, используем электронные подписи

Электронная подпись S/MIME

Цифровая подпись представляет идеальное решение для людей, не имеющих существующего согласованного тайного ключа. Вы можете взять открытый ключ адресата из любого открытого источника, например, с его интернет-сайта, после чего зашифровать сообщение и отправить. Никто, кроме получателя с соответствующим закрытым ключом, не сумеет прочитать ваше письмо.

Цифровую подпись можно использовать и в PGP, но если почтовый клиент не содержит встроенной PGP-защиты (как, например, Outlook Express), то применять цифровую подпись с помощью PGP довольно проблематично — для этого нужно устанавливать специальное программное обеспечение.

S/MIME расшифровывается как Secure/Multipurpose Internet Mail Extensions.

S/MIME представляет собой реализацию криптографической системы с асимметричным ключом. Система может использоваться для добавления электронной подписи к вашим почтовым сообщениям и для их шифрования.

В случае применения электронной подписи для электронных писем подписанное таким образом сообщение передается в «читабельной» форме, то есть в незашифрованном виде, однако получатель письма имеет возможность убедиться в том, что автором сообщения и в самом деле являетесь вы, более того, электронная подпись дает возможность убедиться в том, что это сообщение не было никем изменено «по дороге». При этом получателю письма для подобной проверки не требуется никакой дополнительной информации, так как публичная часть S/MIME-сертификата отправителя подписанного письма (необходимая для процесса «сверки» подписи) передается сразу же вместе с подписанным письмом.

Используя S/MIME, вы можете подписать ваше сообщение цифровой подписью, так что получатель сможет, во-первых, удостовериться в том, что сообщение было действительно отправлено вами; но еще и убедиться в том, что содержимое сообщения не было изменено и что оно было получено абсолютно в том же виде, в каком было отправлено вами.

Цифровая подпись поможет вам зашифровать ваше сообщение так, что только получатель сможет прочитать его, даже если сообщение было перехвачено в процессе передачи или было скопировано с сервера.

Такая система с асимметричным ключом отличается от традиционной (работающей с симметричным ключом) в первую очередь тем, что вам не придется сообщать вашему корреспонденту по телефону или каким-либо иным методом пароль, не нужно отправлять открытый ключ, который вы использовали для пересылки ему секретных сведений: система с асимметричным ключом сделает это за вас.

При работе с S/MIME, как и в PGP, нужно иметь два ключа — открытый и закрытый, но метод получения этих ключей в этом случае будет несколько иной. Ключи получают вместе с так называемым сертификатом, то есть некой информацией о пользователе, позволяющей определить, что он — именно тот, за кого себя выдает. Сертификат можно сравнить с неким электронным паспортом, своеобразным удостоверением личности в цифровом мире.

Сертификат будет состоять из двух частей — секретного ключа и публичного ключа.

Это похоже немного на обычную почту, где письмо или бандероль вам выдадут после предъявления удостоверения личности. Для электронных писем таким удостоверением как раз и является цифровой сертификат, выдаваемый независимой организацией.

Сертификат представляет собой набор данных и состоит из следующих частей:

• имя человека или организации, выпускающей сертификат;
• для кого был выпущен данный сертификат (субъект сертификата);
• публичный ключ субъекта;
• временные (срок действия сертификата и т.п.) и некоторые другие параметры.

Сертификат выпускается специальной организацией — Доверенным Центром Сертификации (Certificate Authority). Этот центр представляет собой сторону, которой доверяют все стороны, участвующие в обмене информацией. Для успешного обмена электронными сообщениями все стороны должны знать Открытый Ключ Центра Сертификации. Современные интернет-приложения (браузеры, почтовые клиенты) имеют встроенный список Trusted Authorities (Доверенных источников сертификатов), а также открытые ключи этих источников.

Вы должны защищать свой сертификат от несанкционированного доступа, и уж в любом случае не сообщать никому пароль, которым защищен ваш сертификат.

Для использования возможностей S/MIME прежде всего вам необходимо получить сертификат (например, это можно сделать тут: https://www.thawte.com или http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html).

Установка сертификата возможна только в браузере Internet Explorer. При этом браузер должен позволять отображение компонентов ActiveX, и вы должны согласиться с предложением установить сертификат на ваш компьютер.

Чтобы получить сертификат, зайдите на сервер и выберите ссылку Personal Certificates, а затем How to Register. Далее следуйте инструкциям на сайте. Сертификат, полученный здесь, можно использовать совместно с программами Nestcape Messenger, Internet Explorer, Opera, Outlook, Outlook Express, Eudora и The Bat.

Процедура получения сертификата — дело довольно длительное. Вам придется несколько раз ответить на электронные письма, подтверждая таким образом правильность электронного адреса.

Для одного электронного адреса можно получить только один сертификат.

Полученный вами сертификат будет установлен в браузер Internet Explorer. Вы можете увидеть сертификат, выбрав Свойства обозревателя > Содержание > Сертификаты. На вкладке Личные вы увидите установленные здесь сертификаты (см. рис.).

Для дальнейшего использования сертификатов при пересылке электронной почты в этом окне нажмите кнопку Дополнительно и отметьте переключатель Защищенная электронная почта. Все остальные переключатели оставьте без изменений.

Практически все современные почтовые клиенты используют систему защиты электронных писем на основе цифровой подписи под названием S/MIME.

Outlook Express. Работа с электронной подписью S/MIME

Откройте окно свойств учетной записи, перейдите на вкладку Безопасность. С помощью кнопки Выбрать вы можете указать, какой сертификат вы собираетесь использовать для электронной подписи сообщений с этого электронного адреса.

Теперь вы можете подписывать ваши электронные письма. Для этого предназначена кнопка Подписать на панели инструментов окна создания письма в Outlook Express. Справа от строки адреса появится специальный значок, подсказывающий вам, что это письмо будет содержать электронную подпись.

Если же вы получили письмо с электронной подписью, в теле письма вы увидите сообщение об этом, а рядом со строкой адреса здесь также будет отображен специальный значок (см. рис. 2).

Для использования сертификата в почтовой программе вам необходимо провести экспорт сертификата в отдельный файл. Для этого в окне со списком сертификатов Internet Explorer нажмите кнопку Экспорт, в результате чего будет запущен мастер экспорта сертификатов. На следующих шагах работы мастера задайте экспорт закрытого ключа, а также отметьте следующие переключатели: Включить усиленную защиту и Включить по возможности все сертификаты в путь сертификата. На следующем шаге работы мастера вам необходимо будет указать пароль доступа к сертификату — тот, который вы задавали на сайте при его получении. Далее необходимо обязательно задать имя файла, в который будет произведен экспорт, и указать папку, в которой этот файл будет размещен.

Для использования сертификата в почтовой программе The Bat! вы должны произвести его импорт.

Для импорта сертификата в окне свойств почтового ящика в разделе Общие сведенья нажмите кнопку Сертификаты, после чего в открывшемся окне — кнопку Импортировать (см. рис. 3).

Выбрав нужный файл, в котором сохранен сертификат, вам необходимо будет дважды ввести пароль для подтверждения импорта. После импорта сертификата вы можете подписывать ваши письма.

Для того чтобы подписать письмо в окне создания нового сообщения в The Bat! выберите Криптография и безопасность > Авто S/MIME (проследите, чтобы одновременно не был выбран пункт меню Авто OpenPGP). После чего в этом же меню выберите Подписать перед отправкой. В момент отправки письма The Bat!, возможно (в случае, если у вас есть несколько S/MIME-сертификатов), спросит вас о том, какой из сертификатов использовать для создания подписи, а затем предложит вам указать пароль, которым защищен ваш сертификат в базе данных программы.

После чего программа автоматически создаст электронную подпись для вашего письма и отправит его по назначению. Обратите внимание, что защищенным от несанкционированной модификации оказывается не только текст письма, но и те файлы, которые, возможно, вы к нему прикрепили, а также некоторые служебные поля (например, From:, но не Subject:). То есть если в процессе доставки что-либо из вышеперечисленного окажется изменено, система S/MIME получателя письма отреагирует на это, отказавшись заверить электронную подпись отправителя.

При получении электронного письма, подписанного с помощью электронной подписи S/MIME, The Bat! показывает состояние его электронной подписи на панели прикрепленных файлов. Подробное описание состояния подписи, времени подписания, а также идентификацию подписавшего (на основании информации, содержащейся в его S/MIME-сертификате) вы можете узнать, дважды нажав мышкой на одной из описанных иконок (см. рис. 4).

Шифрование писем с помощью S/MIME: Outlook Express

Для шифрования письма в Outlook Express необходимо в окне создания нового сообщения нажать кнопку Зашифровать. Если открытая часть сертификата была ранее получена, шифрование пройдет без проблем, и письмо будет отправлено. Если же сертификата для получателя не было получено ранее, в программе появится сообщение об этом, и такое письмо отправить будет нельзя.

Получив зашифрованное письмо, вы увидите сообщение об этом. Нажав кнопку Продолжить, вы сможете прочесть текст письма. Outlook Express автоматически расшифровывает электронные сообщения при условии, что на вашем компьютере был установлен правильный цифровой сертификат.

Если вы получите письмо, для которого у вас нет открытого сертификата, воспользовавшись кнопкой Сертификаты, вы сможете увидеть адресатов, которые могут расшифровать это письмо. Вам достаточно будет обратиться к ним, чтобы вам прислали либо открытый S/MIME-сертификат, либо письмо, подписанное электронной подписью.

Для того чтобы зашифровать письмо в The Bat! , вам нужно иметь публичную часть S/MIME-сертификата получателя, для чего, в свою очередь, необходимо либо запросить у него такой сертификат, либо просто получить ранее от него письмо, подписанное с помощью электронной подписи S/MIME (но не зашифрованное). В этом случае открытая часть сертификата передается автоматически.

В случае, если у вас есть письмо, подписанное электронной подписью, откройте его и в контекстном меню подписи выберите Импортировать сертификат. Выделите сообщение в списке и выберите Инструменты > Криптография и безопасность > Импортировать ключ (сертификат). После того как публичный сертификат получателя занесен в базу The Bat!, в окне создания письма выберите Криптография и безопасность > Авто S/MIME, Криптография и безопасность > Зашифровать перед отправкой. В момент отправки (если в базе имеется несколько разных сертификатов для одного получателя, или если получателей у письма несколько) программа попросит вас подтвердить список сертификатов, для владельцев которых вы собираетесь зашифровать данное сообщение. После того как вы это сделаете письмо будет автоматически зашифровано и послано. Если в базе данных The Bat! не существует ни одного публичного сертификата, принадлежащего одному из адресатов вашего письма, The Bat! предупредит вас об ошибке в процессе шифрования. Обратите также внимание, что шифруется перед отправкой не только текст вашего письма, но и все прикрепленные к нему файлы, которые получить также сможет лишь тот, кому предназначено зашифрованное письмо.

Если к вам пришло S/MIME-зашифрованное письмо, в The Bat! вы увидите сообщение об этом в тексте письма. Для того чтобы прочитать такое письмо, необходимо нажать мышкой на значке криптосистемы и ввести пароль, которым закрыт ваш S/MIME-сертификат. Если письмо зашифровано в том числе и для вас, The Bat! покажет текст письма в отдельном окне (см. рис. 5).

Чтобы применить комбинированный метод использования S/MIME (то есть одновременно зашифровать письмо и создать его электронную подпись), вам необходимо иметь как свой S/MIME-сертификат, так и публичный S/MIME-сертификат адресата. В процессе отправки письма The Bat! попросит вас указать пароль, которым защищен ваш S/MIME сертификат, а также выбрать публичные S/MIME-сертификаты, для обладателей которых вы шифруете данное сообщение.

Электронная подпись S/MIME часто предпочтительней, чем использование PGP. Во-первых, механизм электронной подписи S/MIME позволяет проделать с письмом те же действия, что и PGP, то есть зашифровать и подписать письмо. Но процедура получения сертификата из открытых источников гораздо проще и в чем-то надежнее — этот механизм работает во всех почтовых программах, и нет необходимости выполнять дополнительные действия по обмену открытыми ключами.

Надежда БАЛОВСЯК

Robo User
Web-droid редактор

     

Читайте також