Электронная почта. Быстрый и экономически выгодный способ передачи данных. И в то же время самый небезопасный - ведь ваше письмо может быть элементарно "подсмотрено" или перехвачено на любом транзитном узле передачи. Кроме того, вам вряд ли понравится, если вы узнаете, что вашу почту читает чересчур любопытный системный администратор вашего провайдера. Так что защитимся от охотников за чужими тайнами.
В статье пойдет речь об использовании цифровых удостоверений для защиты и шифрования почты.
Существуют различные способы защиты вашей почты от прочтения сторонними лицами, рассмотрим некоторые из них. А именно два из них - использование специальных программ для шифрования и цифровых удостоверений.
Программы для шифрования почты
Программа PGP (PRETTY GOOD PRIVACY)
Ряд правительств серьезно наказывает своих граждан за использование шифрованных коммуникаций. В некоторых странах вас даже могут за это расстрелять. Но если вы живете в такой стране, возможно, PGP вам тем более пригодится.
(Ф.Зиммерманн. Руководство пользователя PGP 2.6.2.
Том 2: Специальные вопросы. 1994)
PGP была разработана американским программистом и гражданским активистом Филом Зиммерманном, обеспокоенным притеснением личных прав и свобод в информационную эпоху. В 1991 г. в США существовала реальная угроза принятия закона, запрещающего использование стойких криптографических средств, не содержащих "черного хода", используя который спецслужбы и связанные с ними группировки могли бы беспрепятственно читать зашифрованные сообщения. Тогда Зиммерманн бесплатно распространил PGP в Интернет.
В результате, PGP стал самым популярным криптографическим пакетом в мире (свыше 2 млн. используемых копий), а Зиммерманн подвергся трехлетнему преследованию властей по подозрению в "незаконном экспорте вооружений".
Секретность в данном случае означает, что прочесть сообщение сможет только тот, кому оно адресовано. Проверка подлинности позволяет установить, что сообщение, полученное от какого-либо человека было послано именно им. Нет необходимости использовать специальные секретные каналы связи, что делает PGP простым в использовании программным обеспечением. Высокая степень секретности при работе на обычном оборудовании и обычных линиях связи объясняется тем, что PGP базируется на мощной новой технологии, которая называется шифрованием с "открытым ключом".
В стандартных криптографических системах с одним ключом один и тот же ключ используется и для шифрования, и для расшифровки. Это значит, что ключ должен первоначально быть передан через секретные каналы так, чтобы обе стороны могли иметь его до того, как шифрованные сообщения будут посылаться по обычным каналам. Это может быть неудобно – необходимы специальные каналы связи и гарантия того, что никто из посторонних не перехватил ваш ключ.
В криптографической системе с открытым ключом каждый имеет два связанных ключа: публикуемый открытый ключ и секретный ключ. Каждый из них дешифрует код, сделанный с помощью другого. Знание открытого ключа не позволяет вам вычислить соответствующий секретный ключ. Открытый ключ может публиковаться и широко распространяться через коммуникационные сети. Такой протокол обеспечивает секретность без необходимости использовать специальные каналы связи. Кто угодно может использовать открытый ключ получателя, чтобы зашифровать сообщение для него, а получатель использует для расшифровки его собственный секретный ключ, соответствующий данному открытому ключу (сторонам заранее известно, какому). Никто, кроме получателя, не может расшифровать его, потому что никто больше не имеет доступа к секретному ключу. Даже тот, кто шифровал сообщение, не будет иметь возможности расшифровать его.
Кроме того, собственным секретным ключом отправитель может быть зашифровать сообщение, как бы "подписывая"его. Так создается электронная подпись сообщения, которую получатель (или кто-либо еще) может проверять, используя открытый ключ отправителя для расшифровки. Это доказывает, что отправителем был действительно создатель сообщения и что сообщение впоследствии не изменялось кем-либо, так как отправитель - единственный, кто обладает секретным ключом, с помощью которого была создана подпись. Подделка подписанного сообщения невозможна, и отправитель не может впоследствии изменить свою подпись.
Эти два процесса могут быть объединены для обеспечения и секретности, и установления подлинности: сначала подписывается сообщение вашим собственным секретным ключом, а потом шифруется уже подписанное сообщение открытым ключом получателя. Получатель делает наоборот: расшифровывает сообщение с помощью собственного секретного ключа, а затем проверяет подпись с помощью вашего открытого ключа. Эти шаги выполняются автоматически с помощью программного обеспечения получателя.
Пара "открытый/секретный ключ" - это производная от множества действительно случайных чисел, полученных путем измерения интервалов времени между вашими нажатиями клавиш быстрым таймером.
Эта программа шифрует практически все: почту, ваши файлы, разделы на жестких дисках и даже голос в простых телефонных разговорах.
PGP работает с данными, генерируемыми другими приложениями. И соответствующие функции PGP разработаны так, чтобы они были непосредственно доступны из приложения, с которым вы в данный момент работаете.
Если вы пользуетесь одной из популярных программ электронной почты, поддерживаемых PGP с помощью дополнительных модулей (поддерживаемых стандартPGP/MIME), и переписываетесь с пользователем, чей пакет электронной почты также работает в этом стандарте, вы можете шифровать и расшифровывать сообщения и файлы, а также подписывать их и проверять подпись автоматически при приеме и отправлении почты. Все, что для этого нужно сделать - это включить соответствующие функции в диалоге установки предпочтений PGP, а затем вызывать необходимые функции PGP простым щелчком на соответствующих кнопках панели инструментов почтового пакета. Например, вы щелкаете на кнопке с замком, чтобы зашифровать сообщения, или - на кнопке с пером, чтобы подписать его. Когда вы получаете сообщение от другого пользователя PGP, вы расшифровываете его или проверяете подпись щелчком на значке с открытым конвертом.
Если вы используете пакет электронной почты, который не поддерживается PGP с помощью дополнительных модулей, или вы работаете с текстом, сгенерированным каким-то другим приложением, функции шифрования/расшифровки и наложения/проверки подписи выполняются посредством копирования фрагментов текста через Буфера обмена.
Вы можете шифровать и расшифровывать, а также накладывать и проверять подпись на файлы (например, документы текстовых процессоров, электронные таблицы, видеоклипы) непосредственно из окна Проводника (Windows Explorer); эта опция особенно полезна для тех пользователей, чей пакет электронной почты не поддерживает стандарт PGP/MIME.
Если вы используете PGP в первый раз, сначала вам нужно сгенерировать пару ключей, выбрав в меню Keys программы PGPkeys пункт New Key. Как правило, вам удастся сделать это автоматически через Помощник генерации ключа. Затем вам нужно будет послать открытый ключ другому пользователю. Для этого перетащите мышью ключ из главного окна PGPkeys в окно почтового сообщения.
После этого пользователь, который получил ваш ключ, сможет шифровать направляемую вам почту. Чтобы посылать зашифрованные письма ему, вам потребуется получить его открытый ключ. Подписывать письма вы можете и без отправки своего открытого ключа другим пользователям, но тогда никто не сможет проверить вашу подпись. Вы также можете отправить свой открытый ключ на публично доступный сервер ключей, с которого этот ключ смогут получить другие пользователи.
Существует система почтовых серверов открытых ключей PGP – для того, чтобы пользователи PGP могли обмениваться открытыми ключами через почтовые системы Интернет и UUCP. Другими словами, вы можете хранить те открытые ключи, которыми вы пользуетесь, действительно публично открытыми на веб-сервере, и ими будут пользоваться множество других пользователей. Вот только собственный секретный ключ в пару к одному и тому же открытому у каждого пользователя будет уникальный, так что конфиденциальность в данном случае никак не пострадает.
В последних версиях PGP применяется более сложный алгоритм шифрования с открытым ключом. Теперь для каждого пользователя создается две отдельные пары ключей, одна из которых служит для шифрования/расшифровки, а другая - для наложения/проверки подписи. При этом они представлены пользователю так, как если бы они были одной парой ключей. По сравнению с предыдущими версиями PGP только длина ключа выглядит больше.
Вы можете выбирать степень доверия, с которой вы относитесь к данному ключу, щелкнув на нем правой кнопкой мыши и выбрав из контекстного меню пункт Key Properties. Если вы укажете, что степень доверия к этому ключу является "полной" ("Complete"), другие ключи, подписанные его владельцем, будут считаться действительными.
Подробное руководство по использованию программы PGP распространено в Интернет в виде "Руководства пользователя PGP 5.0", написанного самим Ф.Зиммерманом (в оригинале и в переводе). Нет никаких препятствий и для скачивания самой программы PGP по сети (множество адресов, например, с http://www.pgpi.org).
В Интернет можно найти огромное количество связанной с PGP информации. Рекомендую посетить страницы: PGP, Inc.; PGP.net; Международный сервер PGP; Конференция пользователей PGP; "Русский Альбом PGP".
Цифровые удостоверения
Цифровые удостоверения – другой тип криптографии, их обычно используют при пересылке почты прямо из почтовых программ – MS Outlook Express и Netscape Messenger содержат в себе возможность цифровой подписи сообщений.
Цифровое удостоверение состоит из "общего ключа", "личного ключа" и "цифровой подписи". Когда вы посылаете свое удостоверение другим пользователям, вы фактически передаете им свой общий ключ, так что они могут отправлять вам зашифрованную почту, которую сможете расшифровать только вы, используя свой личный ключ. Цифровая подпись, входящая в состав цифрового удостоверения, — это ваше электронное удостоверение личности. Цифровая подпись в полученном от вас сообщении свидетельствует о том, что оно действительно пришло от вас и при этом не было ни подделано, ни вскрыто.
Прежде чем посылать зашифрованные сообщения или сообщения с цифровой подписью, необходимо получить цифровое удостоверение и настроить свою учетную запись на его использование. Отправляя зашифрованные сообщения, вы должны иметь в своей адресной книге цифровое удостоверение получателя.
Что теперь увидят люди, которые перехватили вашу почту - письмо, к которому присоединен цифровой файл? Этот файл нельзя прочитать и, теоретически, нельзя расшифровать.
Где можно получить цифровое удостоверение?
Цифровые удостоверения выдаются независимыми фирмами — сертифицированными центрами авторизации. Представьте на Web-узел такой организации просьбу о выделении вам цифрового удостоверения, и он будет вам выделен после некоторых проверочных процедур. Существует несколько классов цифровых удостоверений с разными уровнями надежности.
Организации обычно берут плату 15-25 долларов в год за обслуживание, но дают возможность бесплатно пользоваться их услугами в течение небольшого срока. Эта сумма может показаться большой для индивидуального пользователя, но организацци, которые нуждаются в шифрованиии почты, или в удостворениии подлинности переписки, вполне могут себе это позволить. Существует возможность бесплатного использования цифровых удостоверений в течение ограниченного срока, например, одного месяца – для того, чтобы ей воспользоваться необходимо выбрать на соответствующем веб-сервере опцию "I'd like to free 30-day trial digital ID".
Чтобы получить цифровое удостоверение какого-либо пользователя, попросите его послать вам сообщение с цифровой подписью (в нем будет содержаться цифровое удостоверение); можно также поискать в базе данных на Web-узле сертифицированного центра; кроме того, список цифровых удостоверений предоставляют некоторые службы каталогов.
Цифровое удостоверения для использования в Netscape Messenger можно скачать с веб-страницы Netscape (кнопка "Free Personal Certificate"). После заполнения определенных данных и выбора пароля, вам придет письмо с кодом, с помощью которого можно получить сертификат. Затем вам необходимо будет проставить код в опциях Navigator'а. Чтобы зашифровать письмо, необходимо сначала получить подписанное письмо от вашего корреспондента. Его подпись будет автоматически внесена в базу данных Communicator.
Когда вы будете посылать письмо своему абоненту, нажмите на символ открытого замка и поставьте галочки возле строк "Зашифровать сообщение" и "Добавить к сообщению мой цифровой сертификат".
При использовании Outlook Express получить цифровое удостоверение тоже несложно. Выберите в меню опцию "Сервис"/"Параметры" и вкладку "Защита", а затем нажмите кнопку "Получить цифровое удостоверение". Explorer откроет нужный сайт, где вы выберите организацию, которая проведет вас через процедуру регистрации и выдаст вам цифровое удостоверение.
Итак, удостоверение установлено в ваш компьютер. Чтобы его включить, следует выбрать "Сервис/Учетные записи", а затем указать параметры вашего почтового ящика. После этого нажмите кнопку "Цифровое удостоверение" на вкладке "Защита". Чтобы "подписать" или зашифровать набранное вами письмо, выберите в меню "Сервис" опцию "Зашифровать" и соответственно "Цифровая подпись".
Следует помнить, что для того, чтобы зашифровать сообщение, необходимо предварительно получить письмо от вашего корреспондента с цифровой подписью. Иначе Outlook Express сообщит, что подписи для данного абонента в программе нет, и зашифровать письмо невозможно.
После получения письма Outlook Express попросит подтвердить, что вы доверяете тому, кто его послал, и хотите добавить цифровую подпись к базе подписей программы. При этом мой Outlook зависал, вешая Windows. Но в конце концов я загрузился в минимальной конфигурации, и цифровая подпись встала, куда надо. Если письмо зашифровано или подписано цифровой подписью, то это показывают пиктограммки "замка" и "медальки" справа от "Темы".
А стоит ли заниматься всем этим?
Если ваша единственная цель - недопустить прочтения почты своим системным администратором, то самый простой способ - завести собственный бесплатный почтовый ящик, например, на www.usa.net или www.mail.ru. Эти системы в день пересылают тысячи или даже миллионы писем, поэтому будте уверены - до ваших писем никому нет дела. Хотя кто его знает (вдруг за вами специально следят...)
С другой стороны, если вам есть что скрывать от чужих глаз (мало ли таковых – сослуживцы, начальники, конкуренты, власть, ...), то использование цифровых удостоверений или программы PGP избавит вас от лишней головной боли. Оба эти средства просты в использовании, и после приобретения определенного навыка не заставляют вас задумываться о пользовательских приемах при шифровании и расшифровке сообщений.
Пожалуй, единственное их отличие в технологиях шифрования - цифровые удостоверения все же можно расшифровать, они менее надежны по сравнению с PGP. За PGP прочно закрепилась слава самого нерасшифровываемого криптографического средства.
Тем, кто хочет получить дополнительные разносторонние сведения о безопасности в Интернет, советую обратиться на русскоязычную страницу Internet Security.
При написании статьи были использованы фрагменты из "Руководства пользователя PGP 5.0" Ф.Зиммермана.
|
.gif){kind=small}
