CC BY
41
ИСПОЛЬЗОВАНИЕ ТЕХНОЛОГИЙ PGP И SSL ДЛЯ ЗАЩИТЫ КОРПОРАТИВНОЙ ЭЛЕКТРОННОЙ ПОЧТЫ НА СЕРВЕРЕ MICROSOFTEXCHANGE 2G1G
М. С. Зуев, А. Ю. Полосухин
Тамбовский государственный университет имени Г. Р. Державина, г. Тамбов, Россия
Большинство проблем, с которыми сталкиваются пользователи электронной почты (спам, вирусы, разнообразные атаки на конфиденциальность писем и т. д.), связано с недостаточной защитой современных почтовых систем.
С этими проблемами приходится иметь дело и пользователям общедоступных публичных систем, и организациям, таким как ОАО «МегаФон Ритейл». Практика показывает, что одномоментное решение проблемы защиты электронной почты невозможно. Спамеры, создатели и распространители вирусов, хакеры изобретательны, и уровень защиты электронной почты, вполне удовлетворительный вчера, сегодня может оказаться недостаточным. Для того чтобы защита электронной почты была на максимально возможном уровне, а достижение этого уровня не требовало чрезмерных усилий и затрат, необходим систематический и комплексный, с учетом всех угроз, подход к решению данной проблемы.
Предпосылки некоторых проблем, связанных непосредственно с конфиденциальностью почтовых сообщений, закладывались при возникновении электронной почты три десятилетия назад. Во многом они не разрешены до сих пор.
- Ни один из стандартных почтовых протоколов (SMTP, POP3, IMAP4) не включает механизмов защиты, которые гарантировали бы конфиденциальность переписки.
- Отсутствие надежной защиты протоколов позволяет создавать письма с фальшивыми адресами. Нельзя быть уверенным на 100 % в том, кто является действительным автором письма.
- Электронные письма легко изменить. Стандартное письмо не содержит средств проверки собственной целостности и при передаче через множество серверов может быть прочитано и изменено; электронное письмо похоже сегодня на открытку.
- Обычно в работе электронной почты нет гарантий доставки письма. Несмотря на наличие возможности получить сообщение о доставке, часто это означает лишь, что сообщение дошло до почтового сервера получателя (но не обязательно до самого адресата).
Для решения проблем, связанных с конфиденциальностью почтовых сообщений, при использовании корпоративной почты на основе MSExchange 2010, в ходе анализа были утверждены 2 варианта.
1. Использовать для обмена сообщениями между клиентами и сервером WEB интерфейс MSExchange 2010, так как он защищен последней версией криптографического протокола SSL.
2. Для защиты обмена сообщениями посредством программы для работы с электронной почтой MSOutlook версий, начиная с 2003-й, следует использовать сторонние программы с функциями шифрования и электронной подписи, а именно PGP 8.1.
PGP Corporation - мировой лидер в области разработки программного обеспечения шифрования электронной почты и данных для корпоративных клиентов.
Решения PGP используются на более чем 80 000 предприятиях по всему миру, включая 95 % списка Fortune 100, 75 % списка Fortune® Global 100, 87 % списка theGerman DAX Index и 51 % списка U. K. FTSE 100 Index. В результате, решения PGP Corporation приобрели мировую известность и многие из них стали стандартами де-факто. Компания настолько уверена в качестве своих продуктов и своей репутации, что размешает в сети Интернет исходные коды своих программных продуктов.
PGP объединяет в себе лучшие стороны симметричной криптографии и криптографии с открытым ключом. PGP - это гибридная криптосистема.
Когда пользователь зашифровывает данные с помощью PGP, программа для начала их сжимает. Сжатие сокращает время модемной передачи и экономит дисковое пространство, а также, что более важно, повышает криптографическую стойкость. Большинство криптоаналитических техник основано на статистическом анализе шифртекста в поисках признаков открытого текста. Сжатие уменьшает число таких признаков (снижает избыточность данных), чем существенно усиливает сопротивляемость криптоанализу. (Слишком короткие файлы и файлы, которые не сжимаются достаточно хорошо, не сжимаются вовсе.)
Затем, PGP создает сеансовый ключ, т. е. одноразовый симметричный ключ, применяемый только для одной операции. Этот сеансовый ключ представляет собой псевдослучайное число, сгенерированное от случайных движений мышки и нажатий клавиш. Сеансовый ключ работает на основе очень надежного, быстрого симметричного алгоритма, которым PGP зашифровывает сжатое сообщение; в результате получается шиф-ртекст. Как только данные зашифрованы, сеансовый ключ также шифруется, но уже открытым ключом получателя. Этот зашифрованный открытым ключом сеансовый ключ прикрепляется к шифртексту и передается вместе с ним получателю.
Расшифрование происходит в обратном порядке. PGP получателя использует его закрытый ключ для извлечения сеансового ключа из сообщения, которым шифртекст исходного послания восстанавливается в открытый текст.
Таким образом, комбинация этих двух криптографических методов объединяет удобство шифрования открытым ключом со скоростью работы симметричного алгоритма. Симметричное шифрование в тысячи раз быстрее асимметричного. Шифрование открытым ключом, в свою очередь, предоставляет простое решение проблемы управления клю-
чами и передачи данных. Используемые совместно скорость исполнения и управление ключами взаимно дополняются и улучшаются без какого-либо ущерба для безопасности.
В данной работе была построена среда на основе двух клиентов с почтовыми программами и сервером MSExchange 2010 для изучения возможных атак, а также вышеперечисленных методов защиты. Принцип работы данной среды электронной почты полностью схож с принципом работы почты в ОАО « МегаФон Ритейл», а также других организациях. В ходе работы была внедрена и протестирована программа PGP 8.1. Также исследовался WEB интерфейс защищенный протоколом SSL.
В результате выбранные методы защиты конфиденциальности электронных писем были полностью работоспособны и оправданны. Могут быть применяться на любом предприятии, где электронная почта является одним из основных способов передачи информации. Средняя стоимость последней версии программы PGP составляет 17500 р. Для предприятия как, ОАО «МегаФон Ритейл», где основной информацией являются лицевые счета, конфиденциальные сведения абонентов, цена вполне оправданная. Возможно использование бесплатных аналогов, но с ограниченной функциональностью.
