Службы сертификации и безопасность почты Windows 2000/2003
Страница 2. Методы и механизмы защиты


Методы и механизмы защиты

Защита почты от неразрешенного чтения или изменений основана на использовании электронной подписи и на криптографировании.

Сразу отметим, что такой популярный механизм защиты, как шифровка сообщений, основанная на протоколе PGP (Pretty Good privacy), мы рассматривать не будем. Причины таковы:

  • с мая 2002 года ни одна версия PGP (бесплатная или коммерческая) не была сертифицирована на совместимость с операционной системой Microsoft Windows XP;
  • бесплатная версия PGP, сертифицированная на совместимость с Windows 2000, предназначена для использования только в некоммерческих целях;
  • базируясь на операционной системе Microsoft и используя при этом почтовую систему Microsoft (сервер и клиент), целесообразно использовать средства защиты, также встроенные в систему Windows;
  • и, в конце концов, лишними знания никогда не бывают :).

Защита почты в среде Windows основана на практической реализации протокола стандартизованного безопасного формата сообщения S/MIME. Secure Multipurpose Internet Mail Extensions — многоцелевое расширение для обеспечения безопасности интернет-почты. S/MIME защищает сообщения и файлы от несанкционированного раскрытия данных, поддерживает цифровые подписи и шифрование в соответствии со стандартом PKCS # 7.

Шифрование базируется на инфраструктуре открытого ключа Windows 2000/2003 (PKI — public-key infrastructure), то есть используются сертификаты с личным ключом и технология криптографирования открытыми ключами.

Службы сертификатов (Certificate Services) Windows 2000 выполняют целый ряд функций — но в данном случае нас интересует обеспечение защиты электронной почты с помощью цифровой подписи и шифрования.

Не углубляясь в вопросы теории, уточним только, что службы сертификации Windows 2000 не устанавливаются по умолчанию при инсталляции операционной системы, а поставляются лишь в дистрибуции типа Server и состоят, в основном, из следующих компонент:

  • центры сертификации;
  • иерархия центров сертификации;
  • ключи;
  • сертификаты;
  • список отозванных сертификатов;
  • хранилища сертификатов.

Указанный список не полон, так как мы рассматриваем вопросы использования сертификатов только в соответствии с темой статьи (защита почты). Основной целью использования этих служб является управление созданием и обращением сертификатов для пользователя, компьютера, приложения.

Центр сертификации создает, назначает, отзывает сертификаты и управляет ими. Всего существует четыре типа таких центров. Рассмотрим простейший вариант, когда применяется один тип — корневой центр сертификации предприятия (СА). СА генерирует вместе с сертификатом открытый и закрытый ключи.

Сертификаты Windows 2000 соответствуют требованиям стандарта Х.509 v3, то есть они предназначены лишь для идентификации владельца и содержат копию открытого ключа СА.

Срок действия сертификата ограничен, по истечению отведенного времени сертификат либо продлевается, либо отзывается.

Сертификаты используются рядом приложений, в частности Microsoft Exchange 2000/2003.

В нашем случае сертификат необходим для выдачи пары ключей (открытого/закрытого), которые в дальнейшем применяются для шифрования/расшифровки почтового сообщения. Каждый владелец сертификата получает пару ключей: открытый ключ используется для шифрования, а закрытый — для декодирования текста, который был зашифрован соответствующим открытым ключом.

Абонент А, отправляя почту абоненту В, должен шифровать почту открытым ключом абонента В, а получатель (абонент В) расшифровывает почту, используя свой закрытый ключ. Следовательно, для получения от абонента А зашифрованной почты абонент В предварительно обязан передать абоненту А свой открытый ключ. Эта передача может происходить различными путями: электронной почтой, на носителе информации (HDD, дискета, флэш-память и т.п.).

Дальнейшее рассмотрение технологии обеспечения защиты почты невозможно без ознакомления с последовательностью развертывания в Windows-домене инфраструктуры публичных ключей (PKI). Эта последовательность включает такие шаги:

  1. Установка служб сертификации.
  2. Установка модуля "Сертификационный центр" (Certification Authority — CA).
 
 
« Предыдущая статья   Следующая статья »