Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Szyfrowanie i podpisywanie cyfrowe komunikacji e-mail

Data publikacji: 16-07-2020 Autor: Jacek Światowiak
Rys. 1. Ogólny mechanizm...

Współczesna komunikacja z wykorzystaniem poczty elektronicznej pozwala na wdrożenie mechanizmów zapewniania integralności i poufności przesyłanych pomiędzy użytkownikami informacji. Jednym z dwóch standardów, obok PGP, jest standard S/MIME.

 

W niniejszym artykule zajmiemy się przede wszystkim standardem S/MIME. Środowisko składać się będzie z najbardziej popularnej platformy Microsoft Exchange 2013/2016/2019 (jako serwer), grubego klienta Outlook 2013/2016/2019 oraz klienta przeglądarkowego. Poruszona zostanie także kwestia standardu OpenPGP/PGP.


> PODPISYWANIE CYFROWE WIADOMOŚCI


Cyfrowe podpisywanie wiadomości e-mail wykorzystuje mechanizmy asymetrycznej kryptografii, bazując na parze kluczy prywatnych i publicznych nadawcy wiadomości. Proces jest analogiczny do procesu podpisywania dowolnej treści, ale danymi wejściowymi jest przesyłka e-mail. Podpisywana jest cała wiadomość e-mail, a nie wyłącznie załącznik. MIME konwertuje binarne załączniki do postaci tekstowej (7- lub 8-bitowej). Dodatkowe pola powstałe po cyfrowym podpisaniu wiadomości są traktowane jako dodatkowe załączniki MIME. Ogólną procedurę cyfrowego podpisywania wiadomości e-mail przedstawia rys. 1.
Po utworzeniu wiadomości przez nadawcę aplikacja pocztowa generuje wartość funkcji skrótu (hash) z wiadomości e-mail. Następnie hash jest szyfrowany z wykorzystaniem klucza prywatnego nadawcy. Potem wiadomość oraz zaszyfrowany hash są wysyłane do odbiorcy wiadomości, a odbiorca deszyfruje go, wykorzystując klucz publiczny nadawcy. Zwykle certyfikat wraz z kluczem publicznym jest dołączany do przesyłanej wiadomości podpisanej cyfrowo. Potem odbiorca przeprowadza analogiczną czynność generowania hasha z wiadomości w celu utworzenia swojej wartości funkcji skrótu. Finalnie hasze są porównywane – jeżeli się różnią, to wiadomość została po drodze zmodyfikowana, a odbiorca jest informowany o niezgodności sygnatur.


> SZYFROWANIE WIADOMOŚCI


Proces szyfrowania wiadomości e-mail wykorzystuje również klucze kryptografii asymetrycznej oraz sesyjny klucz symetryczny. Procedura szyfrowania i deszyfracji przedstawiona została na rys. 2. W pierwszej kolejności nadawca pobiera certyfikat wraz z kluczem publicznym odbiorcy z repozytorium (np. z Active Directory), listy kontaktów lub innego źródła. Następnie aplikacja nadawcy generuje klucz symetryczny i wykorzystuje go do zaszyfrowania treści wiadomości. Ten symetryczny klucz jest następnie szyfrowany za pomocą klucza publicznego odbiorcy. Zaszyfrowany klucz oraz zaszyfrowana wiadomość są wspólnie przesyłane w jednej wiadomości do odbiorcy. Potem odbiorca wykorzystuje swój klucz prywatny do odszyfrowania klucza symetrycznego, zaś aplikacja, dysponując już kluczem symetrycznym, odszyfrowuje treść wiadomości.


> WYMAGANIA W ZAKRESIE CERTYFIKATÓW


S/MIME wymaga wygenerowania dla uczestników zabezpieczonej komunikacji certyfikatów służących podpisywaniu lub szyfrowaniu komunikacji. Mogą to być certyfikaty pochodzące z komercyjnych jednostek certyfikujących lub z korporacyjnej infrastruktury PKI przedsiębiorstwa. W przypadku wielu klientów pocztowych, w tym również Outlooka, można wykorzystywać dwa niezależne certyfikaty (jeden dla szyfrowania, a drugi dla podpisywania) lub tzw. certyfikat kombinowany.


Certyfikat służący podpisywaniu cyfrowemu musi mieć w polu Użycie klucza wartość Podpis cyfrowy (80). W przypadku szyfrowania wartość tego pola to Szyfrowanie klucza (20) (rys. 3). Dla certyfikatu kombinowanego wartość tego pola to Podpis cyfrowy, Szyfrowanie klucza (a0). Dodatkowo w każdym z tych przypadków pole o nazwie Ulepszone użycie klucza musi mieć na liście wartość: Bezpieczna poczta e-mail (1.3.6.1.5.5.7.3.4).


W przypadku środowisk korporacyjnych najczęściej wykorzystywane jest środowisko Active Directory. W wielu organizacjach jest również wdrożona korporacyjna infrastruktura klucza publicznego PKI bazująca na rozwiązaniach dostarczanych przez Microsoft. W takim scenariuszu można tak skonfigurować automatyczne generowanie i publikację certyfikatów użytkowników, aby były one wpisywane jako atrybuty użytkownika w Active Directory. Przykład prezentuje rys. 4.


Jest to o tyle wygodne, że w kliencie Outlook wiadomości domyślnie pobierają certyfikat odbiorcy z książki adresowej, która jest tworzona na podstawie obiektów Active Directory.

 

[...]

 

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: od rodziny Windows Server 2003 do 2019, Exchange od wersji 2003 do 2016, OCS, Lync 2010/2013, Skype 2015/2019, MCSE Server Infrastructure, Communication, Messaging, Cloud Platform and Infrastructure, Productivity 2017/2018/2019. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.
 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"