Как защитить личную переписку?
Среди основных проблем безопасности данных в последнее время остро выделяется задача обеспечения защиты переписки. Если ранее этому вопросу уделялось немного времени, то сейчас, после громких заявлений Эдварда Сноудена, как частные, так и бизнес пользователи стали искать возможности оградить данные, передаваемые по e-mail, от мониторинга третьими лицами.
Доступ к личной переписке и ее перлюстрация (по-русски – просмотр) вызвал массу скандалов на всех уровнях: от частных до межгосударственных – ведь от этого страдают и простые пользователи почтовых серверов, и лица, наделённые властью. При этом в ряде случаев мониторингом переписки занимаются официальные органы. Так, по новому варианту приказа Минкомсвязи все интернет-провайдеры с июля 2014 года должны в обязательном порядке хранить информацию о пользовательском трафике и при необходимости передавать ее.
Понятное дело, что большинство пользователей использует электронную почту для решения текущих рабочих вопросов или передачи личной информации. Поэтому возникает вопрос: как защитить не имеющую отношения к сфере интересов ФСБ переписку от перлюстрации?
Как ни жаль, но придется отказаться от работы с общедоступными почтовыми клиентами, находящимися как в России, так и за рубежом. И те, и другие так или иначе сотрудничают с силовыми органами, а значит, не могут вызвать доверия. Социальные сети, хранение данных в облаках – эти средства передачи информации также нельзя назвать надежными.
Для обеспечения защиты деловой переписки следует организовать развертывание собственного почтового сервера компании, а личной – использовать шифрование писем при отправке. При этом важно установить систему безопасного хранения базы писем и на каждом отдельном компьютере. Все эти задачи поможет решить почтовая программа The Bat!. Программа разработана фирмой Ritlabs.
Что может предложить эта программа для защиты вашей личной или деловой переписки? Во-первых, она позволяет с помощью пароля закрыть доступ к почтовому ящику. Сделать это просто: через контекстное меню выбрать опцию “Пароль на доступ к ящику” и дважды ввести новый пароль в открывшемся окне. Если потребуется отменить действие позже, то в поле пароля достаточно ввести пустую строку. Таким образом, вы сможете контролировать доступ к переписке через интерфейс почтового клиента.
Но этого было мало, злоумышленник сможет прочитать ваши письма через файл почтовой базы, подключив ее к другому клиенту. Поэтому, во-вторых, The Bat! профессиональной версии помогает защищать и почтовые базы. Выполняется это двумя способами, но решить, будет ли применяться этот вариант, необходимо до формирования корпоративных почтовых ящиков. Это важно потому, что шифрованные базы данных имеют иную структуру, нежели обычные.
“Летучая мышь” будет шифровать все почтовые ящики и адресные книги – словом, всю связанную с вашей почтой информацию. Первый способ шифрования основан на использовании пароля. Пароль нужен для доступа к файлу mastrkey.dat, содержащему ключ шифрования. Ключ формируется при первом запуске программы и хранится в ключевом контейнере PKCS#12. При работе с почтовым клиентом нужно быть аккуратным: если файл mastrkey.dat будет удален, то получить доступ к зашифрованной базе станет невозможным.
Для шифрования базы писем, адресных книг и файлов конфигурации The Bat! использует алгоритм AES в режиме CBC с размером ключа 128 бит. Чтобы при запуске программы получить доступ к данным, необходимо ввести пароль. Расшифровывание происходит на лету и не влияет на скорость работы.
Второй способ заключается в использовании аппаратных брелоков безопасности и является более надежным и удобным. Таких устройств поддерживается два типа – ikey1000 и eToken. Брелоки содержат уникальный 64-битный серийный номер и имеют настраиваемое пользовательское имя для удобной идентификации.
Для того чтобы можно было использовать брелоки безопасности, первое, что нужно сделать, – установить драйверы. Затем потребуется активировать токен и записать на него идентификатор, который будет использоваться для шифрования. Такой идентификатор состоит из трех компонентов: уникального имени пользователя, 128-битного ключа шифрования и текстового описания. Он хранится в токене и извлекается при запуске The Bat! Professional.
Активация токена производится с помощью специальной утилиты из программы Token Manager. Для этого требуется ввести номер заказа или счета, полученного от вендора, после чего утилита подключится к серверу разработчика, и в окне браузера появится код, который нужно скопировать и вставить в предложенную форму. Процедуру достаточно провести один раз, так как результат наложения электронно-цифровой подписи записывается в токен. Такая активация служит для предотвращения незаконного копирования программы.
Если почтовый клиент The Bat! используется в компании как основной, то программу Token Manager устанавливает администратор, после чего он получает доступ к централизованной настройке и управлению токенами. Следует отметить, что на одном токене может быть несколько различных ключей, каждый из которых обеспечивает возможность подключения к одной из инсталляций почтового клиента. При этом новый ключ шифрования создается при формировании нового идентификатора (ID), поэтому, при создании ID даже с таким же текстовым описанием и именем, ключ шифрования будет новым. Чтобы обезопасить себя, следует либо хранить резервные копии идентификаторов, либо сами сформированные ID в программе управления токенами. Для дополнительной защиты доступа к ключам используется PIN-код.
При первой установке почтового клиента вы можете выбрать защиту данных с использованием ключей, записанных на токен. В этом случае потребуется подключить токен к компьютеру, ввести PIN-код и выбрать ключ, с которым будет работать пользователь на этом рабочем месте. Сменить выбранный ключ после установки и формирования почтовых баз невозможно без их полного удаления.
В дальнейшем почтовый клиент The Bat! будет автоматически определять наличие подключенного токена, после ввода защитного PIN-кода считывать с него ID, и предоставлять доступ к почтовым базам, конфигурационным файлам и адресным книгам, используя 128-битный ключ шифрования. Если токен будет отсоединен от компьютера, программа закроет все окна и предложит завершить работу без сохранения изменений или снова подключить токен. Отсоединение токена также можно использовать при необходимости экстренного завершения работы и выхода из программы.
С помощью вышеописанных способов можно защитить информацию, которая хранится на вашем компьютере. Для защиты самих сообщений потребуется их шифрование. Выполнить это можно внешним криптопровайдером и сертификатами, выпускаемыми удостоверяющим центром. Для шифрования писем необходимо два сертификата: ваш собственный для расшифровки своих сообщений и сертификат получателя письма.
При шифровании писем нескольких получателей требуются сертификаты для каждого, так как The Bat! связывает сертификат с отправителем и получателем по почтовому адресу, используемому для отправки почты. Связывание сертификата и с пользователем, и с респондентом выполняется за счет импорта сертификата из файла. В первом случае это удобнее делать через свойства почтового ящика, а во втором – через адресную книгу. После импорта сертификатов их можно использовать для подписи писем и шифрования сообщений получателя (при этом важно не забывать шифровать на себя).
Остается добавить, что для подписи и шифрования почтовой переписки можно использовать как входящие в состав ОС Windows стандартные криптопровайдеры, так и некоторые российские программы. Например, решения таких компаний как “Крипто-ПРО” и “Сигнал-КОМ”.
Подведем итог. Почтовый клиент The Bat! предоставляет пользователю различные возможности для защиты личной и корпоративной переписки: от парольной защиты доступа к интерфейсу программы до шифрования всей базы писем или отдельных сообщений. Таким образом, вы можете обеспечить защиту как на отдельном компьютере, так и в локальной сети, в том числе оградив почту от перлюстрации при ее прохождении через публичные почтовые серверы.
Купить программу The Bat! можно в интернет-супермаркете программного обеспечения Softkey.