Bezpieczeństwo poczty elektronicznej

Informacja przesyłana za pośrednictwem poczty elektronicznej ma niejednokrotnie ogromne znaczenie, szczególnie dla przedsiębiorstw. Dlatego nie może dziwić przywiązywanie dużej wagi do problemów jej bezpieczeństwa.

Informacja przesyłana za pośrednictwem poczty elektronicznej ma niejednokrotnie ogromne znaczenie, szczególnie dla przedsiębiorstw. Dlatego nie może dziwić przywiązywanie dużej wagi do problemów jej bezpieczeństwa.

Bezpieczeństwo poczty elektronicznej

Opcje zabezpieczeń poczty elektronicznej

Każdy administrator poczty elektronicznej może zostać wezwany do szefa, któremu przyśnił się koszmarny sen o wykorzystaniu przesyłanych pocztą elektroniczną informacji w postępowaniu urzędu skarbowego lub antymonopolowego, albo co gorsze o przechwyceniu dokumentów przez konkurencję. Wynik rozmowy jest oczywisty, administrator otrzymuje polecenie zabezpieczenia wszystkich wychodzących i przychodzących informacji.

Nie zaszyfrowaną wiadomość można przechwycić w trakcie przesyłania i następnie odczytać lub zmienić. Jeśli nie jest opatrzona podpisem cyfrowym, to nigdy nie można mieć pewności skąd przychodzi.

Istnieje wiele sposobów zabezpieczania poczty, każdy z nich ma jakąś mocną stronę i przypuszczalnie dużo słabych.

Zajmijmy się najpierw prostymi decyzjami. Standard S/MIME (Secure/Multipurpose Internet Mail Extension) powinien być normą szyfrowania wiadomości i podpisu cyfrowego, ponieważ jest standardem akceptowanym i wbudowanym w programach obsługi poczty elektronicznej instalowanych w komputerach użytkowników (programach typu klient) wiodących dostawców oprogramowania poczty elektronicznej, jakimi są Microsoft Outlook 98/2000 i Lotus Notes R5. Mimo względnej popularności standard, taki jak S/MIME, jest nadal daleki od spełnienia życzeń administratorów. Każdy producent implementuje własną interpretację tego standardu, co stwarza problemy ze współdziałaniem. Wada ta uwydatniła się z chwilą pojawienia się S/MIME Version 3 w najnowszym kliencie poczty elektronicznej, stwarzając nowe problemy.

Problem zabezpieczenia rozwiązuje włączenie bramy zabezpieczającej pocztę, która dla poczty elektronicznej pełni funkcję analogiczną do zapory ogniowej. Każda wiadomość nadchodząca lub wychodząca przechodzi przez bramę, która pozwala realizować politykę zabezpieczenia - gdzie i kiedy można wysłać wiadomość, sprawdzić, czy nie ma wirusów, oraz zaszyfrować i podpisać wiadomość. Wadą tego podejścia jest fakt, że proces zabezpieczania nie jest nadzorowany przez użytkownika. Przykładowo brama szyfruje wychodzące wiadomości w sposób pozwalający odbiorcy upewnić się, że przychodzą z określonego przedsiębiorstwa, ale nie można mieć pewności, kto jest nadawcą.

Metody oparte na programach obsługujących pocztę elektroniczną używają do podpisywania komunikatów prywatnych kluczy wysyłającego, co jednoznacznie określa źródło pochodzenia wiadomości. Zapewniają one bardziej szczegółowy poziom zabezpieczenia, ale mają również słabe strony. Po pierwsze wymagają konfigurowania na każdym komputerze użytkownika, co oznacza przydzielenie certyfikatu klucza wszystkim użytkownikom dla szyfrowania i podpisu cyfrowego i zapewnienia, że odpowiedni profil zabezpieczenia jest skonfigurowany z klientem poczty elektronicznej. Związane jest to z koniecznością kosztownego przeszkolenia wszystkich użytkowników i zorganizowania służb zapewniających pomoc. Oczywiście, jeśli profil jest wadliwie skonfigurowany, na przykład wyszczególnia nieprawidłowy certyfikat lub wyłącza szyfrowanie, to wiadomości nie są zabezpieczane. Nie ma sposobu, aby administrator centralnie kontrolował profile.

Istnieją również zabezpieczenia usług poczty elektronicznej oparte na Webie. Odpowiedni poziom bezpieczeństwa uzyskuje się przez utrzymywanie wszystkich komunikatów przez cały czas w ich własnym środowisku. Do utworzenia wiadomości wykorzystywany jest mechanizm zabezpieczający Internetu. Po wydaniu polecenia "Wyślij" wiadomość zostaje zaszyfrowana i zapamiętana. Następnie do odbiorcy zostaje wysłany komunikat informujący o tym, że zabezpieczona wiadomość czeka. W odpowiedzi odbiorca nawiązuje połączenie, uwierzytelnia się i uzyskuje dostęp do wiadomości przez warstwę SSL (Secure Stockets Layer). Niestety, metoda ta nie działa z istniejącymi systemami poczty elektronicznej przedsiębiorstw.

Najbliżej rozwiązania problemu jest budowa katalogu certyfikatów cyfrowych. W katalogu przechowywane są certyfikaty potrzebne do zaszyfrowania wiadomości przesyłanych do odbiorcy. Patrząc od strony przedsiębiorstwa, utworzenie katalogu nie sprawia trudności, ponieważ wszystkie certyfikaty dla przedsiębiorstwa mogą być ujawniane przez centralny serwer LDAP (Lightweight Directory Access Protocol), ale z zewnątrz rodzi to wiele problemów. Należy bowiem uzgodnić umowę z przedsiębiorstwem odbiorcy, by zapewnić dostęp do praw korzystania z cyfrowych certyfikatów. Proces ten łączy się z problemem szkolenia użytkowników i przyczynia się do zwiększenia złożoności komunikacji.

Chociaż dysponujemy technologią zdolną do zabezpieczenia poczty elektronicznej, to jednak jej stosowanie nie jest częste. Ponieważ coraz więcej przedsiębiorstw i zwykłych użytkowników poczty elektronicznej wymaga zabezpieczenia swoich komunikatów, to używanie certyfikatów cyfrowych stanie się niebawem powszechne.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200