Bramy szyfrujące poczty elektronicznej

Szyfrowanie poczty elektronicznej jest łatwiejsze niż się powszechnie sądzi. Produkty do szyfrowania poczty nie tylko łatwo integrują się z dostępnymi systemami poczty elektronicznej, ale także zapewniają im nowe funkcje.

Szyfrowanie poczty elektronicznej jest łatwiejsze niż się powszechnie sądzi. Produkty do szyfrowania poczty nie tylko łatwo integrują się z dostępnymi systemami poczty elektronicznej, ale także zapewniają im nowe funkcje.

Koszt szyfrowania poczty elektronicznej nie jest głównym powodem powstrzymującym organizacje przed jego wdrożeniem, takim czynnikiem jest natomiast złożoność problemów związanych z zarządzaniem kluczami szyfrowania i certyfikatami. Próba zarządzania szyfrowaniem na desktopie często jest bardzo trudna do realizacji.

Opisujemy wyniki testów czterech produktów do szyfrowania poczty: IronMail firmy CipherTrust, Entelligence - Entrust, Universal Series 500 firmy PGP i Secure E-mail - PostX. Testowane produkty pozwalają zarządzać szyfrowaniem na bramie (brama do szyfrowania poczty elektronicznej oparta na regułach polityki) i wykonują szyfrowanie w sposób transparentny dla użytkownika końcowego.

Przedstawione rozwiązania bramowe nie są tanie, ale w dużych organizacjach mogą zapewnić utrzymanie jednolitej polityki w zakresie poufności korespondencji elektronicznej, co w dobie powszechnego używania jej jako narzędzia biznesowego ma niebagatelne znaczenie.

Najlepsze wyniki uzyskano z IronMail, który wyróżniał się solidną wydajnością, administracją i egzekwowaniem zasad polityki.

Chociaż podczas testów używano Exchange Server 2003, produkty te mogą być też wykorzystywane z dowolnym systemem używającym SMTP. Poczta wychodząca wysyłana jest do serwera bramowego w celu przetworzenia. Poczta przychodząca jest najpierw przetwarzana przez produkt, który ją deszyfruje, a rezultat przekazywany do systemu pocztowego.

Obsługa niewtajemniczonych

Infrastruktura bezpiecznego systemu wymiany wiadomości Entrust

Infrastruktura bezpiecznego systemu wymiany wiadomości Entrust

Dużym problemem jest kwestia jak działać, gdy odbiorca poczty elektronicznej nie używa szyfrowania. Dostawcy rozwiązali ten problem poprzez interfejs webowy, którego zewnętrzni odbiorcy mogą używać do odbierania poczty szyfrowanej. Jeżeli system nie może znaleźć klucza do szyfrowania poczty wychodzącej, to kieruje ją do ośrodka webowego w sieci nadawcy. Następnie wysyła wiadomość jawnym tekstem bezpośrednio do odbiorcy, kierując go za pierwszym razem do ośrodka webowego, gdzie proszony jest o utworzenie hasła do logowania. Po wykonaniu tych czynności, użytkownik może logować się i czytać pocztę. System ten jest zabezpieczany poprzez połączenia SSL przeglądarki.

Każdy z testowanych produktów pozwala na kontrolowanie zawartości takiego webowego repozytorium w różny sposób. Niektóre z rozwiązań pozwalają na automatyczne usunięcie wiadomości po upłynięciu okresu ważności. Rozwiązanie PGP pozwala także na tworzenie kontyngentu pamięci wiadomości, aby następnie - z chwilą jego wyczerpania - odbijać przesyłki. Akcje takie są niezbędne, ponieważ system musi przechowywać pocztę dla zewnętrznych użytkowników i nadawca powinien mieć pewną kontrolę nad związanymi z tym zasobami.

Wydajność produktów szyfrowania

Wydajność produktów szyfrowania

Wszystkie testowane produkty pozwalają tak komponować witrynę webową, aby w jakimś stopniu przypominała inne strony webowe organizacji. Zakres komponowania jest różny w poszczególnych produktach. Jednym z mniej elastycznych jest PGP, który pozwala dołączyć logo i utworzyć baner wiadomości. Na drugim biegunie jest CipherTrust pozwalający na komponowanie kilku interfejsów webowych, dostosowanych do oddziałów lub departamentów firmy czy organizacji. Pozostałe produkty mieszczą się pomiędzy tymi dwoma biegunami, oferując elastyczne komponowanie interfejsu webowego w celu uzyskania firmowego wyglądu witryny.

PostX oferuje dodatkowy sposób dostarczania poczty zaszyfrowanej do zewnętrznych użytkowników nieużywających szyfrowania. Przesyłki pocztowe mogą być wysyłane jako załączniki JavaScript, tworzące pewien rodzaj "bezpiecznej koperty". Kiedy pierwsza wiadomość jest wysyłana do użytkownika zewnętrznego, użytkownik musi połączyć się z ośrodkiem webowym w celu utworzenia hasła. Po zaakceptowaniu i zarejestrowaniu hasła, odbiorca może odbierać "zakopertowane" wiadomości. Kiedy taka wiadomość zostanie odebrana, odbiorca otwiera załącznik JavaScript. Załącznik wydaje polecenie wprowadzenia hasła, po czym jest wyświetlana właściwa wiadomość. Jeżeli potrzebny jest kod źródłowy informacji, to można oglądać go w zaszyfrowanej postaci.

Ta metoda spełnia dwa cele: pozwala przechowywać wiadomości w systemie pocztowym odbiorcy, zamiast w swoim, pozwala również odbiorcy na czytanie wiadomości w czasie, gdy jest w stanie offline. Rozwiązanie to wymaga jednak posiadania przeglądarki z pełnym wsparciem JavaScript. Jeżeli przeglądarka nie może wykonywać JavaScript, odbiorca otrzymuje odpowiedni komunikat. System pracuje dobrze z Internet Explorer i .

Szyfrowana czy jawna?

Ocena bram do szyfrowania poczty elektronicznej

Ocena bram do szyfrowania poczty elektronicznej

Która wiadomość pocztowa powinna być szyfrowana, najlepiej ustawić za pomocą reguł polityki. Zestawy reguł mogą być stosowane do każdej wiadomości, włączając lub ignorując proces szyfrowania.

PGP oferuje w tej dziedzinie najmniej w porównaniu z pozostałymi produktami. Polityki PGP opierają się na adresach pocztowych. Można grupować użytkowników, tworzyć polityki dla specyficznych domen oraz wykonywać proste skanowanie wiersza "temat", ale to wszystko. Akcje sprowadzają się do wyboru typu szyfrowania oraz zablokowania wysyłki danej wiadomości.

Inne produkty wykonują podobne działania, ale oferują też dodatkowe mechanizmy skanowania wiadomości. CipherTrust pozwala na budowanie słowników zawierających słowa lub frazy wykorzystywane w procedurze skanowania, a także może wyzwalać stosowne akcje, jeżeli takie słowa lub frazy znajdują się w wierszu temat lub w treści wiadomości. Entrust i PostX umożliwiają wprowadzanie reguł opisujących rodzaj poszukiwanych danych, zamiast ich literalnej postaci. Skanowanie można przeprowadzać np. pod kątem liczb jedenastocyfrowych, które mogą reprezentować m.in. numery PESEL. CipherTrust i Entrust zapewniają dużo silniejsze mechanizmy w tym zakresie niż pozostałe produkty.

Sposoby na poufność

Jądrem testowanych produktów są klucze szyfrujące i certyfikaty. Wszystkie używają AES (Advanced Encryption Standard). PostX pozwala dodatkowo skorzystać z algorytmu ARC4 i Triple-DES. Entrust i PGP oferują najbardziej elastyczne generowanie klucza, obsługujące do pięciu szyfrów. PGP obsługuje dodatkowo różne długości kluczy szyfrujących (do 4096 bitów dla Triple-DES), w zależności od szyfru. Generalnie, dłuższy klucz jest trudniejszy do złamania. Oznacza to jednak także dłuższy czas szyfrowania i deszyfrowania.

W testach wydajnościowych zwycięzcą okazał się produkt PGP. Poradził sobie z testami obciążeniowymi znacznie szybciej od pozostałych. Rozwiązania CipherTrust i Entrust uplasowały się na miejscu drugim i trzecim, z bardzo podobnymi rezultatami.

Administrowanie

Wszystkie testowane produkty zarządzane są przez interfejs przeglądarki, co ułatwia administrowanie. PGP zapewnia najbardziej kompatybilny interfejs. Na przeglądarkach Internet Explorer, Firefox, Konqueror oraz Safari wygląda on i realizuje się tak samo. PostX i CipherTrust pracują dobrze z Internet Explorer i Firefox, ale już z Konqueror i Safari nie bardzo.

Entrust pracuje wyłącznie z Internet Explorer.

Architektura systemu szyfrowania poczty PGP

Architektura systemu szyfrowania poczty PGP

Ponadto Entrust w zakresie administrowania wykorzystującego przeglądarkę nie jest kompletny. Policy Editor, przynależny do tego produktu, to niezależna aplikacja pracująca na stacjach roboczych Windows. Ta graficzna aplikacja pozwala na przygotowanie reguł polityki, wymaga jednak sprowadzania ich zestawu z serwera. Po edycji muszą być odesłane z powrotem do serwera. Zestaw Entrust jest podzielony na trzy usługi: serwer zgodności, messagingu i webowy do dostarczania wiadomości. Każda usługa ma do zarządzania własny interfejs przeglądarkowy. Chociaż wyglądają one podobnie, to jednak istnieją zasadnicze różnice, w tym konieczność stosowania różnych haseł. To powoduje, że Entrust jest trudny do administrowania.

Wszystkie produkty zawierają pewne mechanizmy raportowania. Najwięcej raportów zapewnia Entrust.