Bramy szyfrujące poczty elektronicznej
- Józef Muszyński,
- 01.01.2006
Szyfrowanie poczty elektronicznej jest łatwiejsze niż się powszechnie sądzi. Produkty do szyfrowania poczty nie tylko łatwo integrują się z dostępnymi systemami poczty elektronicznej, ale także zapewniają im nowe funkcje.
Szyfrowanie poczty elektronicznej jest łatwiejsze niż się powszechnie sądzi. Produkty do szyfrowania poczty nie tylko łatwo integrują się z dostępnymi systemami poczty elektronicznej, ale także zapewniają im nowe funkcje.
Koszt szyfrowania poczty elektronicznej nie jest głównym powodem powstrzymującym organizacje przed jego wdrożeniem, takim czynnikiem jest natomiast złożoność problemów związanych z zarządzaniem kluczami szyfrowania i certyfikatami. Próba zarządzania szyfrowaniem na desktopie często jest bardzo trudna do realizacji.
Opisujemy wyniki testów czterech produktów do szyfrowania poczty: IronMail firmy CipherTrust, Entelligence - Entrust, Universal Series 500 firmy PGP i Secure E-mail - PostX. Testowane produkty pozwalają zarządzać szyfrowaniem na bramie (brama do szyfrowania poczty elektronicznej oparta na regułach polityki) i wykonują szyfrowanie w sposób transparentny dla użytkownika końcowego.
Przedstawione rozwiązania bramowe nie są tanie, ale w dużych organizacjach mogą zapewnić utrzymanie jednolitej polityki w zakresie poufności korespondencji elektronicznej, co w dobie powszechnego używania jej jako narzędzia biznesowego ma niebagatelne znaczenie.
Najlepsze wyniki uzyskano z IronMail, który wyróżniał się solidną wydajnością, administracją i egzekwowaniem zasad polityki.
Chociaż podczas testów używano Exchange Server 2003, produkty te mogą być też wykorzystywane z dowolnym systemem używającym SMTP. Poczta wychodząca wysyłana jest do serwera bramowego w celu przetworzenia. Poczta przychodząca jest najpierw przetwarzana przez produkt, który ją deszyfruje, a rezultat przekazywany do systemu pocztowego.
Obsługa niewtajemniczonych
Infrastruktura bezpiecznego systemu wymiany wiadomości Entrust
Każdy z testowanych produktów pozwala na kontrolowanie zawartości takiego webowego repozytorium w różny sposób. Niektóre z rozwiązań pozwalają na automatyczne usunięcie wiadomości po upłynięciu okresu ważności. Rozwiązanie PGP pozwala także na tworzenie kontyngentu pamięci wiadomości, aby następnie - z chwilą jego wyczerpania - odbijać przesyłki. Akcje takie są niezbędne, ponieważ system musi przechowywać pocztę dla zewnętrznych użytkowników i nadawca powinien mieć pewną kontrolę nad związanymi z tym zasobami.
Wydajność produktów szyfrowania
PostX oferuje dodatkowy sposób dostarczania poczty zaszyfrowanej do zewnętrznych użytkowników nieużywających szyfrowania. Przesyłki pocztowe mogą być wysyłane jako załączniki JavaScript, tworzące pewien rodzaj "bezpiecznej koperty". Kiedy pierwsza wiadomość jest wysyłana do użytkownika zewnętrznego, użytkownik musi połączyć się z ośrodkiem webowym w celu utworzenia hasła. Po zaakceptowaniu i zarejestrowaniu hasła, odbiorca może odbierać "zakopertowane" wiadomości. Kiedy taka wiadomość zostanie odebrana, odbiorca otwiera załącznik JavaScript. Załącznik wydaje polecenie wprowadzenia hasła, po czym jest wyświetlana właściwa wiadomość. Jeżeli potrzebny jest kod źródłowy informacji, to można oglądać go w zaszyfrowanej postaci.
Ta metoda spełnia dwa cele: pozwala przechowywać wiadomości w systemie pocztowym odbiorcy, zamiast w swoim, pozwala również odbiorcy na czytanie wiadomości w czasie, gdy jest w stanie offline. Rozwiązanie to wymaga jednak posiadania przeglądarki z pełnym wsparciem JavaScript. Jeżeli przeglądarka nie może wykonywać JavaScript, odbiorca otrzymuje odpowiedni komunikat. System pracuje dobrze z Internet Explorer i Mozilla Firefox.
Szyfrowana czy jawna?
Ocena bram do szyfrowania poczty elektronicznej
PGP oferuje w tej dziedzinie najmniej w porównaniu z pozostałymi produktami. Polityki PGP opierają się na adresach pocztowych. Można grupować użytkowników, tworzyć polityki dla specyficznych domen oraz wykonywać proste skanowanie wiersza "temat", ale to wszystko. Akcje sprowadzają się do wyboru typu szyfrowania oraz zablokowania wysyłki danej wiadomości.
Inne produkty wykonują podobne działania, ale oferują też dodatkowe mechanizmy skanowania wiadomości. CipherTrust pozwala na budowanie słowników zawierających słowa lub frazy wykorzystywane w procedurze skanowania, a także może wyzwalać stosowne akcje, jeżeli takie słowa lub frazy znajdują się w wierszu temat lub w treści wiadomości. Entrust i PostX umożliwiają wprowadzanie reguł opisujących rodzaj poszukiwanych danych, zamiast ich literalnej postaci. Skanowanie można przeprowadzać np. pod kątem liczb jedenastocyfrowych, które mogą reprezentować m.in. numery PESEL. CipherTrust i Entrust zapewniają dużo silniejsze mechanizmy w tym zakresie niż pozostałe produkty.
Sposoby na poufność
Jądrem testowanych produktów są klucze szyfrujące i certyfikaty. Wszystkie używają AES (Advanced Encryption Standard). PostX pozwala dodatkowo skorzystać z algorytmu ARC4 i Triple-DES. Entrust i PGP oferują najbardziej elastyczne generowanie klucza, obsługujące do pięciu szyfrów. PGP obsługuje dodatkowo różne długości kluczy szyfrujących (do 4096 bitów dla Triple-DES), w zależności od szyfru. Generalnie, dłuższy klucz jest trudniejszy do złamania. Oznacza to jednak także dłuższy czas szyfrowania i deszyfrowania.
W testach wydajnościowych zwycięzcą okazał się produkt PGP. Poradził sobie z testami obciążeniowymi znacznie szybciej od pozostałych. Rozwiązania CipherTrust i Entrust uplasowały się na miejscu drugim i trzecim, z bardzo podobnymi rezultatami.
Administrowanie
Wszystkie testowane produkty zarządzane są przez interfejs przeglądarki, co ułatwia administrowanie. PGP zapewnia najbardziej kompatybilny interfejs. Na przeglądarkach Internet Explorer, Firefox, Konqueror oraz Safari wygląda on i realizuje się tak samo. PostX i CipherTrust pracują dobrze z Internet Explorer i Firefox, ale już z Konqueror i Safari nie bardzo.
Entrust pracuje wyłącznie z Internet Explorer.
Architektura systemu szyfrowania poczty PGP
Wszystkie produkty zawierają pewne mechanizmy raportowania. Najwięcej raportów zapewnia Entrust.