Можно ли зашифровать сообщения электронной почты. Шифрование электронной почты: Компьютеры

Электронная почта для большинства компаний является основным средством коммуникации. Переписка необходима как для общения внутри самой компании, так и для обмена данными с партнерами, клиентами, поставщиками, государственными органами и т.д. Ни для кого не секрет, что по корпоративной электронной почте пересылается масса конфиденциальной информации: договора, счета, информация о продуктах и ценах компании, финансовые показатели и т.д.

Если такая информация попадает в руки конкурентов, она может существенно навредить компании вплоть до прекращения ее существования. Конкуренты, имея в распоряжении базу клиентов, зная условия работы и цены, смогут предложить им лучшие условия и, таким образом, нанесут финансовые убытки. Также конкуренты могут найти в полученной информации факты нарушения законодательства и передать их в соответственные государственные органы. Это может спровоцировать проведение проверок, а они ничего доброго не предвещают.

Одним словом, если в компании встал вопрос о защите коммуникаций - первым делом необходимо защищать почту, так как основная масса документов пересылается через нее. Но, не смотря на важность, немногие компании задумываются о безопасности почты.

Основные ошибки, которые приводят к перехвату электронной почты:

• Корпоративная почта используется для регистрации в социальных сетях и ряда других ресурсов. Чем больше адрес почты светится в различных сервисах – тем больше вероятность попадания его в различные списки рассылки спама, а также это часто провоцирует попытки взломать адрес.
• Пароль, указанный в корпоративной почте, используется для регистрации на различных сайтах. Очень часто сотрудники, регистрируясь на каком-то сайте знакомств или торрент трекере, не утруждаются придумывать какой-то пароль, а вводят тот, что и для корпоративной почты.
• Указываться простой пароль. В качестве пароля к почте указывается дата рождения, свое имя и т.д., а эта информация доступна в открытом виде во многих источниках.
• Используются внешние сервисы электронной почты. Многие компании используют площадки Google, Yandex и т.д. для размещения корпоративных доменов. Это считается безопасным, но известны факты, когда почта, размещенная на этих сервисах, попадала в интернет. Также в СМИ постоянно говорят о прямом доступе спецслужб к информации пользователей на этих ресурсах.
• Почта не шифруется. Известный факт, что пароль к любой почте возможно взломать, причем цены на взлом почтового ящика стартуют от 10-20 USD. Если почта не зашифрованная, то получив доступ к ящику, злоумышленник автоматически получает доступ ко всей коммерческой информации.

Рассмотрим простой пример шифрования почты на базе бесплатного почтового клиента Mozilla Thunderbird, используя механизм шифрования OpenPGP. Для организации шифрования необходимо установить дополнение Enigmail в Thunderbird, а также приложение GnuPG. После чего в ThunderBird появиться вкладка OpenPGP. Далее необходимо сгенерировать личную пару ключей. Делается это так:

Сам процесс шифрованной переписки можем разложить на 4 элементарных этапа.

Как видим, шифровать почту совсем не сложно, да еще и бесплатно!

Внедрение шифрования почты избавляет от большинства рисков утечки информации и при этом не требует никаких затрат, лишь затраты на внедрение и обучения пользователей. Если речь идет о небольшой компании, состоящей из 10 человек, то достаточно всех собрать, объяснить необходимость шифрования – показать как это делается и пригрозить санкциями в случае несоблюдения этого правила. Другое дело, если компания большая и аналогично вышеописанным действиям сделать не получиться.

До всех сотрудников тяжело донести необходимость защиты почты. Также после внедрения процессы шифрования сложно контролировать – со временем сотрудники могут расслабиться и перестать шифровать письма. Обязательно необходимо проводить обучение новых сотрудников. В таком случае с помощью доменных политик возможно настроить принудительное шифрование писем, которые отправляются на адреса домашнего домена и организовать хранение и обмен открытыми ключами с помощью ActiveDirectory. Это избавит от необходимости обмена открытыми ключами при появлении каждого нового сотрудника.

Следующим этапом повышения безопасности почты является организация собственного сервера. Это потребует немного больших затрат на оборудование и лицензии, чем использовать почтовые сервисы. Но все-таки желательно использовать именно собственный почтовый сервер, размещенный на высокодоступной и надежной технической площадке .

Площадка должна быть постоянно доступна, это означает, что электропитание, интернет, кондиционирование должно быть зарезервировано. Программного обеспечения для сервера почты существует очень много, как на базе свободного ПО, так и на базе коммерческого. Здесь однозначный выбор сделать невозможно, так как сервер необходимо подобрать под необходимый компании функционал. Нужно взять во внимание бюджет, выделенный на внедрение сервера. Мы используем MDaemon по ряду причин:

• Он прост в настройке и администрировании. MDaemon сможет настроить и обслуживать администратор даже с базовым уровнем знаний. Настройка Exchange сервера или Open Source продуктов требует гораздо большую квалификацию и время на внедрение и обслуживание.
• Функционал отвечает всем требованиям нашего бизнеса. Поддерживает все почтовые протоколы, имеет «аутлукоподобный» Web –интерфейс почты, группы рассылок, перенаправление почты, фильтры спама и т.д.
• Стоимость гораздо ниже чем Exchange и Kerio. Примерная стоимость лицензий на 50 пользователей MDaemon -20 000 рублей, 50 000 руб – Kerio, 100 000 руб -MS Exchange.
• Нет каких-то специфических требований. Например, не требуется наличие ActiveDirectory. Продукт может быть установлен на десктопную ОС – например WindowsXP или Windows 7. Продукт не требует СУБД.

Схема функционирования почты будет следующей:

Рисунок 1 - Схема функционирования почты

Собственный сервер дает ряд преимуществ по сравнению с использованием публичных почтовых серверов:

• Безопасность. Доверять можно только себе. Какими бы не казались безопасными сервисы Google, Yandex и т.д.– они принадлежат другим компаниям и эти компании также имеют туда доступ.
• Обслуживание. Администратор компании имеет возможность гибкой настройки сервера, а также имеет возможность осуществлять подробный мониторинг. Мониторинг, например, позволит увидеть попытки взлома почтового сервера или его ящиков.
• Гибкость. Если компания имеет свой почтовый сервер, она не упирается в ограничения сервис-провайдера. Компания может по своему желанию выбирать ПО для почтового сервера, масштабировать систему и т.д.

Таким образом для надежной защиты почты рекомендуется внедрить в компании две глобальные меры: внедрить шифрование почты и организовать свой почтовый сервер. К ним очень хорошо применяется принцип Парето. Первая мера дает 80% эффективности при 20% затрат, а вторая дает остальные 20% эффективности, но требует 80% затрат.

Краткий перечень советов при использовании корпоративной электронной почты:

1. Используйте собственный почтовый сервер, расположенный за пределами офиса.
2. Не создавайте простые имена ящиков, например [email protected] – они обязательно попадут в списки рассылок спама, лучше использовать инициал сотрудника и фамилию.
3. Используйте генерированные пароли к почте.
4. Не указывайте адрес своей корпоративной почты при регистрации на сайтах не имеющих отношения к работе.
5. Шифруйте текст всех сообщений, информацией в которых вы не хотели бы делится с конкурентами или другими субъектами.
6. Файлы прикрепленные к письму также необходимо шифровать, а если есть защищенный корпоративный портал – файл лучше разместить на нем и переслать в письме ссылку.

Системная интеграция. Консалтинг

Честный ответ на этот вопрос будет звучать так: «Да. Но нет». Когда вы посещаете большинство сайтов, в адресной строке отображается протокол HTTP. Это - небезопасное соединение. Если зайдете в аккаунт одной из крупных почтовых служб, вы увидите уже HTTPS. Это говорит об использовании протоколов шифрования SSL и TLS, которые обеспечивают безопасное «путешествие» письма из окна браузера до почтового сервера. Вместе с тем это ничего не даёт в связи с , который вступает в действие с 1 июля 2014 года. Тем более абсолютно ничто не защищает вашу переписку от недобросовестного сотрудника фирмы почтового сервиса, атак хакеров, незакрытой сессии на чужом компьютере, незащищенной точки Wi-Fi, а также любого требования спецслужб - уже сейчас - и даже самой службы почтового сервиса, в соответствии с их собственной политикой конфиденциальности.

Все письма, приходящие, уходящие или хранящиеся на сервере почтовой службы находятся в полнейшем распоряжении компании, которой он (сервер) принадлежит. Обеспечивая безопасность при самой пересылке, компания может делать с сообщениями все, что ей вздумается, так как, по сути, получает письма в своё распоряжение. Поэтому надеяться можно лишь на порядочность её (компании) руководства и служащих, а также на то, что вы вряд ли кого-то серьезно заинтересуете.

При использовании корпоративной почты переписка защищается силами IT-службы, которые могут установить очень строгий Firewall. И, тем не менее, это тоже не спасёт, если недобросовестный сотрудник «сольёт» информацию. Речь идет не обязательно о системном администраторе - злоумышленнику достаточно оказаться «внутри» корпоративной сети: если он настроен серьезно, остальное - дело техники.

Зашифруемся

Несколько повысить уровень защиты вашей почты «от дурака» может шифрование текста письма и вложения (их также можно поместить в архив с паролем, например, если сам текст не содержит конфиденциальных данных, а архив - содержит). В этом случае можно использовать специальное программное обеспечение.

Само тело письма можно шифровать сторонней криптографической программой, об этом уже , позволю себе повторить немного на свой лад. Наиболее популярный сервис, для которого специально создана программа шифрования - Gmail. Расширение SecureGmail устанавливается в Google Chrome, который это шифрование поддерживает, после чего всё совсем просто - для шифруемого сообщения вводится пароль и вопрос-подсказка для его восстановления. Единственный недостаток - ограничение использования только для GoogleChrome.

Есть шифратор, который подходит для практически любой онлайн-почты, например для mail.ru, yandex.ru, Gmail.com - для всех почтовых сервисов, которые вы можете открыть в окне браузера Mozilla. Это расширение Encrypted Communication. Принцип работы такой же, как у SecureGmail: написав сообщение, выделите его мышью, после чего нажмите правую кнопку и выберите «зашифровать при помощи Encrypted Communication». Далее введите и подтвердите пароль, известный вам и получателю. Естественно, оба этих клиента должны быть установлены и у получателя, и у отправителя и оба этих человека должны знать пароль. (Стоит отметить, что было бы опрометчиво отправлять пароль той же почтой.)

Кроме плагинов для браузера, в котором вы открываете почту, существует приложение для десктопных клиентов, которое также может использоваться и с онлайновыми почтовыми сервисами - PGP (Pretty Good Privacy). Метод хорош, так как использует два ключа шифрования - открытый и закрытый. А также можно использовать целый ряд программ как для шифрования данных, так и для шифрования текста письма: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail и другие.

Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть. Поэтому лучший способ шифрования - не писать писем. Девиз «Надо чаще встречаться» приобретает в этом контексте новое звучание.

Минимизируем риски

Как уже было отмечено выше, идеальный способ шифрования - не писать писем. Чаще всего, не следует пользоваться бесплатными почтовыми сервисами для ведения переписки по работе, особенно если вы подписывали соглашение о неразглашении. Дело в том, что если ваши сообщения перехватят с корпоративной почты - разбираться с брешью в защите будут с IT-отделом компании. В противном случае вы несёте личную ответственность. Помните: при использовании «внешней» почты переписка обязательно попадет третьим лицам, как минимум, сотрудникам компании, предоставляющей услуги почтового сервиса. А они с вашим работодателем соглашения о неразглашении не подписывали.

Если вы важное лицо в компании, не пересылайте ключевые документы по открытым каналам, либо не используйте для их передачи электронную почту вообще, а для работы пользуйтесь корпоративной почтой и не высылайте важные письма на адреса бесплатных почтовых сервисов.

Во всех остальных случаях, например, при заключении договоров, полезно использовать почту, так как электронное сообщение содержит факты ваших договорённостей по работе и может вам в дальнейшем помочь. Помните, что большинство «сливов» информации происходят по вине отнюдь не хакеров, а «человеческого фактора». Вам вполне может быть достаточно использовать сложные пароли, регулярно их менять и не допускать их утраты. Следует не забывать закрывать свои сессии на чужих компьютерах, не пользоваться незащищенными соединениями при работе через Wi-Fi в общественных местах, установить галочки в настройках почтового ящика «запомнить мой IP адрес», «отслеживать IP адреса, с которых открывались сессии», «не допускать параллельных сессий». А также не создавать простых вопросов и ответов для восстановления пароля и не терять мобильный телефон, если к нему привязан ваш аккаунт.

При необходимости защиту конфиденциальности сообщения электронной почты, зашифруйте его. Шифрование сообщения электронной почты в Outlook означает, что преобразования из удобочитаемым обычного текста в зашифрован зашифрованный текст. Только получатель, обладающий закрытый ключ, который соответствует открытый ключ, используемый для шифрования сообщения может расшифровать сообщение для чтения. Любой получатель без соответствующим закрытым ключом, однако видит невозможно расшифровать текст. Outlook поддерживает двух параметров шифрования.

Шифрования S/MIME - метод шифрования S/MIME, отправителя и получателя должна иметь почтовое приложение, которое поддерживает стандарту S/MIME. Outlook поддерживает стандарту S/MIME

Шифрование Office 365 сообщений Шифрование сообщений Office 365, что включены в лицензию Office 365 E3 должен иметь (Управление правами) - использовать шифрование сообщений Office 365, отправитель.

Кнопка создания шифровать и обновления шифрование электронной почты

С помощью нового обновления Office шифрования электронной почты в Outlook у вас есть лучше.

Шифрование с помощью протокола S/MIME

Перед началом этой процедуры необходимо сначала добавления сертификата в цепочке ключей на вашем компьютере. Получив ваш сертификат подписи Настройка на вашем компьютере, вам потребуется настроить в Outlook.

В меню файл выберите Параметры > Центр управления безопасностью > Параметры центра управления безопасностью .

В левой области выберите Защита электронной почты .

В разделе Шифрованная электронная почта выберите пункт Параметры.

В разделе сертификаты и алгоритмы нажмите кнопку выбрать и выберите сертификат S/MIME .

Нажмите кнопку ОК

В статье описывается, как настроить S/MIME шифрование электронной почты в Outlook 2003 и Outlook 2007. S/MIME - это стандарт для шифрованию электронной почты, он интегрирован во многие почтовые клиенты (Outlook, Thunderbird, Apple Mail и др.). Отмечу, что описанный здесь метод шифрования почты не требует затрат, кроме приобретения почтового клиента Outlook. Но если сравнить стоимость Outlook и, скажем, PGP Desktop Email от Symantec, то Outlook окажется наименьшим злом, причем достаточно удобным и функциональным. Это продолжение статьи " и предтеча статьи по созданию с помощью OpenSSL самоподписанного сертификата S/MIME .

Подразумевается, что у вас и вашего коллеги уже имеются сертификаты.

Настройка шифрования в Outlook

Настройка Outlook 2003 и 2007 практически идентична. Разница только в расположении параметров настройки.

В Outlook 2003 открываем Сервис -> Параметры -> закладка Безопасность -> кнопка Параметры:

В Outlook 2007 открываем Сервис -> Центр управления безопасностью -> Защита электронной почты:

Отмечаем опции «Настройка по умолчанию для этого формата» и «Настройка по умолчанию для всех сообщений».

Переходим к сертификату подписи. Нажимаем кнопку Выбрать. В открывшемся окне выбираем полученный ранее сертификат и жмем Ок. Сертификат шифрования должен подставиться автоматически, если нет, выбираем из списка.

Алгоритм хеширования оставляем по умолчанию - SHA1.

Алгоритм шифрования. В зависимости от установленной операционной системы (XP или Vista), набор доступных алгоритмов будет отличаться. Выбираем самый надежный алгоритм.

• Для XP - 3DES.
• Для Vista - AES (256-бит).

Эти настройки определяют максимальный уровень шифрования. Если у вас Vista + Outlook, а вам пишут из XP + Outlook, то письмо будет зашифровано 3DES. Также и в другую сторону, не смотря на то, что у вас выставлен алгоритм шифрования AES (256-бит), письмо для коллеги, работающем в XP, будет зашифровано с помощью алгоритма 3DES. 3DES считается надежным алгоритмом, но если вы хотите улучшить защиту и не переходить на Vista, то ваш выход - сменить почтовый клиент. Например поставить The Bat (есть собственный криптопровайдер с поддержкой AES 256).

Опция «Передавать сертификаты с сообщением» должна быть отмечена.

Обмен сертификатами

Теперь вы можете отправлять кому угодно подписанные сообщения электронной почты, т.е. теперь получатель с намного большей уверенностью сможет считать, что письмо от вас отправили именно вы, а не злоумышленник. Но нам этого мало. Нам необходимо иметь возможность шифровать содержимое электронной почты, а не просто подписывать её. Для этого мы должны обменяться сертификатами с нашим другом. Мы будем шифровать исходящую почту ключом нашего друга, а он, в свою очередь, получив от нас письмо, сможет его окрыть, используя свой ключ.

Для обмена ключами шифрования достаточно отправить друг другу подписанное (sign) сообщение.

Теперь важный для Outlook момент. После получения подписанного письма, отправителя необходимо добавить в адресную книгу.

Для этого открываем полученное письмо. В поле От, на адресе отправителя делаем правый клик, в меню выбираем Добавить в контакты Outlook . Если контакт уже существует выбираем Обновить контакт.

В данных контактного лица переходим на закладку сертификаты. Если все правильно, в списке будет отображен сертификат.

Теперь после привязки сертификата к контактному лицу, мы можем отправить ему зашифрованное письмо.

Обратите внимание, быстрый просмотр при выделении зашифрованного письма не работает. Чтобы прочитать содержимое нужно открыть письмо в отдельном окне.

Узнать каким алгоритмом зашифровано письмо, действительны ли сертификаты, можно нажав на кнопке с изображением замка. В открывшемся окне выделяем строку Уровень шифрования. Внизу в графе Описание будет указан алгоритм шифрования.

Переписка зашифрованными сообщениями S/MIME универсальна, т.е. зашифрованные письма, отправленные с Outlook, можно будет прочесть и в других почтовых клиентах, например, Thunderbird, или на мобильных клиентах, например, iPhone или Android. Главное, импортировать в iPhone или другое устройство или почтовый клиент закрытый ключ для расшифровки сообщений и открытый ключ получателя - для отправки. Проверить работу шифрования просто - если у получателя почты есть веб-интерфейс для доступа к почтовому ящику, то содержимое письма будет недоступно для просмотра, вместо этого в письме будет видно вложение smime.p7s.

Эта статья описывает, как настроить Thunderbird на цифровую подпись, шифрование и расшифрование сообщений, чтобы повысить защиту переписки.

Введение

При разработке инфраструктуры электронной почты, которая используется каждым из нас, в ней не был предусмотрен механизм обеспечения защиты. В то время, как большинство людей подключается к серверам электронной почты с использованием защищённого соединения ("SSL"), некоторые серверы разрешают незащищённый доступ. Более того, когда сообщение перемещается по цепочке от отправителя к получателю, соединение между каждым из серверов не обязательно является защищённым. Это дает возможность третьей стороне осуществлять перехват, чтение и подмену сообщений электронной почты при их передаче.

Когда вы подписываете сообщение цифровой подписью , вы внедряете в сообщение информацию, удостоверяющую вашу личность. Когда вы зашифровываете сообщение, это значит что оно будет выглядеть "закодированным", и может быть прочтено только тем человеком, кто имеет ключ для расшифровки сообщения. Цифровая подпись сообщения гарантирует, что сообщение пришло от заявленного отправителя. Шифрование гарантирует, что сообщение не будет прочитано или изменено во время передачи.

Чтобы зашифровать сообщение, вы можете использовать криптосистему с открытым ключом . В такой системе, каждый участник имеет два отдельных ключа: открытый ключ и закрытый ключ . Когда кто нибудь хочет послать вам зашифрованное сообщение, он или она использует ваш открытый ключ, чтобы сгенерировать алгоритм шифрования. Когда вы получаете сообщение, вы должны использовать ваш закрытый ключ, чтобы его расшифровать.

Важно: Никогда никому не давайте ваш закрытый ключ.

Протокол, используемый для шифрования электронной почты, называется PGP (Pretty Good Privacy). Чтобы использовать PGP в Thunderbird, нужно сначала установить:

• GnuPG : (GNU Privacy Guard): свободную реализацию PGP
• Enigmail : дополнение для Thunderbird

Оба из этих приложений также предоставляют возможность цифровой подписи сообщения.

Установка GPG и Enigmail

Чтобы установить GnuPG, загрузите соответствующий вашей платформе пакет со страницы загрузки GnuPG . Выполните пункты инструкции установщика. Для получения более подробной информации по установке PGP на конкретную операционную систему прочтите:

Чтобы установить Enigmail:

1. В Thunderbird выберите Инструменты > Дополнения .
2. Используйте панель поиска в верхнем правом углу, чтобы найти Enigmail.
3. Выберите Enigmail из списка результатов поиска и выполните инструкции по установке дополнения.

Создание ключей PGP

Создайте пару открытый/закрытый ключ следующим образом:

Отправка и получение открытых ключей

Отправка вашего открытого ключа по электронной почте

Для получения зашифрованных сообщений от других людей, вы должны сначала отправить им свой открытый ключ:

Получение открытого ключа по электронной почте

Чтобы отправлять зашифрованные сообщения другим людям, вы должны получить и сохранить их открытые ключи:

Отправка подписанной и/или зашифрованной электронной почты

Примечание: Строка «Тема» сообщения зашифрована не будет.

Чтение подписанной и/ или зашифрованной электронной почты

Когда вы получите зашифрованное сообщение, Thunderbird попросит вас ввести ваш секретный пароль, чтобы расшифровать сообщение. Чтобы определить, было или нет входящее сообщение подписано или зашифровано, вам необходимо посмотреть на панель информации над телом сообщения.

Если Thunderbird распознает подпись, над сообщением появится зеленая панель (как показано ниже).

Если сообщение было зашифровано и подписано, то в зеленой панели также появится текст "Расшифрованное сообщение".

Если сообщение было зашифровано, но не подписано, то появится панель, показанная на рисунке ниже.