Презентация на тему Защита почтовых сообщений и коммуникаций

передаче по каналам связи
контроль целостности данных при хранении или

передаче по каналам связи
аутентификация абонентов (взаимодействующих сторон)
разграничение ответственности сторон за счет обеспечения неотказуемости (доказательства авторства или источника сообщения)

Позволяют решать следующие задачи:

шифрования
Электронная цифровая подпись
Основные криптографические схемы:

128 бит
Triple DES: 112 бит, 168 бит
Rivest’s Cipher (RC)
RC2,

RC4: 40 бит, 56 бит, 128 бит
Хеширование
Message Digest (MD)
MD2, MD4, MD5
Secure Hash Algorithm (SHA-1)
Hashed Message Authentication Code (HMAC)
Цифровая подпись
Digital Signature Algorithm (DSA)
RSA Digital Signature
Обмен ключами
Diffie-Hellman Key Agreement
RSA Key Exchange

ГОСТ 28147-89
256 бит

ГОСТ Р 34.10-94 (2001)
256 и 512 (1024) бит

ГОСТ Р 34.11-94

другие (секретный пароль или ключ)
Иметь что-либо, чего нет у других (что

сложно отнять или передать)
Иметь рекомендации от доверенного посредника (которому верит проверяющий)

способ аутентификации

открытым ключом посредством создания и распространения сертификатов открытых ключей

и списков отозванных сертификатов

В 1978 году Кохфельдер (Kohnfelder, Loren M.) предложил использовать сертификаты для распространения открытых ключей с тем, чтобы их аутентичность можно было проверить. Фактически он предложил концепцию инфраструктуры открытых ключей.

сертификата
Идентификатор издателя
ЭЦП издателя

Сертификат может выпущен только уполномоченным

эмитентом (CA) и содержит единственную ЭЦП эмитента

X509 -промышленный стандарт сертификатов

X.509v3

Идентификатор пользователя

Идентификатор алгоритма ЭЦП

В настоящее время наиболее часто используются сертификаты на основе стандарта Международного союза телекоммуникаций ITU-T X.509 версии 3 и рекомендаций IETF (Internet Engineering Task Force) RFC 2459

Сертификат - решение проблемы доверия

издашь не отзовешь !
(Пословица нового времени)
Список отозванных сертификатов
Certificate Revocation

List (CRL) – подписанный набор записей, соответствующий отозванным открытым ключам, где каждая запись указывает серийный номер соответствующего сертификата, время отзыва, причину отзыва и др.

Минимизировать возможный ущерб при компрометации индивидуального (секретного) ключа можно путем запрета его дальнейшего использования. Но кроме этого необходимо запретить использование всех копий соответствующего открытого ключа, то есть отозвать сертификат, сообщив всем его потенциальным пользователям, что верить ему больше нельзя.

компонент PKI
СА - доверенная третья сторона, чья подпись под

сертификатом подтверждает подлинность связи открытого ключа с представляемым объектом (стороной).

Издает (создает и подписывает) сертификаты
Поддерживает информацию о статусе сертификатов и издает CRL
Публикует свои и изданные им сертификаты и CRL
Архивирует информацию об истекших или отозванных сертификатах

CA выполняет четыре основных функции PKI:

регистрации (Registration Authority - RA) проверяет контекст сертификатов
Хранилище

(repository) распространяет сертификаты и CRL
Архив (archive) хранит истекшие сертификаты
Клиентское ПО реализует криптографические услуги для владельцев и пользователей ключей и сертификатов

Пять основных функциональных компонентов PKI:

(предприятия)
Stand-Alone CA (автономный)

Два типа СА (в иерархии)
Root CA (корневой)
Subordinate

CA (подчиненный)

корневого и промежуточных СА, так как в целях более

надежной защиты он может быть изолирован от сети
Может быть использован в качестве издающего СА, размещенного в DMZ (откуда нет доступа к AD)

Enterprise CA
Целесообразно использовать во внутренней сети организации, так как он автоматически (прозрачно для объектов домена) выполняет большую часть работы

Certificates («отозванные сертификаты») - список всех отозванных на данный

момент сертификатов (CRL)
Issued Certificates («изданные сертификаты») - список сертификатов, изданных данным CA
Pending Requests («ожидающие запросы») - показывает «ожидающие» запросы, то есть запросы, оставленные CA в состоянии ожидания вашего решения
Failed Requests («неудавшиеся запросы») - список неудавшихся или отвергнутых запросов
Policy Settings («установки политики») - список шаблонов сертификатов, доступных на данном сервере

Управление СА

будет иметь выдаваемый сертификат
Windows 2000 поддерживает 19 шаблонов,

позволяющих легко изготовлять сертификаты для конкретных задач

Примеры шаблонов сертификатов:

с доказательством источника
Дополнительные услуги
Подписывание квитанции о приеме: неотказуемость доставки
Метки

безопасности
Защищенные перечни рассылки

good privacy
S/MIME: secure MIME

с разработкой MOSS рабочая группа руководимая RSA Security, Inc.

приступила к разработке другой спецификации для передачи цифровым образом подписанных и/или зашифрованных (в “конверте”) сoобщений в соответствии с форматом сообщений MIME и некоторыми ранее опубликованными стандартами (PKCS)
Подход и спецификация протокола была названа Secure Multipurpose Internet Mail Extensions (S/MIME)
Имеется три версии S/MIME:
S/MIME версии 1 была специфицирована и официально опубликована в 1995 году RSA Security, Inc.
S/MIME версии 2 был специфицирован парой RFC - RFC 2311 и RFC 2312 – в марте 1998
Работы продолжавшиеся в IETF S/MIME Mail Security (SMIME) WG дали в результате S/MIME версии 3 специфицированной в RFC от 2630 до 2634 в июне 1999

свою очередь, может быть частью сообщения, множеством частей, или

полным сообщением e-mail

Во всех случаях, S/MIME определяет как криптографически защитить объект MIME

S/MIME основывается на синтаксисе криптографического сообщения (cryptographic message syntax, CMS) определенного в RFC 2630

CMS, в свою очередь, получен из PKCS #7 версии 1.5 определенного в RFC 2315

CMS величины генерируются с использованием ASN.1 и кодируются как байтовые строки согласно BER.

защиты контекста

Цель этого ContentInfo типа – инкапсулировать определенный тип

контекста, и этот определенный тип контекста может обеспечить дальнейшую инкапсуляцию

RFC 2630 определяет шесть типов контекста:

Data
SignedData
EnvelopedData
DigestedData
EncryptedData
AuthenticatedData

info

Content = signed
Signature(s)

Content = data
DATA
Синтаксис S/MIME

множественных подписей

множественных подписей

ключей
Поддержка алгоритмов транспортирования ключей

установленным в signed-data
Поддержка типов MIME: multipart/signed и application/pkcs7-signature

защищенного сообщения S/MIME состоит в следующем:

Объект MIME подготавливается согласно

обычных правил подготовки сообщения для MIME
Получающийся MIME объект преобразуется в каноническую форму (детали процедуры канонизации зависят от фактического типа и подтипа MIME)
MIME объект плюс некоторая относящаяся к защите сообщения информация, такая как идентификаторы алгоритмов или сертификаты, обрабатывается S/MIME и получается PKCS объект
PKCS объект интерпретируется как контекст сообщения и заключается в оболочку MIME (в начале могут быть добавлены дополнительные MIME заголовки)
Получившееся сообщение передается намечаемому получателю (лям)

40-битного RC2, и RSA (U.S. Версии дополнительно реализуют DES

и 3DES)
S/MIME v3 требует дополнительной поддержки для DES, 3DES, 128-битного RC2, DH и DSA

С криптографической точки зрения, алгоритмы используемые S/MIME идентичны или совместимы с используемыми PGP (и OpenPGP)

2632

несколько раз (различными объектами)
Личное доверие (установление степени доверия)
S/MIME: Модель

доверия не определена
Реализация почти любой модели доверия
Сертификаты X.509
Сертификат подписывается один раз

закладку Безопасность. Нажмите кнопку Параметры.
Используя кнопки Выбрать, выберите

личные сертификаты, соответствующие ключам подписи и шифрования.

Конфигурация Outlook

закладку Безопасность.
В отображаемом диалоге можно включить режимы Шифровать

содержимое и вложения исходящих сообщений и Добавлять цифровую подпись к исходящим сообщениям

Конфигурация Outlook

окне диалога установите флаг Добавить цифровую подпись к исходящему

сообщению.
После того, как сообщение подготовлено к отправке, нажмите кнопку Отправить.

Отправка подписанных сообщений в Outlook

отправителя и, нажав правую кнопку мыши, выберите пункт Добавить

к контактам.
В отображаемом диалоге нажмите на закладку Сертификаты и убедитесь в наличие сертификата отправителя.

Получение сертификата для шифрования сообщений в Outlook

флаг Зашифровать сообщение и вложение.
После того, как сообщение

подготовлено к отправке, нажмите кнопку Отправить.

Отправка шифрованных сообщений в Outlook