Журнал PC Magazine/RE №06/2008

Любой человек с компьютером в вашей сети – или находящийся по соседству, если вы пользуетесь беспроводной сетью, – может перехватывать сообщения, которыми вы обмениваетесь по сети, если вы не позаботились об их защите.

Защита электронной почты

Модернизировать систему электронной почты с целью обеспечить ее безопасность и конфиденциальность легко и просто. Бесплатный сертификат безопасности электронной почты будет свидетельствовать о том, что все ваши исходящие сообщения действительно отправлены вами и их содержание не изменено третьими лицами. А если сертификатами пользуются и ваши корреспонденты, можете обменяться с ними ключами, и тогда вся ваша электронная переписка будет зашифровываться, что защитит ее от посторонних глаз.

Форматирование неважное, но смысл сообщения вполне понятен

Перехват сообщений. Средства мониторинга сети, такие, как превосходная программа WireShark (распространяется бесплатно), позволяют с легкостью перехватывать сетевой трафик

Запрос на получение ключа. Чтобы оформить запрос на получение ключа электронной почты, достаточно заполнить онлайновую форму, аналогичную приведенной на рисунке форме с сайта Thawte

Это и впрямь вы? Поскольку назначение ключа электронной почты – показать, что послание отправлено действительно лицом, указанным в качестве отправителя, лучшим подтверждением будет электронное письмо на защищенный адрес; ваш ответ на него завершит процедуру выдачи сертификата

Для такой защиты используются открытые и секретные ключи; обмениваться паролями по открытым каналам связи не придется. Первый шаг – получить сертификат для имеющейся у вас программы электронной почты. Бесплатно и практически немедленно сертификаты для программ электронной почты можно получить на сайтах Comodo (go.pcmag.com/comodopro3) и Thawte (www.thawte.com). В ответ на представленную форму с вашим именем и почтовым адресом формируется запрос, который будет удовлетворен, когда компания направит вам электронное письмо с предложением получить запрошенный сертификат. Для успешного завершения операции вам нужно будет внести в свой список доверенных Web- узлов выбранную систему. Сертификаты фирмы Thawte более универсальны, но в настоящее время нет возможности запрашивать их из браузера IE7 (хотя можно получить его с помощью Firefox и затем использовать с другими программами). Сайт Comodo тоже отвечает на запросы практически мгновенно, но в запросе на получение сертификата нужно выбрать параметр Advanced и выставить флажок «exportable», и тогда у вас будет возможность сделать резервную копию ключа, необходимую для восстановления информации в случае потери оригинального ключа.

Если вы запросили и получили ключ с помощью IE (получать ключ нужно на той же машине, с которой он запрашивался), значит, этот ключ уже установлен и готов к использованию в программе Outlook. Достаточно в окне подготовки сообщений щелкнуть на кнопке Digitally sign, и ваша исходящая почта будет подписана, а это подтверждает тот факт, что послание поступило от вас и его содержание не было изменено. При поступлении подписанной почты адресат увидит небольшой значок в форме медальона. (Подписи отображаются такими клиентскими программами, как Lotus Notes, Outlook и Thunderbird, но у клиента Gmail подобной функции пока нет.) Если утилита для борьбы с вирусами (или со спамом) изменит сообщение, адресат будет предупрежден о том, что сообщение, возможно, было изменено.

Outlook можно настроить так, чтобы подписывались все исходящие послания; для этого в Outlook 2007 нужно обратиться в раздел Trust Center, а в предыдущих версиях программы – в раздел Options. Если вы хотите читать свои сообщения с нескольких машин, вам придется экспортировать сертификат с принявшего его компьютера и импортировать в другие машины. Не нужно получать отдельный сертификат для каждого компьютера: если вы начнете шифровать сообщения с помощью различных сертификатов, путаница неизбежна.

Чтобы защитить электронную почту шифрованием, необходимо сделать еще один шаг. Прежде всего нужно получить подписанное послание от лица, с которым вы хотите обмениваться сообщениями, и затем добавить сертификат этого лица к вашей системе. В Outlook эта задача решается просто: достаточно правой клавишей мыши щелкнуть на адресе отправителя (From address) подписанного сообщения в заголовке и в открывшемся меню выбрать пункт Add to Outlook Contacts. При сохранении нового контакта вместе с ним сохраняется и его сертификат, который будет использоваться автоматически при шифровании каждого послания, адресованного этому пользователю. Если же вы не располагаете сертификатом какого-то пользователя, то при попытке направить ему зашифрованное сообщение будет выводиться сообщение об ошибке. Можно вручную импортировать или экспортировать сертификаты, направляемые вам другими пользователями, но ведь намного проще сделать это путем обмена посланиями. Когда адресат получает зашифрованное письмо от вас, в панели заголовка его почтовой программы отображается маленький значок в виде замка. Заметим, что в окне предварительного просмотра Outlook этот значок не появится, поскольку сообщение зашифровано, нужно будет сначала открыть его для того, чтобы прочесть.

Не забудьте сделать полную копию своего сертификата (вместе с секретным ключом), если предполагается использовать его для шифрования почты. Иначе в случае потери сертификата вы не сможете читать полученные письма. Скопировать сертификат можно, выполнив его экспорт из модуля Trust Center клиента Outlook 2007 (пользователям более ранних версий Outlook следует щелкнуть на кнопке Import/Export вкладки Security) или из диалогового окна Certificates браузера IE (в меню Tools нужно последовательно выбрать пункты Internet Options и Content). Разумеется, речь идет о той самой процедуре, которую вы уже выполняли, если используете одну и ту же учетную запись для работы с электронной почтой на нескольких машинах.

И еще одно замечание для пользователей Outlook. Поскольку Outlook не может знать, имеется ли аналогичный сертификат у адресата, в программе есть простой параметр «sign all e-mails» («подписывать все сообщения»). Но, если вы отправите подписанное электронное послание пользователю Windows Mail, получатель не сможет вам ответить. Дело в том, что по прихоти разработчиков Microsoft в Windows Mail по умолчанию применяется правило, согласно которому в ответ на подписанное письмо должно отправляться тоже подписанное письмо. И если у получателя нет сертификата, возникает проблема. Конечно, пользователи Windows Mail могут изменить это правило, но, столкнувшись с ним впервые, они обычно не готовы к решению этой проблемы, поэтому я не рекомендую настраивать Outlook на подписывание всех почтовых отправлений. Вместо этого, просто щелкните на значке «Sign» при отправке сообщений тем адресатам, у которых, по вашим сведениям, имеются собственные сертификаты.

Защищенные IM-обмены. Программа AIM Pro содержит хорошо известного клиента AIM с упрощенным интерфейсом и с одним важным дополнением: значок в виде замка показывает, что текущий диалог с другим пользователем AIM Pro зашифровывается на обоих концах соединения. Значком замка в окне со списком друзей отмечены пользователи AIM Pro

PGP для IM. Если у вас и у вашего корреспондента работает программа PGP Desktop, то ваши диалоги с использованием IM-совместимых клиентов (таких, как представленный на рисунке бесплатный клиент Pidgin) будут зашифровываться на обоих концах соединения

Решение от фирмы PGP для защиты почты «одним щелчком»

Если вы или ваша организация серьезно относитесь к проблеме защиты электронной почты, обратите внимание на PGP Desktop (go.pcmag.com/pgppro9). Этот коммерческий продукт объединяет все необходимые для защиты электронной почты шаги, т. е. вам не придется выполнять отдельную процедуру запроса