Безопасность электронной почты с помощью цифровых сертификатов (часть 5)

Опубликовано: 11 Марта, 2023
Безопасность электронной почты с помощью цифровых сертификатов (часть 5)

подпишитесь на нашу рассылку MSExchange.org по обновлению статей в реальном времени

Использование S/MIME

Прежде чем мы сможем использовать S/MIME, мы должны получить и установить индивидуальный ключ/сертификат либо из центра сертификации (ЦС) нашей компании, либо из общедоступного ЦС. Как упоминалось ранее, отдельные закрытые ключи/сертификаты иногда могут использоваться для подписи и для шифрования, что позволяет депонировать ключ шифрования без ущерба для неотказуемости. В этой статье мы будем использовать один сертификат для обеих целей.

Шифрование требует наличия сертификата получателя в нашем «магазине», что мы скоро увидим, как это сделать, когда получим электронное письмо от этого пользователя с действительным сертификатом подписи.

Типичный персональный сертификат («класс 1») подтверждает личность владельца, но только заявляет, что отправитель является владельцем адреса электронной почты «От:». Таким образом, это только доказывает, что полученное электронное письмо действительно пришло с указанного адреса «От:», но не подтверждает, например, имя человека или название компании. Если вы хотите, чтобы получатели могли проверить личность отправителя, указав официальное имя отправителя в сертификате, отправителю необходимо получить сертификат «класса 2» от ЦС, который выполнит более тщательный процесс проверки личности.

В зависимости от политики ЦС сертификат и все его содержимое могут быть опубликованы для ознакомления и проверки, что делает имя и адрес электронной почты доступными для просмотра и, возможно, поиска. Как минимум, все центры сертификации публикуют как минимум серийные номера и статус отзыва (без какой-либо личной информации), что является обязательным для поддержания целостности инфраструктуры открытых ключей.

Получение цифрового идентификатора

Цифровой идентификатор, также известный как цифровой сертификат, позволит нам отправлять сообщения с цифровой подписью, например, с помощью Outlook. Это поможет подтвердить нашу личность и предотвратить фальсификацию сообщения, чтобы защитить подлинность сообщения электронной почты.

Есть несколько ЦС, которые предоставляют бесплатные сертификаты электронной почты. В этом примере мы будем использовать бесплатный безопасный сертификат электронной почты Comodo:

Начните с нажатия «Зарегистрироваться сейчас», заполните все необходимые поля в форме заявки и нажмите «Далее»:

Заявка должна пройти успешно, и подробности о том, как получить наш сертификат, будут отправлены на адрес электронной почты, который мы указали в форме:

На следующем снимке экрана показано электронное письмо, которое мы получаем от Comodo, с инструкциями о том, как получить наш сертификат:

После того, как мы нажмем Click & Install Comodo Email Certificate, мы должны получить следующее сообщение:

Это означает, что сертификат был автоматически добавлен в наше хранилище сертификатов на нашем компьютере. Мы можем проверить это с помощью сертификата MMC (консоли управления Microsoft):

С помощью этой консоли мы можем создать резервную копию нашего сертификата, экспортировав его, а также проверить его свойства:

Мы видим, что в этом сертификате используется алгоритм SHA-256:

И мы можем увидеть, например, что такое наш открытый ключ. Также важно помнить, когда срок действия нашего сертификата истекает ( поля), чтобы мы могли обновить его до этой даты:

Настройка Outlook с цифровым идентификатором

Теперь, когда у нас есть цифровой идентификатор, нам нужно настроить Outlook для его использования. В этой статье мы будем использовать Outlook 2016, но процедура практически идентична для других версий Outlook.

  1. На вкладке «Файл» нажмите «Параметры» -> «Центр управления безопасностью » -> «Настройки центра управления безопасностью» -> «Безопасность электронной почты»:
  1. В разделе Зашифрованная электронная почта нажмите Настройки:
  1. В разделе «Настройки параметров безопасности» нажмите «Создать». Outlook должен автоматически заполнить все поля:

Когда мы установили сертификат, мы увидели, что используемый алгоритм хэширования был SHA-256, поэтому мы обновили значение алгоритма хеширования с до , чтобы оно соответствовало ему.

Здесь также мы можем указать разные сертификаты для подписи электронных писем ( сертификат подписи ) и для шифрования электронных писем ( сертификат шифрования ), нажав «Выбрать…» и выбрав другой сертификат. В этом случае я буду использовать один и тот же сертификат для обеих операций.

Мы также можем вручную импортировать сертификат с помощью функции импорта/экспорта, если сертификат не был автоматически добавлен в наш магазин:

Изображение 1796
13

Затем мы указываем, какой сертификат импортировать, его пароль и нажимаем OK:

Затем сертификат импортируется в наш магазин и доступен для использования в Outlook.

На этом этапе давайте оставим все настройки зашифрованной электронной почты пустыми. Это означает, что электронные письма не будут автоматически подписаны или зашифрованы:

Цифровая подпись электронных писем

Наконец, у нас есть все для того, чтобы начать подписывать наши электронные письма цифровой подписью. Для этого мы начинаем с создания нового сообщения электронной почты. В окне электронной почты мы нажимаем на вкладку «Параметры» и выбираем «Подписать», чтобы подписать это конкретное электронное письмо, которое мы отправляем Линде:

Когда Линда получает электронное письмо, отправленное ей Нуно, она сразу видит, что электронное письмо было подписано из-за другого значка:

При открытии электронного письма в нем указывается, кто его подписал, и отображается «символ подписи», чтобы подчеркнуть этот факт:

Если Линда щелкнет этот подписанный значок, отобразятся дополнительные сведения о подписи, в том числе о том, что она действительна и доверена:

Нажав «Подробности…», мы получим дополнительную информацию о сертификате (Digital ID), который использовался для подписи этого письма:

Если Линда нажмет на Signer: [email protected]…, она сможет получить информацию о самой подписи:

Сохранение цифрового идентификатора получателя

Как уже упоминалось в этой серии статей, для отправки зашифрованных сообщений электронной почты отправитель должен иметь цифровой идентификатор получателя (помните, что мы шифруем сообщения с помощью открытого ключа получателя). Вот почему предполагаемый получатель зашифрованного сообщения должен сначала поделиться своим цифровым идентификатором, отправив нам электронное письмо. На этом этапе Нуно уже отправил Линде подписанное электронное письмо, поэтому у Линды есть все необходимое для отправки зашифрованных электронных писем Нуно.

Во-первых, ей нужно добавить цифровой идентификатор Нуно в свой список контактов:

  1. Линда начинает с открытия сообщения с цифровой подписью Нуно;
  2. Затем она щелкает правой кнопкой мыши имя отправителя (Нуно) рядом с его изображением и выбирает команду «Добавить в контакты Outlook ». Если у Линды уже есть запись для Нуно, она нажмет «Редактировать контакт»:

Сертификат теперь хранится вместе с ее контактной записью для Нуно, и она может отправлять ему зашифрованные сообщения. Но давайте подтвердим, что это так, просмотрев сертификат контакта Нуно:

  1. На панели навигации щелкните Люди.
  2. На вкладке Главная щелкните Список:
  1. Дважды щелкните имя человека, выберите вкладку «Контакты», а затем нажмите «Сертификаты»:
  1. Если теперь дважды щелкнуть указанный сертификат, мы увидим его детали и свойства:

Шифрование электронной почты

Хорошо, теперь, когда мы подтвердили наличие сертификата Нуно в нашем хранилище контактов, мы можем отправить ему зашифрованное электронное письмо. Для этого мы начинаем с создания нового сообщения электронной почты. В окне электронной почты мы нажимаем на вкладку «Параметры» и выбираем «Зашифровать и/или подписать», чтобы зашифровать электронную почту и/или подписать ее:

Когда Нуно получает электронное письмо, значок указывает, что это зашифрованное электронное письмо:

Открыв электронное письмо, мы видим, что оно было зашифровано, а также снабжено цифровой подписью:

Как и прежде, щелкнув значок замка, мы можем увидеть подробную информацию о сертификате (Digital ID), используемом для подписи электронной почты. Обратите внимание на раздел «Уровень шифрования», которого раньше не было и в котором описывается, что электронная почта была зашифрована с использованием AES 265:

Если мы нажмем View Details… мы получим информацию об алгоритме шифрования:

Вывод

В этой серии статей мы рассмотрели основы криптографии, как работают цифровые сертификаты и как мы можем использовать их для защиты сообщений электронной почты, подписывая и/или шифруя электронные письма в Outlook с помощью S/MIME.

подпишитесь на нашу рассылку MSExchange.org по обновлению статей в реальном времени

  • Безопасность электронной почты с помощью цифровых сертификатов (часть 4)