Продовжуємо шифрувати кореспонденцію, використовуємо електронні підписи
Електронний підпис S/MIME
Цифровий підпис можна використовувати і в PGP, але якщо поштовий клієнт не містить вбудованого PGP-захисту (як, наприклад, Outlook Express), то застосовувати цифровий підпис за допомогою PGP є досить проблематичним — для цього потрібно встановлювати спеціальне програмне забезпечення.
S/MIME розшифровується як Secure/Multipurpose Internet Mail Extensions.
S/MIME є реалізацією криптографічної системи з асиметричним ключем. Система може використовуватися для додавання електронного підпису до ваших поштових повідомлень та для їх шифрування.
Використовуючи S/MIME, ви можете підписати повідомлення цифровим підписом, так що одержувач зможе, по-перше, переконатися в тому, що повідомлення було дійсно відправлено вами; але ще й переконатися в тому, що вміст повідомлення не було змінено і що його було отримано абсолютно в тому ж вигляді, в якому було відправлено вами.
Цифровий підпис допоможе вам зашифрувати ваше повідомлення так, що тільки одержувач зможе прочитати його, навіть якщо повідомлення було перехоплено в процесі передачі або було скопійовано з сервера.
При роботі з S/MIME, як і в PGP, потрібно мати два ключі – відкритий та закритий, але метод отримання цих ключів у цьому випадку буде дещо іншим. Ключі отримують разом із так званим сертифікатом, тобто якоюсь інформацією про користувача, що дозволяє визначити, що він саме той, за кого себе видає. Сертифікат можна порівняти з певним електронним паспортом, своєрідним посвідченням особи у цифровому світі.
Сертифікат складатиметься з двох частин – секретного ключа та публічного ключа.
Це схоже трохи на звичайну пошту, де лист чи бандероль вам видадуть після подання посвідчення особи. Для електроннихлистів таким посвідченням і є цифровий сертифікат, що видається незалежною організацією.
Сертифікат є набором даних і складається з наступних частин:
Сертифікат випускається спеціальною організацією – Довіреним Центром Сертифікації (Certificate Authority). Цей центр є стороною, якій довіряють всі сторони, що беруть участь в обміні інформацією. Для успішного обміну електронними повідомленнями всі сторони повинні знати відкритий ключ центру сертифікації. Сучасні інтернет-програми (браузери, поштові клієнти) мають вбудований список Trusted Authorities (Довірених джерел сертифікатів), а також відкриті ключі цих джерел.
Ви повинні захищати сертифікат від несанкціонованого доступу, і вже в будь-якому випадку не повідомляти нікому пароль, яким захищений ваш сертифікат.
Для використання можливостей S/MIME насамперед вам необхідно отримати сертифікат (наприклад, це можна зробити тут: https://www.thawte.com або http://www.instantssl.com/ssl-certificate-products/free-email- certificate.html).
Сертифікат можна інсталювати лише у браузері Internet Explorer. При цьому браузер повинен дозволяти відображати компоненти ActiveX, і ви повинні погодитися з пропозицією встановити сертифікат на ваш комп'ютер.
Щоб отримати сертифікат, зайдіть на сервер і виберіть Personal Certificates, а потім How to Register. Далі дотримуйтесь інструкцій на сайті. Сертифікат, отриманий тут, можна використовувати разом із програмами Nestcape Messenger, Internet Explorer, Opera, Outlook, Outlook Express, Eudora та The Bat.
Отриманий сертифікат буде встановлений у браузер Internet Explorer. Ви можете побачити сертифікат, вибравши Властивості браузера > Зміст > СертифікатиНа вкладці Особисті ви побачите встановлені сертифікати (див. мал.).
Практично всі сучасні поштові клієнти використовують систему захисту електронних листів на основі цифрового підпису S/MIME.
Outlook Express.РоботазелектроннимпідписомS/MIME
Щоб використати сертифікат у поштовій програмі, необхідно провести експорт сертифіката в окремий файл. Для цього у вікні зі списком сертифікатів Internet Explorer натисніть кнопку Експорт, в результаті чого буде запущено майстер експорту сертифікатів. На наступних кроках роботи майстра задайте експорт закритого ключа, а також позначте наступні перемикачі: Увімкнути посилений захист і Включити по можливості всі сертифікати в сертифікат. На наступному кроці роботи майстра вам необхідно буде вказати пароль доступу до сертифіката - той, який ви задавали на сайті під час його отримання. Далі необхідно обов'язково задати ім'я файлу, до якого буде зроблено експорт, та вказати папку, в якій цей файл буде розміщено.
Для використання сертифіката у поштовій програмі The Bat! ви повинні зробити його імпорт.
Для імпорту сертифіката у вікні властивостей поштової скриньки у розділі Загальні відомості натисніть кнопку Сертифікати, після чого у вікні — кнопку Імпортувати (див. мал. 3).
Вибравши потрібний файл, у якому збережено сертифікат, необхідно двічі ввести пароль для підтвердження імпорту. Після імпортування сертифіката ви можете підписувати листи.
Для того, щоб підписати лист у вікні створення нового повідомлення в The Bat! виберіть Криптографія та безпека > Авто S/MIME (простежте, щоб одночасно не було вибрано пункт меню Авто OpenPGP). Після цього в цьому меню виберіть Підписати перед відправкою. Умомент відправки листа The Bat!, можливо (у разі, якщо у вас є кілька S/MIME-сертифікатів), запитає вас про те, який із сертифікатів використовуватиме створення підпису, а потім запропонує вам вказати пароль, яким захищений ваш сертифікат у базі даних програми.
Після цього програма автоматично створить електронний підпис для вашого листа та надішле його за призначенням. Зверніть увагу, що захищеним від несанкціонованої модифікації виявляється не лише текст листа, а й ті файли, які, можливо, ви до нього прикріпили, а також деякі службові поля (наприклад, From:, але не Subject:). Тобто якщо в процесі доставки будь-що з вищепереліченого виявиться змінено, система S/MIME одержувача листа відреагує на це, відмовившись завірити електронний підпис відправника.
Під час отримання електронного листа, підписаного за допомогою електронного підпису S/MIME, The Bat! показує стан його підпису на панелі прикріплених файлів. Детальний опис стану підпису, часу підписання, а також ідентифікацію підписувача (на підставі інформації, що міститься в його S/MIME-сертифікаті) ви можете дізнатися двічі, натиснувши мишею на одній з описаних іконок (див. рис. 4).
Шифруваннялистівзза допомогою S/MIME: Outlook Express
Щоб шифрувати лист у Outlook Express, у вікні створення нового повідомлення натисніть кнопку Зашифрувати. Якщо відкрита частина сертифіката була отримана раніше, шифрування пройде без проблем, і лист буде відправлено. Якщо сертифікат для одержувача не був отриманий раніше, у програмі з'явиться повідомлення про це, і такий лист відправити буде не можна.
Отримавши зашифрований лист, ви побачите повідомлення про це. Натиснувши кнопку Продовжити, ви зможете прочитати текст листа.Outlook Express автоматично розшифровує електронні повідомлення за умови, що на вашому комп'ютері встановлено правильний цифровий сертифікат.
Для того, щоб зашифрувати лист в The Bat! Вам потрібно мати публічну частину S/MIME-сертифіката одержувача, для чого, у свою чергу, необхідно або запросити у нього такий сертифікат, або просто отримати раніше від нього лист, підписаний за допомогою електронного підпису S/MIME (але не зашифрований). У цьому випадку відкрита частина сертифіката надсилається автоматично.
Якщо до вас прийшов S/MIME-зашифрований лист, у The Bat! ви побачите повідомлення про це у тексті листа. Щоб прочитати такий лист, необхідно натиснути мишкою на значку криптосистеми і ввести пароль, яким закритий ваш S/MIME-сертифікат. Якщо лист зашифрований навіть для вас, The Bat! покаже текст листа у окремому вікні (див. рис. 5).
Електронний підпис S/MIME часто є кращим, ніж використання PGP. По-перше, механізм електронного підпису S/MIME дозволяє зробити з листом ті ж дії, що й PGP, тобто зашифрувати та підписати лист. Але процедура отримання сертифіката з відкритих джерел набагато простіша і в чомусь надійніша — цей механізм працює у всіх поштових програмах, і немає необхідності виконувати додаткові дії щодо обміну відкритими ключами.