Защита систем электронной почты В начале 1994 г. директор сетевых услуг Райсовского университета США Ф. Гербод обнаружил неизвестную программу, "гулявшую" по файлу зашифрованных паролей. Прежде чем эта программа была удалена, она смогла изменить пароли и безнадежно испортить несколько файлов. Появление специализированных "программ-ищеек", способных раскрывать пароли пользователей, означает начало конца эры паролей многоразового использования. Проблемы с несанкционированным доступом к конфиденциальной информации возникают в сети Intеrnеt довольно часто, заставляя пользователей обращаться к специальным средствам защиты данных. Эксперты прежде всего рекомендуют установить своеобразный "брандмауэр" - защитную стенку в виде буфера на стыке между сетью Intеrnеt и внутрифирменными сетями. Буфер, контролируя доступ на этом стыке, позволяет защитить информационные ресурсы фирмы. Среди поставщиков таких продуктов можно назвагь американские фирмы Rарtоr Sуstеms, АNS СО+RЕ Sуstеms, Sеmарhоrе Сommunications. Во-вторых, полезно маскировать пароли. Как известно, в системах Uniх все пароли, как правило, шифруются и размещаются в общедоступном файле. Это дает возможность хэкерам в свободное время заняться дешифрованием паролей. Маскирование паролей, т. е. помещение зашифрованных паролей в некий файл, доступный только для системного администратора, является наиболее простым решением проблемы защиты от хэкеров. В-третьих, рекомендуется шифровать все передаваемые по сети сообщения, хотя при этом могут возникать определенные сложности. В частности, шифрование нельзя использовать при передаче сообщений между локальными вычислительными сетями (ЛВС), использующими систему Uniх и систему Мiсrоsоft Маil. Кроме того, зашифрованные сообщения зачастую не проходят по сетям, в которых используется сжатие данных. Наконец, внедрению шифрования могут противодействовать правительственные органы. Так, в интересах усиления национальной безопасности правительственные круги США хотели бы сохранить за собой возможность контроля сообщений, пересылаемых по сети Intеrnеt. И все же шифрование остается единственным надежным средством защиты информации в системах электронной почты. Оно позволяет использовать эти системы при совершении крупных сделок, для передачи финансовой информации и стратегических планов компаний. Без шифрования электронная почта оказывается чрезвычайно уязвимой по отношению к перехвату циркулирующих по ней сообщений. Многие не представляют себе, сколь легко можно считать передаваемые по ЛВС незашифрованные сообщения, используя средства тестирования протокола. Ранее весьма дорогостоящие и неудобные в эксплуатации программы шифрования электронной почты быстро дешевеют вплоть до того, что иногда поставляются просто бесплатно. Так, три крупнейшие системы электронной почты для ПЭВМ - ссМаil, Мiсrоsоft Маil и Dаvinсi Маil - поставляются со встроенными системами шифрования, о чем пользователи, отправляя или читая принятое сообщение, иногда даже и не подозревают. Отмечается, что в перечисленных трех пакетах электронной почты для ЛВС применяются различные системы шифрования со сравнительно короткими ключами. Доступ к почте контролируется короткими паролями. При выходе за пределы конкретной системы электронной почты сообщения автоматически расшифровываются и далее поступают в сеть в открытом виде. Два пользователя системы сс Маil еще могут работать в режиме зашифрованной связи при условии, если они используют одну ЛВС или какую-то глобальную сеть (хотя в данном случае могут быть исключения), или систему глобальной электронной почты. Однако в настоящее время нет возможности шифрованной пересылки сообщения из системы, к примеру, сс Маil в систему Мiсrоsоft Мail. Шифрование можно применять и при пользовании тремя основными службами электронной почты ЕаsyLink фирмы АТ&Т, МСI Мail фирмы МСI Соmmunicаtiоns и Sрrint Маil фирмы Sрrint. Однако лишь при условии, если и отправитель, и получатель используют одинаковые системы шифрования. Встроенных систем шифрования указанные службы не имеют. Если не считать, разве что, системы Sрrint в Канзас-Сити, которая предлагает связной пакет МS-DOS с возможностью шифрования данных. Кроме того, готовится к выпуску версия Windows с 16-символьным ключом. Фирма Fisher Intеrnаtiоnаl планирует поставить версию 4.0 системы электронной почты для больших ЭВМ ЕМС2/ТАО. В ней будет применена система шифрования с открытым ключом, имеющая в своей основе будущий стандарт шифрования РЕМ (Рrivасу Enhanсеd Маil) для сетей Intеrnеt. В выпускаемой этой фирмой версии злектронной почты применен разработанный ее специалистами нестандартный криптоалгоритм Кгурtоnitе, который защищает лишь межсерверные связи. Новая система шифрования будет рассчитана на использование в настольных и портативных персональных компьютерах. Как известно, шифрсистемы с открытым ключом (обычно это системы RSА) отличаются большой длиной ключа, а сам процесс шифрования и расшифрования занимает несколько минут. Поэтому шифрование по алгоритму RSА в чистом виде не применяется. Обычно алгоритм с открытым ключом используется для шифрования небольшой части сообщения (часто это бывает ключ шифрования собственно информационного сообщения), а все остальное шифруется алгоритмом с секретным ключом, примером которого является алгоритм DЕS. Этот подход используется в стандарте РЕМ и в версии 4.0 системы ЕМС2. В них секретный ключ отправителя сообщения шифруется по алгоритму с открытым ключом и передается вместе с зашифрованным по алгоритму с секретным ключом собственно информационным сообщением. Компьютер получателя с помощью алгоритма шифрования с открытым ключом вычисляет секретный ключ и затем с его помощью расшифровывает само сообщение. Система ЕМС2 позволяет шифровать с открытым ключом по алгоритму RSА не только ключи алгоритма DЕS, но и по желанию пользователя завершающую фразу или резюме документа. В результате получается "цифровая подпись" документа. Для сети Internet предлагалось несколько различных версий электронной почты РЕМ. Все они смогут работать друг с другом и с коммерческими продуктами, например с пакетом фирмы Fishеr Internаtiоnаl. Примером может служить пакет ТIS/РЕМ фирмы Тrustеd Infоrmatiоn Sуstеms. В настоящее время этот пакет рассчитан на работу с системой Uniх, однако проводится разработка варианта и для операционной системы DOS. Совместимые с системой РЕМ программные продукты планируют выпускать компании АТ&Т, Соmрutеr Аssосiаtеs Intеrnаtiоnаl, Nоvеll. Вместе с тем никакие новинки программных продуктов при самой высокой степени их унификации сами по себе не смогут сделать электронную почту защищенной. Руководителей американских фирм еще предстоит убедить в полезности уже имеющихся средств защиты. Исследование проблем автоматизации офисов показывает, что количество фирм в США, серьезно занимающихся вопросами своей информационной безопасности, пока очень невелико. Обычно это фирмы, в которых работают бывшие сотрудники ЦРУ. В конце концов у большинства фирм нет необходимости защищать свои линии связи от криптоаналитиков Агентства национальной безопасности США. Определенным достижением будет считаться уже то, что деловые структуры смогут обезопасить свою электронную почту, не прибегая к помощи этого агентства. Dаtаmаtiоn.- 1993 .- 39, N 23 .- Р. 48, 50. Соmрutеrwоrld.- 1994 .- 28, N 7 .- Р, 14. Тест на эащищенность сети электронной почты Ниже предлагается простой тест для оценки уровня защищенности электронной почты. Ответ "нет" хотя бы на один вопрос теста означает, что в сети может быть слабое место, через которое возможна утечка информации. 1. Предусматривает ли программное обеспечение электронной почты вашей ЛВС шифрование сообщений при их передаче по линиям свяэи? 2. Остаются ли сообщения в зашифрованном виде в процессе их ретрансляции или при хранении в почтовом ящике? 3. Остаются ли сообщения зашифрованными при пересылке между различными пакетами электронной почты? 4. Предоставляют ли ваши службы глобальной электронной почты услуги по шифрованию сообщений? Dаtаmаtiоn.- 1994 .- 39, N 23 .- Р. 48.