без лишних глаз

3APA3A (WWW.SECURITY.NNOV.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-092-6

ПРОВЕРИТЬ ПОДДЕРЖИВАЕМЫЕ ПРОТОКОЛЫ АУТЕНТИФИКАЦИИ (AUTH) SMTP-СЕРВЕРА МОЖНО С ПОМОЩЬЮ SMTP-КОМАНДЫ EHLO

Но, к сожалению, аутентификация в SMTP остается необязательной, и в самом протоколе передачи не появилось надежного метода проверки адреса отправителя. Поэтому единственным средством защиты от подделки остается электронная подпись.

[цифровые сертификаты для электронной почты.]

Используя цифровые сертификаты, можно шифровать и подписывать электронные письма. Цифровая подпись предоставляет механизм проверки целостности содержания письма (не было ли оно изменено при передаче), шифрование скрывает текст письма. Процедуры подписи и шифрования производятся почтовым клиентом отправителя, а процедуры проверки цифровой подписи и расшифровки — почтовым клиентом получателя.

Разберем, как подписывать и шифровать электронные сообщения в разных почтовых клиентах. Для этого нам понадобится центр сертификации. Можно воспользоваться коммерческим удостоверяющим центром, но мы поднимем свой собственный (смотри статью про IPSec).

Назовем взаимодействующие стороны Алисой и Бобом. Для того чтобы Алиса могла воспользоваться цифровой подписью для электронных писем, у нее должен быть установлен сертификат, выданный центром сертификации, которому доверяет Боб, и предназначенный для подписи электронной почты.

УСТАНАВЛИВАТЬ СЕРТИФИКАТЫ НУЖНО ИМЕННО ДЛЯ УЧЕТНОЙ ЗАПИСИ АЛИСЫ, А НЕ ЕЕ КОМПЬЮТЕРА, КАК В СИТУАЦИИ С IPSEC

Процедура получения сертификата для цифровой подписи (предполагаем, что сертификат удостоверяющего центра установлен в списке корневых доверенных сертификатов учетной записи Алисы и Боба):

1 ЗАПРАШИВАЕШЬ СЕРТИФИКАТ ДЛЯ ЭЛЕКТРОННОЙ ПОЧТЫ: START-> RUN-> HTTP://IP_ЦЕНТРА_СЕРТ/CERTSRV.

2 ВЫБИРАЕШЬ ОПЦИЮ REQUEST A CERTIFICATE, ЖМЕШЬ NEXT.

3 ВЫБИРАЕШЬ E-MAIL PROTECTION CERTIFICATE, ЖМЕШЬ NEXT.

4 ЗАПОЛНЯЕШЬ ПОЛЯ NAME И E-MAIL (ОСТАЛЬНЫЕ ПО ЖЕЛАНИЮ).

Будь внимателен, указывая электронный адрес. Он должен точно совпадать с обратным адресом отправителя (тем, который подставиться в поле «Кому», когда получатель нажмет кнопку «Ответить»). Если он не будет совпадать, почтовый клиент не даст поставить цифровую подпись.

5 НАЖИМАЕШЬ SUBMIT И ДАЛЕЕ YES.

6 ОТКРЫВАЕШЬ ОСНАСТКУ CERTIFICATION AUTHORITY НА КОМПЬЮТЕРЕ, НА КОТОРОМ УСТАНОВЛЕН ЦЕНТР СЕРТИФИКАЦИИ, И ВЫДАЕШЬ ТОЛЬКО ЧТО ЗАПРОШЕННЫЙ СЕРТИФИКАТ.

7 ПОЛУЧАЕШЬ ЗАПРОШЕННЫЙ СЕРТИФИКАТ С КОМПЬЮТЕРА АЛИСЫ. ДЛЯ ЭТОГО ЗАХОДИШЬ НА СТРАНИЧКУ HTTP://IP_ЦЕНТРА_СЕРТ/CERTSRV/CERTCKPN.ASP, ВЫБИРАЕШЬ НУЖНЫЙ ЗАПРОС И ЖМЕШЬ NEXT.

8 ВЫБИРАЕШЬ INSTALL THIS CERTIFICATE И ЖМЕШЬ YES.

Теперь проверь, что в списке сертификатов учетной записи Алисы в категорию Personal добавился новый сертификат. Для этого:

1 START-> RUN-> MMC. HАЖИМАЕШЬ ENTER.

2 ДАЛЕЕ FILE, ТАМ ADD/REMOVE SNAP-IN И В ОКОШКЕ ADD.

3 ВЫБИРАЕШЬ CERTIFICATES И ЖМЕШЬ ADD.

4 ОСТАВЛЯЕШЬ ОПЦИЮ MY USER ACCOUNT И ЖМЕШЬ FINISH.

5 ДАЛЕЕ CLOSE И OK.

6 СМОТРИШЬ ВЕТВЬ CERTIFICATES — CURRENT USER \ PERSONAL \ CERTIFICATES.

7 В ОКНЕ СПРАВА ДОЛЖЕН ПОЯВИТЬСЯ ТОЛЬКО ЧТО УСТАНОВЛЕННЫЙ СЕРТИФИКАТ (ЕСЛИ ДО ЭТОГО НЕ УСТАНАВЛИВАЛ СЕРТИФИКАТЫ ПОЛЬЗОВАТЕЛЯ, ЭТО БУДЕТ ПЕРВЫЙ ИЛИ ВТОРОЙ ЛИЧНЫЙ СЕРТИФИКАТ ПОСЛЕ СЕРТИФИКАТА EFS, КОТОРЫЙ СОЗДАЕТСЯ АВТОМАТИЧЕСКИ ПРИ ШИФРОВАНИИ ФАЙЛА).