dodany: 29.01.2013 | tagi: , , ,

Autor:

Bezpieczeństwo e-mail

10

Czy wiesz, że korzystanie z poczty elektronicznej poprzedza wynalazek Internetu?

Wiadomości elektroniczne były wysyłane przez przewód jeszcze długo zanim istniały sieci komputerowe. W rzeczywistości, e-mail utorował drogę dla Internetu, jaki znamy dzisiaj.

Czemu nie możesz do końca zaufać każdej wiadomości e-mail? Czy zawsze możesz być pewny, że informacje, jakie znalazłeś w swojej skrzynce pocztowej nie zostały sfałszowane i przyszły od wskazanego nadawcy?

Niestety, kiedy wymyślano e-mail, nie zastanawiano się nad jego bezpieczeństwem. Poczta elektroniczna oparta została o sieć peer-to-peer, gdzie wiadomości wysyłane są z serwera do serwera jako czysty tekst (z ang. plaintext), bez szyfrowania, póki nie osiągną swojego celu (nie dotrą do adresata).

Nawet jeśli łączysz się z dostawcą e-mail przez szyfrowane połączenia (SSL/TLS), żeby ściągnąć swoje wiadomości, nie oznacza to, że wiadomości nie zostały odczytane po drodze do Twojej skrzynki.

W przeciwieństwie do innych sposobów komunikacji w Internecie (sieci IM jak xmpp, gg, Skype czy sieci społecznościowe), w przypadku e-mail nie ma żadnych scentralizowanych serwerów, które kontrolują i zarządzają dostawą poczty, co może powodować problemy takie jak e-mail spoofing (wysyłanie wiadomości, która celowo wygląda jakby została wysłana przez kogoś innego – podszywanie się pod nadawcę).

Mimo to korespondencja przez e-mail wciąż jest wiążąca i może nawet zostać użyta jako dowód sądowy.

Jak więc bezpiecznie wysyłać wiadomości, tak żeby spełniały następujące wymagania:

  • odbiorca będzie przekonany, że e-mail jest od Ciebie,
  •  nikt poza odbiorcą nie będzie mógł przeczytać wiadomości,
  •  nie było możliwości, żeby ktoś zmienił treść wiadomości zanim dotrze do adresata?

W 1991 roku, Phil Zimmerman opublikował program nazwany PGP (z ang. Pretty Good Privacy – „całkiem niezła prywatność”), który gwarantuje wszystkie trzy wymienione punkty.

 Digital key in pixeled keyhole

Wiarygodność poprzez szyfrowanie

Na szczęście PGP i podobne oprogramowanie używające standardu OpenPGP (np. GPG) jest teraz legalnie dostępne w większości krajów i jest świetnym rozwiązaniem zabezpieczenia e-maili. Wysoki poziom bezpieczeństwa zostaje zapewniony przez szyfrowanie wiadomości i cyfrowe podpisywanie ich.

  • Szyfrowanie zapewnia poufność – zawartość wiadomości jest chroniona, więc może zostać odczytana tylko przez zamierzonego odbiorcę.
  • Cyfrowy podpis autoryzuje wiadomości – odbiorca może być pewny, że dostaje je właśnie od Ciebie.
  • Dodatkowo cyfrowy podpis zapewnia, że wiadomość nie została sfałszowana.
  • I na koniec upewnia, że nadawca w późniejszym terminie nie zaprzeczy wysłaniu wiadomości.

Szyfrowanie wiadomości oraz autoryzacja, które spełniają cztery wymagania bezpieczeństwa, oparte są o kryptografię klucza publicznego (ang. public-key cryptography).

Kryptografia klucza publicznego opisuje protokoły matematycznego szyfrowania i algorytmy, które pozwolą Ci bezpiecznie korzystać ze sklepów internetowych i z internetowej bankowości. Niestety, ten rodzaj kryptografii umożliwia malware wkradnięcie się do Twojego komputera i zaszyfrowanie go w celu wyłudzenia okupu (ransomware).

Ellis, Cocks i Williamson w 1973 roku w GCHQ (z ang. Government Communications Headquarters – ‚centrala łączności rządowej’) wymyślili pierwsze algorytmy klucza publicznego. Używały one matematycznej funkcji „trapdoor”, żeby przeprowadzać asymetryczne szyfrowanie wiadomości. To znaczy – sposoby szyfrowania i deszyfrowania są inne, żeby wiadomości nie dało się odkodować.

Każdy może zaszyfrować wiadomość – albo analogicznie zweryfikować cyfrowy podpis jako poprawny – za pomocą publicznej części klucza, ale tylko uprawniona osoba może deszyfrować wiadomość – albo cyfrowo podpisać – używając swojego sekretnego prywatnego klucza.

 

Jak to działa?

Wybierzmy sobie dwie osoby. Niech jedna ma na imię Alicja i druga Robert. Alicja chce bezpiecznie wysłać email do Roberta, bez możliwości, że Ewa odczyta albo zmodyfikuje jej wiadomość i chce, żeby Robert był przekonany, że wiadomość została wysłana właśnie przez nią.

Prosty przykład jak program PGP (albo podobny) zadziała (jak faktycznie protokoły działają, to sprawa dużo bardziej skomplikowana, ale sens jest ten sam):

Najpierw komputer Alicji szuka klucza publicznego Roberta w serwerze kluczy (z ang. key-server), który działa jak duża książka adresowa i szyfruje wiadomość używając jego klucza.

Następnie jej prywatny klucz użyty zostaje do cyfrowego podpisania wiadomości wysyłanej do Roberta.

Na koniec komputer Roberta deszyfruje wiadomość za pomocą jego prywatnego klucza i weryfikuje cyfrowy podpis używając publicznego klucza Alicji (pobranego z serwera kluczy).

Pada pytanie – skąd Alicja wie, że klucz publiczny Roberta, pobrany z serwera kluczy, jest poprawny i należy do niego, a nie np. do Ewy lub innej osoby? I tu pojawia się „web of trust” – mechanizm upewniający poprawność kluczy publicznych.

“Web of trust” jest alternatywą do infrastruktury klucza publicznego (z ang. public key infrastructure, w skr. PKI) używanego przez strony internetowe do zapewnienia bezpieczeństwa za pomocą certyfikatów SSL.

Idea jest prosta: załóżmy, że Alicja i Robert mają wspólnego znajomego o imieniu Marcin, któremu oboje ufają. Marcin może ręczyć za oboje – Alicję i Roberta, ponieważ zna ich osobiście i może zweryfikować ich tożsamość i ich powiązanie z kluczami publicznymi. Marcin podpisuje każdy z ich kluczy publicznych swoim własnym. Ponieważ Marcin ufa Robertowi i Alicja ufa Marcinowi (Alicja podpisała klucz publiczny Marcina) to pozwala Alicji uwierzyć w autentyczność klucza Roberta.

Takie realne uwierzytelnianie może brzmieć niewykonalnie i tworzyć kolejne problemy? Jest to jednak bardzo efektywny sposób zapewnienia bezpiecznej komunikacji (z systemami PGP albo podobnymi) bez potrzeby kupowania drogich certyfikatów bezpieczeństwa, jak te używane przez strony internetowe.

Często organizowane są nawet spotkania znane jako „key signing party”, żeby móc sprawdzić wzajemnie swoją tożsamość i podpisać klucze w celu propagacji sieciowego zaufania (web of trust).

 

Czemu bezpieczeństwo e-maili nie jest tak rozpowszechnione?

Prawdopodobnie powodem jest kombinacja wrażenia niewykonalności i braku świadomości zagrożeń. Nie zawsze jest proste zacząć używać klucza publicznego do szyfrowania e-maili, a utrzymanie klucza publicznego bezpiecznym może być kłopotliwe, jeśli używasz poczty z wielu urządzeń. Ponadto wiedza o problemach z e-mailami, spoofingu (podszywanie się pod nadawcę) nie jest tak duża jak powinna być.

Z pewnych względów tylko zdeterminowani, co do bezpieczeństwa w Internecie, będą się kłopotać używaniem tych systemów jako rutyny. Dla biznesu bezpieczeństwo korespondencji jest delikatną sprawą, często wymuszającą balansowanie na poziomie kosztów i ryzyka. Jednak dostawcy Internetu i poczty e-mail powinni poszerzać świadomość użytkowników i zachęcać do zabezpieczania wiadomości.

Pamiętaj następnym razem, kiedy strona Internetowa informuje, że „bezpiecznie” wysłała Ci przypomnienie hasła – jak faktycznie wygląda ten proces.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

10 odpowiedzi na “Bezpieczeństwo e-mail”

  1. Thank you a lot for sharing this with all of us you actually know what you are speaking approximately!
    Bookmarked. Kindly also visit my site =). We will have a hyperlink exchange
    agreement between us

    Here is my blog post fifa 15 cheat codes ps3

  2. avatar free fifa coins napisał(a):

    The coins most suited to perform particular tricks are the ones which fit to the contours of their palms.
    When you buy and sell players, you can be based on the TOTW and
    TOTY predictions. New releases every year can make it tough for games
    to make serious jumps from one year to the next, but EA
    Sports has done just that in the fall of 2014.

  3. avatar cheats for android napisał(a):

    He has been quietly working in the background of all
    the i – Phone hacking and unlocking news to improve i – Funttastic and more importantly make it work
    with i – Phone OS v1. In Win – SCP, it’s aas easy aas accessing your i – Phone’s IP address (something easily found tthrough your router’s status page).
    1 with the help off a wizard which will guide you through the
    process. Usinng the standard finger gestures, you can execute varuous offensive and defensive moves.

  4. avatar coins for fifa napisał(a):

    There’s also a DLC called NBA 2K10 Draft
    Combine available for the Xbox Live Arcade. Here is a list of recommended weapons to
    use for the first 8 opponents:. Don’t only
    bet additional numbers with five star teams, you feel very determined by
    their speed and talent.

  5. avatar gta5cheatsps3.com napisał(a):

    Grand Theft Auto: San Andreas seems to be just a seamless sandbox game.
    So it’s quite natural to start thinking of some of them
    as friends ‚ especially if you are not the main instructor for the course
    and your job mainly consists of holding weekly problem
    or discussion sessions. Even if you plan to leave the world of academia after getting your graduate degree, you’ll pick up
    a lot of other useful skills as a GTA ‚ such as how to communicate with people
    from a wide range of backgrounds, how to feel comfortable and confident when speaking in public, and how to
    convey technical or complex material to an audience that has
    a limited background in your field of study.

  6. avatar latest download napisał(a):

    If you would like to obtain much from this article then you have to

    apply these techniques to your won website.

  7. What To Keep In Mind chaussures isabel marant pas cher When Buying A Sport Horse,chaussures isabel mar basket isabel marant pas cher ant pas cherSolitary of the the majority harmful conditions in support of a battery is high-level warmth. If batteries are t replique isabel marant chaussures oo emotional before too cold, so therefore all right batteries long for exhibit behaviors with the purpose o

  8. Attractive component to content. I just stumbled upon your site and in accession capital to claim that I get actually enjoyed account your
    weblog posts. Any way I will be subscribing in your augment and even I
    achievement you get entry to persistently quickly.

  9. avatar purchasing garage napisał(a):

    Hello.This article was extremely motivating, especially because I was looking for thoughts on this topic last Monday.

  10. avatar Alisha napisał(a):

    Players might make use of the chat purpose for
    conversing with the merchants or chatting with other gamers up for grabs.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *