• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Захищений обмін файлами по каналах Internet

    1. Який метод оптимальний для ваших умов? Пересилання файлів по Internet - операція вельми поширена,...
    2. Засоби стиснення файлів
    3. Pretty Good Privacy
    4. PKI
    5. Шифрування на основі даних про відправника
    6. З урахуванням всіх обставин
    Який метод оптимальний для ваших умов?

    Пересилання файлів по Internet - операція вельми поширена, а захист переданих файлів має першорядну важливість для багатьох підприємств. Існує цілий ряд способів передачі файлів і безліч методів захисту цих файлів в процесі передачі. Вибір методів передачі і шифрування залежить від загальних потреб відправника. В одних випадках достатньо просто забезпечити безпеку файлів в процесі передачі. В інших важливіше зашифрувати файли таким чином, щоб вони залишалися захищеними і після доставки адресату. Давайте детально розглянемо способи безпечної передачі файлів.

    В дорозі і після прибуття

    Якщо ваші наміри обмежуються захистом файлів в процесі їх передачі по каналах Internet, вам необхідна технологія безпечного транспортування. Один з варіантів полягає у використанні Web-вузла, здатного приймати пересилаються на нього файли і забезпечує можливість безпечного завантаження таких файлів. Для організації захищеної транспортування файлів на Web-вузол можна створити Web-сторінку, оснащену засобами Secure Sockets Layer (SSL), на якій розміщується елемент управління ActiveX або сценарій Javascript. Наприклад, можна скористатися елементом управління AspUpload від компанії Persitis Software; розробники стверджують, що це «найсучасніше з наявних на ринку засобів управління транспортуванням файлів на центральні вузли». Ще один варіант - використовувати сценарій Free ASP Upload, який не вимагає застосування бінарного компонента. Для забезпечення додаткового захисту можна навіть захистити паролями як Web-сторінку, так і асоційований з нею каталог для розміщення надійшли на вузол матеріалів. Що ж стосується завантаження файлів з Web-вузла, то досить подбати про те, щоб відповідний Web-сервер забезпечував з'єднання із застосуванням засобів SSL, принаймні для URL, який використовується для завантаження файлів.

    Альтернативний варіант - використання сервера FTP, що забезпечує передачу даних по протоколу FTP Secure. По суті, FTPS - це протокол FTP, що виконується по захищеному з'єднанню SSL. Можливість використання протоколу FTPS передбачена в багатьох популярних клієнтів FTP, але, на жаль, вона не реалізована в службі FTP Service корпорації Microsoft. Тому вам доведеться задіяти забезпечує таку можливість додаток сервера FTP (наприклад, популярний продукт WFTPD). Не плутайте FTPS з протоколом SSH File Transfer Protocol. SFTP - це протокол для передачі файлів, що виконується поверх оболонки Secure Shell (SSH); крім того, його можна використовувати для передачі файлів. Втім, потрібно мати на увазі, що SFTP несумісний з традиційним протоколом FTP, так що поряд із захищеним сервером оболонки (скажімо, з сервером, що надаються SSH Communications Security), знадобиться спеціальний клієнт SFTP (це може бути клієнт, що входить в пакет PuTTY Telnet / Secure Shell або WinSCP з графічним інтерфейсом).

    Крім того, безпечну передачу файлів можна організувати на базі віртуальних приватних мереж VPN. Платформи Windows Server забезпечують сумісність з технологією VPN за допомогою RRAS. Однак це не гарантує сумісності з VPN-рішеннями ваших партнерів. Якщо такої сумісності немає, можна скористатися одним з широко поширених рішень, наприклад засобом Open-VPN з відкритим вихідним кодом. Воно поширюється безкоштовно і виконується на цілому ряді платформ, включаючи Windows, Linux, BSD і Macintosh OS X. Додаткові відомості про інтеграцію OpenVPN можна знайти в статті «Працюємо з OpenVPN» ( http://old.osp.ru/win2000/506_36.htm ).

    Встановивши VPN-з'єднання, ви зможете виділяти каталоги і передавати файли в обох напрямках. При будь-якому варіанті використання VPN трафік шифрується, тому необхідності в додатковому шифруванні файлів не виникає - крім тих випадків, коли потрібно, щоб файли залишалися захищеними і в системі, на яку вони передаються. Цей принцип можна застосувати до всіх методів передачі, про які я згадував досі.

    Якщо етап передачі не викликає у вас побоювань і ваша головна турбота полягає в тому, щоб виключити доступ до вмісту файлів зі сторони не уповноважених на те користувачів, доцільно просто зашифровувати файли до їх транспортування. В цьому випадку електронна пошта, ймовірно, буде ефективним каналом передачі файлів. Додатки для обробки електронної пошти встановлені майже на кожній настільній системі, так що, якщо ви передаєте файли по електронній пошті, у вас не виникає необхідності застосовувати додаткові технології, крім коштів шифрування даних. Метод передачі файлів по електронній пошті ефективний тому, що повідомлення і прикріплюються файли зазвичай надходять безпосередньо в поштову скриньку одержувача, хоча в процесі передачі повідомлення може проходити через кілька серверів.

    Якщо ж вам все ж потрібні додаткові засоби захисту даних в процесі їх передачі по каналах електронної пошти, розгляньте можливість використання протоколів SMTP Secure (SMTPS) і POP3 Secure (POP3S). По суті, SMTPS і POP3S - це звичайні протоколи SMTP і POP3, виконувані з використанням захищеного з'єднання SSL. Microsoft Exchange Server, як і більшість поштових клієнтів, включаючи Microsoft Outlook, забезпечує можливість використання протоколів SMTPS і POP3S. Потрібно мати на увазі, що навіть в тих випадках, коли для обміну файлами між поштовим клієнтом і поштовим сервером використовується протокол SMTPS, зберігається можливість того, що поштовий сервер буде доставляти пошту кінцевому адресату через звичайне незахищене з'єднання SMTP.

    Оскільки кошти для обробки електронної пошти набули такого широкого поширення, далі в цій статті ми будемо обговорювати перш за все питання безпечної передачі файлів по каналах електронної пошти. При цьому ми будемо виходити з того, що відправнику необхідно шифрувати дані, щоб захистити їх як на етапі передачі, так і після доставки. Отже, розглянемо найбільш популярні на сьогодні технології шифрування повідомлень електронної пошти.

    Засоби стиснення файлів

    Існує безліч засобів стиснення файлів в єдиний архівний файл, і багато хто з пропонованих рішень передбачають застосування тієї чи іншої форми шифрування для захисту вмісту архіву. Зазвичай в процесі стиснення встановлюється пароль, і всякий, хто хоче відкрити архів, може зробити це тільки за допомогою даного пароля.

    Один з найбільш популярних методів створення архівів стислих файлів - метод zip-компресії; його підтримують практично всі архіватори. І одне з найпоширеніших на сьогодні коштів zip-компресії - додаток WinZip. Його можна використовувати як автономну програму, вбудувати в Windows Explorer для полегшення доступу, а також за допомогою модуля WinZip Companion for Outlook інтегрувати цей продукт з клієнтом Outlook. WinZip, як і багато інших оснащені засобами zip архіватори, забезпечує можливість шифрування за методом Zip 2.0 Encryption. Але треба сказати, що захист файлів за допомогою цього методу недостатньо надійна. Більш прийнятний варіант шифрування реалізований в продукті WinZip 9.0. Як показано на екрані 1, нині WinZip підтримує специфікацію Advanced Encryption Standard (AES), де використовуються 128-розрядні або 256-розрядні ключі шифрування. AES - відносно нова технологія, але її вже вважають промисловим стандартом.

    Я не можу сказати точно, скільки архиваторов забезпечує застосування стійких алгоритмів шифрування засобами AES, і обмежуся згадкою одного такого додатка; це розроблене компанією BAxBEx Software виріб bxAutoZip. Воно здатне взаємодіяти з програмою шифрування CryptoMite фірми BAxBEx і може вбудовуватися в Outlook. Якщо WinZip дозволяє шифрувати дані тільки засобами Zip 2.0 і AES, CryptoMite забезпечує можливість використання ряду інших засобів шифрування, включаючи популярні алгоритми Twofish і Blowfish, Cast 256, Gost, Mars і SCOP.

    Засобами розпакування zip-файлів оснащені вже практично всі комп'ютерні системи, однак не всі zip-додатки забезпечують сумісність з різними алгоритмами шифрування. Тому, перед тим як відправляти зашифровані файли, треба переконатися в тому, що zip-додаток одержувача «розуміє» обраний алгоритм.

    При шифруванні файлів за допомогою zip-додатків використовуються захисні паролі. Для дешифрування архівного файлу його одержувач теж повинен скористатися відповідним паролем. Необхідно виявляти обережність при виборі методу доставки пароля. Ймовірно, найбезпечніші методи доставки пароля - по телефону, факсом або через кур'єра. Можна вибрати будь-який з них, але ні в якому разі не слід передавати пароль по електронній пошті у вигляді звичайного тексту; в цьому випадку різко зростає небезпека того, що доступ до зашифрованого файлу отримає не має на те повноважень користувач.

    Не забувайте про те, що оснащені засобами шифрування архіватори забезпечують передачу файлів не тільки по каналах електронної пошти. Їх можна ефективно використовувати для транспортування даних і за допомогою інших згаданих вище методів.

    Pretty Good Privacy

    Ще один надзвичайно популярний метод шифрування можна реалізувати за допомогою програми Pretty Good Privacy. PGP викликала справжній фурор, коли Філ Циммерман вперше безкоштовно опублікував її в Internet в 1991 р У 1996 р PGP стала комерційним продуктом, а потім в 1997 р права на неї були куплені фірмою Network Associates (NAI). У 2002 р цю технологію придбала у NAI молода компанія PGP Corporation.

    Після цього PGP Corporation продала комерційну версію PGP, яка функціонує в середовищах Windows і Mac OS X. Поточна версія PGP 9.0, в якій реалізовані засоби шифрування окремих файлів і шифрування всього вмісту диска, може бути вбудована в AOL Instant Messenger (AIM). Крім того, PGP 9.0 інтегрується з такими виробами, як Outlook, Microsoft Entourage, Lotus Notes, Qualcomm Eudora, Mozilla Thunderbird і Apple Mail.

    У PGP застосовується система шифрування з відкритим ключем, що передбачає генерування пари ключів шифрування - відкритого ключа та секретного ключа. Ці два ключа математично взаємопов'язані таким чином, що зашифровані за допомогою відкритого ключа дані можуть бути розшифровані тільки за допомогою секретного ключа. Користувач PGP генерує пару «відкритий ключ - секретний ключ», після чого публікує відкритий ключ в загальнодоступному каталозі ключів або на Web-сайті. Секретний ключ, зрозуміло, ніде не публікується і зберігається в секреті; їм користується тільки його власник. При розшифровці даних за допомогою секретного ключа необхідно отримати пароль, але при шифруванні даних за допомогою відкритого ключа це не передбачено, оскільки відкритими ключами можуть користуватися всі бажаючі.

    Для простоти застосування системи PGP її розробники реалізували функцію автоматичного опитування загальнодоступних каталогів ключів. Ця функція дозволяє, ввівши в рядок пошуку поштову адресу того чи іншого користувача, знаходити його відкритий ключ. PGP надає можливість автоматичного зчитування відкритих ключів, які можна для простоти доступу зберігати локально на своїй системі в спеціальній «зв'язці ключів» (keyring) на базі файлів. Опитуючи каталог відкритих ключів, PGP дозволяє завжди тримати в «зв'язці» їх найостанніші версії. Якщо користувач змінює свій відкритий ключ, ви можете отримати доступ до оновленого ключу в будь-який момент, коли він вам буде потрібно.

    Для забезпечення більш надійних гарантій автентичності відкритих ключів можна використовувати цифрові підписи за допомогою ключів інших користувачів. Підпис ключа іншим користувачем служить додатковим підтвердженням того, що ключ дійсно належить людині, яка називає себе його власником. Щоб підтвердити достовірність ключа за допомогою цифрового підпису, PGP виконує якусь математичну операцію і додає до ключу її унікальний результат. Потім підпис можна перевірити, порівнявши її з підписує ключем, який застосовувався для створення підпису. Цей процес нагадує процес підтвердження однією людиною ідентичності іншого.

    Системі PGP довіряють багато, оскільки вона давно вже завоювала в галузі репутацію надійної технології для захисту інформації. Але як би там не було, якщо ви вирішили використовувати PGP або інший метод шифрування даних за допомогою відкритих ключів, пам'ятайте, що одержувачі ваших файлів теж повинні мати у своєму розпорядженні сумісної системою шифрування. Одна з переваг системи PGP при використанні електронної пошти в якості носія даних полягає в тому, що вона підтримує власну модель шифрування, а також технології X.509 і S / MIME, про які я розповім далі.

    Крім того, слід зазначити ще один момент. Незалежно від того, чи планується використовувати PGP, WinZip або іншу систему шифрування, якщо ви хочете на додаток до шифрування приєднаних файлів зашифрувати вміст власне повідомлення, потрібно записати повідомлення в окремий файл і теж зашифрувати його. За бажанням цей файл з повідомленням можна розмістити в архіві разом з іншими файлами або приєднати його в якості файлу-вкладення.

    PKI

    Інфраструктура відкритих ключів (Public Key Infrastructure, PKI) унікальна, проте принцип її дії в чомусь нагадує принцип дії PGP. PKI передбачає використання пари ключів - відкритого і секретного. Для кодування даних, які направляються одержувачу, відправники застосовують його відкритий ключ; після того як дані доставляються одержувачу, він розшифровує їх за допомогою свого секретного ключа.

    Одна істотна відмінність полягає в тому, що в PKI відкритий ключ зазвичай зберігається в форматі даних, відомому як сертифікат. Сертифікати можуть містити набагато більше інформації, ніж звичайні ключі. Наприклад, сертифікати зазвичай містять дату закінчення терміну дії, так що ми знаємо, коли сертифікат і асоційований з ним ключ вже не будуть дійсні. Крім того, сертифікат може включати ім'я, адресу, номер телефону власника ключа та інші дані. На екрані 2 представлено вміст сертифікату в тому вигляді, в якому воно відображається у вікні програми Microsoft Internet Explorer (IE) або Outlook. Певною мірою вміст сертифіката залежить від того, які саме дані бажає розмістити в ньому власник.

    Як і PGP, PKI дозволяє формувати «ланцюжка довіри», в яких сертифікати можуть бути підписані за допомогою сертифікатів інших користувачів. Більш того, з'явилися засвідчують центри Certificate Authorities (CA). Це наділені довірою незалежні організації, які не тільки видають власні сертифікати, а й підписують інші сертифікати, гарантуючи тим самим їх справжність. Як і у випадку з PGP і пов'язаними з цією системою серверами ключів, сертифікати можуть публікуватися на загальнодоступних або приватних серверах сертифікатів або на серверах LDAP, пересилатися по електронній пошті і навіть розміщуватися на Web-вузлах або на файловому сервері.

    Для забезпечення автоматичної перевірки достовірності сертифікату розробники клієнтів електронної пошти та Web-браузерів зазвичай оснащують свої програми засобами взаємодії з серверами центрів сертифікації. В ході цього процесу ви також зможете отримати інформацію про відкликання сертифіката з тих чи інших причин і, відповідно, зробити висновок про те, що цьому сертифікату можна більше довіряти. Зрозуміло, за послуги центрів сертифікації з надання і запевненням сертифікатів іноді доводиться платити; ціни можуть бути різними в залежності від обраного центру сертифікації. Одні організації надають клієнтам безкоштовні персональні сертифікати по електронній пошті, інші беруть за це значну винагороду.

    В основі PKI лежить специфікація X.509 (що є похідною від специфікації LDAP X). Тому сертифікати, видані одним центром (включаючи сертифікати, які ви генеруєте для себе), зазвичай можна використовувати на цілому ряді платформ. Потрібно тільки, щоб ці платформи були сумісні зі стандартом X.509. Ви можете і самі генерувати сертифікати за допомогою будь-якого з наявних інструментальних засобів, таких як OpenSSL.

    Якщо ваша організація використовує службу Microsoft Certificate Services, ви можете запитати сертифікат через цю службу. У середовищах Windows Server 2003 і Windows Server 2000 цей процес повинен протікати приблизно однаково. Слід відкрити Web-сторінку сервера сертифікатів (як правило, вона розташовується за адресою http: // servername / CertSrv ), Потім вибрати пункт Request a Certificate. На наступній сторінці потрібно вибрати елемент User certificate request і слідувати вказівкам Web-майстра до завершення процесу. Якщо служба сертифікатів налаштована таким чином, що для видачі сертифіката потрібна санкція адміністратора, система сповістить вас про це спеціальним повідомленням, і вам доведеться чекати рішення адміністратора. В інших випадках ви в підсумку побачите гіперпосилання, яка дозволить встановити сертифікат.

    Деякі незалежні центри сертифікації, Такі як Thwate и InstantSSL компании Comodo Group, предлагают користувач безкоштовні Вимоги персональні поштові сертифікати; це простий спосіб отримання сертифікатів. Крім того, такі сертифікати вже будуть підписані видала їх інстанцією, що полегшить перевірку їх достовірності.

    Коли справа доходить до використання PKI з метою відправки зашифрованих даних за допомогою програми обробки електронної пошти, у справу вступає специфікація Secure MIME (S / MIME). Outlook, Mozilla Thunderbird і Apple Mail - ось лише кілька прикладів поштових додатків, що дозволяють задіяти цей протокол. Щоб відправити адресату зашифроване поштове повідомлення (що включає або не включаючи приєднані файли), необхідно мати доступ до відкритого ключа адресата.

    Для отримання відкритого ключа іншого користувача можна переглянути дані про ключі на сервері LDAP (якщо тільки ключ публікується з використанням протоколу LDAP). Інший варіант: можна попросити цю людину направити вам повідомлення з цифровим підписом; як правило, при доставці адресату підписаного повідомлення оснащені засобами S / MIME поштові клієнти приєднують копію відкритого ключа. А можна просто попросити цікавить вас особа надіслати вам повідомлення з приєднаним до нього відкритим ключем. Згодом можна буде зберігати цей відкритий ключ в інтерфейсі управління ключами, який входить до складу вашого поштового клієнта. Програма Outlook інтегрується з вбудованим в Windows сховищем сертифікатів Certificate Store. При необхідності скористатися відкритим ключем він завжди буде під рукою.

    Шифрування на основі даних про відправника

    Фірма Voltage Security розробила нову технологію - шифрування на основі даних про відправника (identity-based encryption, IBE). В цілому вона аналогічна технології PKI, але має цікаву особливість. Для дешіфаціі повідомлень в IBE використовується секретний ключ, але в процесі шифрування звичайний відкритий ключ не застосовується. В якості такого ключа IBE передбачає використання поштової адреси відправника. Таким чином, при відправці одержувачу зашифрованого повідомлення проблеми отримання його відкритого ключа не виникає. Досить мати адресу електронної пошти цієї людини.

    Технологія IBE передбачає зберігання секретного ключа одержувача на сервері ключів. Одержувач підтверджує свої права доступу до сервера ключів і отримує секретний ключ, за допомогою якого здійснює дешифрування вмісту повідомлення. Технологію IBE можуть застосовувати користувачі Outlook, Outlook Express, Lotus Notes, Pocket PC, а також Research in Motion (RIM) BlackBerry. За словами представників Voltage Security, IBE виконується також на будь-яких поштових системах на базі браузерів під управлінням практично будь-якій операційній системи. Цілком ймовірно, що такі універсальні рішення Voltage Security - саме те, що вам потрібно.

    Примітно, що технологія IBE застосовується в продуктах компанії FrontBridge Technologies як засіб, що полегшує безпечний обмін зашифрованими поштовими повідомленнями. Вам, напевно, вже відомо, що в липні 2005 р компанія FrontBridge була придбана корпорацією Microsoft, яка планує інтегрувати рішення FrontBridge з Exchange; можливо, вже досить скоро комбінація цих технологій буде запропонована споживачам у вигляді керованої служби. Якщо системи обробки електронної пошти у вашій організації і у ваших партнерів базуються на Exchange, стежте за розвитком подій на цій ділянці.

    З урахуванням всіх обставин

    Існує безліч способів безпечної передачі файлів по каналах Internet, і, без сумніву, самий простий і ефективний з них забезпечується засобами електронної пошти. Зрозуміло, ті, кому доводиться обмінюватися великою кількістю файлів, що складають великі обсяги даних, можуть розглянути можливість використання інших методів.

    Слід ретельно зважити, скільки файлів ви будете передавати, наскільки великі вони за обсягом, як часто вам доведеться передавати ці файли, хто повинен мати доступ до них і як вони будуть зберігатися за місцем отримання. З урахуванням цих чинників ви зможете підібрати оптимальний спосіб передачі файлів.

    Якщо ви прийдете до висновку, що найкращий варіант для вас - електронна пошта, майте на увазі, що після прибуття пошти на багатьох поштових серверах і поштових клієнтів можна запускати сценарії або виконувати певні дії на базі правил. За допомогою цих функцій можна автоматизувати рух файлів як по шляху проходження на поштових серверах, так і під час вступу файлів в поштову скриньку.

    Марк Джозеф Едвардс - старший редактор Windows IT Pro і автор щотижневого поштового бюлетеня Security UPDATE ( http://www.windowsitpro.com/email ). [email protected]

    Який метод оптимальний для ваших умов?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua