В данной статье я расскажу об основных шагах для создания защиты электронной почты с помощью Outlook 2003 и смарт-карт.
Думаю, стоит начать с основной информации об S/MIME и почему нужно использовать смарт-карты с S/MIME.
Что такое S/MIME?
S/MIME – это сокращение от Secure / Multipurpose Internet Mail Extension (Безопасное / многоцелевое расширения электронной почты), которое предоставляет две службы безопасности:
- Шифрование сообщений
- Цифровая подпись
S/MIME – это один из широко применяемых промышленных стандартов для шифрования и подписывания сообщений электронной почты. Другим стандартом является PGP, но его описание не является целью данной статьи.
Первая версия S/MIME (S/MIME 1) была разработана в 1995 году, тогда она не было принята повсеместно. Версия S/MIME 2 вышла в 1998 году. S/MIME 2 была представлена на рассмотрение IETF (Internet Engineering Task Force – Проблемная группа проектирования Интренет). IETF создало RFC2311 и RFC2312. Поскольку S/MIME стало стандартом IETF, данная версия стала стандартом и для защиты сообщений.
В данный момент стандартом является версия S/MIME 3, в которой по предложению IETF увеличены возможности S/MIME (RFC2632, RFC2633 и RFC2634). S/MIME версии 3, является самым используемым стандартом, не считая PGP.
S/MIME версии 3 поддерживается следующими продуктами Microsoft:
- Microsoft Outlook Express 5.01 и выше
- Microsoft Outlook 2000 SR1 и выше
- Microsoft Exchange 5.5 и выше
Почему именно S/MIME?
До появления S/MIME администраторы использовали нешифрованные сообщения, которые передавались по Интернету через протокол SMTP открытым текстом. Как вы знаете, протокол SMTP передает нешифрованные данные по сети. Одним из решений данной проблемы является использование S/MIME для шифрования и/или подписывания сообщений электронной почты, передаваемых по SMTP.
Зачем нужно использовать S/MIME со смарт-картами?
Использование S/MIME со смарт-картами похоже на использование S/MIME с программными ключами (ключ и сертификат, хранящиеся на жестком диске). В обоих случаях для шифрования и подписывания используются сертификаты и ключи. Основное различие состоит в том, где хранятся закрытые ключи. При использовании смарт-карт закрытый ключ хранится на ней, и доступ к нему осуществляется только через PIN смарт-карты. Двухшаговая аутентификация более безопасна, чем простое хранение закрытого ключа на жестком диске (который может быть защищен паролем и сохранен в безопасном хранилище).
Начнем с демонстрации
Для демонстрации работы вам понадобится компьютер с Windows Server 2003, на котором установлены IIS 6, служба сертификатов и, как минимум, клиент Windows XP с Outlook 2003.
Прежде всего нам потребуется Центр сертификации, который будет выдавать необходимые сертификаты. Вопросы установки и настройки Центра сертификации выходят за рамки данной статьи. Также нам потребуется агент регистрации смарт-карт. Данный агент выдает сертификаты смарт-карт пользователям смарт-карт. На Рисунке 1 изображены шаблоны сертификатов корпоративного центра сертификации в Windows Server 2003.
Если вы выдаете сертификат смарт-карты, вы автоматически выдаете пользователю и S/MIME-сертификат.
Для выдачи сертификата вы обязаны дать одному или нескольким пользователям в вашей компании право на выдачу сертификатов обычным пользователям. Это можно сделать с помощью сертификата агента регистрации (Рисунок 2). После выдачи этого сертификата, вы можете начать запрашивать сертификаты для ваших пользователей.
Для выдачи сертификата пользователю, зайдите на web-сайт службы сертификатов Microsoft (http://Имя_сервера_Центра_сертификации/certsrv) и нажмите ссылку Request a certificate for a smart card...(Запросить сертификат для смарт-карты...)
В нашем случае мы выдаем сертификаты пользователям SMIME1 и SMIME2. Поставщиком услуг криптографии (Cryptographic Service Provider) у нас будет Kobil Smart CSP v1.0. Поставщики услуг для смарт-карт зависят от поставщиков услуг криптографии, предоставляемых производителями смарт-карт. В нашем случае мы используем решения компании Kobil Smartcard.
До того, как начать использовать поставщика услуг криптографии, его следует установить в Windows, поскольку Windows поставляется с небольшим количеством поставщиков услуг криптографии. Большинство производителей смарт-карт устанавливают необходимого поставщика услуг с помощью программного обеспечения, поставляемого со смарт-картой.
Введите PIN для прикрепления сертификата к смарт-карте.
После выдачи сертификата пользователя смарт-карты посмотрите на выданный сертификат, и вы увидите цели, для которых можно использовать данный сертификат.
Теперь дадим смарт-карту пользователю и автоматически настроим Outlook 2003. Помимо всего прочего, для использования S/MIME со смарт-картами требуется, чтобы у пользователя смарт-карты был почтовый ящик Exchange до выдачи сертификата S/MIME, так чтобы данный сертификат хранился в хранилище сертификатов пользователя. Закрытый ключ хранится на смарт-карте. Outlook автоматически возьмет настройки из S/MIME-сертификата. Запустите Outlook и откройте Security Options (Параметры безопасности), и вы увидите правильные настройки безопасности для S/MIME.
Попытайтесь отослать зашифрованное сообщение от пользователя SMIME1 пользователю SMIME2, активировав настройки шифрования в почтовом сообщении, которое вы хотите отослать, или в общих настройках Outlook, если вы хотите шифровать все сообщения этого пользователя. Если в Outlook вы нажмете Send (Отправить), вас попросят ввести PIN для доступа к сертификату смарт-карты.
Теперь наше сообщение зашифровано и может спокойно путешествовать по небезопасному Интернету.
Заключение
В данной статье я рассказал вам, как внедрить защиту сообщений электронной почты с помощью Outlook 2003 и смарт-карт для пользователей Exchange 2003.
