5 лет назад 10 января 2014 в 14:41 152

W_1317203511_201108311256secure_m

Одна из наиболее удобных для персонального применения современных систем защиты сообщений – шифрование с открытым ключом. В данной технологии у каждого участника коммуникации имеется два ключа: один защищенный, персональный, предназначенный для расшифровки полученных сообщений и второй, публичный, с помощью которого можно зашифровать сообщения, предназначенные этому участнику.

Поскольку с помощью публичного ключа расшифровать сообщение нельзя, его можно спокойно отправлять тому человеку, с кем вы собираетесь переписываться. Обменявшись публичными ключами, вы можете теперь зашифровывать передаваемые друг другу сообщения, которые будут расшифровываться персональными ключами, которые не покидают своих владельцев. Схема простая и изящная, однако у нее есть одна уязвимость, использовать которую может непрошенный посредник в переписке.

Если злоумышленник имеет возможность отслеживать трафик между участниками переписки, он может засечь момент обмена открытыми ключами, перехватить их и подменить на собственные ключи. Далее, такой посредник, перехватывая сообщения может расшифровывать их вторым ключом из своей пары, заново зашифровывать и отправлять другому адресату. При этом подмена происходит незаметно для участников переписки. Ключевой момент для предотвращения подобных атак – однозначная и точная идентификация авторов сообщений. Именно на решение этой задачи и направлена система сертификатов. Ее смысл состоит в том, что каждый участник общения предварительно получает в специальном центре персональный сертификат, подтверждающий его личность. Такой сертификат предназначен для публичного использования, его содержимое не является секретом, однако в его состав входит защищенная электронная подпись центра, выдавшего этот сертификат, что и подтверждает правдивость содержащихся в нем сведений. Данный сертификат передается вместе с посланием, подтверждая тем самым, что сообщение действительно получено от ожидаемого собеседника. Соответственно, когда используется такая технология, почтовые программы участников переписки не только работают с открытыми ключами, но и автоматически обращаются к центру выдачи сертификатов, проверяя, действительно ли полученное письмо пришло от заявленного отправителя. Незаметно подменить адреса участников уже не получится, поскольку подменные данные не будут подтверждены центром сертификации. Злоумышленнику в такой ситуации нужно не только перехватывать и подменять открытые ключи, но и работать с сертификатами, что резко усложняет проведение атаки. В результате достигается достаточно высокий уровень защиты, что позволяет использовать такую схему в таких щепетильных отраслях, как интернет-банкинг, удаленное подключение к защищенным данным и, конечно, защищенная переписка. Работа с сертификатами – одна из стандартных опций современных браузеров и других сетевых программ. Остается только одна проблема: получение своего персонального сертификата.
Для того, чтобы сертификаты корректно распознавались, браузеры и другие программы должны знать про центры, которые выдают такие сертификаты. Таким образом, лучше пользоваться сертификатами от крупных и известных центров, данные которых уже известны разработчикам сетевых программ. Создание центра сертификации, удовлетворяющего всем требованиям – довольно дорогое удовольствие, поэтому полноценные сертификаты стоят ощутимых денег. Если речь идет о действительно серьезном, коммерческом применении, покупка оправдана. В то же время, если вы планируете использовать сертификаты не в работе, а только для защиты персональной переписки, можно получить упрощенную версию бесплатно. Такие бесплатные предложения от серьезных сервисов очень редки, но они есть и работают. Пожалуй, наиболее известные и стабильные – это StartSSL и Comodo.

Как и положено ответственному центру сертификации, StartSSL (www.startssl.com) даже бесплатные сертификаты выдает ответственно. Для получения сертификата необходимо заполнить анкету со сведениями о себе. Анкеты могут быть проверены сотрудниками StartSSL, так что заполнять их «от балды» – плохая идея. Кроме того, если вы хотите действительно подтверждать свою личность с помощью этого сертификата, лучше быть честным, во избежание неприятных недоразумений при дальнейшем реальном использовании в переписке. Кстати говоря, после регистрации вы сможете попасть в панель управления сертификатом StartSSL именно с его же помощью, а не по привычному логину и паролю. Помните, что именно этот файл и является вашим виртуальным «паспортом», поэтому постарайтесь его не потерять и обеспечить должную конфиденциальность его хранения.
Заполнив анкету и подтвердив реальность своего адреса e-mail с помощью кода подтверждения, вы через некоторое время, получите еще одно письмо, в котором уже будет ссылка на страницу генерации и сохранения персонального сертификата. Если при этом вы пользуетесь браузером Internet Explorer, сертификат будет автоматически сохранен в хранилище сертификатов Windows. При использовании других браузеров возможны варианты, поэтому не поленитесь проверить успешность завершения этой операции. Особенно внимательными нужно быть пользователям Firefox, у которого, в силу особенностей организации работы с сертификатами, могут быть проблемы. После установки сертификат может быть использован любыми сторонними приложениями. Выданный StartSSL бесплатный персональный сертификат будет действителен полгода.

Дальнейшее управление использованием сертификата ведется с помощью веб-интерфейса, в «Личном кабинете». На его вкладках собраны инструменты работы со своими и проверки сторонних сертификатов. При желании полученный сертификат можно использовать не только для подтверждения своей личности, но и для подтверждения принадлежности своего сайта. Для этого понадобится пройти дополнительную процедуру валидации сайта: сначала вы подтверждаете, что являетесь владельцем конкретного сайта, а затем генерируете сертификат StartSSL указав в нем точное и полное доменное имя своего ресурса. Затем будет сгенерирован ключ шифрования и собственно сертификат, который и будет передан вам, причем файлы передаются в зашифрованном виде.

Процесс получения сертификата проходит довольно быстро, работать с сертификатами удобно, однако чудес не бывает, и иногда бесплатный сервис StartSSL при попытке зайти в личный кабинет пользователя или зарегистрировать новый сертификат сообщает о перегрузке сервера обращениями и предлагает зайти попозже.
Достаточно популярны персональные сертификаты, зарегистрированные с помощью бесплатного сервиса известной в сфере компьютерной безопасности фирмы Comodo (www.comodo.com). Comodo предлагает различные типы сертификатов. Для наших задач нужен сертификат, который можно найти в меню продуктов на сайте Comodo под обозначением Free Secure Email Certificate. Бесплатные персональные сертификаты Comodo действительны в течение года, после чего понадобится их актуализация.

Comodo подходит к делу серьезно. Все действия по получению сертификата обязательно должны производиться на одном компьютере. Отнеситесь к этому с пониманием, все-таки речь идет о персональных данных, иначе вы сертификат не получите. Кроме того, желательно работать в системе с помощью браузера Internet Explorer. Можно долго рассуждать на тему потребительских качеств «ослика», но факт остается фактом: там, где речь идет о сертификатах и защищенных каналах передачи данных, он у провайдеров соответствующих сервисов в почете.

Как и StartSSL, Comodo предлагает заполнить довольно подробную персональную анкету. Повторюсь: поскольку сертификат используется для подтверждения личности, лучше заполнять анкету добросовестно. Здесь анкета называется Application. Comodo дает нам право на ошибку – предусмотрено поле Revocation Password. Данная опция позволяет с помощью пароля отозвать сертификат, если вы ошибетесь при регистрации, либо если к вашему сертификату получат доступ злоумышленники. Пароль, естественно, стоит выбирать достаточно стойкий. Дальнейший процесс автоматизирован и проходит быстрее, чем у StartSSL. Сайт генерирует ключи шифрования и отправляет на указанный почтовый адрес сообщение с прямой ссылкой на скачивание файла сертификата. При использовании Internet Explorer и Google Chrome для установки сертификата достаточно будет нажать кнопку в полученном письме и подтвердить выполнение этой операции.

Windows хранит сертификаты централизованно. Доступ к ним могут получить любые требующие таких данных приложения. Просмотреть все установленные сертификаты можно вызвав в командной консоли Windows программу certlm. Кроме того, установленные сертификаты отображаются и в настройках браузеров. В Internet Explorer Просмотреть установленные сертификаты можно в меню «Свойства браузера – Содержание – Сертификаты». Google Chrome показывает их в панели, которую можно открыть, выполнив команду «Показать дополнительные настройки – Управление сертификатами». В браузере Firefox данные сведения доступны на вкладке Настройки – Дополнительные – Сертификаты – Просмотр сертификатов».

Никто не прокомментировал материал. Есть мысли?