По статистике, 91% кибератак начинается с фишинга. Жертва получает письмо с поддельным именем и адресом. Это основная уязвимость, которую хакеры эффективно используют уже сорок лет, с момента изобретения email.
S/MIME (Secure/Multipurpose Internet Mail Extensions) — стандарт для шифрования и подписи электронной почты с помощью открытого ключа. Получил распространение после выхода третьей версии S/MIME в 1999 году (RFC 2633). По идее, он должен защищать от такого рода кибератак.
S/MIME предполагает использование цифровых сертификатов для шифрования и подписи.
Цифровые сертификаты
Обычный личный сертификат просто связывает имя и адрес почты. Он гарантирует, что указанный адрес используется указанным лицом.
Более продвинутые сертификаты дополнительно удостоверяют корректность указанной информации. Их можно получить в удостоверяющих центрах (УЦ). В зависимости от характеристик документа, сертификат и его содержимое могут быть открыто опубликованы для ознакомления и проверки. Минимально публикуемая информация — только серийный номер. В максимальном варианте можно открыть имя, адрес и прочие поля.
Цифровая подпись закрывает одну из главных уязвимостей, которая существует в информационной системе крупной организации — подделку писем. Ведь самые опасные из подобных атак происходят тогда, когда злоумышленники выдают себя за руководителей и сотрудников. Например, предлагают бонус или премию от имени руководства.
В то же время одна из проблем S/MIME — сложность управления распределёнными сертификатами и ключами всех получателей. Особенно при интеграции с партнёрами за пределами организации. Дополнительная забота — периодическая замена сертификатов через регулярные промежутки времени.
В системе Auto Enrollment Gateway (AEG) все эти процедуры происходят автоматически с помощью кросс-платформенного агента (XPA), который устанавливает политики, регистрирует, выпускает и инсталлирует сертификаты для всех устройств.
Автоматическое управление сертификатами
В последней версии AEG 7.5 (обновление от мая 2022 года) реализована функция Ready S/MIME — это автоматическое развёртывание сертификатов S/MIME в масштабе всей организации на большое количество пользователей.
AEG — система автоматизации и управления PKI, которая автоматизирует любые действия с сертификатами.
Ready S/MIME автоматически устанавливает и настраивает сертификаты для Outlook под Windows. Процедура настолько простая, что практически не требует участия сотрудников техподдержки.
Стандарт S/MIME совместим со всеми популярными почтовыми клиентами.
Подпись и шифрование исходящего отправления в Outlook 2016, источник
Просмотр подписанного и зашифрованного письма в Outlook 2016, источник
Кроме того, в AEG 7.5 реализована функция роуминга ключей (Key Roaming), помогающая восстановить данные в случае потери пары ключей. Эта функция безопасным образом распределяет среди пиров последний действительный сертификат, который пользователь зарегистрировал для своего типа. Такая распределённая копия является безопасным бэкапом и выполняет несколько задач:
- предотвращает дублирование сертификатов при входе пользователя на новую машину;
- предотвращает накопление избыточных сертификатов в глобальных списках доступа (GAL);
- облегчает миграцию пользователей на новые ноутбуки, рабочие станции и BYOD;
- обеспечивает ретроактивный доступ к зашифрованной почте.
Очевидно, что в корпоративной системе владельцем зашифрованного архива является организация, а не индивидуальный пользователь. Поэтому в такой системе отдельному человеку не предоставляется право безвозвратно удалить ключи шифрования с необратимым шифрованием.
Короткоживущий сертификат — это хорошая практика безопасности. Поэтому автоматическое управление PKI сейчас особенно востребовано.
Российский ГОСТ
Примечание. Российские криптографические алгоритмы можно использовать со стандартом S/MIME в соответствии с RFC4490 (Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax). См. также проект CPIKE (техническая спецификация по использованию ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при согласовании ключей в протоколах IKE и ISAKMP).
Комментарии (2)
BellaLugoshi
25.05.2022 08:21-1После того как наш шеф смог пробить создание отдела рисков - принятие решений о внедрении той или иной фичи всегда привязано к цене вопроса. Простой пример - установка тонких клиентов на 2500 рабочих мест, организация ЦОД и терминальных серверов выгоднее в долгосрочной перспективе, чем локальные рабочие места, ворды, эксели, антивирусы и кривые руки рядовых пользователей.
Уточню, цена вопроса - это не цена покупки тонкого клиента или сервера, это цена риска, например слива базы или ПД клиента. Те же вирусы-шифровальщики тут не сработают, а почта "наружу" вообще просто может не использоваться.
saipr
Вообще-то:
Правда использование алгоритма Р 34.10-2001 на год продлевали, но сейчас-то уже 2022 год, какой алгоритм Р 34.10-2001.
Впервые слышу о наличии распределённых сертификатов, это как квадратный трёхчлен. И что за управление ключами всех пользователей? Если это открытые ключи, то они хранятся в сертификате и какого управления они требуют? Если это закрытые ключи, то за их сохранность отвечает владелец и никому свой ключ он не должен доверять.