Защита информации в ip-сетях

На сегодняшний день стек сетевых протоколов TCP/IP является наиболее широко используемым как в глобальных, гак и в локальных компьютерных сетях. Именно поэтому методы и средства защиты передаваемых данных в IP-сетях представляют особый интерес.

В этом разделе будут рассмотрены криптографические протоколы, позволяющие защищать электронную почту, передаваемые данные на транспортном и сетевом уровне. Кроме того, учитывая большую роль межсетевых экранов в решении задач обеспечения сетевой безопасности, будет рассмотрен этот класс средств защиты.

ПРОТОКОЛ ЗАЩИТЫ ЭЛЕКТРОННОЙ ПОЧТЫ S/MIME

Протокол Secure Multipurpose Internet Mail Extensions (S/MIME) предназначен для защиты данных, передаваемых в формате MIME, в основном — электронной почты. Он был предложен в 1995 году компанией RSA Data Security Inc. Дальнейшие работы над протоколом велись рабочей группой организации Internet Engineering Task Force (IETF), разрабатывающей стандарты сети Интернет. На данный момент последней является версия 3.1 этого протокола, описываемая в документах RFC 3850, 3851, 3852. Протокол S/MIME предоставляет следующие криптографические услуги безопасности (криптографические сервисы):

• — проверка целостности сообщения;
• — установление подлинности отправителя (аутентификация);
• — обеспечение секретности передаваемых данных (шифрование).

Нужно отметить, что сам по себе формат MIME описывает порядок форматирования писем, содержащих различные типы данных (обычный текст, текст в формате html, видео и фафические файлы различный типов и т. д.). При использовании S/MIME добавляются новые типы (например. application/pkcs7-mime и application/pkcs7- signature). Это позволяет указать на то, что данные в этом разделе являются зашифрованными, подписанными и т. д. Протокол позволяет обычным почтовым клиентам защищать исходящую почту и интерпретировать криптографические сервисы, добавленные во входящую почту (расшифровывать сообщения, проверять их целостность и т. д.).

Стандарт определяет использование симметричных криптоалгоритмов для шифрования содержимого почтовых сообщений и алгоритма с открытым ключом для защиты передаваемого вместе с письмом ключа симметричного шифрования.

Протокол S/MIME позволяет использовать различные криптоалгоритмы, причем их список может расширяться. Изначально из симметричных шифров могли использоваться RC2, DES или TriplcDES. Для формирования дайджестов — алгоритмы MD5 и SHA1, причем версия 3 стандарта рекомендует использовать именно последний алгоритм (из-за того, что он формирует более длинный дайджест и считается более надежным). Защита симметричного ключа шифрования и ЭЦП в версии 2 осуществляется с помощью алгоритма RSA с ключом от 512 до 1024 бит. Версия 3 добавляет возможность использовать другие алгоритмы, например алгоритм Диффи-Хеллмана с ключом длиной до 2048 бит. Распределение и аутентификация открытых ключей производится с помощью цифровых сертификатов формата Х.509. Таким образом, чтобы защищать переписку с помощью этого протокола, оба абонента должны сгенерировать ключевые пары и удостоверить открытые ключи с помощью сертификатов. На рис. 3.1 приведен фрагмент письма, содержащий открытый текст «This is a clearsigned message.» и подпись к нему.

S/M1ME поддерживается многими почтовыми клиентами: Microsoft Outlook, Mozilla, The Bat! и т. д. Болес широкое применение протокола сдерживается необходимостью наличия сертификатов у абонентов и плохой совместимостью с системами Web-почты.

Content-Type: multipart/signed;

protocol^'application/pkcs7-signature"; micalg=shal; boundary=boundary42.

—boundary42.

Content-Type: text/plain This is a clear-signed message.

—boundary42.

Content-Type: application/pkcs7-signature; name=smime.p7s.

Content-Transfer-Encodi ng: base64.

Content-Disposition: attachment; filename=smime.p7s.

ghyHhHUujh3hjH77n8HHGTrfvbnj756tbB9HG4vQpfyF467GhlGfHfYT6 4VQpfyF467GhlGfHfYT6iH77n8HHGghyHhHUuihJn756tbB9HGTrfvbnj n8HHGTrfvh3hjH776tbB9HG4VQbnj/567GhlGfHfYT6ghyHhHUujpfyF4 7 GhIGfHfYT64VQbnj 7 56.

—boundary42-;

Рис. 3.1. Фрагмент электронного письма с подписью

Альтернативой S/MIME является PGP (англ. «Pretty Good Privacy») — компьютерная программа, созданная Филиппом Циммсрманном (Philip Zimmermann) в 1991 году. Данная программа положила основу работе над стандартом OpenPGP, последняя версия которого описана в RFC 4880. По функциональности S/MIME и PGP во многом сходны.