Как использовать сертификаты и шифрование сообщений электронной почты в Outlook

Защита от олицетворения и искажения при отправке сообщений электронной почты в Microsoft Office Outlook осуществляется при помощи таких функциональных возможностей криптографии, как цифровые подписи S/MIME и шифрование. S/MIME (Secure Multipurpose Internet Mail Extensions) является спецификацией безопасных сообщений электронной почты, использующей формат X.509 и различные механизмы шифрования, такие как 3DES. Сертификаты для цифровых подписей и шифрования можно получить в центре сертификации. При подписи сообщения применяются сертификат и открытый ключ отправителя. Сертификаты используются также при шифровании сообщения. Ознакомление с криптографией и сертификатами шифрования поможет вам представить себе, как, используя одновременно цифровые подписи и шифрование, обеспечить дополнительную защиту передаваемых сообщений электронной почты в Outlook.

Защита от олицетворения и искажения с помощью цифровых подписей S/MIME

Олицетворением является рассылка злоумышленником от лица другого пользователя. Искажение – это перехват злоумышленником сообщения и изменение его без ведома получателя. Использование цифровой подписи позволяет избежать олицетворения и искажения. При подписывании сообщения к нему применятся сертификат и открытый ключ отправителя. Цифровая подпись обеспечивает неотрекаемость, то есть гарантирует получателю подлинность отправителя. Почтовые клиенты, поддерживающие S/MIME, например, Microsoft Outlook, предупреждают пользователей о любых изменениях, внесенных в электронное сообщение.

Предотвращение перехвата с помощью S/MIME-шифрования

Перехват – это получение и прочтение злоумышленником не предназначенных ему электронных сообщений. Использование различных форматов шифрованных электронных сообщений (например, формата S/MIME) позволяет повысить безопасность переписки, превращая обычный текст в шифр. Почтовая программа отправителя использует открытый ключ получателя для шифрования сообщения и вложений. Только получатель, обладающий закрытым ключом, соответствующим открытому ключу, использованному для шифрования, может расшифровать текст. Шифрование сообщения и подписывание являются отдельными процессами. По умолчанию в программе Microsoft Outlook используется шифрование 3DES.

Начало работы с цифровыми подписями и шифрованием

Цифровое удостоверение содержит закрытый ключ, хранящийся на компьютере отправителя и сертификат с открытым ключом. Закрытый ключ предлагается защитить паролем. Для упрощения подтверждения личности отправителя при подписывании сообщения получателю высылается сертификат отправителя. Чтобы избежать утери цифрового удостоверения в случае его повреждения, сделайте копию удостоверения. Также можно переместить цифровое удостоверение для использования на другом компьютере или удалить его на компьютере, который не будет использоваться. Эти действия выполняются с помощью кнопки «Импорт/экспорт удостоверений» на вкладке Безопасность. Пошаговые инструкции по выполнению этих действий – см. в статье про Резервное копирование цифрового удостоверения, Перемещение цифрового удостоверения с одного компьютера на другой и Удаление цифрового удостоверения.

Сертификаты

Сертификат является средством подтверждения подлинности. При подписывании сообщений получателю отправляются сертификат и открытый ключ. Сертификаты выдаются центрами сертификации (ЦС). У сертификатов, как и у водительских прав, может истечь срок годности, они могут быть отозваны.

В зависимости от типа сообщений можно использовать различные типы сертификатов. Сертификаты для личных сообщений будут отличаться от сертификатов, используемых в профессиональной переписке, так как в этих случаях используются разные почтовые адреса. Параметры безопасности программы Microsoft Outlook позволяют настроить использование сертификатов. Для каждого профиля Microsoft Outlook может быть определена по умолчанию только одна настройка параметров безопасности. При работе с Microsoft Outlook в учреждении параметры безопасности организации, устанавливаемые политиками системного администратора, используются по умолчанию.

Чтобы оправлять и получать шифрованные сообщения через Интернет, необходимо обменяться файлами сертификатов (CER-файлами) с получателем. Сделать это можно несколькими способами. При получении подписанного письма и добавлении электронного адреса отправителя в соответствующую карточку контактов в папке «Контакты» сертификат добавляется автоматически. Другой способ заключается в отправке CER-файла с электронным сообщением в виде вложения, также можно передать получателю дискету с CER-файлом. Полученный CER-файл должен быть импортирован в соответствующую карточку контактов. Пошаговые инструкции по выполнению этих действий – см. в статьях Добавление сертификата получателя в список контактов и Импорт файла сертификата в список контактов.

Обмен сертификатами не требуется, если используется сервер

Microsoft Exchange. Если администратор сервера Microsoft Exchange настроил безопасность сети, сертификаты пользователей хранятся в глобальном списке адресов, что облегчает обмен шифрованными сообщениями в пределах организации. Можно добавить сертификат из другого источника для использования его при шифровании по умолчанию или заменить сертификат новым по истечении срока годности. Пошаговые инструкции – см. в статье Добавление сертификата в глобальный список адресов.

Использование уведомлений S/MIME для проверки уведомлений сообщения

Запрос уведомления SMIME используется для получения подтверждения того, что полученное письмо не было изменено, а также сведений о времени открытии письма и о том, кто открывал письмо. При отправке сообщения с запросом об уведомлении S/MIME данные сведения возвращаются в папку «Входящие» в качестве сообщения. Пользователи, программы которых не поддерживают S/MIME, не смогут отправить этот тип уведомления. Уведомления S/MIME по умолчанию направляются в папку «Входящие», независимо от того, куда направляются обычные уведомления.