Bezpieczeństwo poczty elektronicznej – szyfrowanie korespondencji i podpis cyfrowy
Bezpieczna komunikacja to podstawa kontaktów biznesowych
W kontaktach biznesowych ogromne znaczenie ma możliwość bezpiecznego komunikowania się ze współpracownikami i klientami. Jednym z najpopularniejszych i najbardziej uniwersalnych sposobów jest poczta elektroniczna, z której możemy korzystać praktycznie wszędzie, czy to za pomocą komputera, telefonu komórkowego, czy np. terminala BlackBerry. Popularny e-mail znany był na długo przed powstaniem Internetu, choć początkowo służył do korespondencji między użytkownikami tej samej maszyny. Poczta elektroniczna jaką znamy dziś, niewiele zmieniła się od wczesnych lat osiemdziesiątych dwudziestego wieku, kiedy to zostały opracowane protokoły SMTP(Simple Mail Transfer Protocol - wykorzystywany do przekazywania wiadomości na i pomiędzy serwerami pocztowymi), oraz POP(Post Office Protocol - służący do odbierania poczty z serwera pocztowego). Oba protokoły zostały stworzone w czasach, gdy sieć składała się ze znikomej w porównaniu z dniem dzisiejszym liczby komputerów i wykorzystywana była w zasadzie głównie przez środowiska akademickie i wojskowe. Wraz z rozwojem globalnej sieci pojawiły się nowe możliwości wykorzystania poczty elektronicznej, ale również nowe zagrożenia, na które „szkielet” usługi ze zrozumiałych względów nie był przygotowany. Zjawiska takie jak spam, kradzież kont pocztowych i podszywanie się pod innych użytkowników, czy przechwytywanie korespondencji są pochodną przestarzałych „fundamentów” poczty elektronicznej i komunikacji w globalnej sieci a ich bieżące poprawianie i udoskonalanie w najlepszym wypadku nadąża za inwencja osób wykorzystujących ich słabe punkty. Sytuacja jednak nie jest beznadziejna - istnieją sposoby, dzięki którym przy niewielkim nakładzie pracy i środków można znacznie poprawić bezpieczeństwo korespondencji. Wśród takich rozwiązań są podpis cyfrowy i szyfrowanie korespondencji. Z mechanizmów tych od dawna można korzystać w większości aplikacji służących do obsługi poczty elektronicznej, jednak poza środowiskiem dużych przedsiębiorstw jest on mało popularny a szkoda, bo nic nie stoi na przeszkodzie, żeby korzystać z niego na co dzień.
Podpis cyfrowy i szyfrowanie zwiększa bezpieczeństwo korespondencji
Podpis cyfrowy to informacja dołączona do treści dokumentu służąca weryfikacji jego źródła. Główne funkcje podpisu elektronicznego to zapewnienie autentyczności - czyli pewności co do autorstwa dokumentu, integralności – czyli pewności, że wiadomość nie została zmieniona po złożeniu podpisu przez autora oraz niezaprzeczalności – osoba składająca podpis nie może wyprzeć się jego autorstwa. Szyfrowanie pozwala ukryć treść korespondencji przed niepowołanymi oczami. Obie techniki opierają się na kryptografii asymetrycznej, która zakłada istnienie pary kluczy – publicznego i prywatnego. Pierwszy z założenia jest jawny i publicznie dostępny, natomiast drugi powinien być ściśle strzeżony i dostępny jedynie jego właścicielowi. Najpopularniejszym algorytmem służącym do generowania pary kluczy jest algorytm RSA. W skrócie, relacje między kluczami są następujące: kluczem publicznym szyfruje się wiadomość a prywatnym deszyfruje, prywatnym podpisuje się wiadomość a publicznym weryfikuje się podpis. Proces podpisywania wiadomości odbywa się w dwóch etapach – najpierw nadawca (a dokładnie oprogramowanie po stronie nadawcy) przy pomocy specjalnej funkcji oblicza tzw. skrót wiadomości, czyli pojedynczą liczbę generowaną na podstawie jej treści, następnie skrót ten szyfruje swoim kluczem prywatnym i dołącza do wiadomości. Weryfikacja podpisu odbywa się w przeciwnym kierunku, tzn. najpierw odbiorca przy pomocy klucza publicznego deszyfruje dołączony do wiadomości skrót a następnie sam z wykorzystaniem tej samej funkcji oblicza go i porównuje obie wartości. Jeśli są równe, wiadomość jest autentyczna. Proces szyfrowania wiadomości różni się od podpisywania tym, że szyfrowana jest cała wiadomość i szyfruje ją nadawca przy pomocy klucza publicznego odbiorcy a deszyfruje odbiorca z użyciem własnego klucza prywatnego. Obie operacje wymagają więc udostępnienia klucza publicznego drugiej stronie.
PGP i X.509 to najpopularniejsze standardy podpisu cyfrowego
PGP to system zdecentralizowany, w którym weryfikacja kluczy opiera się na sieci zaufania, użytkownicy wzajemnie weryfikują swoją tożsamość i podpisują sobie klucze a zaufanie do poszczególnych certyfikatów jest sumą podpisów złożonych przez innych uczestników sieci. PGP funkcjonuje zarówno w wersji komercyjnej jak i bezpłatnej(do użytku prywatnego), istnieje również otwarta, darmowa implementacja tego systemu – OpenPGP. Stosowanie PGP wymaga zastosowania odpowiedniej wtyczki do programu pocztowego. X.509 to system scentralizowany o strukturze hierarchicznej, jego istota polega na istnieniu organizacji cieszącej się powszechnym zaufaniem, której zadaniem jest potwierdzanie tożsamości właścicieli konkretnych certyfikatów poprzez podpisywanie ich za pomocą własnego certyfikatu. Wystawiany certyfikat zawiera m.in. dane właściciela, dane podmiotu wystawiającego certyfikat, okres ważności, oraz certyfikaty głównego i pośrednich urzędów certyfikacji - jest to tzw. ścieżka certyfikacji. M.in. ze względu na skomplikowany i rozbudowany sposób weryfikacji tożsamości podmiotu ubiegającego się o wystawienie, certyfikaty X.509 są płatne.
Pozyskanie certyfikatu do podpisu cyfrowego nie jest trudne
X.509 to najpowszechniej obsługiwany przez klientów poczty elektronicznej oraz przeglądarki internetowe system podpisu cyfrowego a co za tym idzie najłatwiejszy w użyciu. Wystawianiem certyfikatów zajmuje się wiele organizacji, w Polsce są to m.in. Unizeto (Certum), Polska Wytwórnia Papierów Wartościowych (Sigillum) i Krajowa Izba Rozliczeniowa. Koszt uzyskania zaufanego certyfikatu na okres jednego roku, którym będzie można podpisywać korespondencję elektroniczną zaczyna się od około 50 zł a koszt odnowienia na kolejny rok to około połowy tej kwoty. Certyfikat taki można również uzyskać bezpłatnie w CAcert i Thawte , które weryfikację tożsamości przeprowadzają w oparciu o sieć zaufania, ale wiąże się to z większym zaangażowaniem po stronie występującego o certyfikat .