8 (800) 500-92-06
Бесплатный звонок из регионов

Шифрование почты: надёжность и стойкость

Главная / Статьи / Шифрование почты: надёжность и стойкость

Использование шифрованных протоколов SMTP SSL, POP3 SSL и IMAP SSL стало в последнее время стандартом вместо их предыдущих нешифрованных версий, в которых данные передавались открытым текстом.

Безусловно, запрещение почтовым сервером подключения пользователей по нешифрованному каналу это большой шаг вперёд к безопасной электронной почте. Ведь каждый раз, когда пользователь проверяет свой почтовый ящик на новые сообщения или отправляет письма он отправляет на хостинг почты свои логин и пароль. Если эти авторизационные данные будут перехвачены злоумышленниками, они смогут получить доступ ко всей переписке пользователя. Для жертвы это грозит потерей конфиденциальной информации и, как следствие, финансовые и репутационные риски. Также ущерб репутации пользователя, к электронной почте которого был перехвачен пароль, может нанести и рассылка спама, фишинга — киберпреступники могут использовать перехваченные реквизиты для распространения рекламы и вредоносных программ.

Если же взломанный адрес является ящиком корпоративной почты, то финансовый и репутационный ущерб может распространиться на всю компанию и привести к многомиллионным потерям.

Шифрование почты: надёжность и стойкость

Именно поэтому такие аспекты защищённости почтового сервиса как шифрование вообще и шифрование клиент-серверных соединений в частности являются наиболее важным в обеспечении информационной безопасности электронной почты.

Какие требования следует предъявлять к уровню шифрования электронной почты и как проверить почтовый хостинг на соответствие им?

SSL-cертификат

Самоподписанный сертификат

Самоподписанным называется сертификат, цифровая подпись которого генерируется самим пользователем без привлечения сторонних организаций. Самоподписанный сертификат не может являться серьёзным средством защиты шифруемого трафика, так как в случае успешной атаки Man-In-The-Middle легитимный самоподписанный сертификат может быть легко заменён на самоподписанный сертификат, выпущенный злоумышленниками.

Сертификат, подписанный удостоверяющей организацией — Certificate Authority (удостоверяющим центром)

Сертификат, подписанный удостоверяющим центром, требует подтверждения прав как минимум на защищаемый домен (DV - Domain Validated certificate) или даже юридическую проверку организации, выпускающей сертификат (EV — Extended Validation). В отличие от самоподписанных, выпуск валидного сертификата процедура платная, оплата вносится за каждый год использования SSL-сертификата, но и его надёжность гораздо выше.

Сертификат должен быть подписан с помощью алгоритма SHA2, так как наследуемый алгоритм SHA1 признан недостаточно стойким ко взлому и не должен быть использован.

Длина ключа сертификата

Достаточно безопасной длиной ключа на сегодняшний день признаётся длина не менее 1024 бит. Однако в целях большей надёжности выпускаемых сертификатов рекомендуется использовать сертификаты длиной 2048 бит. Такой длины открытого ключа должно с избытком хватить чтобы даже всё время возрастающие вычислительные возможности хакеров не смогли взломать его методом перебора.

Типы шифров, разрешённые для использования сервером

Одно лишь применение надёжного SSL-сертификата далеко не гарантирует защиту соединения между почтовым клиентом и почтовым серверов. Если хостинг почты допускает использование устаревших шифров, признанных уязвимыми, то всё соединение будет скомпрометировано. Следует избегать использование серверов, до сих пор разрешающих применение следующих шифров, в которых были найдены уязвимости:

  • DES 56/56
  • RC2 40/128
  • RC2 56/128
  • RC2 128/128
  • RC4 40/128
  • RC4 56/128
  • RC4 64/128
  • RC4 128/128

Также была доказана уязвимость протоколов шифрования SSL 2.0 и SSL 3.0. Только семейство протоколов TLS обеспечивает надёжную защиту. Из все версий TLS лучшим является версия 1.2, которая на данный момент не имеет известных уязвимостей.

Уязвимости протокола шифрования

Poodle

Эта уязвимость в протоколе SSL позволяет злоумышленнику, имеющему возможность соединяться с сервером по SSLv3, расшифровывать по 1 байту за каждые 256 запросов. Надёжный почтовый сервер должен исключать возможность таких атак.

Heartbleed

Ошибка в библиотеке OpenSSL, вызывающая переполнение буфера и предоставляющая возможность несанкционировано прочесть закрытый ключ. Подключение к серверу с такой уязвимостью равноценно полному отсутствию шифрования.

Приведённый выше список лишь набор самых основных требований к надёжности шифрования канала связи с почтовым сервером. Дополнительно существует множество других критериев, которые также влияют на качество криптографической защиты соединения.

Быстро произвести тест используемого SSL-сертификата, шифров, выявить уязвимости и дать комплексную оценку надёжности шифрованного соединения можно с помощью онлайн-утилиты, доступной на сайте швейцарской ИБ-компании HighTech Bridge - https://www.htbridge.com/ssl/

Действительно качественная криптографическая защита обеспечивается лишь на уровне A+.


При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

945 просмотров