Защита электронной почты в организациях с использованием мобильных устройств

imageСегодня в России все большее число сотрудников используют личные мобильные устройства на рабочих местах. Это явление, получившее название BYOD (Bring Your Own Device), обуславливает необходимость защиты корпоративных данных, что, прежде всего, актуально для организаций с повышенными требованиями к информационной безопасности.

Политика BYOD весьма эффективна как в маленьких компаниях, так и в больших корпорациях. Прежде всего, она позволяет существенно сэкономить на покупке служебных устройств и обеспечивает сотрудникам возможность всегда оставаться на связи с коллегами и получать доступ к рабочим документам и ресурсам компании из любого места. Кроме того, во многих компаниях руководители используют BYOD как способ привлечения и удержания квалифицированных специалистов. Сотрудники, привыкшие к своим девайсам, не особо радуются, когда работодатель говорит им, что на рабочем месте личный телефон или планшет использовать запрещено и придется работать с техникой, предоставляемой компанией. Это выглядит архаично и ограничительно. Особенно если оборудование, предоставляемое сотруднику хуже, чем принадлежащие ему передовые гаджеты.

В то же время, бездумное и бесконтрольное применение личных устройств в компании может нанести ей непоправимый ущерб. Поэтому, для достижения нужного эффекта, от руководителей компаний требуется нащупать довольно тонкую грань между возможными рисками и потенциальной пользой.

В основном сотрудники используют личные мобильные устройства для доступа к корпоративной почте. Поэтому в этой статье мы рассмотрим алгоритмы настройки шифрования электронной почты на мобильных устройствах, работающих под управлением ОС iOS (5+) и Android (4+), которые могут быть полезны при организации защиты корпоративной почты.

В обоих случаях, для настройки функции шифрования нам потребуется:

  • сертификат корневого Центра Сертификации в формате X.509 (файл с расширением *.cer). Для его создания воспользуемся программой для шифрования CyberSafe, способной работать в качестве Центра Сертификации. Корневой сертификат CyberSafe автоматически создается и устанавливается в доверенные в хранилище сертификатов Windows при первом запуске программы. После этого экспортируем сертификат в отдельный файл.
  • персональный сертификат пользователя в формате PKCS #12 (файл с расширением *.pfx), для создания и экспорта которого также используем CyberSafe. Подробнее об этих сертификатах, а также об экспорте pfx-файла написано в статье Шифрование почты в Outlook 2010.

Создание сертификатов, а также их последующая рассылка сотрудникам компании, может быть возложена на одного человека — системного администратора. Сисадмин создает на своем компьютере pfx-сертификаты для всех пользователей, которые планируют использовать шифрование почты на своем мобильном устройстве, экспортирует эти сертификаты в отдельные файлы и затем отправляет каждому из пользователей вместе с сертификатом Центра Сертификации и подробной инструкцией по настройкам функции шифрования. Также он должен сообщить каждому пользователю его пароль к pfx-файлу.

image

Шифрование почты на мобильных устройствах iOS


1. Отправляем полученные сертификаты (файл ключа .pfx и файл сертификата корневого Центра Сертификации .cer) на электронную почту, установленную на телефоне, или переносим их в любую папку (в т.ч можно в коневой каталог) посредством usb-соединения с компьютером.

2. Создаем учетную запись электронной почты на телефоне. Для добавления новой учетной записи нажимаем Добавить. После создания открываем Настройки. Далее Почта, адреса, календари (Рис.1) — Название вашей учетной записи (в данном примере это Dorf pop (Рис.2 ). — Уч. запись (в данном примере это vostrikov@dorf.ru (Рис.3 ). Предполагается, что учетная запись почты у Вас уже настроена.

3. Нажимаем на свою Учетную запись, открываются настройки почты. Нажимаем Дополнительно (Рис 4). В дополнительных настройках отмечаем использовать S/MIME. Далее нажимаем кнопку Уч. запись (Рис. 5).В меню Учетной записи нажимаем Готово для сохранения настроек.

image

4. Снова выбираем Учетная запись — Дополнительно. Если мы зайдем во вкладки Шифрование и Подпись, то увидим, что в настоящее время нет подходящих установленных сертификатов шифрования. (Рис. 6-7). Вкладка Сертификаты сейчас неактивна, поэтому нам необходимо установить созданные ранее сертификаты.

5. Устанавливаем сертификат Центра Сертификации. Единожды нажимаем на файл с расширением *.cer (Рис. 8). Выбираем Установить (Рис. 9). Откроется страница предупреждения. Нажимаем Установить (Рис. 10). Сертификат Центра Сертификации установлен. Нажимаем Готово для возврата в меню почты (Рис. 11).

image

6. Устанавливаем персональный сертификат. Единожды нажимаем на файл с расширением *.pfx (Рис. 12). Нажимаем Установить (Рис. 13). Откроется страница предупреждения. Нажимаем Установить (Рис. 14).

7. Вводим пароль для сертификата. Он идентичен паролю, который Вы задавали при создании личного сертификата в программе CyberSafe. Нажимаем Вперед (Рис. 15). Профиль установлен. Нажимаем Готово.

image

8. Переходим Настройки — Основные вкладка Профили (Рис. 16). Теперь профили Центра Сертификации и сертификата пользователя установлены (Рис. 17). Нажав на них, можно получить дополнительную информацию о сертификатах.

9. Переходим Настройки — Почта, адреса, календари — Название Вашей учетной записи — Ваша учетная запись — Дополнительно. Видим внизу опции Подпись и Шифрование. Нажимаем на них поочередно и устанавливаем сертификаты для подписи (Рис. 18) и шифрования (Рис. 19). Нажимаем Дополнительно — Учетная запись. В окне нажимаем Готово для сохранения настроек.

image

10. Аналогично получатель создает и устанавливает сертификаты на своем телефоне, после чего отправляет вам тестовое письмо. В письме он отмечает опцию Подписать. Получив письмо, открываем и видим, что оно подписано (Рис. 20).

11. Нажимаем на надпись электронной почты отправителя (в данном примере нажимаем на адрес почты anton@dorf.ru). Видим, что сертификат доверенный, так как использовался единый Центр Сертификации (Рис. 21). Нажимаем Просмотр Сертификатов. На странице Сертификат нажимаем Установить(Рис. 22). Затем нажимаем Готово.

12. Создаем сообщение получателю. Поскольку выше мы уже установили опции Шифровать и Подписывать, в письме эти опции включены по умолчанию. Отправляем получателю письмо (Рис. 23). Получатель, в свою очередь, аналогичным образом устанавливает Ваш сертификат. После этого получатель может отправить Вам тестовое письмо для проверки шифрования. В письме он отмечает Шифровать и Подписывать.

13. При просмотре тестового письма (Рис. 24) мы видим, что письмо расшифровано, а сертификат отправителя корректно установлен, и находится в списке доверенных (Рис. 25). Шифрование почты настроено.



Шифрование почты на мобильных устройствах Android


1. Отправляем полученные сертификаты (файл ключа .pfx и файл сертификата корневого Центра Сертификации .cer) на электронную почту, установленную на телефоне, или переносим их в любую папку (в т.ч можно в коневой каталог) посредством usb-соединения с компьютером.

2. Поскольку ОС Android не поддерживает шифрование почты посредством сертификатов, для настройки шифрования воспользуемся программой djigzo, которую можно скачать на телефон через Play market.

3. После установки программы зайдите в Главное меню. Для установки сертификатов перейдите в Sertificattes & Keys (Рис. 1). Клавишей Меню вызовите подменю установки сертификатов и ключей (Рис.2).

4. Выберите Import Sertificattes для импорта сертификатов (Рис. 3). В проводнике выберите путь к вашему сертификату. Сейчас мы устанавливаем сертификат Центра Сертификации. Этот файл имеет расширение *.cer. Здесь это файл support@cybersafesoft.com.cer (Рис. 4). Выбираем его из списка нажатием на сертификат, и добавляем в список сертификатов.

image

5. Далее выберите в списке корневой сертификат support@cybersafesoft.com.cer. Он находится в списке всех имеющихся на телефоне сертификатов (Рис. 5). Нажимаем на сертификат и в контекстном меню выбираем опцию Move to root store (Рис. 6). Этим действием мы добавляем сертификат в список корневых сертификатов программы.

6. Выберите Import Keys (Рис 2). Введите пароль. Это тот пароль, который Вы указывали при создании персонального сертификата в программе CyberSafe на компьютере (Рис. 7). В проводнике выберите путь к *.pfx файлу. В данном примере это файл anton@dorf.ru.pfx (Рис.8).

7. Устанавливаем новый пароль к хранилищу ключей (Рис.9). Нажимаем ОК. Сертификат и закрытый ключ импортированы (Рис.10).

image

8. Settings — Account. Устанавливаем необходимые настройки аккаунта, отмечаем галочками Sign, Encrypt, Add Signature line (Рис. 11).

9. Settings — SMTP. Устанавливаем настройки почты (Рис. 12-13).

10. Проверяем установку сертификатов и ключей. Заходим в опцию Compose message. Устанавливаем галочки на Sign и Encrypt и отправляем любое сообщение себе. (Рис. 14-15).



11. Заходим в любой почтовый клиент в телефоне. Видим сообщение с синей точкой. Это наше полученное сообщение (Рис. 16). Открываем письмо, далее воспользуемся одним из двух вариантов: Вариант 1. Нажимаем на вложение в формате .p7m и в контекстном меню выбираем Открыть с помощью — djigzo. Далее — см. с п.13. Вариант 2. Сохраняем вложение в формате .p7m на телефон. Далее — см с п. 12.

12. Открываем djigzo. Опция Open message. В проводнике находим сохраненный файл, нажимаем на него (Рис. 17).

13. Вводим пароль к хранилищу ключей. Сообщение дешифруется (Рис. 18).

14. Управление сообщениями осуществляется кнопкой Menu телефона.

15. Для того, чтобы обмениваться шифрованными сообщениями с партнерами, вам нужно отправить им подписанное письмо.
Для этого в меню программы выбираем опцию Compose message (Рис. 19). Устанавливаем галочку на Sign, кнопку Encrypt не нажимаем. Отправляем письмо. Программа запросит пароль хранилища ключей. Вводим пароль, нажимаем ОК.

image

16. Получатель должен установить ваш сертификат у себя в программе. Теперь он оправляет подписанное письмо Вам. Получаем сообщение (Рис. 20), открываем. Видим вложение smime.p7m (Рис. 21). Сохраняем его себе в телефон (Далее — см. с п. 17), либо нажимаем на вложение, и в контекстном меню выбираем Открыть с помощью — djigzo. (Далее — см. с п. 18).

17. Открываем программу djigzo. Опция Open message (Рис. 22). В проводнике выбираем путь к сохраненному файлу (Рис. 23).

18. Вводим пароль хранилища ключей.

19. Мы видим, что сообщение расшифровано, (Рис. 24) а сертификат отправителя находится в списке сертификатов (Рисунок 25).

image

Шифрование почты настроено.

Only registered users can participate in poll. Log in, please.

Придерживается ли Ваша компания политики BYOD?

  • 25.8%Да17
  • 40.9%Нет27
  • 33.3%Что такое BYOD?22
Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 22

    +2
    Феерическая ахинея. И это называется компания, занимающаяся безопасностью?

    Сисадмин, генерирующий и рассылающий закрытые ключи пользователям? Их приватные ключи?

    Я такую контору с такими советами на километр не подпущу к любой организации, с которой имею дружеские отношения.
      0
      Сисадмин рассылает pfx-сертификаты, содержащие приватные ключи пользователей. Но сертификаты такого типа, а значит и приватные ключи, защищены паролем.

      Но это как ОДИН из вариантов. Сценарий когда админ выдает ключи всем пользователям, в том числе и закрытые (кроме руководящего звена) очень часто прописывается в политике криптографисечкой защиты самой компании. Это естественно, у руководства компании должна быть возможность читать любую корпоративную переписку.

      Конечно, более правильный сценарий таков: на стороне клиента формируется закрытый ключ и запрос на сертифкат. Запрос отсылается на сервер и админ выдает сертификат, а закрытый ключ остается всегда у пользователя. В текущей версии CyberSafe, о которой идет речь в статье, такой возможности нет и она будет реализована в следующих версиях.
      • UFO just landed and posted this here
          +1
          Именно. Я лениво пролистывал ленту, ожидая очередной рассказ про генерацию запросов на сертификаты, и тут, блямс, гигантская, феерическая дыра.
      • UFO just landed and posted this here
          +2
          Мда, видать я не так и плохо разбираюсь в ИБ, читал статью и волосы шевелились во всех местах :)
            0
            Это зависит от политики компании. У нас, например, СБ требует однозначно чтобы у них были ключи. Руководство создает себе самостоятельно либо с запросом на сервер, но всем остальным… Были случаи, когда потом сотрудники с ключами пропадали, а вместе с ними и все их документы и почта. Так что пеной брызгать по-моему не уместно.
              0
              Никто и не брызжет, но слать по почте уж простите.
                0
                Согласен. Это уж очень упрощенный вариант. Если только почтовик свой. А на публичный конечно не стоит. Не знаю насколько публика сталкивалась с написанием и проверкой соблюдением крипто инструкций для офисного планктона. Мы внедряли как-то криптографию в секретариат и бухгалтерию, с запросами и выработкой ключей через AD CA. Чуть не до увольнений дошло со стороны девочек. В итоге руководство плюнуло на все и сказало нам самим им все настроить, выдать и пароль задать!
                • UFO just landed and posted this here
                    0
                    Это если аутлук. И потом статья про мобильные в основном, а руководство добро на exchange не давало. Вот и приходилось пользоваться подручными средствами, в том числе и с выгрузкой pfx. А ios тогда еще была 3-й версии, без криптографии.
                    • UFO just landed and posted this here
              • UFO just landed and posted this here
                  0
                  «А как оно попало на устройство?»
                  В статье написано об этом. Даже дважды — в каждом из п.1 для каждого из алгоритмов настроек.
                  • UFO just landed and posted this here
                      0
                      Согласен. Почтой, тем более с паролем можно только если свой суперзащищенный почтовик. А так… описанная Вами выше схемы, конечно, надежные.
                        0
                        Если pfx передается по открытой почте, то сам файл действительно никак не защищен. Но как вы получите из него приватный ключ пользователя, если он защищен паролем, имеющим как минимум 128 бит энтропии?
                        Ну и второй вариант — прямо на устройство через usb. Об этом написано в статье.
                        • UFO just landed and posted this here
                            0
                            Согласен, но это уже действительно риторика. Если в компании есть служба поддержки, знающая пароли к приватным ключам пользователей и она вот-так вот выдаст пароль любому позвонившему, тогда это уже будет на совести самой компании.
                            Аналогично можно рассуждать и о способах, позволяющих злоумышленнику заполучить установленный в хранилище pfx-файл пользователя.
                  0
                  Интересная темя для организаций у которых сотрудники работают удаленно очень актуальна.
                    0
                    На планшете тоже работает аналогично =)
                      0
                      Система актуальна не толь ко для удаленных работников, но и для реализации переписки в офисе между директорами и бухгалтерией или между кадрами и бухгалтерами. В любом случае необходима защита переписки.

                      Only users with full accounts can post comments. Log in, please.