Комментарии 31
Интересно, конечно, но разве кому-то нужна почта с ЭП?
Всем кому не безразлична собственная приватность и, как следствие, безопасность?
С шифрование переписки вопросов нет.
Интересует подпись, ведь статья называется «Как подписывать почтовую переписку GPG-ключом, используя PKCS#11-токены».
Интересует подпись, ведь статья называется «Как подписывать почтовую переписку GPG-ключом, используя PKCS#11-токены».
Дополнительный уровень гарантии что это письмо именно от вас, а не подменённое кем-то в транзите или вообще подмётное. Вспоминаем недавние требования сами-знаете-кого о передаче им ключей шифрования, и, то, что судя по всему, это требование было частично исполнено крупнейшими игроками.
Подмена письма может иметь значение только в случае, например, электронного документооборота. Но для ЭДО важно использовать не сколько ЭП, сколько аттестованное или сетифицированное решение в целом, в котором токеном с ключом является далеко не единственным элементом безопасности.
На ум приходит еще целевая атака на конкретного пользователя, например с подменой данных, например условий договора, пересылаемого в письме. Но там имеет смысл подписывать сам договор, а не само письмо с вложением.
Еще есть вариант использования защиты текста письма, например, для передачи команд управления устройствами автоматики какого нибудь умного дома или М2М.
На ум приходит еще целевая атака на конкретного пользователя, например с подменой данных, например условий договора, пересылаемого в письме. Но там имеет смысл подписывать сам договор, а не само письмо с вложением.
Еще есть вариант использования защиты текста письма, например, для передачи команд управления устройствами автоматики какого нибудь умного дома или М2М.
Подмена письма может иметь значение во многих случаях, к примеру, дадут вам N лет за… (выберите, что хотите) в российском "суде" или нет.
Я вот всегда подписываю свои электронные письма.
Вот только не смешите.
Зачем для описанной вами ситуации сложности с подменой электронных писем?
Или вы считаете, что поставленная ЭП с помощью не сертифицированного криптографического средства будет иметь для суда хоть какое то значение?
Зачем для описанной вами ситуации сложности с подменой электронных писем?
Или вы считаете, что поставленная ЭП с помощью не сертифицированного криптографического средства будет иметь для суда хоть какое то значение?
Внутри корпорации, генеральный директор, своим приказом, может ввести признание любой ЭП юридически значимой. Суд будет оперировать разделом «Разбор конфликтующих ситуаций» соглашения.
Действительно, для российского "суда" уже давно доказательства и здравый смысл не имеют какого бы то ни было значения.
ЭП дает уверенность в аутентичности письма, то есть в том, что автор является тем, за кого себя выдает. Кроме того, ЭП обеспечивает целостность и неизменность сообщения.
Cуществует масса атак, связанных с подделкой адреса отправителя (spoofing, forging). Например, таким образом могут доставляться ссылки на фишинговые сайты и загрузку вредоносов.
Поэтому, если среди доверенных лиц использовать подпись почты, такие письма будут сразу видны. Это что касается подписи.
Но есть же еще и шифрование писем, которое тоже может использоваться. Как минимум, при получении доступа к почтовому ящику злоумышленник не сможет читать переписку. Хорошая защита и на случай утери ноутбука, например.
Кроме почты можно защищать сообщения в мессенджерах, шифровать файлы, создавать зашифрованные контейнеры и т.д.
Отдельно стоит упомянуть, что GPG используется и для подписи DEB пакетов. Это чуть ли не единственный, если не ошибаюсь, способ их подписывать.
Так что почта — это самый очевидный способ применения GPG и разобрана в качестве примера.
Cуществует масса атак, связанных с подделкой адреса отправителя (spoofing, forging). Например, таким образом могут доставляться ссылки на фишинговые сайты и загрузку вредоносов.
Поэтому, если среди доверенных лиц использовать подпись почты, такие письма будут сразу видны. Это что касается подписи.
Но есть же еще и шифрование писем, которое тоже может использоваться. Как минимум, при получении доступа к почтовому ящику злоумышленник не сможет читать переписку. Хорошая защита и на случай утери ноутбука, например.
Кроме почты можно защищать сообщения в мессенджерах, шифровать файлы, создавать зашифрованные контейнеры и т.д.
Отдельно стоит упомянуть, что GPG используется и для подписи DEB пакетов. Это чуть ли не единственный, если не ошибаюсь, способ их подписывать.
Так что почта — это самый очевидный способ применения GPG и разобрана в качестве примера.
Рассылки с подпиской подписанной ЭЦП не помешали бы.
сейчас уже совершенствуются механизмы машинного обучения для анализа подозрительной активности в почтовом ящикеМашинное обучение для анализа подозрительной активности? Пффф. Скорее для предложения разработчикам вакансии от Google, как это ранее уже случалось. Или для «улучшения» контекстной рекламы, что так же неоднократно было замечено.
А как насчет ГОСТ шифрования? :)
ГОСТ в GPG? Зачем бы он там понадобился? Есть идеи?
К примеру можно подписывать УКЭП. В этом случае письмо может рассматриваться как юридически значимый документ.
1. Мы все же про шифрование или про подпись?
2. GPG не может использоваться для УКЭП по нескольким причинам:
Причина первая. Для УКЭП необходимо средство электронной подписи (ЭП), прошедшее оценку соответствия, то есть сертифицированное ФСБ. По очевидным причинам (как минимум, отсутствие реализации ГОСТ подписи и хеширования в GPG) сертификация такая невозможна.
Причина вторая (скорее даже первая). УКЭП основана на инфраструктуре открытых ключей (PKI то есть). GPG — это альтернативная инфраструктура. Тут нет удостоверяющих центров, квалифицированных сертификатов и т.п. вещей. Есть подписанные участниками публичные ключи других участников — то есть совершенно иная модель доверия.
Этих двух основных причин в принципе достаточно, хотя можно припомнить и еще.
3. Для обеспечения юридической значимости переписки не обязательно применять УКЭП. Об этом написано в 63-ФЗ «Об электронной подписи». Таким образом, можно заключить соглашение, на основании которого переписка, подписанная через GPG, будет признаваться юридически значимой даже на зарубежных алгоритмах подписи.
2. GPG не может использоваться для УКЭП по нескольким причинам:
Причина первая. Для УКЭП необходимо средство электронной подписи (ЭП), прошедшее оценку соответствия, то есть сертифицированное ФСБ. По очевидным причинам (как минимум, отсутствие реализации ГОСТ подписи и хеширования в GPG) сертификация такая невозможна.
Причина вторая (скорее даже первая). УКЭП основана на инфраструктуре открытых ключей (PKI то есть). GPG — это альтернативная инфраструктура. Тут нет удостоверяющих центров, квалифицированных сертификатов и т.п. вещей. Есть подписанные участниками публичные ключи других участников — то есть совершенно иная модель доверия.
Этих двух основных причин в принципе достаточно, хотя можно припомнить и еще.
3. Для обеспечения юридической значимости переписки не обязательно применять УКЭП. Об этом написано в 63-ФЗ «Об электронной подписи». Таким образом, можно заключить соглашение, на основании которого переписка, подписанная через GPG, будет признаваться юридически значимой даже на зарубежных алгоритмах подписи.
Некоторые успехи по добавлению ГОСТов в GPG уже есть.
Вот тоже зашёл написать, что без ГОСТа для нашей страны нещитово.
Тиму Куку можно и не платить, если собирать GPGTools самому.
Ваши токены упаришься покупать за мкадом
В розницу? Есть партнерские интернет-магазины. На сайте список имеется. С ними какие-то конкретные проблемы? Сообщайте, будем разбираться.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как подписывать почтовую переписку GPG-ключом, используя PKCS#11-токены