Планирование шифрования сообщений электронной почты
Обновлено: Апрель 2009
Назначение: Office Resource Kit
Последнее изменение раздела: 2009-04-03
В Microsoft Office Outlook 2007 присутствует поддержка функций безопасности, позволяющих пользователям отправлять и получать зашифрованные сообщения электронной почты. К этим функциям относятся обмен зашифрованными сообщениями электронной почты, метки безопасности и подписанные уведомления.
.gif "Note") Примечание: |
|---|
| Для полной функциональности системы безопасности Outlook необходимо установить Outlook с правами локального администратора. |
Функции обмена зашифрованными сообщениями в Outlook
В Outlook используется поддержка функций обмена зашифрованными сообщениями, что обеспечивает пользователям следующие возможности:
Цифровая подпись сообщения электронной почты. Цифровая подпись обеспечивает невозможность подделки и проверку содержимого (сообщение содержит то, что было отправлено, без изменений).
Шифрование сообщений электронной почты. Шифрование помогает обеспечить конфиденциальность, поскольку его не может прочесть никто, кроме получателя.
Можно настроить дополнительные функции для обмена зашифрованными сообщениями. Если в организации поддерживаются эти функции, обмен защищенными сообщениями предоставляет пользователям следующие возможности:
Отправление сообщения электронной почты с запросом уведомления. Это позволяет удостовериться, что получатель проверил цифровую подпись пользователя (сертификат, который пользователь применил к сообщению).
Добавление метки безопасности к сообщению электронной почты. В организации может быть создана настроенная политика обеспечении безопасности S/MIME версии 3, что позволяет добавлять метки к сообщениям. Политика безопасности S/MIME версии 3 — это программа, которая добавляется к Outlook. Она добавляет к заголовку сообщения сведения о конфиденциальности сообщения. См. раздел Метки безопасности и подписанные уведомления далее в этой статье.
Реализация обмена зашифрованными сообщениями в Outlook
В модели шифрования Outlook для отправки и получения подписанных и зашифрованных сообщений электронной почты используется шифрование с открытым ключом. В Outlook предусмотрена поддержка системы безопасности S/MIME версии 3, что позволяет пользователям обмениваться зашифрованными сообщения электронной почты с другими клиентами S/MIME через Интернет или интрасеть. Сообщения электронной почты, зашифрованные с помощью открытого ключа пользователя, могут быть расшифрованы только при использовании соответствующего закрытого ключа. Это означает, что когда пользователь отправляет зашифрованное сообщение электронной почты, оно шифруется с помощью сертификата пользователя (открытый ключ). При прочтении зашифрованного сообщения оно расшифровывается закрытым ключом пользователя.
Для использования возможности шифрования в Outlook пользователям необходимо иметь профиль безопасности. Профиль безопасности — это набор параметров, в котором описаны сертификаты и алгоритмы, используемые во время отправки сообщений с помощью функций шифрования. Если профиль еще не настроен, то профили безопасности настраиваются автоматически в следующих случаях:
На компьютере пользователя присутствуют сертификаты для шифрования.
Пользователь начинает использование функции шифрования.
Можно заранее настроить эти параметры безопасности для пользователей. Можно использовать параметры реестра или групповой политики, чтобы настроить Outlook в соответствии с политиками шифрования в организации и настроить (и применить принудительно с помощью групповой политики) параметры, которые следует включить в профили безопасности. Эти параметры описаны в таблице в разделе Установка единых параметров шифрования Outlook 2007 для организации.
Цифровые удостоверения: комбинация открытых и закрытых ключей и сертификатов
Функции S/MIME основываются на цифровых удостоверениях, которые связывают удостоверение пользователя с парой открытого и закрытого ключей. Комбинация пары открытого и закрытого ключей и сертификата называется цифровым удостоверением. Закрытый ключ может храниться в безопасном хранилище, например в зоне сертификатов Microsoft Windows, на компьютере пользователя или смарт-карте. В Outlook предусмотрена полная поддержка стандарта X.509v3, согласно которому все закрытые и открытые ключи должны создаваться в центре сертификации, например VeriSign, Inc.
Пользователи могут получить цифровые удостоверения, используя открытые центры сертификации в Интернете (например, например VeriSign and Microsoft Certificate Server). Дополнительные сведения о получении цифрового удостоверения см. в разделе справки Outlook "Получение цифрового удостоверения". Администраторы могут предоставлять цифровые удостоверения группам пользователей. В Outlook также по-прежнему поддерживается работа с сервером управления ключами Microsoft Exchange для получения и предоставления цифровых удостоверений.
Когда у сертификатов цифровых удостоверений заканчивается срок действия, пользователям обычно необходимо обновить сертификаты в выдавшем их центре сертификации. Если организация полагается в вопросе сертификатов на сервер управления ключами Microsoft Exchange, Outlook автоматически совершает для пользователей обновление сертификата.
Метки безопасности и подписанные уведомления
В Outlook предусмотрена поддержка расширений S/MIME V3 Enhanced Security Services (ESS) для меток безопасности и подписанных уведомлений. Эти расширения полезны в организации при обеспечении обмена безопасными сообщениями электронной почты, а также при настройке безопасности для соответствия требованиям.
Если в организации разрабатываются и внедряются политики безопасности S/MIME V3 для добавления настраиваемых меток безопасности, то код в политике безопасности может принудительно прикреплять метки безопасности к сообщениям электронной почты. Рассмотрим два примера использования меток безопасности.
Метка "Только для внутреннего использования" может быть реализована как метка безопасности: ее можно применить к почте, которая не должна быть отправлена за пределы компании.
Метка может указывать, что определенные получатели не перенаправить или распечатать сообщение, если у получателя также установлена политика безопасности.
Чтобы удостовериться, что получатель узнал цифровую подпись пользователя, пользователи также могут отправлять вместе с сообщениями зашифрованные подписанные уведомления. Когда сообщение получено и сохранено (даже если оно еще не прочитано), а подпись сверена, то в папку "Входящие" возвращается уведомление, подразумевающее, что сообщение прочитано. Если же подпись не сверена, то уведомление не отправляется. Когда возвращается уведомление, поскольку оно также подписано, то оно подтверждает, что пользователь получил и проверил сообщение.
Уровни стойкости шифрования
Существуют два уровня стойкости ключей шифрования, поставляемых компанией Майкрософт: высокий (128-разрядный) и низкий (40-разрядный). Компания Майкрософт предоставляет возможности 128-разрядного шифрования в операционных системах Windows 2000 и Windows XP, необходимых для Выпуск 2007 системы Microsoft Office. Если пользователи используют версии программного обеспечения с поддержкой высокого уровня стойкости шифрования, то это позволяет обеспечить высокий уровень безопасности сообщений электронной почты.
Дополнительные ресурсы
С помощью программного интерфейса (API) меток безопасности Outlook создаются модули политики меток безопасности, которые определяют степень конфиденциальности содержимого сообщений в организации. Подробное описание процедуры создания модулей политики и примеры программ см. в статье MSDN Создание модулей политики меток безопасности.
Шифрование с открытым ключом позволяет поддерживать безопасные системы электронной почты. Дополнительные сведения об использовании шифрования с открытым ключом в Outlook см. в официальном документе "Безопасность Outlook 98", который можно найти через страницу поиска в базе знаний на веб-сайте службы поддержки Microsoft.
Сервер управления ключами Microsoft Exchange версии 5.5 издает ключи только для системы безопасности Microsoft Exchange Server. На сервере управления ключами Microsoft Exchange с пакетом обновления 1 поддерживается как система безопасности Exchange, так и система безопасности S/MIME. Дополнительные сведения см. в руководстве по ресурсам Microsoft Exchange Server версии 5.5 во втором издании пакета Microsoft BackOffice Resource Kit.
Загрузить эту книгу
Эта тема представлена в следующих доступных для загрузки книгах, формат которых более удобен для чтения и печати:
Руководство по обмену сообщениями для выпуска 2007 системы Microsoft Office (на английском языке)
Планирование и архитектура для выпуска 2007 системы Microsoft Office (на английском языке)
Безопасность для выпуска 2007 системы Microsoft Office (на английском языке)
Полный список доступных книг см. в разделе Сведения о наборе ресурсов Office.