какой ключ используется для формирования эп почтового сообщения
Как получить и поставить электронную подпись
Информация, которая передается через интернет, является электронным сообщением. Когда ее записывают на электронный носитель, она становится электронным документом. Подпись под таким документом — электронная, она позволяет определить лицо, которому принадлежит.
Чтобы поставить электронную подпись (ЭП), нужно владеть ключом ЭП. Ключ ЭП называется закрытым ключом, а ключ проверки ЭП — открытым. Для создания ЭП используется специальный инструмент — средство ЭП.
Виды электронной подписи
Различают два вида ЭП:
Усиленная неквалифицированная ЭП обладает несколькими принципиальными качествами:
Если к этим качествам добавить еще два, то получится усиленная квалифицированная ЭП. При этом будет ошибкой считать, что усиленная квалифицированная ЭП является в то же время усиленной неквалифицированной ЭП.
Речь идет об этих двух дополнительных признаках:
Усиленная квалифицированная ЭП предоставляет ее владельцу максимум возможностей с правовой точки зрения. В то же время к ней предъявляются высокие требования.
Сертификат ключа проверки электронной подписи
В Федеральном законе от 06.04.2011 № 63-ФЗ сертификат ключа проверки ЭП определяется как электронный документ или документ на бумажном носителе, который выдает удостоверяющий центр (УЦ) или доверенное лицо УЦ. Он подтверждает принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.
Квалифицированный сертификат включает следующую информацию:
Роль аккредитованного удостоверяющего центра
Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты.
При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.
Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов, содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.
Подробно об обязанностях и функционале аккредитованного УЦ говорится в ст. 15 Федерального закона от 06.04.2011 № 63-ФЗ.
Чтобы получить ЭП, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать.
Подберите сертификат под цели своего бизнеса в Удостоверяющем центре Контура
Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.
Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.
Кто и как может получить КЭП бесплатно
В мае 2021 года ФНС выпустила подробные разъяснения по вопросу получения бесплатной КЭП. Ведомство предупредило, что с 1 января 2022 года оно начнет выпускать такую подпись для юрлиц (гендиректоров, которые действуют от лица компании без доверенности), ИП и нотариусов.
Срок действия КЭП, которые были выпущены коммерческими УЦ, ограничен 1 января 2022 года. Этим УЦ нужно будет успеть до 1 июля 2021 года переаккредитоваться.
«Чтобы обеспечить «бесшовный» переход от платной к соответствующей безвозмездной государственной услуге по выпуску электронной подписи с 1 июля получить квалифицированную электронную подпись можно будет в Удостоверяющем центре ФНС России», — предупреждает ФНС.
УЦ ФНС выдаст квалифицированные сертификаты бесплатно только для юрлиц, ИП и нотариусов. Квалифицированный сертификат физлица, а также лица, планирующего действовать от имени юрлица по доверенности, можно получить в коммерческих аккредитованных УЦ. С 1 января 2022 года услуга будет доступна только в тех УЦ, которые прошли переаккредитацию.
С 1 июля 2021 года лица, имеющие право действовать без доверенности от имени организации, и ИП смогут подать заявление на выпуск КЭП через «Личный кабинет налогоплательщика — физлица».
Как подписать документ электронной подписью
Допустим, вы получили квалифицированный сертификат ЭП и хотите начать им пользоваться. Что для этого нужно?
Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Способ подписания зависит от применяемого ПО. Поэтому разумно перед тем как окончательно определиться с выбором, обсудить требования к подписи у контрагента.
В зависимости от ПО есть несколько видов подписей:
| Вид ЭП | Ключевая особенность |
|---|---|
| Открепленная | Файл подписи формируется отдельно от подписываемого файла |
| Совмещенная | Создается файл, в котором содержится и ЭП, и исходный документ |
| Встроенная | Подписание происходит внутри документов Word, Excel, PDF с помощью ПО |
| В Outlook | Подписание в Outlook возможно только в почтовом клиенте Microsoft Outlook |
Для создания совмещенной подписи потребуется программа КриптоАРМ. Установив ее, можно подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео и т.д. Есть бесплатная базовая версия КриптоАРМ Старт, стоимость остальных версий зависит от функциональности.
Для создания встроенной ЭП потребуются плагины:
Подписывать документы в Outlook можно только в почтовом клиенте Microsoft Outlook. При этом важно, чтобы почта в учетной записи MS Outlook совпадала с почтой, указанной в сертификате.
Для открепленной подписи подойдут как КриптоАРМ, так и бесплатный веб-сервис Контур.Крипто.
Контур.Крипто не нужно устанавливать, достаточно просто иметь доступ в интернет. Он работает с подписью, выпущенной любым УЦ, помогает создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, поставить подпись двум и более лицам. При этом в сервисе есть ограничение на вес документа — до 100 Мб, и он работает только в Microsoft Windows. Кроме того, сервис позволяет создать только открепленную подпись. Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с открепленными ЭП.
Как подписать документ в Контур.Крипто
Настройте Контур.Крипто в соответствии с инструкцией. Затем зайдите в Контур.Крипто и выберите вкладку «Подписать».
На первом этапе вам предложат выбрать документы для подписания. Подгрузите необходимый файл. После этого наступит второй этап с предложением выбрать сертификат. Сведения о сертификате подгружаются автоматически. Если вы поставите галочку напротив предложения «Усовершенствовать подпись», то в сведениях о подписании документов появятся дата и время подписания. После нажатия кнопки «Подписать» система попросит ввести пароль.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Ключ электронной подписи: что это и как получить
Согласно ФЗ-63, ЭЦП — это электронные данные, которые совмещены с другой информацией аналогичной формы, предназначенные для подтверждения авторства и целостности документа. Главное преимущество ЭЦП состоит в возможности вести электронный документооборот. Область применения довольно широка. Сегодня она активно используется в сдаче регламентной отчетности в различные государственные и муниципальные органы, такие как ФАС, ФНС, ПФР. Также ЭП обеспечивает полноценную работу на различных сервисах государственных услуг, дает возможность принять участие в торгах и госзакупках на торговых онлайн-площадках, вести электронный документооборот. В этой статье мы расскажем, как получить ключ электронной подписи и прочих нюансах.
Ключ проверки электронной подписи: что это такое
Сама ЦП — это лишь реквизит документа. Не стоит путать ЭЦП с такими понятиями как сертификат ЭП, ключевой носитель, лицензионный ключ.
Сертификат ключа проверки ЭП — документ, свидетельствующий о принадлежности ЭЦП ее законному владельцу. Представлен в бумажном либо электронном виде и выдается вместе с ключевой парой в УЦ. А поскольку сегодня практически везде используется КЭП, а для ее подтверждения необходимо получать квалифицированный сертификат, выдаваемый аккредитованным УЦ или органами исполнительной власти, имеющими данные полномочия, обычный документ для НЭП утратил свою силу.
Сертификат содержит ключ проверки, сведения о его владельце, периоде действия (дата «от» и «до») и другие, не менее важные, данные. Этот документ выдают на 12 месяцев. По истечении указанного периода владельцу ЭП следует обратиться в УЦ, чтобы заказать новый комплект ключей вместе с сертификатом.
КриптоПро 5.0
Настройка ЭЦП
Электронная подпись
Закрытый ключ электронной подписи — это уникальная последовательность символов, применяемая для создания ЭП. Открытый ключ — это тоже уникальная последовательность символов для проверки оригинальности электронной подписи (распространяется свободно). Первый ключ хранится в тайне и имеется только у его владельца. Если он станет доступен для посторонних, владельцу придется обратиться в УЦ для получения новых ключей. Старый ключевой набор после этого утратит свою силу.
Чтобы исключить риск копирования, храните ключ электронной подписи не на компьютере, а специальном защищенном носителе (USB-накопителе либо смарт-карте). По желанию клиента специалисты УЦ могут записать ключи на обычную флешку, но в таком случае они предупреждают об отсутствии высокого уровня защиты ценных данных.
Одного ключа недостаточно, чтобы заверить электронный документ подписью. Потребуются дополнительные средства ЭЦП. Ими может служить любое ПО для создания и проверки ЭП. Условно их можно классифицировать на два вида: криптопровайдеры и интерфейсы. Первые — это программы, осуществляющие разного рода криптографические операции. Например, шифрование и подписание электронных документов. Как правило, такой софт не имеет собственного интерфейса, то есть окон и различных кнопок для управления настройками. Наиболее популярным криптопровайдером, применяемом для работы с ключом КЭП, является КриптоПро CSP. В качестве интерфейса для него можно использовать КриптоАРМ, КриптоПро Office Signature и КриптоПро PDF. Для работы на некоторых госпорталах в роли интерфейса может служить браузер Internet Explorer.
Чтобы воспользоваться этими программами, необходимо скачать с сайта производителя установочные файлы — дистрибутивы и поставить их на свой компьютер.
1. Задай вопрос нашему специалисту в конце статьи.
2. Получи подробную консультацию и полное описание нюансов!
3. Или найди уже готовый ответ в комментариях наших читателей.
Где получить сертификат ключа КЭП
Как мы уже говорили, ключ электронной подписи выдает любой аккредитованный УЦ. Их список размещен на сайте Минкомсвязи. Также вы можете ознакомиться с ними в реестре на сайте Федеральной налоговой службы. Сфера изготовления ЭЦП довольно узкая, поэтому стоит связаться с экспертом, который поможет выбрать подпись в соответствии со стоящими перед вами задачами.
Перед выбором оцените уровень взаимодействия службы технической поддержки с клиентами. Проверьте оперативность реагирования на заявку — отправьте ее на e-mail техподдержки и проанализируйте, сколько времени ушло на рассмотрение письма. Если вам пришлось долго ждать обратной связи (звонка или ответа на электронную почту), откажитесь от получения услуг в этом УЦ, поскольку при дальнейшей работе с ЭЦП могут возникнуть проблемы или вопросы, требующие быстрого решения. Например, при торгах нередко счет идет на минуты, а значит вы не можете позволить пропустить тендер из-за медлительной работы службы техподдержки.
Также оцените, насколько развернутый и понятный ответ дали сотрудники техподдержки. Менеджер должен быть профессионалом в этой сфере. Не все пользователи могут легко разобраться в технических нюансах работы с ключом, например, с установкой и дальнейшим применением ЭЦП, а также прохождением аккредитации, участием в аукционах по банкротству (если того требует деятельность). Важно, чтобы специалист удаленно смог помочь выполнить все операции удаленно или выехать на предприятие.
Для регистрации компании на сайтах госуслуг нужно оформлять сертификат ключа ЭЦП на руководителя предприятия, указанного в выписке из ЕГРЮЛ, а для участия в торгах — на доверенное лицо (при наличии доверенности).
Законодательством постоянно вносятся изменения и ужесточаются правила аккредитации. Рекомендуем выбирать крупные проверенные УЦ.
Процедура выпуска сертификата ключа ЭЦП
ЭП выдается юридическим и физическим лицам. Основанием для получения является договор, составленный между УЦ и предпринимателем. Процедура довольно проста, не требует бумажной волокиты и не займет много времени. Предварительно необходимо определиться с видом ЭП и выбрать учреждение, которое изготовит сертификат.
Важно! Данные о владельце сертификата и сроке его действия внесены в единую базу УЦ, поэтому при заключении договора каждый из партнеров может проверить список отозванных сертификатов, чтобы убедиться, действительна ли подпись.
Выбор сертификата ключа проверки электронной подписи
Поскольку нормы законодательства, различных информационных систем (далее — ИС) периодически меняются, сегодня существует разные виды сертификатов. Предпринимателю, впервые столкнувшемуся с получением сертификата ключа проверки электронной подписи, например, для взаимодействия с ФНС, трудно определиться, какой именно документ ему нужен.
Все ЭП можно разделить на 3 основных вида:
НЭП позволяет участвовать в закупках только согласно контрактной системы, то есть 44-ФЗ. У КЭП более широкий спектр применения, но она не позволяет участвовать в торгах и закупках согласно того же 44-ФЗ. Универсальная ЭП объединяет в себе все свойства двух предыдущих типов, поэтому пользуется наибольшим спросом.
При выборе сертификата проверки электронной подписи отталкивайтесь от специфики ИС, с которой собираетесь взаимодействовать. Например, работа с порталами Госуслуги, Росреестр, сервисами электронного документооборота. Требования к определенному виду сертификата ключа ЭЦП обычно указаны в нормативных документах. Также необходимые данные можно получить у специалистов технической поддержки портала. Сотрудники УЦ на основе полученной информации изготовят ключ и запишут его на ключевой носитель.
Если вам нужен носитель с повышенным уровнем защиты, опционально закажите цифровую подпись на USB-токене JaCarta LT. Он не определяется как стандартный USB-накопитель, что защищает от копирования и записи вредоносных программ.
Получение сертификата ключа проверки электронной подписи
После этого предприниматель с документами приезжает в УЦ (либо сотрудник выезжает к нему в офис), специалист проверяет их на корректность, составляет договор и выдает ЭЦП. Если при проверке документов не выявлено никаких нарушений, процедура занимает в среднем не более 1 дня. Предусмотрены два варианта получения ключа: на защищенном носителе либо в личном кабинете на сайте УЦ (следует скачать файл и сохранить его на ПК либо переместить на USB-носитель).
Как установить ключ ЭЦП на компьютер
Ключ электронной подписи работает только в паре со специальным ПО, требующим лицензии КриптоПро CSP. Для каждого рабочего места ПО и лицензия устанавливаются отдельно. Загрузите криптопровайдер с официального сайта разработчика средств криптографической защиты, пройдя регистрацию и активировав учетную запись, и установите его на ПК.
Тем, кто первый раз устанавливает программу на компьютер, доступна демонстрационная версия на срок до 90 дней. То есть на протяжении этого периода вы можете пользоваться криптопровайдером абсолютно бесплатно, при этом будут доступны все функции, предусмотренные при покупке лицензии. После окончания срока действия тестового режима необходимо будет приобрести лицензионный ключ. Его стоимость зависит от выбранного тарифа. Если ключ не будет активирован по истечении указанного срока, вы не сможете работать с программой.
Рассмотрим один из способов, как установить сертификат ключа ЭЦП на компьютер.
Сначала подключите носитель к ПК, затем сделайте следующее:
Сертификат установлен, можете начать работу с документами.
Как зашифровать почту и сделать электронную подпись
Для начала установим программу gpg4win. После этого появляется менеджер ключей Kleopatra:
При помощи этой утилиты мы будем выписывать сертификаты. Её преимущество в том, что сертификат затем можно будет загрузить на сервер ключей, а при переустановке программы на другой компьютер просто импортировать необходимые ключи с сервера.
Создаём сертификат. В меню «Файл» выбираем пункт «Создать новую пару ключей»:
Выбираем тип сертификата — OpenPGP:
Затем нужно задать имя и адрес электронной почты. В дополнительных параметрах можно выбрать криптографические алгоритмы:
Обязательно обратите внимание, какие параметры будут у полученной ключевой пары:
При создании ключей необходимо будет задать пароль для защиты информации:
Когда создадутся ключи, лучше на всякий случай сделать их резервную копию и хранить её у себя:
Ещё советую создать сертификат отзыва. С его помощью в дальнейшем можно будет сделать ваш сертификат недействительным, если понадобится.
В принципе, на этом этапе уже можно работать. Но для начала неплохо бы опубликовать сертификат на сервере ключей, чтобы иметь к нему доступ из любого места. Сделать это можно, выбрав из списка нужный сертификат и соответствующий пункт в меню «Файл»:
После этого сертификат экспортируется на сервер ключей, который указан в настройках Kleopatra (по умолчанию это http://keys.gnupg.net).
Теперь мы можем зашифровать или расшифровать файл, подписать его и проверить подпись.
Шифруем файл при помощи OpenPGP
Выбираем сертификат, жмём кнопку «Подписать / зашифровать». В открывшемся окне указываем файл для шифрования.
Теперь надо выбрать, для кого мы шифруем файлы.
Потом вводим пароль для сертификата — и всё, файл зашифрован. Можно открыть его в текстовом редакторе и посмотреть:
Расшифровываем файл
В Windows для расшифровки достаточно двойного клика по созданному зашифрованному файлу. Если в системе установлена Kleopatra, то ассоциация файлов настраивается автоматически и программа сама запускается.
Чтобы собеседники могли отправлять нам зашифрованные сообщения и проверять подпись отправленных нами файлов, нужно экспортировать наш открытый ключ (сертификат) в файл. Для этого есть кнопка «Экспорт. ».
Теперь этот файл можно передать на другое устройство. А собеседник сможет установить такой сертификат в свой менеджер ключей (например, Kleopatra) — и отправлять нам зашифрованные нашим открытым ключом сообщения. Этим же открытым ключом проверяется целостность ЭЦП у файлов, которые мы ему отправим.
Соответственно, если мы хотим зашифровать почту для собеседника, нам нужен его открытый ключ шифрования. Он может прислать его письмом или опубликовать на сервере ключей, чтобы мы этот ключ загрузили.
Интеграция с электронной почтой
В популярном почтовом клиенте Mozilla Thunderbird есть интересный плагин для работы с сертификатами ЭЦП и шифрования сообщений — Enigmail. Он позволяет и шифровать почту, и подписывать её с помощью ЭЦП. Для работы плагина в системе должен быть установлен компонент PGP. Во многих Debian-подобных ОС Linux он присутствует в репозиториях пакетов.
Установите в систему PGP и настройте сертификаты шифрования, как обговорили выше. И можно перейти к настройке почтового клиента.
Чтобы установить Enigmail в Thunderbird, выберите меню «Инструменты» — «Дополнения». Далее найдите Enigmail и выполните инструкции:
Теперь мы можем создать новое письмо — при этом в меню появится пункт Enigmail. Настройки программы разнообразны и находятся в меню Enigmail — Preferences:
В настройках вы можете проверить, есть ли в системе GnuPG (ссылка выше). Это критически важно.
Можно настроить систему так, чтобы она автоматически прикрепляла открытый ключ при отправке сообщения (если оно зашифровано или подписано). Далее возможны два сценария.
Сценарий 1: если вы ранее создали ключи и экспортировали их на сервер. В этом случае в Enigmail их можно получить с сервера. Добавляем в Thunderbird учётную запись почты, для которой были сформированы ключи. При создании письма у вас появится меню Enigmail, в котором можно будет импортировать ключи в систему:
Если щёлкнуть правой кнопкой мыши по полю с именем ключа, то попадём в контекстное меню с основными операциями, которые можно выполнить с сертификатами:
Теперь составляем письмо и выбираем в меню Enigmail пункты Sign Message и Attach my public key.
Возможно, придётся указать, как подписать письмо. Выбирайте строчку с PGP.
Адресат теперь получит подписанное письмо и сможет импортировать себе ключ отправителя.
Как только он сделает это, сможет проверить подлинность подписи.
Сценарий 2: если ключи не были созданы. В этом случае их можно будет сгенерировать прямо в Enigmail. Это делается с помощью мастера настройки согласно руководству или вручную.
Для тестирования мы будем использовать тестовый почтовый сервер на виртуальной машине с условным доменом (неважно каким). Создадим ключи для учётной записи pc1@”имя домена” и отправим его по адресу pc2@”имя домена”.
Сначала создаём новое сообщение. Далее переходим в меню Enigmail и выбираем раздел Key Management:
Теперь в открывшемся окне выбираем Generate — New Key Pair:
В следующем окне надо задать параметры ключей. Особенно важен их срок жизни — стоит реально оценить, насколько необходимо делать его долгим:
По завершении процесса система посоветует сгенерировать сертификат отзыва. Напомню: он пригодится, чтобы пометить сертификат как недействительный:
Система спросит пароль от сертификатов:
Теперь письмо можно подписать (и / или зашифровать) и отправить получателю. Для этого на панели появятся две кнопки. Помните, что сообщение подписывается закрытым ключом отправителя, а подпись проверяется по его открытому ключу (который можно послать вместе с письмом):
Получатель может импортировать себе открытый ключ отправителя. После этого письмо можно будет проверить:
Если надо зашифровать сообщение, потребуется открытый ключ получателя. Он сможет переслать его нам вместе с подписанным письмом.
Теперь встанем на место пользователя — сгенерируем открытый ключ для пользователя pc2 (аналогично pc1):
После генерации ключа можно создать новое сообщение и прикрепить ключ для pc2. На стороне получателя (теперь это pc1) добавим ключ в список доверенных. После этого можно будет проверить подпись:
Если потребуется зашифровать сообщение от pc1 к pc2, то потребуется открытый ключ получателя — ключ pc2. А если ещё и подписать — то и открытый ключ отправителя (pc1):
Если оба нужных ключа у отправителя есть, то они прикрепляются к письму автоматически. Причём можно ещё и заменить строку с темой письма на невнятный текст. Вот так будет выглядеть для получателя зашифрованное (но не расшифрованное) и подписанное письмо:
Вводим пароль и видим открытый текст:
Письмо было подписано, подпись проверена и расшифрована.
Итоги и рекомендации
Мы научились защищать свою почту с помощью шифрования. Электронная подпись генерируется закрытым ключом отправителя, а проверяется по открытому ключу отправителя. Шифрование осуществляется открытым ключом получателя, а дешифрование — закрытым ключом получателя.
Несколько советов:
Источники:
Напоминаю ссылку на первую часть статьи, где мы рассмотрели теоретическую часть и базовую работу с шифрованием.
Защита электронной почты — это лишь малая часть одного из курсов факультета информационной безопасности GeekUniversity. Присоединяйтесь, и вы научитесь защищать компьютерные сети, веб-приложения и всю IT-инфраструктуру в целом.
В прошлой статье мы рассмотрели, как в принципе устроена криптография и как она работает. Теперь научимся использовать эти знания. В этом нам поможет стандарт реализации сертификатов шифрования OpenPGP. Создаём свой сертификат
Для начала установим программу gpg4win. После этого появляется менеджер ключей Kleopatra:
При помощи этой утилиты мы будем выписывать сертификаты. Её преимущество в том, что сертификат затем можно будет загрузить на сервер ключей, а при переустановке программы на другой компьютер просто импортировать необходимые ключи с сервера.
Создаём сертификат. В меню «Файл» выбираем пункт «Создать новую пару ключей»:
Выбираем тип сертификата — OpenPGP:
Затем нужно задать имя и адрес электронной почты. В дополнительных параметрах можно выбрать криптографические алгоритмы:
Обязательно обратите внимание, какие параметры будут у полученной ключевой пары:
При создании ключей необходимо будет задать пароль для защиты информации:
Когда создадутся ключи, лучше на всякий случай сделать их резервную копию и хранить её у себя:
Ещё советую создать сертификат отзыва. С его помощью в дальнейшем можно будет сделать ваш сертификат недействительным, если понадобится.
В принципе, на этом этапе уже можно работать. Но для начала неплохо бы опубликовать сертификат на сервере ключей, чтобы иметь к нему доступ из любого места. Сделать это можно, выбрав из списка нужный сертификат и соответствующий пункт в меню «Файл»:
После этого сертификат экспортируется на сервер ключей, который указан в настройках Kleopatra (по умолчанию это http://keys.gnupg.net).
Теперь мы можем зашифровать или расшифровать файл, подписать его и проверить подпись.
Шифруем файл при помощи OpenPGP
Выбираем сертификат, жмём кнопку «Подписать / зашифровать». В открывшемся окне указываем файл для шифрования.
Теперь надо выбрать, для кого мы шифруем файлы.
Потом вводим пароль для сертификата — и всё, файл зашифрован. Можно открыть его в текстовом редакторе и посмотреть:
Расшифровываем файл
В Windows для расшифровки достаточно двойного клика по созданному зашифрованному файлу. Если в системе установлена Kleopatra, то ассоциация файлов настраивается автоматически и программа сама запускается.
Чтобы собеседники могли отправлять нам зашифрованные сообщения и проверять подпись отправленных нами файлов, нужно экспортировать наш открытый ключ (сертификат) в файл. Для этого есть кнопка «Экспорт. ».
Теперь этот файл можно передать на другое устройство. А собеседник сможет установить такой сертификат в свой менеджер ключей (например, Kleopatra) — и отправлять нам зашифрованные нашим открытым ключом сообщения. Этим же открытым ключом проверяется целостность ЭЦП у файлов, которые мы ему отправим.
Соответственно, если мы хотим зашифровать почту для собеседника, нам нужен его открытый ключ шифрования. Он может прислать его письмом или опубликовать на сервере ключей, чтобы мы этот ключ загрузили.
Интеграция с электронной почтой
В популярном почтовом клиенте Mozilla Thunderbird есть интересный плагин для работы с сертификатами ЭЦП и шифрования сообщений — Enigmail. Он позволяет и шифровать почту, и подписывать её с помощью ЭЦП. Для работы плагина в системе должен быть установлен компонент PGP. Во многих Debian-подобных ОС Linux он присутствует в репозиториях пакетов.
Установите в систему PGP и настройте сертификаты шифрования, как обговорили выше. И можно перейти к настройке почтового клиента.
Чтобы установить Enigmail в Thunderbird, выберите меню «Инструменты» — «Дополнения». Далее найдите Enigmail и выполните инструкции:
Теперь мы можем создать новое письмо — при этом в меню появится пункт Enigmail. Настройки программы разнообразны и находятся в меню Enigmail — Preferences:
В настройках вы можете проверить, есть ли в системе GnuPG (ссылка выше). Это критически важно.
Можно настроить систему так, чтобы она автоматически прикрепляла открытый ключ при отправке сообщения (если оно зашифровано или подписано). Далее возможны два сценария.
Сценарий 1: если вы ранее создали ключи и экспортировали их на сервер. В этом случае в Enigmail их можно получить с сервера. Добавляем в Thunderbird учётную запись почты, для которой были сформированы ключи. При создании письма у вас появится меню Enigmail, в котором можно будет импортировать ключи в систему:
Если щёлкнуть правой кнопкой мыши по полю с именем ключа, то попадём в контекстное меню с основными операциями, которые можно выполнить с сертификатами:
Теперь составляем письмо и выбираем в меню Enigmail пункты Sign Message и Attach my public key.
Возможно, придётся указать, как подписать письмо. Выбирайте строчку с PGP.
Адресат теперь получит подписанное письмо и сможет импортировать себе ключ отправителя.
Как только он сделает это, сможет проверить подлинность подписи.
Сценарий 2: если ключи не были созданы. В этом случае их можно будет сгенерировать прямо в Enigmail. Это делается с помощью мастера настройки согласно руководству или вручную.
Для тестирования мы будем использовать тестовый почтовый сервер на виртуальной машине с условным доменом (неважно каким). Создадим ключи для учётной записи pc1@”имя домена” и отправим его по адресу pc2@”имя домена”.
Сначала создаём новое сообщение. Далее переходим в меню Enigmail и выбираем раздел Key Management:
Теперь в открывшемся окне выбираем Generate — New Key Pair:
В следующем окне надо задать параметры ключей. Особенно важен их срок жизни — стоит реально оценить, насколько необходимо делать его долгим:
По завершении процесса система посоветует сгенерировать сертификат отзыва. Напомню: он пригодится, чтобы пометить сертификат как недействительный:
Система спросит пароль от сертификатов:
Теперь письмо можно подписать (и / или зашифровать) и отправить получателю. Для этого на панели появятся две кнопки. Помните, что сообщение подписывается закрытым ключом отправителя, а подпись проверяется по его открытому ключу (который можно послать вместе с письмом):
Получатель может импортировать себе открытый ключ отправителя. После этого письмо можно будет проверить:
Если надо зашифровать сообщение, потребуется открытый ключ получателя. Он сможет переслать его нам вместе с подписанным письмом.
Теперь встанем на место пользователя — сгенерируем открытый ключ для пользователя pc2 (аналогично pc1):
После генерации ключа можно создать новое сообщение и прикрепить ключ для pc2. На стороне получателя (теперь это pc1) добавим ключ в список доверенных. После этого можно будет проверить подпись:
Если потребуется зашифровать сообщение от pc1 к pc2, то потребуется открытый ключ получателя — ключ pc2. А если ещё и подписать — то и открытый ключ отправителя (pc1):
Если оба нужных ключа у отправителя есть, то они прикрепляются к письму автоматически. Причём можно ещё и заменить строку с темой письма на невнятный текст. Вот так будет выглядеть для получателя зашифрованное (но не расшифрованное) и подписанное письмо:
Вводим пароль и видим открытый текст:
Письмо было подписано, подпись проверена и расшифрована.
Итоги и рекомендации
Мы научились защищать свою почту с помощью шифрования. Электронная подпись генерируется закрытым ключом отправителя, а проверяется по открытому ключу отправителя. Шифрование осуществляется открытым ключом получателя, а дешифрование — закрытым ключом получателя.
Несколько советов:
Источники:
Напоминаю ссылку на первую часть статьи, где мы рассмотрели теоретическую часть и базовую работу с шифрованием.
Защита электронной почты — это лишь малая часть одного из курсов факультета информационной безопасности GeekUniversity. Присоединяйтесь, и вы научитесь защищать компьютерные сети, веб-приложения и всю IT-инфраструктуру в целом.