Компания IBM
Опубликован: 04.11.2008 | Доступ: свободный | Студентов: 844 / 120 | Оценка: 4.42 / 4.17 | Длительность: 37:45:00
Лекция 14:

Защита данных

Как общие и личные ключи используются для шифрования и подписывания почты

При шифровании данных, а также при проверке цифровых подписей Notes использует набор из общего и личного ключей. Оба ключа связаны между собой и являются уникальными для каждой учетной записи. Общий ключ хранится в сертификате Notes. Копии сертификата, в свою очередь, находятся в учетной записи и в справочнике Domino. Личный ключ хранится только в файле учетной записи.

При отправке пользователю зашифрованных данных все остальные используют общий ключ из сертификата, находящегося в справочнике Domino. Для расшифровки таких данных необходим личный ключ из учетной записи.

Различные типы общих и личных ключей

Пара, состоящая из общего и личного ключей, используется в Notes; аналогичные пары ключей имеются также у каждого сертификата Интернета. Ключи Notes необходимы для шифрования данных, которыми обмениваются пользователи Notes. Ключи Интернета используются для отправки и приема почтовых сообщений S/MIME, а также для шифрования SSL-транзакций между Notes и серверами Интернета.

В каждую созданную учетную запись Notes автоматически включены общий и личный ключи. Общий и личный ключи Интернета могут быть добавлены в учетную запись администратором Domino при регистрации либо получены позднее.

Чтобы просмотреть сертификаты, находящиеся в учетной записи, выберите команду: Файл - Безопасность - Безопасность пользователя, а затем откройте вкладку "Идентификация - Сертификаты" и выберите в раскрывающемся списке значение "Все сертификаты". В окне появится список всех сертификатов и сохраненных ключей (ключи, соответствующие удаленным сертификатам, которые могут потребоваться для расшифровки данных).

Как работает набор из общего и личного ключей?

Общий ключ доступен всем и может использоваться для отправки пользователю зашифрованной почты и для проверки подлинности.

Входящие почтовые сообщения шифруются при помощи общего ключа, а расшифровываются при помощи личного ключа. Цифровая подпись в почтовых сообщениях ставится при помощи личного ключа, а проверяется при помощи общего ключа. Любые данные, зашифрованные при помощи общего ключа пользователя, необходимо расшифровывать при помощи его личного ключа, и наоборот. Личный ключ пользователя, однако, является секретным. В то время как общий ключ доступен всем, личный ключ недоступен никому, кроме вас.

Шифрование и подписывание сообщений электронной почты

При желании в Notes нетрудно установить режим подписывания и шифрования всех сообщений электронной почты, отправляемых пользователям Notes или через Интернет, что позволит не устанавливать этот параметр вручную. Цифровые подписи представляют собой электронные эквиваленты обычных подписей, но их сложнее подделать. Цифровая подпись в Notes создается при помощи личного ключа, а затем проверяется при помощи общего ключа. Если в сообщение электронной почты вложена цифровая подпись, составное имя отправителя отображается в строке состояния получателя, указывая таким образом, что сообщение отправлено с помощью учетной записи.

Для шифрования и подписывания сообщений, отправляемых через Интернет, необходимо наличие сертификата Интернета.

При работе с папкой исходящих сообщений в автономном режиме исходящую и входящую почту можно также шифровать, если в организации используется каталог справочников для работы в удаленном режиме.

Примечание Обычно в качестве подписи служит имя пользователя с рисунком или сведения об отделе, которые отображаются в основном тексте сообщения. Этот тип подписи ничего общего с цифровой подписью не имеет.

Чтобы подписывать исходящие почтовые сообщения

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Почта".
  3. Установите флажок "Подписывать исходящую почту" в разделе "Параметры безопасности, применяемые ко всей почте Notes".

Чтобы шифровать исходящие почтовые сообщения

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Почта".
  3. Установите флажок "Шифровать исходящую почту" в разделе "Параметры безопасности, применяемые ко всей почте Notes".

Чтобы шифровать сохраненные почтовые сообщения

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Почта".
  3. Установите флажок "Шифровать сохраненные копии отправленных сообщений" в разделе "Параметры безопасности, применяемые ко всей почте Notes".

Чтобы шифровать незашифрованные входящие сообщения

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Почта".
  3. Установите флажок "При получении незашифрованного сообщения зашифровать его перед сохранением в почтовом файле" в разделе "Параметры безопасности, применяемые ко всей почте Notes".
Примечание При отсутствии доступа на уровне автора к личной учетной записи в справочнике Domino этот флажок недоступен. В этом случае обратитесь к администратору.

Создание новых общих ключей

Если учетная запись утеряна, или кто-то воспользовался ее для доступа к данным пользователя, необходимо изменить пароль и создать новый общий ключ (новый многоцелевой сертификат Notes и новый универсальный сертификат для шифрования). Общий ключ находится в сертификате, хранящемся в учетной записи и справочнике Domino, и используется для шифрования отправляемых пользователю данных. Если другое лицо получило доступ к учетной записи пользователя, личного ключ из нее позволит при желании расшифровать зашифрованные данные. Создание нового общего ключа позволит защитить данные, которые должны быть доступны только самому пользователю. Наличие нового ключа не устраняет опасность прочтения данных, зашифрованных с помощью старых ключей, любым лицом, завладевшим учетной записью. Однако к данным, зашифрованным с помощью нового ключа, это не относится.

Ключ также используется для создания цифровой подписи при подписывании почтовых сообщений и других документов Notes. Если учетная запись была украдена, необходимо сразу же получить новый ключ, позволяющий Notes создать новую цифровую подпись. Все остальные смогут проверить подпись с помощью нового общего ключа, который подтвердит, что сообщение исходит именно от вас, а не от лица, завладевшего вашей учетной записью.

При запросе новых общих ключей Notes создает для пользователя общий ключ и личный ключ; новый общий ключ также отправляется администратору в почтовом сообщении. На его основе администратор создает для пользователя новые сертификаты, содержащие новые личные ключи. (Каждый из сертификатов содержит новый ключ и срок его действия. Все остальные параметры, включая имя пользователя, остаются теми же самыми.) Отправленный администратором пользователю сертификат с новыми общими ключами добавляется в учетную запись.

Примечание При работе с простой учетной записью создать новый общий ключ самостоятельно нельзя. Вместо этого следует запросить новые простые сертификаты Notes.

Чтобы создать новый общий ключ

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Безопасность", а затем нажмите кнопку "Безопасность пароля нарушена" в разделе "Настройка подключения и пароля".
  3. Нажмите кнопку "Создать общие ключи" в окне "Что делать, если безопасность вашего пароля была нарушена".
  4. Если общие ключи уже были отправлены, и необходимо отправить их новый набор, придется нажать кнопку "Новый набор". Если общие ключи уже были отправлены, и необходимо отправить их заново, придется нажать кнопку "Отправить заново".
  5. Нажмите кнопку "Далее".
  6. Введите имя администратора Domino в поле "Кому" и отправьте учетную запись по почте вместе с новыми общими ключами. (Чтобы выбрать имя из личной адресной книги, нажмите кнопку "Адрес".) Если это имя доступно, при подключении к сети оно само появится в поле "Кому".
  7. Нажмите кнопку "Отправить".
  8. Когда администратор пришлет по почте новый сертификат, откройте сообщение и выберите команду: Действия - Принять сертификат.
Примечание Сразу же после начала процедуры создания новых общих ключей, Notes помечает запрошенные ключи как "ждущие", так как требуется вмешательство администратора. После того как ключи будут заверены администратором, а также получены и приняты пользователем, ждущие ключи превращаются в текущие. Набор старых ключей в учетной записи Notes сохраняется, что позволяет расшифровывать сообщения, зашифрованные с их помощью. Чтобы просмотреть сохраненные ключи, выберите команду: Файл - Безопасность - Безопасность пользователя, а затем откройте вкладку "Идентификация - Сертификаты" и выберите в раскрывающемся списке "Сохраненные ключи Notes".

Чтобы запросить новый общий ключ с помощью гибкого диска или с другого почтового приложения

Чтобы запросить общий ключ по почте или через гибкий диск, необходимо создать защищенную копию учетной записи и отправить ее администратору. Сведений, содержащихся в защищенной копии, достаточно для заверения новых ключей, но недостаточно для злонамеренного использования. Данный способ нужен тем, кто не работает с почтой Notes, либо если попытка запроса ключей по почте Notes окончилась неудачно.

  1. Если используется гибкий диск, вставьте его в дисковод.
  2. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  3. Откройте вкладку "Безопасность", а затем нажмите кнопку "Безопасность пароля нарушена" в разделе "Настройка подключения и пароля".
  4. Нажмите кнопку "Создать общие ключи" в окне "Что делать, если безопасность вашего пароля была нарушена".
  5. Если общие ключи уже были отправлены, и необходимо отправить их новый набор, придется нажать кнопку "Новый набор". Если общие ключи уже были отправлены, и необходимо отправить их заново, придется нажать кнопку "Отправить заново".
  6. Нажмите кнопку "Экспорт учетной записи" в окне "Подтверждение новых общих ключей".
  7. Выберите папку на гибком диске или папку, к которой имеется доступ из почтовой программы, в окне "Имя защищенной копии учетной записи".
  8. Перейдите на дисковод, в который вставлен гибкий диск.
  9. Введите имя файла защищенной копии учетной записи пользователя в поле "Имя файла" (пользователи Macintosh - в поле "Save As"). По умолчанию он называется SAFE.ID
  10. Нажмите кнопку "Сохранить" и закройте окно "Подтверждение новых общих ключей".
  11. Передайте гибкий диск администратору Domino или вложите защищенную копию учетной записи в почтовое сообщение и отправьте его администратору.
  12. После получения диска обратно необходимо импортировать общий ключ в учетную запись.

Чтобы заново отправить администратору запрос на новый общий ключ

After having sent an initial request for new public keys, If you haven't received an e-mail from your administrator containing your new certificates, or if you need to resubmit a new request to your administrator, you can resubmit the same request you made to get a new public key. Повторная отправка имеющегося запроса целесообразна, если нельзя исключить, что администратор уже начал обрабатывать предыдущий запрос. Повторный запрос послужит напоминанием администратору. Если же вместо него отправить новый запрос, любая уже проделанная администратором работа потеряет смысл.

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
  3. В раскрывающемся списке выберите значение "Ваши сертификаты Notes".
  4. Выберите ждущий ключ для отправки администратору и выберите команду: Дополнительные действия - Повторить запрос на заверение ждущих ключей.
  5. При работе с почтой Notes выполните шаги 4--8 процедуры Чтобы создать новый общий ключ.
  6. Если используется гибкий диск или другая почтовая программа, выполните шаги 5--12 процедуры Чтобы запросить новый общий ключ с помощью гибкого диска или с другого почтового приложения.

Передача своего сертификата Notes другим пользователям

Опубликование содержащего общие ключи сертификата позволит другим пользователям шифровать отправляемые пользователю данные. Сертификат можно опубликовать в справочнике Domino или отправить конкретным лицам, которые поместят их в свои личные адресные книги. Способ публикации общего ключа зависит от того, используете ли вы почту Notes.

Чтобы отправить сертификат по почте

Пользователь почты Notes, которому нужно опубликовать сертификат с общим ключом в справочнике Domino, может отправить сертификат по почте администратору для его последующей публикации. Отправка сертификата администратору другого домена Notes позволит сделать сертификат доступным в справочнике этого домена. Альтернатива состоит в отправке сертификата непосредственно конкретным лицам.

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
  3. В правой части диалогового окна выберите команду: Дополнительные действия - Копировать или отправить по почте сертификат (общий ключ).
  4. Нажмите кнопку "Отправить сертификат".
  5. В поле "Кому" введите имя администратора или конкретного пользователя (чтобы выбрать его из личной адресной книги, нажмите кнопку "Адрес").
  6. (Необязательно.) Чтобы защитить почтовое сообщение, содержащее общий ключ, установите флажки "Подписать" и "Шифровать".
  7. Нажмите кнопку "Отправить".

Чтобы скопировать сертификат на гибкий диск

Если человеку, не работающему с почтой Notes, нужно опубликовать сертификат с общим ключом в справочнике Domino, сертификат следует скопировать на гибкий диск и передать администратору для последующей публикации. Можно также передать гибкий диск непосредственно конечному пользователю.

  1. Вставьте гибкий диск в дисковод.
  2. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  3. Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
  4. В правой части диалогового окна выберите команду: Дополнительные действия - Копировать или отправить по почте сертификат (общий ключ).
  5. Нажмите кнопку "Копировать сертификат", чтобы скопировать ключ в буфер обмена операционной системы.
  6. Нажмите кнопку ОК.
  7. Отобразите содержимое буфера обмена.
  8. Сохраните сертификат в файле на гибком диске.
  9. Передайте дискету с сертификатом одному или нескольким администраторам Domino или конкретным пользователям.

Чтобы удалить ждущие общие ключи Notes

Ненужные ждущие ключи Notes можно из учетной записи удалить. Сами такие ключи появляются при запросе новых общих ключей Notes. Если решение об обновлении сертификатов с помощью новых ключей было отменено, ждущие ключи Notes оказываются лишними. Так как они заведомо не могли быть использованы, их удаление ничем не грозит если, конечно, запрос новых ключей не следует продолжить.

При удалении сохраненного ключа реально удаляется сразу пара ключей: для Северной Америки и универсальный.

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
  3. В раскрывающемся списке выберите значение "Ваши сертификаты Notes".
  4. Выберите удаляемый ждущий ключ и выберите команду: "Дополнительные действия - Удалить из файла учетной записи".