Криптозащита и безопасные коммуникации

Система подписанных приложений

Как уже упоминалось, распространение ПО по Сети требует аутентификации, которая достигается благодаря использованию сертификатов. Рассмотрим этот процесс подробнее.

При покупке коробочного ПО обычно не возникает сомнения в том, что программный продукт, находящийся внутри, принадлежит производителю. Однако, когда вы скачиваете продукт из Сети, нет гарантии, что поставщик данного ПО является именно тем, за кого себя выдает, а скачиваемое ПО не содержит вирусов. Данная проблема решается путем внедрения в распространяемый продукт кода аутентификации (Authenticode), позволяющего включать информацию о разработчике посредством использования цифровой подписи. Скачивая ПО, подписанное кодом аутентификации и заверенное центром сертификации, пользователи могут быть уверены, что ПО не было изменено после подписания. Согласно компонентной модели, элементы кода могут загружаться на компьютер пользователя во время обращения на Web-ресурс, например, для воспроизведения анимации. Для того чтобы исключить загрузку небезопасного кода, применяется система подписанных приложений. На основе данной технологии пользователи могут безбоязненно получать подписанные приложения. Если пользователь Internet Explorer встретит компонент, распространяемый без подписи, программа (в зависимости от внутренних настроек безопасности браузера) либо откажется загрузить такой код, либо выдаст предупреждение о небезопасном компоненте. Если же пользователь столкнется с подписанным приложением, клиентская программа подтвердит его безопасность (рис. 10.9).

Рис. 10.9. Предупреждение о возможности:небезопасной инсталляции - сверху; безопасной инсталляции - снизу

В Internet Explorer для импорта и экспорта сертификатов предусмотрен менеджер импорта и экспорта сертификатов - Internet Explorer Certificate Manager, который позволяет инсталлировать и удалять сертификаты клиентские и сертификаты центров сертификации.

В пакете Office2003 технология цифровых подписей применяется для подписывания файлов, документов и макросов. Если подписан весь файл, цифровая подпись гарантирует, что этот файл не изменялся с момента подписывания. Подписывание кода аналогично цифровой подписи, но обычно понятие "цифровая подпись" соотносится с процессом подписывания документа, а "подписывание кода" - с подписыванием исполняемого кода. Подписывание кода гарантирует, что он не изменялся с того момента, когда был подписан первоначально. Важное значение в Office 2003 имеет возможность запретить выполнение неподписанных макросов^{2Макросы представляют собой последовательность команд и инструкций приложения, сгруппированных в виде отдельной команды с целью автоматизации выполнения некоторой задачи.}. Макросы позволяют повысить эффективность работы, но в то же время представляют угрозу как средство распространения вирусов.

Безопасность при переписке

Как было показано в предыдущих разделах, для обеспечения секретности и аутентификации отправителя необходимо шифрование данных и подтверждение подлинности документов с помощью электронной подписи.

Рассмотрим систему безопасности почты на примере программы Outlook 2003.

Получить доступ к системе безопасности можно по команде Сервис -> Параметры -> Безопасность (рис. 10.10).

Рис. 10.10. Вкладка "Безопасность" панели "Параметры" Outlook 2003

Для того чтобы воспользоваться системой безопасности, точно так же, как и для работы с защищенными Web-ресурсами, необходимо получить личное цифровое удостоверение - цифровой сертификат, который выдается независимым центром сертификации на конкретный адрес электронной почты. Если у пользователя имеется несколько адресов электронной почты, ему необходимо иметь несколько сертификатов. На основе цифрового сертификата пользователь получает индивидуальную электронную подпись и пару ключей (открытый и закрытый).

Кнопка "Получить удостоверение" (рис. 10.10) должна отсылать пользователя на сайты организаций, предоставляющих сертификаты. В качестве источника получения сертификата можно назвать www.verisign.com или www.thawte.com.

Получив цифровое удостоверение, пользователь может подписывать свои письма. Для этого необходимо поставить флажок в строке "Добавлять цифровую подпись к исходящим сообщениям". В этом случае все сообщения, которые пользователь отправит, будут содержать его подпись и открытый ключ, и каждый, кто получит такое письмо, сможет отправить в ответ зашифрованное сообщение. Установить флажок "Шифровать содержимое и вложения исходящих сообщений" имеет смысл в том случае, если у пользователя имеются подписи (открытые ключи) всех, с кем он переписывается.

Outlook 2003 позволяет сохранять цифровые сертификаты от любых корреспондентов, которые посылают вам подписанную почту, просматривать их, проверять или удалять.