2А. Настройка шифрования почты в ms Outlook 2003 / 2007 / 2010

Подразумевается, что у вас и вашего коллеги уже имеются сертификаты.

Настройка Outlook 2003, 2007 и 2010 практически идентична. Разница только в расположении параметров настройки.

В Outlook 2003 открываем Сервис -> Параметры -> закладка Безопасность -> кнопка Параметры:

В Outlook 2007 и 2010 открываем Сервис -> Центр управления безопасностью -> Защита электронной почты:

Далее вводим имя конфигурации. Можно придумать любое, например, «SHA1 – 3DES».

Отмечаем опции «Настройка по умолчанию для этого формата» и «Настройка по умолчанию для всех сообщений».

Переходим к сертификату подписи. Нажимаем кнопку Выбрать. В открывшемся окне выбираем полученный ранее сертификат и жмем Ок. Сертификат шифрования должен подставиться автоматически, если нет, выбираем из списка.

Алгоритм хеширования оставляем по умолчанию – SHA1.

Алгоритм шифрования. В зависимости от установленной операционной системы (XP, Vista или 7), набор доступных алгоритмов будет отличаться. Выбираем самый надежный алгоритм. Для XP – 3DES. Для Vista и 7 – AES (256-бит). Эти настройки определяют максимальный уровень шифрования. Если у вас Vista + Outlook, а вам пишут из XP + Outlook, то письмо будет зашифровано 3DES. Также и в другую сторону, не смотря на то, что у вас выставлен алгоритм шифрования AES (256-бит), письмо для коллеги, работающем в XP, будет зашифровано с помощью алгоритма 3DES. 3DES считается надежным алгоритмом, но если вы хотите улучшить защиту и не переходить на 7, то есть выход – сменить почтовый клиент. Например поставить The Bat (есть собственный криптопровайдер с поддержкой AES 256).

Опция «Передавать сертификаты с сообщением» должна быть отмечена.

Отправка подписанного сообщения

Следующий этап – обмен сертификатами. Для этого достаточно отправить друг другу подписанное (sign) сообщение.

Теперь важный для Outlook момент. После получения подписанного письма, отправителя необходимо добавить в адресную книгу.

Для этого открываем полученное письмо. В поле «От», на адресе отправителя делаем правый клик, в меню выбираем «Добавить в контакты Outlook». Если контакт уже существует выбираем «Обновить контакт».

В данных контактного лица переходим на закладку сертификаты или нажимаем кнопку «Сертификаты».

Если все правильно, в списке будет отображен сертификат контактного лица.

Если нажать кнопку «Свойства», то можно просмотреть сведения о данном сертификате.

При закрытии окон контакта нужно сохранить данные о сертификате.

Отправка зашифрованного письма

Теперь после привязки сертификата к контактному лицу, мы можем отправить ему зашифрованное письмо.

Обратите внимание, быстрый просмотр при выделении зашифрованного письма не работает. Чтобы прочитать содержимое нужно открыть письмо в отдельном окне.

Проверка алгоритма шифрования

Узнать каким алгоритмом зашифровано письмо, действительны ли сертификаты, можно нажав на кнопке с изображением замка. В открывшемся окне выделяем строку Уровень шифрования. Внизу в графе Описание будет указан алгоритм шифрования.

2Б. Настройка шифрования почты в The Bat

The Bat поддерживает две технологии защиты информации: PGP и PKI (S/MIME). Мы будем использовать технологию PKI (S/MIME).

Подразумевается, что сертификат для шифрования почты уже получен.

Загружаем Bat, открываем настройки шифрования в меню Свойства -> Настройки S/MIME и TLS…

Здесь перед нами встает выбор: использовать внутреннюю реализацию S/MIME или Microsoft CryptoAPI. При выборе внутренней реализации сертификаты будут находиться в хранилище Bat. Импорт/экспорт сертификатов будет осуществляться через интерфейс Bat. Также для корректной работы потребуется импорт корневых сертификатов и внесение их в список доверенных.

При выборе Microsoft CryptoAPI используется хранилище сертификатов Windows. Импорт/экспорт осуществляется через стандартные процедуры операционной системы. Этот вариант более удобный. Однако, если Вы работаете в Windows XP, и вам нужен максимальный уровень безопасности, в этом случае следует использовать криптопровайдер Bat. Он обеспечивает лучший набор алгоритмов шифрования по сравнению с стандартным Microsoft Enhanced Cryptographic Provider v1.0 (доступны алгоритмы AES 128 и 256-бит). В Vista и 7 добавлена встроенная поддержка AES, поэтому данная рекомендация относиться только к XP.

Для начала рассмотрим настройку с помощью Microsoft CryptoAPI (Win XP).