Ako zašifrovať zdieľanú skupinovú schránku

Azda v každej spoločnosti dnes ľudia komunikujú cez e-mail, či už v rámci firmy, alebo s okolitým svetom. Väčšinou si neuvedomujú, že neraz prenášajú citlivé obchodné a prevádzkové informácie, ktoré treba starostlivo chrániť. Podniky zvyknú zabezpečovať dôvernosť a integritu e-mailovej komunikácie šifrovaním a elektronickým podpisom. Využívajú pri tom buď existujúcu infraštruktúru verejných kľúčov, ktorá certifikáty poskytuje interne, prípadne služby certifikačnej autority. Často je dôvodom použitia certifikátov aj fakt, že ich drvivá väčšina e-mailových klientov podporuje.

Problém zdieľanej schránky

E-mailové správy si bežne posielajú jednotlivci medzi sebou alebo odchádzajú na určitú distribučnú skupinu. Väčšina z nás však posiela správy aj určitej skupine jednotlivcov, ktorú najčastejšie reprezentuje pomenovaná zdieľaná skupinová schránka, respektíve verejná zložka s vlastnou e-mailovou adresou.

V prvých dvoch prípadoch sú v okamihu odosielania správy známe adresy všetkých príjemcov a vďaka tomu vie poštový systém ľahko vyhodnotiť i jeho certifikát z lokálnych kontaktov, prípadne z globálneho adresára. V treťom prípade je však správanie systému identické ako pri odosielaní jednotlivému príjemcovi. Skupinová schránka musí mať vlastný pár kľúčov. Šifrované správy, ktoré sú do nej doručené, sú vo výsledku zašifrované pre ňu, nie však pre jednotlivých členov skupiny, ktorí majú do schránky prístup. Výsledkom je správa, ktorú žiadny člen skupiny nedokáže otvoriť, lebo poštový systém odosielateľovi poskytuje z globálneho adresára výhradne certifikát skupinovej schránky.

Keďže cieľom skupinovej schránky, respektíve verejnej zložky je sprístupniť správu všetkým oprávneným používateľom, použitie šifrovania end-to-end tým naráža na technické limity poštového systému.

Teoretické možnosti

Poštový systém pri šifrovaní certifikátom pre skupinovú schránku, žiaľ, nerobí "rozpad distribučnej skupiny", teda vyhodnotenie zoznamu skutočných príjemcov a ich certifikátov. V tomto prípade skôr hovoríme o "rozpade skupinovej zložky" na skutočných členov skupiny a ich certifikáty. Dôvodov na toto správanie môže byť niekoľko od obmedzenia, že k jednej adrese môže prináležať práve jeden certifikát, až po skutočnosť, že podpora rozpadu skupinovej zložky by mohla spôsobiť správcom schránok viacero starostí. Komplikované by bolo napríklad pridávanie a odoberanie členov skupiny vzhľadom na časové vlastnosti certifikátov.

Existujú tri možnosti, ako tento problém riešiť. Prvá možnosť, ktorú uvádzame pre úplnosť, je iba teoretická. Ide o možnosť, že by všetci príjemcovia vlastnili rovnaký párový súkromný kľúč k verejnému kľúču skupinovej schránky. Tento variant však treba ihneď vylúčiť, lebo je v hrubom rozpore s bezpečnostnými predpismi a odporúčaniami. Druhá, takisto skôr teoretická možnosť je úprava poštového systému. Pri odosielaní správy na adresu skupinovej schránky, respektíve verejnej zložky vykoná poštový systém rozpad skupinovej zložky a vyhodnotí certifikáty pre aktuálnych členov skupiny. Tým donúti klientsku stranu zašifrovať správu všetkými certifikátmiobdobne ako v prípade distribúcie.

Ako problém riešiť

Najschodnejšia je tretia možnosť, pri ktorej za skupinovú schránku vystupuje automatizovaný proces, ktorý jediný má pod kontrolou pár kľúčov tejto schránky a prešifruje každú prichádzajúcu správu tak, že vlastnými prostriedkami vyhodnotí jednotlivých členov skupinovej schránky, získa ich certifikáty a opätovne zašifruje obsah vo forme novej správy.

Tento postup využíva fakt, že štandard prenosu šifrovaných a podpísaných e-mailových správ umožňuje, aby správa bola zašifrovaná teoreticky pre nekonečne veľa príjemcov. A šifra je v podstate obálkou pôvodnej e-mailovej správy. Prešifrovaná nová správa s rozšírenou obálkou sa potom vráti späť do rovnakej skupinovej schránky.

Pri využití tohto variantu možno:
* využiť vlastnosti existujúceho poštového systému bez jeho rekonfigurácie,
* dosiahnuť transparentnosť vzhľadom na existujúce procesy, zachovať možnosť priamej odpovede na správu,
* zachovať nastavenia a štruktúry skupinových schránok vrátane funkčnosti už nastavených pravidiel,
* maximalizovať mieru automatizácie,
* dosiahnuť technicky a bezpečnostne čisté riešenie, ktoré neovplyvňuje integritu pôvodnej správy,
* obslúžiť desiatky schránok s tisíckami správ a s desiatkami členov skupín,
* neskompromitovať služby a bezpečne uložiť kľúče skupinových schránok,
* zaistiť režim prevádzky minimálne v pracovnom čase a minimalizovať riziká výpadku.

Univerzálne riešenie

Opísané riešenie treba vnímať ako nadstavbu e-mailového systému pozostávajúce z Microsoft Exchange v spojení s Active Directory a klientom Microsoft Outlook. Účelom bolo pokryť limit poštového systému a zabezpečiť end-to-end šifrovanie a integritu správ, hoci za cenu drobných ústupkov v používateľskom komforte.

Príjemná je transparentnosť riešenia, ktorá v prípade, že sú príjemcovia zaškolení, nemá vplyv na ich schopnosť spracovať prichádzajúce správy a umožňuje ponechať pravidlá, obchodné a prevádzkové procesy v nezmenenej podobe. Vďaka použitému mechanizmu čítania správ zo schránky a vkladania naspäť do schránky nie je toto riešenie viazané na konkrétny e-mailový systém či e-mailové klientske riešenie.

V praxi sa dá dosiahnuť, aby sa prešifrovaná správa objavila v skupinovej schránke do piatich sekúnd po prijatí originálnej správy. Pôvodný obsah správy nie je nijakým spôsobom narušený, a to ani v prípade, že sa odosielateľ elektronicky podpísal. Služba pritom využíva kľúče v bezpečnom úložisku. Dôležitá súčasť funkčnosti je realizácia rozpadu skupinovej schránky s využitím technológie Exchange WebServices.

Firma, ktorá takéto riešenie plánuje nasadiť, by mala organizačne zabezpečiť, aby odosielatelia zasielali správy v šifrovanej podobe, a takisto treba preškoliť členov skupín a poučiť ich o spôsobe zaobchádzania so správami.

Autor: Jiří Urbanec, systémový architekt, Logica CEE
Vyšlo: Infoware, 5.10.2011, Rubrika / relácia: Bezpečnosť, Strana: 26