Дэйв Козюр
Конкуренция стандартов S/MIME и PGP/MIME мешает усилению защиты e-mail в Internet
Не вызывает сомнений, что электронная почта Internet должна быть лучше защищена. К сожалению, этому препятствует конкуренция двух стандартов Internet в области передачи сообщений: S/MIME и PGP/MIME.
Проблема пока еще недостаточной безопасности передачи сообщений в Internet затрагивает не только обмен сообщениями между индивидуальными пользователями, но и электронную коммерцию, поскольку замедляет внедрение технологии EDI (Electronic Data Interchange - электронный обмен данными), использующей E-mail для передачи данных между партнерами.
Складывается впечатление, что обе технологии, S/MIME (Secure Multipurpose Internet Mail Extension - безопасные многоцелевые расширения Internet-почты) и PGP/MIME (Pretty Good Privacy MIME - MIME с вполне хорошей секретностью), в этом году будут приняты Комитетом по инженерным проблемам Internet (IETF) в качестве стандартов, так что сами производители будут решать, какой из этих протоколов следует применить в их продуктах. К сожалению, эти два стандарта передачи сообщений вряд ли будут взаимно совместимыми, по крайней мере на первых порах.
Дополнительные проблемы
Проблемы безопасности электронной почты в Internet не новы. Даже в ту пору, когда использовались чисто текстовые сообщения, процедура шифрования и аутентификации сообщений была не так уж проста.
Это было связано с тремя факторами. Криптографические алгоритмы только начали развиваться, федеральное правительство накладывало ограничения на применение некоторых из них за пределами США, и кроме того, различные группы, включая Управление национальной безопасности и Министерство обороны США, и различные производители расходились во мнениях о принципах шифрования сообщений.
Те же самые трудности сохраняются и поныне, однако к ним добавились сложности, связанные с поддержкой разнообразных типов сообщений, которые предусмотрены стандартом MIME. К примеру, многие сообщения теперь включают в себя, помимо текста, еще и графику, управляющие коды HTML, видеоинформацию и другие данные.
Для обеспечения безопасности многокомпонентных сообщений наряду с другими была разработана спецификация Security Multiparts, опубликованная в документе RFC1847 комитета IETF. Эта методика отделяет данные, заверяемые электронной подписью, от самой подписи и форматирует их как два разных раздела MIME-сообщений составного типа (multipart/signed - составные с подписью). Первый раздел образуют заверяемые данные, а второй - цифровая подпись. Аналогично зашифрованные объекты представляются как объекты MIME типа multipart/encrypted (составные зашифрованные).
При использовании этого подхода всякая поддерживающая MIME почтовая программа может распознать подписанный документ, игнорируя саму подпись, если это ПО не поддерживает криптографический протокол, использованный при создании подписи.
Предполагается, что агенты, осуществляющие пересылку почты, должны рассматривать сообщения типа multipart/signed и multipart/encrypted как непрозрачные в том смысле, что никоим образом не должны изменять содержащиеся в них данные. Однако многие шлюзы электронной почты могут определять, поддерживает или нет следующий пункт передачи почты протокол MIME или 8-разрядные данные. При отсутствии этой поддержки такой шлюз может преобразовать передаваемые данные к другому типу, Quoted-Printable либо Base 64, в результате чего электронная подпись станет недействительной.
S/MIME или PGP/MIME?
Есть два параллельных подхода к решению проблемы безопасности электронной почты в Internet, причем главное различие между ними состоит в используемых криптографических алгоритмах.
Ведущую роль в разработке одного из них, Secure MIME, больше известного под названием S/MIME, занимает фирма RSA Data Security (Редвуд-Сити, шт. Калифорния). Другой носит название PGP/MIME, и его продвигает фирма Pretty Good Privacy (Сан-Матео, шт. Калифорния). По обоим предложениям в IETF были созданы рабочие группы, на которые возложена функция разработки стандартов, пригодных для всего сообщества Internet.
Технология S/MIME использует смешанный подход к безопасности, и в ней создается то, что часто называют “цифровым конвертом”. Основная часть процедуры шифрования сообщения производится с помощью симметричного шифра, а для обмена ключами и цифровых подписей используется алгоритм с открытым ключом.
Основным препятствием для принятия S/MIME в качестве стандарта IETF является то, что этот протокол основан на запатентованном фирмой RSA алгоритме шифрования RC2 и использует слабую форму шифрования (т. е. 40-разрядные ключи). В то же время IETF в течение продолжительного времени придерживается той политики, что все стандарты должны быть открытыми, а фирмы не должны требовать от разработчиков покупки лицензий на использование их технологий.
Фирма RSA вначале намеревалась сохранять право собственности на эту технологию, однако теперь предоставила описание своего алгоритма в общее пользование.
Хотя протокол S/MIME разрабатывается уже на протяжении двух лет, IETF лишь недавно сформировал по нему рабочую группу. (Предшествующую часть работы выполнил Консорциум S/MIME, представляющий собой отраслевую группу, частично руководимую RSA.) Эта группа IETF в настоящее время работает над новой версией протокола, S/MIME Version 3, которая отличается более открытой архитектурой, что делает ее, с точки зрения требований IETF, более приемлемой для принятия в качестве стандарта.
В S/MIME 3 по умолчанию будет использоваться криптографический алгоритм ДиффиХелмана, хотя будут поддерживаться и многие другие алгоритмы. Другим существенным дополнением является переход на стандарт цифровой подписи DSS (Digital Signature Standard), принятый Управлением национальной безопасности США. Он заменит собственную технологию цифровой подписи фирмы RSA, использовавшуюся в версии 2.
Борьба за открытые стандарты
Фил Зиммерман и его коллеги из PGP приложили немало сил, чтобы их ПО для шифрования сообщений было построено на открытых стандартах. Но лишь недавно они добились, чтобы новая версия смогла функционировать целиком в рамках MIME.
Технология PGP/MIME создает свой цифровой конверт способом, отличным от S/MIME. В режиме по умолчанию она использует для шифрования данных алгоритм International Data Encryption Algorithm с одноразовым ключом. Затем с помощью алгоритма MD5 она создает искаженное сообщение (hash) и шифрует получающийся в результате дайджест сообщения с помощью личного ключа пользователя на основе алгоритма Digital Signature Algorithm, разработанного Национальным институтом стандартов и технологии в качестве составной части стандарта DSS.
S/MIME и PGP/MIME существенно различаются способами распространения открытых ключей и обработки цифровых сертификатов. Открытые ключи S/MIME должны рассылаться с использованием цифровых сертификатов стандарта X.509, связанных с иерархической системой сертифицированных полномочий (certificate authorities). За прошедший год доступность этих сертификатов заметно возросла, поскольку некоторые производители обеспечили поддержку третьей версии стандарта X.509 и предложили соответствующие серверные продукты.
Дистрибуция открытых ключей в PGP/MIME не использует сертификатов X.509. До недавнего времени в PGP применялся принцип взаимного доверия между отдельными пользователями системы, которые сами должны были следить за тем, чтобы все их корреспонденты получили соответствующие ключи. Такой неформальный подход хорош для небольших групп, однако очень ненадежен при корпоративном использовании.
Пользователям, поддерживающим связи с большим числом корреспондентов, так же, как компаниям, которые регулярно пользуются услугами защищенной электронной почты, больше подойдет система сертификатов, поскольку она более централизована по сравнению с моделью взаимного доверия. Производители это понимают, и в их последних продуктах, например, PGP Business Security Suite, для дистрибуции сертификатов используется упрощенный протокол доступа к сетевым каталогам LDAP, хотя эти сертификаты еще не совместимы с X.509.
Нерешенные вопросы
Несмотря на то что некоторые производители, в том числе корпорации Microsoft, Netscape Communications и Lotus Development, уже выпускают или собираются выпускать продукты для передачи сообщений, поддерживающие S/MIME 2, технология S/MIME еще не стала стандартом IETF, и это открывает возможности для развития альтернативных криптографических методов, таких, как PGP. Часть производителей, среди которых необходимо упомянуть Qualcomm, разработчика популярной почтовой программы Eudora, избрала для себя технологию PGP/MIME.
Поскольку S/MIME 3 будет обладать такой же гибкостью в выборе криптографических алгоритмов, как и PGP/MIME, это может привести к сосуществованию этих двух стандартов и даже к их совместному функционированию. Отметим, что консорциум Internet Mail проводит испытания взаимной совместимости продуктов, созданных большим числом производителей.
Главным препятствием в распространении систем безопасной электронной почты по-прежнему остаются принятые в США ограничения на экспорт криптографических продуктов, поскольку систему на базе 40-разрядного алгоритма RC2, который первоначально использовался фирмой RSA в S/MIME, не так уж трудно взломать.
Некоторые из реализаций технологии S/MIME позволяют создавать 128-разрядную криптографическую защиту, однако в условиях официальных экспортных ограничений большинству пользователей придется довольствоваться лишь 40-разрядными ключами. Более надежное шифрование с использованием 128-разрядных ключей обеспечивают добавочные компоненты к S/MIME 3 и PGP/MIME.
Продукты, обеспечивающие безопасность электронной почты, должны не только использовать улучшенную криптографию, но и быть более простыми в использовании, облегчая пользователям процедуры шифрования и аутентификации сообщений. Пока еще большинство программ слишком сложны и требуют, чтобы пользователь разбирался во многих тонкостях цифровых сертификатов и криптографических алгоритмов.
Дэйв Козюр - автор ряда работ по криптографии и независимый консультант. Его последняя книга “IP Multicasting: The Complete Guide to Interactive Corporate Networks” должна выйти этой весной в издательстве John Willeys & Sons. С ним можно связаться по адресу: drkosiur@ix.netcom.com.
