Подписывание и шифрование сообщений

Цифровая подпись и шифрование

Отправляя сообщение электронной почты, вы можете подписать его при помощи цифровой подписи. Цифровая подпись позволяет получателям сообщения убедиться в том, что оно действительно было отправлено вами и не было изменено в процессе передачи.

Отправляя сообщение электронной почты, вы также можете зашифровать его. Шифрование делает прочтение сообщения очень сложным для того, кто не располагает соответствующим ключом, даже если сообщение будет перехвачено в процессе передачи через Интернет.

Почтовый клиент не позволяет подписывать и зашифровать исходящее сообщение групп новостей.

Прежде чем вы получите возможность зашифровывать и подписывать исходящие сообщения, необходимо выполнить следующие действия:

1. Получить один или несколько сертификатов (цифровых эквивалентов удостоверения личности). О том, как это сделать, рассказано в разделе Получение собственного сертификата.
2. Настроить параметры безопасности для учетной записи электронной почты или групп новостей. О том, как это сделать, рассказано в разделе Настройка параметров безопасности.

Выполнив эти действия, вы можете подписывать и зашифровывать исходящие сообщения, следуя инструкциям в разделе Подписывание и шифрование нового сообщения.

В следующих разделах кратко описаны принципы работы цифровой подписи и шифрования. Более подробные и специальные сведения по этому вопросу содержатся в онлайновом документе Введение в криптографию с открытым ключом (на английском языке).

Как работает цифровая подпись

Цифровая подпись представляет собой специальный код, уникальный для каждого сообщения и создаваемый средствами криптографии с открытым ключом.

Цифровая подпись не имеет практически ничего общего с обычной, рукописной, подписью, хотя в некоторых случаях может использоваться для сходных юридических целей, как, например, подписание контракта.

Чтобы подписывать исходящие почтовые сообщения, вам необходимы две вещи:

• Сертификат подписи, который удостоверяет вашу личность для целей использования цифровой подписи. Ваш сертификат включается в каждое сообщение, подписанное вами. Сертификат содержит открытый ключ подписи. Наличие сертификата позволяет получателю убедиться в том, что сообщение было подписано вами и не было изменено в процессе передачи.

  Ваш сертификат является чем-то вроде вашего имени и телефонного номера в телефонной книге — это открытая информация, с помощью которой другие люди могут связаться с вами.

  При этом сертификат подписи, полученный адресатом вместе с подписанным сообщением, не позволяет ему в дальнейшем имитировать вашу подпись или подписывать сообщения от вашего имени - для этого необходим закрытый ключ (см. ниже).

• Закрытый ключ, который создается при получении вами своего сертификата и хранится в вашем компьютере.

  Ваш закрытый ключ, хранящийся в вашем компьютере, защищен мастер-паролем и &brandShortName; не пересылает или передает его кому бы то ни было. Почтовый клиент использует закрытый ключ для создания уникальной цифровой подписи для каждого сообщения, которое вы подписываете.

Как работает шифрование

Для того, чтобы зашифровать сообщение, вы должны иметь сертификат шифрования каждого адресата с которым вы хотите вести зашифрованную переписку. Открытый ключ адресата, находящийся в этом сертификате, используется для шифрования сообщения для этого адресата.

Для того, чтобы отправить зашифрованное сообщение нескольким адресатам, вы должны иметь сертификаты шифрования каждого из адресатов. Если сертификат хотя бы одного из адресатов отсутствует, вы не сможете зашифровать сообщение.

Программное обеспечение адресата расшифровывает входящее сообщение при помощи закрытого ключа адресата, хранящегося в его компьютере.

[Вернуться в начало раздела]

Получение сертификатов других лиц

Всякий раз, когда вы отправляете сообщение, подписанное цифровой подписью, ваш сертификат шифрования автоматически добавляется к сообщению. Поэтому один из простейших способов получить сертификат какого-либо лица - получить от него сообщение, подписанное цифровой подписью.

При получении такого сообщения сертификат, находящийся в нем, автоматически сохраняется Менеджером сертификатов - компонентом браузера, который используется для хранения сертификатов и работы с ними. В дальнейшем этот сертификат может быть использован для шифрования сообщений, отправляемых лицу - субъекту данного сертификата.

Вы также можете получить сертификаты других лиц из корпоративных или общедоступных каталогов (справочников) ведущихся многими компаниями.

Также возможен автоматический поиск сертификатов. Этот параметр находится в разделе Настройки Почтового клиента - Адресация или Настройки учетной записи электронной почты - Адресация и может быть настроен на поиск сертификатов адресатов в каталоге.

Если вы используете учетную запись настроенную на поиск адресов в каталоге LDAP, в том же каталоге будет произведен поиск сертификатов тех лиц, которым вы пытаетесь отправить зашифрованное сообщение и для которых у вас нет сертификатов на вашем локальном диске.

Поиск сертификатов в каталоге будет произведен, когда вы откроете выпадающее меню рядом со значком Безопасность в окне составления сообщений и выберете строчку Защита сообщения.

[Вернуться в начало раздела]

Настройка параметров безопасности

Если вы получили один или несколько собственных сертификатов для электронной почты, вам следует указать, какие из них будут использоваться для подписи и шифрования сообщений.

О том, как получить сертификат, рассказано в разделе Получение собственного сертификата.

Чтобы указать, какие сертификаты подписи и шифрования следует использовать для данной учетной записи, выполните следующие действия:

1. В окне почтового клиента откройте меню "Правка" и выберите пункт "Параметры учетной записи".
2. Выберите категорию "Защита" под именем учетной записи, для которой вы хотите настроить параметры безопасности.
3. В группе настроек "Цифровая подпись" нажмите кнопку "Выбрать" (возможно, при этом Seamonkey запросит ваш мастер-пароль).

   Откроется диалоговое окно, в котором вы можете выбрать один из имеющихся сертификатов цифровой подписи.

4. Выберите сертификат, который вы хотите использовать для подписи исходящих сообщений данной учетной записи и нажмите кнопку "OK".
5. Повторите те же действия в группе настроек "Шифрование": нажмите кнопку "Выбрать", выберите сертификат шифрования, который вы будете использовать, и нажмите кнопку "OK"

Каждый сертификат, выданный центром сертификации (CA), удостоверяет вас для определенной цели, указанной в самом сертификате. Иногда один и тот же сертификат может быть использован как для цифровой подписи, так и для шифрования (при необходимости уточните у системного администратора, возможно ли это в вашем случае). Если вы хотите использовать такой сертификат, укажите его в обоих диалоговых окнах выбора сертификатов.

В этом же окне вы можете указать, следует ли подписывать цифровой подписью и зашифровывать исходящие сообщения по умолчанию. Эти настройки действительны по умолчанию для всех сообщений, отправляемых с данной учетной записи. Однако вы можете изменить их для каждого конкретного сообщения, используя меню "Настройки" окна составления сообщения.

Чтобы настроить параметры шифрования и цифровой подписи по умолчанию для данной учетной записи, откройте раздел настроек данной учетной записи "Защита" (см. выше) и установите следующие параметры:

• В группе настроек "Цифровая подпись":
  • Сообщения с цифровой подписью: Если этот флажок установлен, почтовый клиент будет по умолчанию подписывать цифровой подписью все сообщения, отправляемые с данной учетной записи. Сбросьте этот флажок, чтобы почтовый клиент по умолчанию не подписывал сообщения.
• В группе настроек "Шифрование" (выберите один из вариантов):
  • Никогда: Если выбран этот вариант, сообщения, отправляемые с данной учетной записи, по умолчанию не будут зашифровываться. Вы можете изменить настройки по умолчанию в окне составления сообщения.
  • Всегда: Если выбран этот вариант, сообщения, отправляемые с данной учетной записи, будут по умолчанию зашифровываться. Однако для этого вам необходимо иметь сертификаты шифрования всех адресатов сообщения. Если вы не располагаете сертификатом хотя бы одного из адресатов, вы не сможете отправить сообщения, не отменив его шифрование в окне составления сообщения.

Закончив настройку параметров безопасности электронной почты, нажмите кнопку "OK", чтобы подтвердить сделанные изменения.

[Вернуться в начало раздела]

Подписывание и шифрование нового сообщения

Прежде чем вы сможете подписать или зашифровать исходящее сообщение, вы должны получить хотя бы один сертификат и настроить параметры безопасности вашей почты. Краткие сведения о цифровой подписи и шифровании приведены в разделе Цифровая подпись и шифрование.

Параметры учетной записи, указанные в разделе Безопасность, определяют настройки, установленные по умолчанию в каждом окне составления сообщения, которое вы создаете.

Чтобы открыть окно составления сообщения, запустите почтовый клиент и нажмите кнопку "Создать" в панели инструментов. Вы можете легко определить, какие параметры безопасности заданы для данного сообщения, при помощи значков в правом нижнем углу окна составления сообщения:

	Сообщение будет подписано цифровой подписью (при условии, что вы имеете действительный сертификат, выданный вам для этой цели).
	Сообщение будет зашифровано (при условии, что вы имеете действительные сертификаты всех адресатов).

Чтобы изменить эти параметры, щелкните мышью по небольшому треугольнику на кнопке "Безопасность" в панели инструментов окна составления сообщения. Выберите один из пунктов раскрывшегося меню:

• Не шифровать: Выберите этот пункт, чтобы отключить шифрование для данного сообщения. Сообщение будет отправлено через Интернет открытым текстом.
• Требовать шифрования: Выберите этот пункт, если вы хотите, чтобы данное сообщение было отправлено в зашифрованном виде. Вы, однако, не сможете отправить такое сообщение, если вы не располагаете действительными сертификатами всех адресатов.
• Цифровая подпись: Если этот пункт отмечен, сообщение будет подписано. Выберите этот пункт меню, чтобы отключить или, наоборот, задать использование цифровой подписи для данного сообщения.
• Безопасность сообщения: Выберите этот пункт, чтобы просмотреть подробную информацию о статусе безопасности данного сообщения. При этом откроется диалоговое окно "Безопасность сообщения". В нем вы сможете увидеть, в частности, располагаете ли вы сертификатами шифрования всех адресатов сообщения.

Чтобы просмотреть детальную информацию о статусе безопасности сообщения вы можете также щелкнуть значок ключа или замка как описано в разделе Безопасность сообщения - Исходящее.

[Вернуться в начало раздела]

Чтение подписанных и зашифрованных сообщений

Когда вы просматриваете полученное вами подписанное или зашифрованное сообщение в окне почтового клиента, значки в правом верхнем углу заголовка сообщения отражают его статус безопасности:

	Сообщение подписано цифровой подписью, которая проверена. Если возникли какие-либо проблемы с цифровой подписью (например, сертификат подписи недействителен), ручка на значке сломана.
	Сообщение подписано цифровой подписью, но в нем имеется большое вложение которое еще не было загружено с сервера IMAP. В результате подпись не может быть проверена. Нажмите на значок чтобы закачать вложение и проверить подпись.
	Сообщение зашифровано. Если возникли какие-либо проблемы с шифрованием ключ на значке сломан.

Чтобы просмотреть более подробную информацию о проверке действительности сертификатов, обратитесь к разделу Проверка действительности.

Чтобы просмотреть более подробную информацию о статусе безопасности данного сообщения, нажмите значок ключа или замка или следуйте инструкциям в разделе Безопасность сообщения - Входящее.

[Вернуться в начало раздела]

Безопасность сообщения - Исходящее

В этом разделе описано диалоговое окно "Безопасность сообщения", которое вы можете открыть для любого сообщения, составляемого вами. Если в данный момент вы не просматриваете окно "Безопасность сообщения", нажмите кнопку "Безопасность" в панели инструментов окна составления сообщения, чтобы открыть его.

В диалоговом окне "Безопасность сообщения" отображаются следующие параметры безопасности сообщения:

• С цифровой подписью: В этой строке указано, будет ли сообщение подписано. Возможны три варианта:
  • Да: Для данного сообщения задано использование цифровой подписи, вы располагаете действительным сертификатом, удостоверяющим вас для этой цели, и сообщение может быть подписано.
  • Нет: Для данного сообщения отключено использование цифровой подписи.
  • Невозможно: Для данного сообщения задано использование цифровой подписи. Однако вы не располагаете действительным сертификатом, удостоверяющим вас для этой цели, или не можете подписать сообщение по каким-либо иным причинам.
• Зашифрованное: В этой строке указано, будет ли сообщение зашифровано. Возможны три варианта:
  • Да: Для данного сообщения задано использование шифрования, вы располагаете действительными сертификатами всех адресатов, и сообщение может быть зашифровано.
  • Нет: Для данного сообщения отключено использование шифрования или шифрование невозможно.
  • Невозможно: Для данного сообщения задано использование шифрования. Однако вы не располагаете действительным сертификатом шифрования хотя бы одного из адресатов, для сообщения не указано ни одного адресата или сообщение не может быть зашифровано по каким-либо иным причинам.

Диалоговое окно "Безопасность сообщения" также содержит список сертификатов адресатов сообщения, которыми вы располагаете:

• Просмотр: чтобы просмотреть параметры любого сертификата, выберите его из списка и нажмите кнопку "Просмотр".

Дополнительная информация о получении сертификатов и настройках безопасности сообщений приведена в разделе Подписывание и шифрование сообщений

Чтобы задать или отменить использование цифровой подписи или шифрования для данного сообщения, щелкните мышью по небольшому треугольнику на кнопке "Безопасность" в панели инструментов окна составления сообщения. Выберите из раскрывшегося меню желаемые пункты.

О том, как задать параметры безопасности по умолчанию для исходящих сообщений, рассказано в разделе Параметры учетной записи - Безопасность.

[Вернуться в начало раздела]

Безопасность сообщения - Входящее

В этом разделе описано диалоговое окно "Безопасность сообщения", которое вы можете открыть для любого сообщения, полученного вами. Если в данный момент вы не просматриваете окно "Безопасность сообщения", выполните следующие действия, чтобы открыть его:

1. В окне почтового клиента выберите сообщение, для которого вы хотите просмотреть информацию о безопасности.
2. Откройте меню "Вид" и выберите пункт "Информация о безопасности сообщения".

Диалоговое окно "Безопасность сообщения" для входящего сообщения содержит следующие сведения:

• Цифровая подпись: В верхней части диалогового окна указано, подписано ли сообщение цифровой подписью, а также является ли сертификат подписи действительным.

Если активизирован протокол просмотра статуса сертификатов (OCSP) и действительность сертификата подписи не была подтверждена, проверьте параметры протокола OCSP, установленные в разделе настроек Приватность и безопасность - Подтверждение. Если вы не знаете, какие параметры OCSP должны быть установлены, уточните их у системного администратора. Если в настройках указаны корректные параметры, это означает, что сертификат подписи, использованный для подписи данного сообщения, является недействительным или указанная служба OCSP в настоящий момент недоступна.

Если действительность сертификата подписи не может быть подтверждена из-за параметров доверия, заданных вами, вы можете изменить эти параметры при помощи Менеджера сертификатов.

• Просмотр сертификата ключа подписи: Если сообщение подписано, нажмите эту кнопку, чтобы просмотреть параметры сертификата, использованного для подписи.
• Шифрование сообщения: В нижней части диалогового окна указано, было ли сообщение зашифровано и возникли ли проблемы при его расшифровании.
  • Если содержание сообщения было изменено при его передаче, попросите отправителя послать сообщение заново. Изменения могли быть вызваны ошибками сети при передаче.
  • Если копия вашего сертификата шифрования (использованного отправителем для шифрования) и связанный с ним закрытый ключ недоступны на вашем компьютере, сообщение не может быть расшифровано. В этом случае вам следует восстановить сертификат и связанный с ним закрытый ключ, используя резервную копию (см. Ваши сертификаты для получения более подробной информации). Если у вас нет резервной копии сертификата и закрытого ключа, вы не сможете расшифровать сообщение.

[Вернуться в начало раздела]

Локализация произведена компанией ALTLinux и участниками проекта Mozilla Russia