2.7 Шифрование в Интернете

Многие онлайновые службы предлагают шифрование. Некоторыми из таких служб мы пользуемся постоянно. Когда Иван Иванович входит на почтовый сервер, чтобы прочесть свежие письма, или делает покупки в Интернет-магазине, или просто передает важную информацию куда-либо, он, конечно, рассчитывает, что его действия будут достаточным образом защищены от прослушивания и кражи. В Интернете существует шифровальная система, которая называется Secure Sockets Layer (SSL). Узнать, что ваш Интернет-браузер перешел на работу в SSL-режиме, можно по двум характерным признакам:

- К обычному "http" в адресе веб-сайта добавилась буква "s"

(начальная буква слова "secure" – "безопасный"): https:// ...

Это значит, что веб-сайт, который вы просматриваете, и ваш Интернет-браузер "договорились" о связи по зашифрованному каналу. Чтобы узнать больше об уровне защиты, предлагаемой SSL, посмотрим, как это работает.

Рис. 1: Соединение с веб-сайтом по SSL

Подпись под сервером: "провайдер доступа"

У вашего браузера (и у Internet Explorer, и у Mozilla Firefox) есть встроенный список центров сертификации SSL. Если вы зашли на сайт, у которого есть SSL-сертификат, браузер автоматически проверяет, выдан ли этот сертификат одним из центров, который есть в списке браузера, и все ли детали верны (не вызывают подозрения). Каждый сертификат имеет, как минимум, следующие характеристики:

Открытый ключ владельца

Имя или псевдоним владельца

Дата прекращения действия сертификата

Серийный номер сертификата

Название организации, выпустившей сертификат

Цифровая подпись организации, выдавшей сертификат

Если сертифицирующего центра нет в вашем списке, или какая-либо из характеристик вызывает сомнения, браузер выдаст на экран предупреждение и предложит вам проверить сертификат.
Замечание: Это не автоматическая процедура. Если вы используете Internet Explorer, сначала надо включить соответствующую опцию.

Выберите Сервис – Свойства обозревателя, далее вкладку Дополнительно (Tools – Internet Options, Advanced)

В разделе Безопасность (Security) убедитесь, что проставлена галочка в поле Предупреждать о недействительных сертификатах узлов (Warn about invalid certificates).

Рис. 2: Тонкая настройка Internet Explorer

Рис. 3: Предупреждение Internet Explorer о сомнительном сертификате

Рис. 4: Предупреждение Mozilla Firefox о сомнительном сертификате

Оба сообщения на иллюстрациях говорят, по сути, об одной проблеме. В обоих случаях предлагается возможность проверить сертификат самостоятельно и решить, принимать его или нет. Если нет, доступ к сайту будет закрыт. Если вы примете сертификат (Всегда принимать этот сертификат – в Mozilla Firefox), то сам сертификат и соответствующий сертифицирующий центр будут добавлены в "доверенный" список вашего браузера, и больше вопросов по поводу этого сертификата вам задавать не будут.

Если вы выбрали проверку, нужно представлять себе последовательность действий. Главный идентифицирующий признак ключа – его отпечаток (иногда для него встречается сокращение MD5). Проверка отпечатка может подтвердить подлинность сертификата – то, что он действительно был создан и опубликован именно тем сайтом, который вы посещаете. Для проверки вам нужно связаться с владельцем сайта и вручную сравнить отпечатки (по телефону, факсу, в онлайновом чате или лично). Для многих это прозвучит как излишество, но такова цена хорошего уровня безопасности. Далее мы покажем, каким рискам подвергает себя тот, кто пренебрегает этой процедурой.

Рис. 5: Так выглядит отпечаток ключа при просмотре в Internet Explorer

Рис. 6: То же в Mozilla Firefox

https://www.riseup.net
https://www.bluebottle.co.uk
https://www.fastmail.fm
https://www.safe-mail.net
https://gmail.com

Работая с такой службой, вам нужно войти в свой почтовый ящик, и все дальнейшее общение с сервером будет зашифровано. Хотя фильтр или цензор по-прежнему могут перехватывать сообщения, расшифровать их или извлечь из них какую-либо пользу будет невозможно. Обратите внимание, что адрес сайта в этом случае начинается с "https:".

В самом деле – гораздо более защищенный способ читать и составлять электронные письма! Если добавить к этому надежный пароль (см. главу о паролях), то в деле защиты информации в Интернете вы шагнете на следующий уровень. А регистрация в такой онлайновой почтовой службе не отличается от регистрации где-нибудь на yandex.ru или mail.ru. (К сожалению, большинство провайдеров веб-почты не предлагает своим клиентам SSL-защищенное соединение).

Круг безопасности

Однако получатель вашего письма может и не пользоваться столь совершенной защитой, как мы только что показали. В этом случае ваше письмо поступает на почтовый сервер адресата и оказывается подверженным тем же рискам. Если адресат пользуется обычной почтой (то есть, принимает и отправляет письма по незашифрованным каналам), злоумышленники на сервере провайдера или национальном шлюзе будут иметь возможность прочесть ваше

Рис. 7: Что получается, если использовать шифрование только "с одной стороны"

Слева направо: "отправитель", "провайдер", "веб-почта", "провайдер", "получатель"

Рис. 8: В данном примере SSL-шифрование обеспечивает защиту "со всех сторон"
Слева направо: "провайдер", "веб-почта", "провайдер"

Однако и в том случае, когда обе стороны используют SSL-защиту одного и того же провайдера веб-почты, остается уязвимое место: сам почтовый сервер. Положим, соединение между вашим компьютером и почтовым сервером шифруется, но эта защита может быть нарушена владельцами сервера или хакерами. Стоит попробоват оценить уровень безопасности и надежности провайдера веб-почты, да и той страны, где размещены его серверы. Это становится важным, например, когда речь идет о Соединенных Штатах, где власти могут выдать ордер на конфискацию сервера и всей информации, которая на нем хранится. Упомянутые выше серверы веб-почты расположены в следующих странах:
www.riseup.net – Соединенные Штаты
www.bluebottle.com – Великобритания
www.fastmail.fm – Соединенные Штаты
www.safe-mail.net – Израиль
www.gmail.com – несколько серверов в США, Австралии, Мексике, Южной Корее и Китае

Множество сервисов веб-почты предлагает вариант защиты вашей корреспонденции от произвола со стороны провайдера. Те, что перечислены здесь, не только предоставляют защищенный доступ к своим ресурсам, но и хранят сами данные на серверах в зашифрованном виде. Ваш ящик e-mail становится доступным только вам. Если ваш адресат имеет почтовый ящик на том же сервере, что и вы, то электронная почта, которой вы обмениваетесь, тоже может быть зашифрована. Это обеспечивает более высокий уровень безопасности коммуникаций, но, как правило, требуется сравнительно быстрый доступ к Интернету. Ведь всякий раз, как вы заглядываете в свой ящик, с веб-сайта автоматически (временно) на ваш компьютер устанавливается шифровальная программа.1 Примеры серверов, где можно бесплатно завести такой "зашифрованный" ящик:

www.hushmail.com
www.vaultletsoft.com
www.s-mail.com

К сожалению, таким образом оказывается весьма просто обманывать людей. Пользователи часто щелкают "ОК", даже не читая сообщение. На одном из учебных семинаров я наблюдал, как "компьютерщиков" с их сложной шифровальной системой удалось обвести вокруг пальца просто потому, что один из них миновал шаг с проверкой сертификата и принял его автоматически.

Среди причин, которые способны подвигнуть злоумышленника на организацию MITM-атаки, может быть и такая: злоумышленник не в состоянии прочесть вашу электронную почту (и отслеживать ваши действия в Интернете), потому что вы пользуетесь защищенным каналом по протоколу https. Злоумышленник видит, что вы связываетесь с сервером веб-почты, но не может прочесть сами письма. Если злоумышленник "сел" на канал связи и успешно подсунул вам свой сертификат, все информационные потоки (не только сейчас, но, может быть, и в будущем) пойдут через его сервер. Не исключая пароли, частную переписку, и так далее. Еще одна проблема: если атака MITM была успешной, потом очень трудно заметить, что связь устанавливается через компьютер злоумышленника.

Рис. 9: Злоумышленник "сел" на канал и перехватывает информацию. Обе стороны (пользователь и сервер) при этом уверены, что со связью все в порядке.

Заголовок в левом верхнем углу: "человек посередине". Подпись под сервером: "провайдер доступа".

Если ваш Интернет-браузер предлагает проверить SSL-сертификат, задайте себе два вопроса:

1) Я впервые захожу на этот сайт с этого компьютера?
2) Действительно ли этот сертификат – подлинный?

Если ответ на первый вопрос отрицательный, значит, вы либо не сохранили сертификат на компьютере, либо имеете дело с "человеком посередине". Как мы уже говорили, браузер не станет задавать повторные вопросы о сертификате, который уже был принят и сохранен вами. Если вас спрашивают вторично (хотя вы уже заходили на этот сайт и внесли его в "доверенный список"), возможно, на этот раз с вами "общается" совсем другой ресурс.

Примечание: Находясь в Интернет-кафе, вы иногда не можете проверить отпечаток, если он уже был кем-то ранее принят. Полезно сначала зайти на сайт из надежного места, записать отпечаток сайта в момент первого посещения, а потом сверять его с теми отпечатками, которые предлагаются при заходе на этот сайт из других точек.

На второй вопрос можо ответить только после проверки отпечатка и контакта с хозяевами веб-сайта (лучше всего – по телефону или по защищенному почтовому каналу). Это может занять время и нравится далеко не всем. К сожалению, это единственная возможность для проверки, которую предусматривает структура SSL-сертификатов в Интернете.

Не так уж много веб-сайтов использует технологию SSL. Среди них, в основном, провайдеры веб-почты, Интернет-магазины и прочие онлайновые службы, имеющие дело с деньгами. За свою онлайновую практику вам, может быть, только два или три раза встречались такие веб-сайты. Но приготовьтесь к тому, что придется связываться с их владельцами по электронной почте или телефону, чтобы записать SSL-отпечатки. Лишь после этого можно быть уверенным, что вы имеете дело именно с реальным хозяином сайта и его SSL-сертификатом.

Как только злоумышленник смог вас обмануть, он получит доступ к любой информации, которой вы обмениваетесь с веб-сайтом. Если это доступ к ящику электронной почты – злоумышленник завладеет паролем и в следующий раз зайдет на сервер уже под вашим именем (известно много таких случаев). Поэтому очень важно понимать, как работают SSL-сертификаты, и как с их помощью можно защитить свои данные.