Trao đổi với tôi

http://www.buidao.com

10/16/09

[Security] Bảo mật thư điện tử cho các doanh nghiệp

10/07/2008

Click to see real sizeĐể bảo mật thông tin cho tổ chức, các tài liệu được truyền thông qua thư điện tử cần phải được mã hóa. Bài viết này nhằm mục đích hướng dẫn cho người dùng, các doanh nghiệp vừa và nhỏ sử dụng các công cụ sẵn có, miễn phí để trao đổi và thực hiện công việc được an toàn.

CƠ BẢN
Thư điện tử và phần mềm thư điện tử

Thư điện tử, hay email (từ chữ electronic mail), đôi khi được dịch không chính xác là điện thư, là một hệ thống chuyển nhận thư từ qua các mạng máy tính.
Email là một phương tiện thông tin rất nhanh. Một mẫu thông tin (thư từ) có thể được gửi đi ở dạng mã hoá hay dạng thông thường và được chuyển qua các mạng máy tính đặc biệt là mạng Internet. Nó có thể chuyển mẫu thông tin từ một máy nguồn tới một hay rất nhiều máy nhận trong cùng lúc.
Ngày nay, email chẳng những có thể truyền gửi được chữ, nó còn có thể truyền được các dạng thông tin khác như hình ảnh, âm thanh, phim, và đặc biệt các phần mềm thư điện tử kiểu mới còn có thể hiển thị các email dạng sống động tương thích với kiểu tệp HTML.

Phần mềm thư điện tử (email software) là loại phần mềm nhằm hỗ trợ cho người dùng việc chuyển và nhận các mẫu thông tin (thường là dạng chữ). Thông tin có thể đưa vào phần mềm thư điện tử bằng cách thông dụng nhất là gõ chữ bàn phím hay cách phương cách khác ít dùng hơn như là dùng máy quét hình (scanner), dùng máy ghi hình số (digital camera) đặc biệt là các Web cam. Phần mềm thư điện tử giúp đỡ cho việc tiến hành soạn thảo, gửi, nhận, đọc, in, xoá hay lưu giữ các (điện) thư. Có hai trường hợp phân biệt phần mềm thư điện tử là:

Loại phần mềm thư điện tử được cài đặt trên từng máy tính của người dùng gọi là email client, hay phần mềm thư điện tử (cho) máy khách. Các thí dụ loại phần mềm này bao gồm: Thunderbird, Microsoft Outlook, Microsoft Outlook Express, Netscape Comunicator, hay Eudora. Phần mềm thư điện tử này còn có tên là MUA (từ chữ mail user agent) tức là Tác nhân sử dụng thư. Một cách gọi tên thông dụng khác của email client là ứng dụng thư điện tử (email application) nếu không bị nhầm lẫn.

Ngược lại, loại phần mềm thư điện tử không cần phải cài đặt mà nó được cung ứng bởi các máy chủ (web server) trên Internet gọi là WebMail, hay Phần mềm thư điện tử qua Web. Để dùng được các phần mềm loại này thường các máy tính nối vào phải có một máy truy cập tương thích với sự cung ứng của WebMail. Thí dụ loại này là mail.Yahoo.com, hay hotmail.com.

Tầm quan trọng của việc sử dụng mã hoá trong thư điện tử

Từ khi ra đời email đã đóng một vai trò của một phương tiện truyền thông quan trọng trên Internet. Tuy nhiên, bởi tính phổ dụng của nó, email đã trở thành phương tiện phục vụ các ý đồ bất chính. Nếu thời gian trước người ta lo ngại về nạn thư rác (spam), thì giờ đây cộng đồng Net còn phải đối đầu với hiểm họa Virus, Trojan, Fishing giả dạng thư điện để phát tán. Mục đích của những chương trình này không gì khác hơn là đánh cắp thông tin người dùng và xa hơn là đánh cắp thông tin mật của tổ chức. Chính vì vậy ngoài việc lọc thư rác, công tác bảo mật thư điện, phòng và chống xâm nhập của các trình gián điệp và virus qua thư điện tử (email) cũng cần được quan tâm đúng mức.

Để bảo mật thông tin cho tổ chức, các tài liệu được truyền thông qua thư điện tử cần được mã hóa khi giao dịch hay trao giữa các chi nhánh, phòng ban. Giải pháp mã hóa nội dung thư điện đầu tiên được sử dụng trong các tổ chức chính phủ, quân đội, tài chính, ngân hàng. Với sự phát triển lớn mạnh của doanh nghiệp, nhu cầu bảo mật thông tin trên các phương tiện truyền thông cũng gia tăng nhằm bảo vệ tính nhạy cảm của thông tin. Tuy nhiên, hầu hết các doanh nghiệp vừa và nhỏ ở Việt Nam chưa xem trọng công tác bảo mật thư điện tử một cách nghiêm túc.Bài viết này nhằm mục đích hướng dẫn cho người dùng, các doanh nghiệp vừa và nhỏ sử dụng các công cụ sẵn có, miễn phí để trao đổi và thực hiện công việc được an toàn.

Tổng quan về PGP và OpenPGP

PGP - Pretty Good Privacy là một phần mềm máy tính dùng để mã hóa dữ liệu và xác thực. Phiên bản PGP đầu tiên do Phil Zimmermann được công bố vào năm 1991. Kể từ đó, phần mềm này đã có nhiều cải tiến và hiện nay tập đoàn PGP đang cung cấp nhiều phần mềm dựa trên nền tảng này. Với mục tiêu ban đầu là phục vụ cho mã hóa thư điện tử, PGP hiện nay đã trở thành một giải pháp mã hóa cho các công ty lớn, chính phủ cũng như các cá nhân. Các phần mềm dựa trên PGP được dùng để mã hóa và bảo vệ thông tin lưu trữ trên máy tính xách tay, máy tính để bàn, máy chủ và trong quá trình trao đổi thông qua email, IM hoặc chuyển file. Giao thức hoạt động của hệ thống này có ảnh hưởng lớn và trở thành một trong hai tiêu chuẩn mã hóa (tiêu chuẩn còn lại là S/MIME).

Do tầm ảnh hưởng lớn của PGP trên phạm vi thế giới (được xem là hệ thống mật mã chất lượng cao được sử dụng nhiều nhất), rất nhiều nhà phát triển muốn các phần mềm của họ làm việc được với PGP 5. Đội ngũ phát triển PGP đã thuyết phục Zimmermann và đội ngũ lãnh đạo của PGP Inc. rằng một tiêu chuẩn mở cho PGP là điều cực kỳ quan trọng đối với công ty cũng như cộng đồng sử dụng mật mã. Ngay từ năm 1997 đã có một hệ thống tuân thủ theo các tiêu chuẩn của PGP của một công ty Bỉ tên là Veridis (lúc đó có tên là Highware) với bản quyền PGP 2 nhận được từ Zimmermann.

Vào tháng 7 năm 1997, PGP Inc đề xuất với IETF về một tiêu chuẩn mở có tên là OpenPGP. PGP Inc cho phép IETF quyền sử dụng tên OpenPGP cho tiêu chuẩn cũng như các chương trình tuân theo tiêu chuẩn mới này. IETF chấp thuận đề xuất và thành lập nhóm làm việc về OpenPGP.
Hiện nay, OpenPGP là một tiêu chuẩn Internet và được quy định tại RFC 2440 (tháng 7 năm 1998). OpenPGP vẫn đang trong giai đoạn phát triển và quy định tiếp theo của RFC 2440 đang được nhóm làm việc tiếp tục hoàn thiện (vào thời điểm tháng 1 năm 2006).

Các công cụThunderbird

Thunderbird là một phần mềm Mail Client được sử dụng để gửi, nhận thư điện tử thông qua các giao thức POP và SMTP. Ưu điểm của loại Mail Client này là cho phép kiểm tra, quản lý thư được thuận tiện, kiểm tra lại các thư cũ mà không cần vào internet đồng thời được tích hợp với các phần mềm mã hoá để bảo mật, xác thực trong việc gửi và nhận thư điện tử.

GnuPG

Quỹ phát triển phần mềm tự do (Free Software Foundation) cũng phát triển một chương trình tuân theo chuẩn OpenPGP có tên là GNU Privacy Guard (GnuPG). GnuPG được phân phối miễn phí cùng với mã nguồn theo giấy phép GPL. Ưu điểm của việc sử dụng GnuPG so với PGP (tuy GnuPG chưa có giao diện GUI cho Windows) là nó luôn được cung cấp miễn phí theo giấy phép GPL. Điều này đặc biệt quan trọng nếu người sử dụng muốn giải mã những tài liệu mã hóa tại thời điểm hiện nay trong một tương lai xa.

Enigmail

Là một thành phần mở rộng (add-on) của Thunderbird tích hợp chuẩn OpenPGP để hỗ trợ việc mã hoá và xác thực thư điện tử.

CÀI ĐẶT VÀ THIẾT LẬP CẤU HÌNH

Địa chỉ tài nguyên

* Thunderbird: http://www.mozilla.com/en-US/thunderbird/

* GnuPG: http://www.gnupg.org/download/index.en.html

* Enigmail: http://enigmail.mozdev.org/download.html


Cài đặt và lập cấu hình
Thunderbird
Chọn Menu Tools/Account Settings, cửa sổ Account Settings mở ra.
Để thêm tài khoản, chọn Add Account
Chọn kiểu mail tương ứng (Gmail hoặc Email)

pgp_accountnew.png

Nhập tên trong phần Your Name, địa chỉ hòm thư trong phần Email Address. Chọn Next
Chọn POP hoặc IMAP. Trong mục Incoming Server nhập POP (IMAP Server) server. Ví dụ mail.vncert.vn, pop.gmail.com,… Để thao nhập đúng thông tin cấu hình nên xem trong hướng dẫn về dịch vụ thư điện tử sử dụng. Chọn Next.

pgp_accountserver.png

Điền các thông tin cần thiết và chọn Next cho đến khi kết thúc.
Chú ý: Để thao nhập đúng thông tin cấu hình nên xem trong hướng dẫn về dịch vụ thư điện tử mà mình sử dụng.

GnuPG

Cài đặt GnuPG, chọn Next cho đến khi kết thúc.

pgp_gnupg.png

Enigmail Extension
Sau khi tải Enigmail Extension về, file cài đặt có đuôi là *.xpi. Để cài đặt Enigmail Extension, mở Thunderbird ra.

Trong menu Tools, chọn Extensions, cửa sổ Extensions mở ra.

pgp_enigmail.png

Để cài đặt Enigmail Extension, chọn Install. Cửa sổ đường dẫn hiện ra. Trỏ đường dẫn tới file Enigmail Extension mà ta vừa tải về rồi chọn Open.

pgp_enigmailselectextension.png
Cửa sổ xác nhận hiện ra, nễu muốn cài đặt, chọn Install Now

pgp_enigmailinstall.png

Quá trình cài đặt thành công và trên menu của Thunderbird xuất hiện thêm menu OpenPGP

pgp_openpgp.png
(Còn tiếp)


14/07/2008
Click to see real sizeSỬ DỤNG OPENPGP
Điều kiện để có thể mã hóa PGP thư điện tử trước khi gửi đi đó là người nhận phải có khóa công khai (public key) . Khóa này được sử dụng để mã hóa nội dung thư điện tử.
Điều kiện để có thể ký chữ ký điện tử vào thư điện tử trước khi gửi đi đó là người gửi phải có cặp khóa: khóa riêng tư (private key) – được dùng để ký và khóa công khai được dùng để người nhận giải mã chữ ký.

Vì vậy điều kiện để hai người có thể trao đổi thư điện tử với nhau thông qua mã hóa PGP đó là mỗi người phải có một cặp khóa (public key và private key). Có một số chương trình cho phép tạo ra các cặp khóa nay như PGP Desktop, PGP Freeware,… Enigmail cũng hỗ trợ người sử dụng tự tạo ra một cặp khóa.

Quản lý khoá
Vào menu OpenPGP/Key Management, cửa sổ Open Key Management hiện ra

keymanage.png

Tạo khoá
• Vào menu Generate/New Key Pair, cửa sổ Generate OpenPGP Key hiện ra

taokhoa.png

• Trong mục Account/User ID, chọn tài khoản thư điện tử sẽ sử dụng cặp khóa này.
• Trong mục Passpharse và Passpharse(repeat) nhập các ký tự sẽ đại diện cho private key.Có thể chọn No Passpharse nếu không muốn dùng
• Trong mục Key expiry, chọn khoảng thời gian tồn tại của cặp khóa.
• Để chọn thuật toán mã hóa/giải mã, chọn tab Advanced rồi điền các thông tin cần thiết. Đặt mặc định nếu không muốn thay đổi

creatphase.png

• Chọn Generate key, cửa sổ xác nhận hiện ra, kiểm tra lại thông tin rồi chọn Yes. Quá trình tạo cặp khóa sẽ diễn ra trong một khoảng thời gian.

creatphaseii.png

• Trước khi kết thúc quá trình tạo khóa, chương trình sẽ đề nghị xem có tạo ra một Revocation Certificate không. Thành phần này được sử dụng khi mất private key mà muốn thu hồi public key. Nếu chấp nhận chọn Yes.

creatphaseiii.png

• Một cửa sổ Save hiện ra để ghi lại file được dùng khi thu hồi khóa, chọn Save. Chọn OK khi cần thiết.
Quản lý danh sách máy chủ (server) khóa
Khi mà người dùng muốn người khác sử dụng public key của mình để gửi email cho mình, họ có thể tải public key của mình lên các máy chủ và thông qua các máy chủ đó đó, những người khác có thể biết được public key của họ.
Hơn nữa, khi người sử dụng muốn gửi thư mã hóa PGP cho một người nào đó, họ có thể thông qua các máy chủ để tìm kiếm public key của người đó.
Trên thế giới có một số máy chủ quản lý các public key cho phép mọi người tìm kiếm, cập nhật public key như ldap://keyserver.pgp.com, pgp.mit.edu,….
Thunderbird+Enigmail cho phép người sử dụng thêm, bớt các máy chủ public key.
• Chọn OpenPGP/Preferences

preference.png

• Trong phần Keyserver(s) nhập thêm máy chủ mà ta sẽ sử dụng, các máy chủ này cách nhau bởi dấu “,”. Ví dụ: ta có thể thêm máy chủ ldap://keyserver.pgp.com.
Import và Export khoá
Để import khoá, vào Keyserver/Search for keys, chọn server, điền thông tin cần tìm hoặc vào chọn File/Import from file…

import-exprot.png

Export khoá cũng làm tương tự.
Sign và Set Trust
Sau khi import/export khoá, chúng ta có thể Sign (Ký) và Set Trust (Thiết lập mức độ tin tưởng) cho các khoá.

sign-trust.png

Refresh và Upload
taokhoa.png

Refresh all public keys: Khi chọn tính năng này, các khoá sẽ được cập nhật bản mới nhất trên.
Upload public keys: Dùng để upload các khoá mà ta đã ký hoặc thiết lập độ tin tưởng.
(Còn tiếp)

14/07/2008
Click to see real sizeMã hóa thư điện tử
• Vào menu OpenPGP hoặc chọn nút OpenPGP trên thanh công cụ
• Đánh dấu chọn Encrypt Message
Mã hóa thư điện tử
• Vào menu OpenPGP hoặc chọn nút OpenPGP trên thanh công cụ
• Đánh dấu chọn Encrypt Message
Chú ý: Để mã hóa được thư điện tử, tài khoản thư điện tử của người nhận phải gắn liền với một public key. Xem phần Import khóa
Nội dung thư điện tử sau khi mã hóa có dạng như sau:

test.png

Khi gửi thư có đính kèm file, enigmail sẽ hiển thị ra cửa sổ yêu cầu xác nhận cách thức gửi.

2.png

Ta nên lựa chọn cách thức thứ 2 (Encrypt each attachment separately and send the message using inline PGP) để mã hóa cả các tệp tin đính kèm và đảm bảo sự tương thích.

Để ký vào thư điện tử
• Vào menu OpenPGP hoặc chọn nút OpenPGP trên thanh công cụ
• Đánh dấu chọn Sign Message
Khi gửi thư đi, enigmail sẽ yêu cầu nhập passpharse để thực hiện chức năng ký vào thư điện tử

3.png

Nội dung thư điện tử sau khi ký có dạng như sau:

4.png

Giải mã thư điện tử
Thường thì chương trình sẽ tự động giải mã nếu enigmail đã lưu private key.

5.png

Nếu chương trình không tự động giải mã ta thực hiện như sau:
• Chọn thư điện tử cần giải mã
• Chọn nút Decrypt trên thanh công cụ hoặc vào menu OpenPGP, chọn Decrypt/Verify
• Nhập passpharse vào hộp hội thoại, chọn OK

6.png

Lúc này ta để ý thấy trạng thái của OpenPGP sẽ là Decrypted message.
Để giải mã tệp tin đính kèm ta ấn chuột phải vào tệp tin đính kèm và chọn Decrypt and Open hoặc Decrypt and Attach

7.png

Tạo các rule
Chọn OpenPGP/Edit Per-Recipient rules

8.png

Chọn Add hoặc Modify, sau đó thêm các tham số cần thiết như các keys mà rule áp dụng, các quy tắc của rule.

9.png

Chú ý: Các rules này áp dụng cho địa chỉ mail nào thì chọn key của mail tương ứng.
TÀI LIỆU THAM KHẢO
http://www.gnupg.org
http://enigmail.mozdev.org
http://wiki.vncert.vn/index.php/H%C6%B0%E1%BB%9Bng_d%E1%BA%ABn_s%E1%BB%AD_d%E1%BB%A5ng_PGP
http://vi.wikipedia.org/wiki/Pretty_Good_Privacy#OpenPGP_v.C3.A0_c.C3.A1c_ph.E1.BA.A7n_m.E1.BB.81
m_d.E1.BB.B1a_tr.C3.AAn_PGP
http://www.dientuvietnam.vn/index.php/component/content/938?task=view
Ngô Việt Anh

Được đăng bởi Lúc