Информационната сигурност е един от най-важните проблеми, пред които е изправен бизнесът днес. Прихващането на имейл може да доведе до сериозни финансови загуби. Правилното използване на сертификатите за сигурност е необходимо, но какви са те и какви точно са ползите от използването им?
Как се изпращат съобщенията по имейл
Когато имейл е „изпратен“, какво означава това? Написано е в източника, изпраща се от един компютър до имейл сървър и оттам се пренасочва към интернет. На теория той ще се разбърква от една точка в друга, докато достигне местоназначението си, и се чете от получателя. Въпреки това, тези точки между тях са потенциално уязвими за така наречената атака „Човек по средата“ – някой, който се преструва, че просто предава съобщението, но в действителност сам го чете или се променя то. Ето защо се използва криптиране.
Как работи криптирането
Има различни видове сертификати, използвани за различни цели или нива на сигурност. По-голямата част от криптирането се основава на стандартен метод на „обществен“ и „частен“ ключ. Всеки, който използва системата, ще има едно от двете: публичен ключ, който всички останали могат да виждат и използват, и частен ключ, до който само вие трябва да имате достъп. Когато имейлът бъде изпратен, той ще бъде криптиран два пъти — веднъж с личния ключ на подателя (например с помощта на S/MIME сертификат) и веднъж с публичния ключ на получателя (който подателят ще знае) – например SSL сертификат. Само частният ключ може да дешифрира публичния ключ и обратно. Това означава, че нападателите на Man in the Middle не трябва да могат да прочетат съобщението (те нямат частния ключ на получателя) и те също няма да могат да променят съобщението (ако го променят, то вече няма да бъде подписано от личния номер на подателя ключ). След това получателят използва два ключа, за да декриптира съобщението, като по този начин проверява, че само истинският подател е могъл да го е криптирал и подписал, както и че никой друг не е могъл да го прочете. Докато математиката, използвана в криптирането, е достатъчно силна, системата е сравнително сигурна и е приета в световен мащаб като стандартна последователност.
Предимства на криптирането на сертификати
В допълнение към очевидните опасения за поверителността (кой би искал случайни непознати да четат имейлите им?), основните предимства са финансови. Прихванатите имейли могат да доведат до това, че конкурентът научи бизнес тайните на компанията, което очевидно би било пагубно. Това от своя страна може да доведе до съдебни дела от хора, използващи системата, които имат разумни очаквания за сигурност в своите комуникации. Освен това сертификатите за сигурност позволяват на компанията да отговаря на основните стандарти за сигурност за съответствие и лицензионни разпоредби. Проверката на самоличността на оригиналния подател чрез S/MIME цифрови подписи е важна по други причини: ако нападателят е успял да имитира изпращач, те биха могли да издават фалшиви директиви или (по-вероятно) да изпращат имейли за измама с фишинг - отваряйки получателя за още по-голяма сигурност уязвимости. Ако получателят вярва, че е отворил имейл от доверен източник, той ще бъде готов да отвори прикачени файлове или да щракне върху връзки, които инсталират вируси на техните компютри, и след като един компютър в мрежата бъде заразен по този начин, опитен хакер може да използва тази опора, за да разшири присъствието си или да контролира много други машини за злонамерени цели.
Докато се насочваме към следващото десетилетие, е по-очевидно от всякога, че информацията трябва да бъде защитена, за да могат хората да се чувстват в безопасност и бизнесът да просперира. Не може да се каже колко щети могат да причинят хакерите в близко бъдеще, а сертификатите за сигурност на имейла са една от няколкото стандартни бизнес практики, с които всеки трябва да се съобразява.