Varnost informacij je eno najpomembnejših vprašanj, s katerimi se danes soočajo podjetja. Prestrezanje elektronske pošte lahko povzroči resno finančno izgubo. Ustrezna uporaba varnostnih potrdil je nujna, kaj pa so in kakšne so prednosti njihove uporabe?
Kako se sporočila pošiljajo po e-pošti
Ko je e-poštno sporočilo »poslano«, kaj to pomeni? Napisano je pri viru, poslano iz enega računalnika na e-poštni strežnik, od tam pa je usmerjeno v internet. Teoretično bo premeščen od ene točke do druge, dokler ne doseže cilja, prejemnik pa ga prebere. Vendar pa so te vmesne točke potencialno ranljive za tako imenovani napad "Človek na sredini" - nekdo, ki se pretvarja, da samo posreduje sporočilo, v resnici pa ga bere sam ali se spreminja to. Zato se uporablja šifriranje.
Kako deluje šifriranje
Obstajajo različne vrste potrdil, ki se uporabljajo za različne namene ali stopnje varnosti. Večina šifriranja temelji na standardni metodi »javnega« in »zasebnega« ključa. Vsak, ki uporablja sistem, bo imel eno od obeh: javni ključ, ki ga lahko vidijo in uporabljajo vsi drugi, in zasebni ključ, do katerega bi morali imeti dostop samo vi. Ko je e-poštno sporočilo poslano, bo dvakrat šifrirano – enkrat s pošiljateljevim zasebnim ključem (na primer z uporabo S/MIME certifikat) in enkrat s prejemnikovim javnim ključem (ki ga bo pošiljatelj poznal) – npr. SSL potrdilo. Samo zasebni ključ lahko dešifrira javni ključ in obratno. To pomeni, da napadalci Man in the Middle ne bi smeli prebrati sporočila (nimajo prejemnikovega zasebnega ključa) prav tako ne bodo mogli spremeniti sporočila (če bi ga spremenili, ga ne bi več podpisoval pošiljateljev zasebni ključ). Prejemnik nato uporabi dva ključa za dešifriranje sporočila, s čimer preveri, ali ga je lahko šifriral in podpisal samo pravi pošiljatelj in da ga nihče drug ni mogel prebrati. Dokler je bila matematika, uporabljena pri šifriranju, dovolj močna, je sistem dokaj varen in je po vsem svetu sprejet kot standardno zaporedje.
Prednosti šifriranja potrdil
Poleg očitnih pomislekov glede zasebnosti (kdo bi želel, da naključni neznanci berejo njihovo e-pošto?), so glavne prednosti finančne. Prestrežena e-pošta bi lahko povzročila, da bi se konkurent naučil poslovnih skrivnosti podjetja, kar bi očitno škodilo. To pa bi lahko privedlo do tožb ljudi, ki uporabljajo sistem in imajo razumno pričakovanje varnosti v svojih komunikacijah. Poleg tega varnostni certifikati podjetju omogočajo izpolnjevanje osnovnih standardov varnosti glede skladnosti in predpisov o licenciranju. Preverjanje identitete prvotnega pošiljatelja prek digitalnih podpisov S/MIME je pomembno iz drugih razlogov: če bi napadalec lahko posnemal pošiljatelja, bi lahko izdali lažne direktive ali (bolj verjetno) pošiljali e-poštna sporočila s prevaro z lažnim predstavljanjem – odpirali bi prejemnika za še več varnosti ranljivosti. Če je prejemnik verjel, da je odprl e-pošto iz zaupanja vrednega vira, bi bil pripravljen odpreti priloge ali klikniti povezave, ki namestijo viruse v njegove računalnike, in ko je en sam računalnik v omrežju okužen na ta način, lahko izkušen heker uporabi to oporo, da razširi svojo prisotnost ali nadzoruje številne druge stroje za zlonamerne namene.
Ko gremo v naslednje desetletje, je bolj kot kdaj koli prej očitno, da morajo biti informacije varne, da se ljudje počutijo varne in podjetja uspevajo. Ni mogoče reči, koliko škode bi lahko hekerji povzročili v bližnji prihodnosti, in varnostna potrdila e-pošte so ena od več standardnih poslovnih praks, ki bi jih morali vsi upoštevati.