1. Email Security LalehTashakori

2. امروزه پست الکترونیک بعلت سریع ، راحت و ارزان بودن بطور گسترده در ارتباطات روزمره در شبکه مورد استفاده قرار می گیرد.سرویس ایمیل یک سرویس Web Baseمی باشد که خدمات دهنده هایی مانند یاهو و گوگل اجازه می دهند هرجا که مرورگر وب وجود دارد به ارسال و دریافت ایمیل اقدام شود .در این حین ممکن است نیاز به مسایل امنیتی در ارتباطات ایمیل داشته باشیم مواردی مانند : محرمانه ماندن حفظ تمامیت و یکپارچگی محتوای ایمیل از آنجا که پست الکترونیک بخش مهمی از زندگی ما را در برمی گیرد لازم است با مسایل و مشکلات و خطرات بالقوه امنیتی مربوط به آن آشنا شویم .

3. An overview of Internet E-mail

4. در شکل زیر نمونه ای از یک ارتباط پست الکترونیک در بستر اینترنت مشاهده می شود . در این شکل آرون(دانشجوی CU) ایمیلی به فلورا (دانشجوی MIT) می فرستد . مسیر 1: ایمیل به سرور CUHK منتقل می شود . مسیر 2: CUHK ایمیل را به سوی سرورهای دیگر در اینترنت هدایت میکند . مسیر 3: ایمیل در نهایت به سرور دانشگاه MIT می رسد و فلور با برنامه پست الکترونیک خود آن را می گشاید .

5. در اینترنت از پروتکلهای مختلفی برای ارسال و دریافت پست الکترونیک استفاده می شود که عبارتند از : پروتکل SMTP برای ارسال یا انتقال ایمیل پروتکل POP برای دریافت ایمیل پروتکل IMAP جهت دسترسی به پیام

6. Secrecy

7. همانطور که در شکل زیر نشان داده می شود محتوای ایمیل در قالب یک متن ساده در اینترنت منتقل می شود و در قالب یک متن ساده در صندوق پستی ذخیره می شوند .از اینرو ایمیل می تواند به آسانی نمایش داده شود اگر : شخصی امکان دسترسی به صندوق پستی را داشته باشد. شخصی که از نحوه اتصالات و ارتباطات و جریان اطلاعات در شبکه اطلاع دارد.

8. Integrity

9. پست الکترونیک در قالب یک متن ساده ذخیره می شود.اگر شخصی امکان دسترسی به پست الکترونیک را در حین ارسال آن داشته باشد می تواند محتوای پست الکترونیک را تغییر دهد بدون آنکه فرستنده یا گیرنده متوجه این تغییر شوند. در این حال هیچ مکانیسم برای حفظ تمامیت پست الکترونیک وجود ندارد .این تمامیت هم مربوط به محتوای پست الکترونیک می شود و هم هویت فرستنده پیام .از آنجاییکه هویت فرستنده پیام در هنگام فرستادن پیام مورد بررسی قرار نمی گیرد هرشخصی می تواند ادعای ارسال آن را داشته باشد .به عبارت دیگر اگر ایمیلی از شخصی دریافت کرده باشیم نمی توانیم مطمئن باشیم که ایمیل حقیقتا توسط شخص مزبور فرستاده شده است .

10. Solutions for Security Problems in Internet E-mail Provided by ITSC

11. محرمانه ماندن : بسیاری از برنامه های محبوب ایمیل مانند OutlookExpress و Netscap از استفاده از پروتکلهای امن تر IMAP و POP امن جهت دریافت و چک کردن ایمیل حمایت می کنند . این پروتکلها باعث افزایش محرمانه ماندن محتوای ایمیل با رمزنگاری در هنگام انتقال از Mail Serverبه کاربر می شود .شکل زیر فرایند انتقال داده های رمزنگاری شده بین فرستنده و گیرنده را نشان می دهد .

12. جدول زیر خلاصه ای از پشتیبانی برخی از برنامه های پست الکترونیک از IMAP/POP امن را نشان می دهد .

13. تنظیم Outlook Express 5.xبرای استفاده از IMAP/POP امن نرم افزار Outlook Expressرا اجرا کرده وارد منوی Tools شده گزینه Accounts را انتخاب می کنیم .

14. در پنجره گشوده شده وارد سربرگ Mail شده ایمیل آدرس موجود را انتخاب کرده و دکمه Properties را انتخاب می کنیم .

15. برای فعال کردن IMAP یا POP مراحل زیر را دنبال می کنیم. با انجام این تنظیمات کلیه فعالیتهای پروتکل IMAP و POP به صورت رمزگذاری شده انجام خواهد شد.در این نرم افزار نیازی به گواهی نامه دیجیتال برای چک کردن ایمیل برای اولین بار نمی باشد .

16. تمامیت : جهت یکپارچگی محتوا و شناسایی هویت کاربر در ارتباطات پست الکترونیک می توان از گواهی نامه های دیجیتال جهت امضای دیجیتال استفاده نمود.برنامه های ایمیا بسیاری وجود دارد که امضای دیجیتال را پشتیبانی می کند از آن جمله میتوان به موارد زیر اشاره کرد : Netscape Messenger 4.5 یا بالاتر Microsoft Outlook Express 4.0یا بالاتر

17. Digital Certificates and keys

18. بسیاری از نرم افزارهای پست الکترونیک این امکان را به کاربرشان می دهند که ایمیل خود را با یک آدرس جعلی ارسال کند.این شیوه ای است که بسیار مورد استفاده Spammer ها قرار می گیرد.برای جلوگیری از این مشکل در سیستم امنیتی دو روش وجود دارد : گواهی نامه های دیجیتال SMIME PGP راه اندازی SMIME بسیار راحتر و کارآمدتر می باشد و امنیت بهتر و راحتر ایجاد می کند .ولی برخی خدمان دهنده های ایمیل مانند Hotmail امکان استفاده از گواهی نامه های دیجیتال را برای ایمیلهای تحت وب نمی دهند .

21. مطمئن شویم که پیام در حین ارسال تغییر نکرده است.

23. هنگامی که دریافت کننده پیام رمزنگاری شده را د ریافت می کند در صندوق پستی خود پیام جدید را مشاهده کرده اگر امضا دیجیتال معتبر باشد پیام به شکل یک ایمیل معمولی نمایان می شود در غیراینصورت در صندوق پستی پیام ” امضای دیجیتال معتبر نمی باشد ” نمایان خواهد شد . الگوریتمهای ریاضی مورد استفاده در رمزنگاری با مجموعه از اعداد که بشکل کاملا تصادفی ایجاد شده و منحصر بفرد می باشند کار می کنند بنابراین احتمال جعل آنها چیزی نزدیک به صفر است . دسترسی به گواهی های دیجیتال محدود به فرد یا افراد درخواست کننده می باشد که به آدرس ایمیل آنها ارسال می شود.این گواهی ها توسط سازمانهایی به نام Certificate Authoritiesصادر می شود . استاندارد SMIME توسط نرم افزارهای Netscape Messenger، Mozilla ، Thunderbird و Outlook Expressپشتیبانی می شود .Eudora از SMIME و PGP پشتیبانی می کند .

24. Weaknesses of digital keys

25. کلید خصوصی می تواند سرقت شده مورد سوء استفاده قرار گیرد . ممکن صادر کننده گواهی اطلاعات در مورد گواهی را به شخص ثالثی منتقل کرند مثلا یک کپی از کلید خصوصی را برایش ارسال نماید. جعل گواهی نامه یا کرک کردن آن ، که با توجه به سطوح امنیتی حاضر این امر عملا غیرممکن است . امضاهای دیجیتال بسیار قابل حمل تر و معتبرتر از آدرس برگشت است زیرا جعل آن بسیار دشوار است به همین دلیل در صورت سرقت گواهی دیجیتال بهترین کار اقدام جهت توقف اعتبار گواهی سرقت شده و اقدام جهت اخذ گواهی جدید است.

26. نحوه انتشار کلید عمومی مشکل دیگر است. برخی از نرم افزارهای قدیمی پست الکترونیک امضاء دیجیتال را نمی شناسد و آن را بصورت یک فایل پیوست نامفهوم شناسایی می کند. مشکل ارسال ایمیلهای ناشناس در این روش هنوز قابل حل نیست.مثلا اگر شخصی آدرس ایمیلی را بیابد یا کلید عمومی شخصی را داشته باشد می تواند به آن پیام ارسال کند بدون آنکه شناسایی شود مانند Spam ها

27. PGP

28. یک جایگزین خوب برای SMIME می باشد که دارای امنیت بالایی است و می تواند جهت رمز کردن اسناد مختلف در خارج از محیط اینترنت نیز مورد استفاده قرار گیرد.PGP بطور گسترده جهت رمزنگاری ایمیل مورد استفاده قرار می گیرد که به راحتی می تواند با Internet Explorer ، Eudora و Netscape کار می کند .در محیط ویندوز کاربران براحتی می توانند از PGP محیط Netscape ، Eudora و Outlook استفاده کنند. برای اینکار کافی است به سایت PGPI رفته و آخرین نسخه PGP رایگان را دریافت کنید .PGP بر روی Mozilla وThunderbird نیز قابل استفاده می باشد.

29. Mobile email security

30. امروزه استفاده از تلفن همراه جهت انجام امور روزمره بشکل همگیر درآمده است .به همین دلیل امنیت در انجام امور به شکل موبایل بیش از پیش احساس می شود . در اینجا مکانیزم گوشی های آیفون که یکی از پیشروترین تکنولوژی ها را داراست بیان می کنیم.

31. آیفونها دارای نرم افزار پست الکترونیک کوچکی به نام Mail.app ساخت شرکت اپل می باشد که می تواند سرویس ایمیل را به تمامی کاربران بشکل کاملا ایمن ارائه دهد .با استفاده از این برنامه می توان به تمامی Account های ایمیل با پشتیبانی پروتکلهای امن IMAP ، POP و SMTP دسترسی داشت .ویژگی خوب این نرم افزار این است که امکان پیکربندی آیفون برای ارتباطات امن وجود دارد . در واقع بطور پیش فرض می توان استفاده از گزینه های SSL/TLSرا فعال یا غیرفعال نمود . این قابلیت زمانی مفید خواهد بود که مجبور باشیم از طریق یک شبکه وایرلس ناامن ایمیلمان را چک کنیم .

32. برنامه ایمیل تست شده آیفون و مرورگر Safari آن از الگوریتم رمزنگاری AES 128-bitبرای اتصال به Mail Serverو Web Serverاستفاده می کند . البته استفاده از این الگوریتم مطلق نیست بلکه براساس طول کلید مورد نیاز ممکن است از AES 256-bitنیز استفاده شود مانند Internet Explorer یا Win XP.البته شرکت اپل برای کاهش هزینه ها و افزایش سرعت در گوشی های آیفون از الگوریتم 128 بیتی استفاده می کند .

33. از آنجا که آیفون امکان دسترسی به پست الکترونیک را تنها پس از اتصال به پوشه مربوطه بر روی سرور و سپس اتصال از آن پوشه به پست الکترونیک می دهد می توان از سرویسها و خدمات سمت سرور در هنگام استفاده از ایمیل استفاده نمود . نمونه ای از این سرویسها عبارتند از : امکان استفاده از فیلترینگ پایه برای ویروسها و Spam ها امکان استفاده از فیلترینگ سفارشی شده سمت سرور ساخت آرشیو از پیامهای دریافتی امکان رمزگشایی خودکار PGP یا رمزنگاری SMIME پیامها پاسخ خودکار و نامحدود به پیامها ساخت نسخه پشتیبان از ایمیلهای دریافتی و ایمیلهای ذخیره شده بر روی سرور

34. Encryption

35. Digital Signature Public Key Private Key Private Key should be secret PKIPublic Key Infrustracture Public Key can be distributed

36. Encryption رمزگذاری با استفاده ازکليد عمومی رمز گشايی بااستفاده از کليد خصوصی (Encrypted) رمزگذاری شده

37. Certification معتبر بودن امضاء مورد بررسی قرار مي گيرد فرستنده پيام را امضاء می کند

38. ارسال ايميل Re-sending changing None Secure Model Receiving Bob John نفوذ گر می تواند : - نامه ارسالی را بخواند . - محتوای آن را تغيير دهد . Hacker

39. ارسال ايميل ايميل توسط کليد خصوصیباب امضاء شده است. ايميل توسط کليد عمومیجان امضاء شده است. - نفوذگرنامه ارسالی را ناخوانا می بيند چون او کليد خصوصی ”جان“(دريافت کننده) را در اختيار ندارد . - نفوذ گر نميتواند نامه امضاء شده ارسال کند چون او کليد خصوصی ”باب“ (فرستنده)را ندارد . Secure Model Bob John - ”جان“ ايميل ارسالی را بدون تغيير دريافت ميکند . - کليد عمومی باب را دريافت ميکند . - ايميل را توسط کليد خصوصی خود باز می کند . - مي تواند نامه امضاء و رمزگذاری شده برای ”باب“ ارسال کند. Hacker

40. Signed by His Private Key A Encrypted by B,C,D,F Public Key B C D E F نمی تواند نامه را بخواند زيرا نامه باکليد عمومی او رمزگذاری نشده است .

41. Server

42. Router DNS server Client Yahoo mail server ISP Yahoo login page

43. Router DNS server Client Yahoo mail server Yahoo fake server ISP Yahoo fake login page

46. مواردی که در زمان ورود کاربر به يک شبکه امن مورد بررسي قرار مي گيرد . معتبر بودن صادر کننده گواهينامه درصورتيکه صادر کننده گواهينامه معتبر نباشد پيام خطا نمايش داده ميشود تاريخ اعتبار در صورت گذشتن از زمان تاريخ اعتبار گواهينامه عدم اعتبار آن به کاربر اعلام ميشود استفاده کننده نام سايت استفاده کننده بايستی با نام مندرج در گواهينامه يکسان باشد در غير اينصورت پيغام خطا داده مي شود

47. نمونه ای از گواهينامه غير معتبر

48. نمونه ای از گواهينامه معتبر