Денис Колисниченко - Анонимность и безопасность в Интернете. От «чайника» к пользователю
✓ не все почтовые клиенты позволяют явно указать прокси-сервер. Приходится указывать общесистемные параметры прокси-сервера, что не всегда удобно – ведь в 99 % случаев не нужно торифицировать весь трафик. Проще сменить почтовый клиент.
5.1.3. Способ 3: криптография с открытым ключом
Если первые два способа практически не требовали во что-либо вникать: указал параметры прокси-сервера, изменил настройки почтовой программы, и на этом все, то здесь начинается высшая математика. Еще бы – сейчас мы рассмотрим криптографию с открытым ключом. И не беспокойтесь – я попробую изложить этот вопрос максимально доступно, дабы все читатели смогли воспользоваться моими рекомендациями на практике.
Прежде всего, вам нужно создать два ключа: открытый (публичный, public key) и закрытый (приватный, личный, private key). Как это сделать? Разберемся чуть позже, а пока читайте дальше.
Открытый ключ надо разместить в открытых источниках – например, на вашем сайте или в блоге в разделе контактной информации. Закрытый – тайна за семью печатями, его нельзя кому-либо сообщать или где-нибудь публиковать.
Представим, что Вася Пупкин собирается отправить вам сообщение, но при этом желает зашифровать его так, чтобы расшифровать сообщение смогли только вы. Для этого он берет ваш публичный ключ и шифрует сообщение с его помощью. После чего отправляет зашифрованное публичным ключом сообщение вам.
Вы получаете сообщение в зашифрованном виде и для его расшифровки используете свой приватный (закрытый) ключ. Теперь вы поняли, почему приватный ключ нужно хранить как зеницу ока? Ведь если он попадет кому-то чужому, тот сможет прочитать адресованные вам зашифрованные сообщения.
Ключи также можно использовать для электронной подписи ваших сообщений – чтобы получатель мог точно убедиться, что сообщение было послано именно вами, а не злоумышленником от вашего имени.
Итак, с помощью криптографии с открытым ключом мы решаем сразу несколько проблем:
✓ подписываем свои сообщения электронной подписью, и получатель сможет убедиться, что сообщение отправили именно вы, а не кто-то другой;
✓ шифруем отправляемые сообщения так, что расшифровать их сможет только адресат;
✓ получаем зашифрованные сообщения, написанные другими пользователями с использованием нашего открытого ключа;
✓ нам нет нужды заботиться о поддержке почтовым сервером безопасных соединений. Если таковые поддерживаются, их можно использовать в качестве дополнительной защиты, а если нет, то криптография с открытым ключом – чуть ли не единственный способ передачи зашифрованных сообщений;
✓ даже если кто-то перехватит ваше сообщение (не важно где – или по пути на сервер, или на самом сервере), прочитать он его не сможет, поскольку у него нет вашего приватного ключа.
Итак, криптография с открытым ключом – самый надежный способ защиты корреспонденции. Но есть в нем и некоторое неудобство. В частности все ваши адресаты должны тоже создать ключи, необходимые для шифрования и расшифровки сообщений, и пользоваться ими в переписке постоянно, иначе никакого толку не будет. Судите сами – вы отправляете сообщение с шифрованием, а вам отвечают без шифрования, да еще и с цитированием. В результате вся переписка видна невооруженным глазом…
Можно комбинировать все три способа: использовать криптографию, безопасные соединения и Tor. Впрочем, последний пригодится, если вам нужно не только шифрование, но и анонимность. Поскольку первый и третий способы не подразумевают смену IP-адреса, в отсутствие Tor сообщения будут ходить зашифрованными, но будет видно, кто их получает и кто отправляет.
Ну, хватит теории, пора приступить к практической реализации описанных способов защиты почтовых отправлений.
5.2. Использование безопасных соединений
Выберите сервер, поддерживающий безопасные соединения. Помня о "плохом админе", не стоит выбирать локальный корпоративный сервер или почтовик провайдера. Лично я использую cервис Mail.ru, и мне его вполне достаточно (алгоритм шифрования RSA с ключом 2048 битов). Осталось только настроить почтовый клиент.
5.2.1. Настройка The Bat!
Начну с The Bat! – моего любимого почтового клиента для Windows.
Примечание
Я понимаю, что использовать в таком режиме The Bat! не вполне не рационально – ведь код этой программы закрыт. И хотя 100-процентную гарантию никто дать не может, "черных дыр" в ней, вроде бы, не замечено.
Из меню Ящик выберите команду Новый почтовый ящик. Введите название создаваемого почтового ящика и нажмите кнопку Далее (рис. 5.1).
Далее введите ваш e-mail и название организации, если настраиваете рабочий электронный адрес (рис. 5.2).
Далее в качестве сервера для получения почты укажите pop.mail.ru, в качестве SMTP-сервера (отправка почты): smtp.mail.ru. Установите флажок Мой сервер SMTP требует аутентификации. В общем, все параметры следует установить, как показано на рис. 5.3.
Рис. 5.1. Создание нового почтового ящика в The Bat!
Рис. 5.2. Вводим реквизиты e-mail
Рис. 5.3. Параметры серверов для Mail.ru
Рис. 5.4. Имя пользователя и пароль для доступа к почтовому ящику
Рис. 5.5. Нужно проверить остальные параметры почтового ящика
Рис. 5.6. Теперь ваш почтовый ящик использует безопасные соединения
Укажите имя пользователя и пароль для доступа к почтовому ящику (рис. 5.4).
Вы только что создали самый обычный ящик, который не использует безопасные соединения, поэтому укажите программе, что хотите проверить остальные параметры почтового ящика (рис. 5.5).
В открывшемся окне перейдите в раздел Транспорт и измените параметры соединения. В качестве обоих параметров Соединение (в группахОтправка почты и Получение почты) выберите значение Безопасное на спец. порт (TLS). В качестве номеров портов укажите 465 и 995 соответственно (рис. 5.6).
Примечание
В руководстве по настройке The Bat! от Mail.Ru (см. http://help.mail.ru/mail-help/mailer/tb) предлагается использовать соединение Безопасное на станд. порт (STARTTLS). Однако я рекомендую выбрать соединение на специальный порт. Во-первых, соединение STARTTLS использует стандартные порты 25 (отправка) и 110 (получение почты), но эти порты часто бывают перегруженными. А после того, как я перешел на специальные порты, у меня пропали проблемы с отправкой и получением почты. Во-вторых, стандартные порты чаще всего прослушиваются злоумышленниками. Специальные же порты прослушиваются реже.
Жаль, что сервер Mail.Ru не поддерживает безопасную аутентификацию при отправке/получении почты – тогда можно было бы точно спать спокойно и даже не прибегать к использованию Tor. Впрочем, в 90 % случаев безопасного TLS-соединения для обычного пользователя вполне достаточно.
5.2.2. Настройка Mozilla Thunderbird
Теперь рассмотрим настройку другой программы – Mozilla Thunderbird. Эту программу использовать предпочтительнее по двум причинам. Во-первых, Thunderbird – это открытое программное обеспечение, и в нем точно нет "черного хода" (подробнее об этом мы поговорим в главе 12). Во-вторых, в настройках Thunderbird можно явно установить имя прокси-сервера, что позволит легко "подружить" эту программу с Tor, что и было показано в главе 2.
Примечание
Кстати, в настройках The Bat! я не нашел возможности установки прокси-сервера. Приходится устанавливать общесистемный прокси, а это не очень удобно, поскольку тогда все программы с настройками по умолчанию станут использовать Tor, что нужно не всегда – ведь анонимность требуется при работе не со всеми сетевыми приложениями, да и создадут такие настройки ненужную нагрузку на сеть Tor.
Так что, если вы планируете использовать безопасные соединения вместе с Tor, лучше установите Thunderbird. The Bat! же кажется более удобной только тем, кто несколько лет с ней работал, – просто дело привычки.
Итак, выберите в Thunderbird команду Файл | Создать | Учетную запись. В открывшемся окне выберите Учетная запись электронной почты (рис. 5.7). Затем введите свое имя и адрес электронной почты (рис. 5.8).
Следующие два шага – это ввод сервера получения почты (рис. 5.9) и имени пользователя (рис. 5.10). Пароль к почтовому ящику на данном этапе не вводится.
Рис. 5.7. Создание новой учетной записи
Рис. 5.8. Имя и адрес электронной почты
Рис. 5.9. Сервер получения почты
Рис. 5.10. Имя пользователя