Email Security

980 views

Published on

Published in: Automotive
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
980
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
35
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Email Security

  1. 1. Email Security Laleh Tashakori
  2. 2. <ul><li>امروزه پست الکترونیک بعلت سریع ، راحت و ارزان بودن بطور گسترده در ارتباطات روزمره در شبکه مورد استفاده قرار می گیرد . سرویس ایمیل یک سرویس Web Base می باشد که خدمات دهنده هایی مانند یاهو و گوگل اجازه می دهند هرجا که مرورگر وب وجود دارد به ارسال و دریافت ایمیل اقدام شود . در این حین ممکن است نیاز به مسایل امنیتی در ارتباطات ایمیل داشته باشیم مواردی مانند : </li></ul><ul><ul><ul><ul><li>محرمانه ماندن </li></ul></ul></ul></ul><ul><ul><ul><ul><li>حفظ تمامیت و یکپارچگی محتوای ایمیل </li></ul></ul></ul></ul><ul><li>از آنجا که پست الکترونیک بخش مهمی از زندگی ما را در برمی گیرد لازم است با مسایل و مشکلات و خطرات بالقوه امنیتی مربوط به آن آشنا شویم . </li></ul>
  3. 3. An overview of Internet E-mail نحوه عملکر پست الکترونیک
  4. 4. <ul><li>در شکل زیر نمونه ای از یک ارتباط پست الکترونیک در بستر اینترنت مشاهده می شود . </li></ul><ul><li>در این شکل آرون ( دانشجوی CU ) ایمیلی به فلورا ( دانشجوی MIT ) می فرستد . </li></ul><ul><li>مسیر 1: ایمیل به سرور CUHK منتقل می شود . </li></ul><ul><li>مسیر 2: CUHK ایمیل را به سوی سرورهای دیگر در اینترنت هدایت میکند . </li></ul><ul><li>مسیر 3: ایمیل در نهایت به سرور دانشگاه MIT می رسد و فلور با برنامه پست الکترونیک خود آن را می گشاید . </li></ul>
  5. 5. <ul><li>در اینترنت از پروتکلهای مختلفی برای ارسال و دریافت پست الکترونیک استفاده می شود که عبارتند از : </li></ul><ul><li>پروتکل SMTP برای ارسال یا انتقال ایمیل </li></ul><ul><li>پروتکل POP برای دریافت ایمیل </li></ul><ul><li>پروتکل IMAP جهت دسترسی به پیام </li></ul>
  6. 6. Secrecy محرمانه ماندن
  7. 7. <ul><li>همانطور که در شکل زیر نشان داده می شود محتوای ایمیل در قالب یک متن ساده در اینترنت منتقل می شود و در قالب یک متن ساده در صندوق پستی ذخیره می شوند . از اینرو ایمیل می تواند به آسانی نمایش داده شود اگر : </li></ul><ul><ul><li>شخصی امکان دسترسی به صندوق پستی را داشته باشد . </li></ul></ul><ul><ul><li>شخصی که از نحوه اتصالات و ارتباطات و جریان اطلاعات در شبکه اطلاع دارد . </li></ul></ul>
  8. 8. Integrity تمامیت
  9. 9. <ul><li>پست الکترونیک در قالب یک متن ساده ذخیره می شود . اگر شخصی امکان دسترسی به پست الکترونیک را در حین ارسال آن داشته باشد می تواند محتوای پست الکترونیک را تغییر دهد بدون آنکه فرستنده یا گیرنده متوجه این تغییر شوند . در این حال هیچ مکانیسم برای حفظ تمامیت پست الکترونیک وجود ندارد . این تمامیت هم مربوط به محتوای پست الکترونیک می شود و هم هویت فرستنده پیام . از آنجاییکه هویت فرستنده پیام در هنگام فرستادن پیام مورد بررسی قرار نمی گیرد هرشخصی می تواند ادعای ارسال آن را داشته باشد . به عبارت دیگر اگر ایمیلی از شخصی دریافت کرده باشیم نمی توانیم مطمئن باشیم که ایمیل حقیقتا توسط شخص مزبور فرستاده شده است . </li></ul>
  10. 10. Solutions for Security Problems in Internet E-mail Provided by ITSC راه حلهایی برای رفع مشکلات امنیتی در حین فرستادن ایمیل در اینترنت بوسیله ITSC
  11. 11. <ul><li>محرمانه ماندن : بسیاری از برنامه های محبوب ایمیل مانند Outlook Express و Netscap از استفاده از پروتکلهای امن تر IMAP و POP امن جهت دریافت و چک کردن ایمیل حمایت می کنند . این پروتکلها باعث افزایش محرمانه ماندن محتوای ایمیل با رمزنگاری در هنگام انتقال از Mail Server به کاربر می شود . شکل زیر فرایند انتقال داده های رمزنگاری شده بین فرستنده و گیرنده را نشان می دهد . </li></ul>
  12. 12. <ul><li>جدول زیر خلاصه ای از پشتیبانی برخی از برنامه های پست الکترونیک از IMAP/POP امن را نشان می دهد . </li></ul>Support Secure POP? Support Secure IMAP? No Yes Netscape 6 or above Yes Yes Outlook Express 5.0 or above No No Netscape 4.7 No No Eudora 5.1
  13. 13. <ul><li>تنظیم Outlook Express 5.x برای استفاده از IMAP/POP امن </li></ul><ul><ul><li>نرم افزار Outlook Express را اجرا کرده وارد منوی Tools شده گزینه Accounts را انتخاب می کنیم . </li></ul></ul>
  14. 14. <ul><ul><li>در پنجره گشوده شده وارد سربرگ Mail شده ایمیل آدرس موجود را انتخاب کرده و دکمه Properties را انتخاب می کنیم . </li></ul></ul>
  15. 15. <ul><ul><li>برای فعال کردن IMAP یا POP مراحل زیر را دنبال می کنیم . </li></ul></ul>با انجام این تنظیمات کلیه فعالیتهای پروتکل IMAP و POP به صورت رمزگذاری شده انجام خواهد شد . در این نرم افزار نیازی به گواهی نامه دیجیتال برای چک کردن ایمیل برای اولین بار نمی باشد .
  16. 16. <ul><li>تمامیت : جهت یکپارچگی محتوا و شناسایی هویت کاربر در ارتباطات پست الکترونیک می توان از گواهی نامه های دیجیتال جهت امضای دیجیتال استفاده نمود . برنامه های ایمیا بسیاری وجود دارد که امضای دیجیتال را پشتیبانی می کند از آن جمله میتوان به موارد زیر اشاره کرد : </li></ul><ul><ul><li>Netscape Messenger 4.5 یا بالاتر </li></ul></ul><ul><ul><li>Microsoft Outlook Express 4.0 یا بالاتر </li></ul></ul>
  17. 17. Digital Certificates and keys گواهی نامه های دیجیتال و کلیدها
  18. 18. <ul><li>بسیاری از نرم افزارهای پست الکترونیک این امکان را به کاربرشان می دهند که ایمیل خود را با یک آدرس جعلی ارسال کند . این شیوه ای است که بسیار مورد استفاده Spammer ها قرار می گیرد . برای جلوگیری از این مشکل در سیستم امنیتی دو روش وجود دارد : </li></ul><ul><ul><ul><li>گواهی نامه های دیجیتال SMIME </li></ul></ul></ul><ul><ul><ul><li>PGP </li></ul></ul></ul><ul><li>راه اندازی SMIME بسیار راحتر و کارآمدتر می باشد و امنیت بهتر و راحتر ایجاد می کند . ولی برخی خدمان دهنده های ایمیل مانند Hotmail امکان استفاده از گواهی نامه های دیجیتال را برای ایمیلهای تحت وب نمی دهند . </li></ul>
  19. 19. <ul><li>گواهی نامه ها نقش گذرنامه را ایفا می کنند و دارای دو بخش مهم می باشند </li></ul><ul><ul><ul><li>کلید عمومی </li></ul></ul></ul><ul><ul><ul><li>کلید خصوصی </li></ul></ul></ul><ul><li>این کلیدها با هم کار می کنند تا </li></ul><ul><ul><ul><li>از صحت هویت فرستنده ایمیل مطمئن شویم و بتوانیم به ایمیل دریافتی پاسخ دهیم . </li></ul></ul></ul><ul><ul><ul><li>مطمئن شویم که پیام در حین ارسال تغییر نکرده است . </li></ul></ul></ul><ul><li>امضای دیجیتال بوسیله نرم افزار پست الکترونیک و کلید خصوصی که با هم کار می کنند ایجاد می شود . با استفاده از کلیدهای دیجیتالی می توان پیام را آنچنان رمزگذاری کرد که تنها توسط دریافت کننده مورد نظر قابل خواندن باشد . در واقع کسانی که کلید عمومی مورد استفاده در رمزنگاری را بدانند می توانند با کلید خصوصی خود که مرتبط با آن کلید عمومی باشد پیام را رمزگشایی کند . کلید عمومی معمولا بشکل عمومی منتشر می شود . </li></ul>
  20. 20. <ul><li>ارتباط کلید عمومی و کلید خصوصی مانند قفل و کلید است . در واقع پیامی که با کلید عمومی مرتبط با کلید خصوصی دریافت کننده رمزنگاری شده باشد تنها با کلید خصوصی آن شخص قابل رمزگشایی خواهد بود . </li></ul><ul><li>هنگام ارسال پیام رمزنگاری شده نرم افزار پست الکترونیک فرستنده پیام سه چیز را به گیرنده ارسال می کند : </li></ul><ul><ul><ul><ul><li>پیام </li></ul></ul></ul></ul><ul><ul><ul><ul><li>کلید عمومی گیرنده </li></ul></ul></ul></ul><ul><ul><ul><ul><li>امضای دیجیتال ( یک عدد بسیار بزرگ ) </li></ul></ul></ul></ul><ul><li>اگر نرم افزار پست الکترونیک گیرنده قدیمی باشد و امضای دیجیتال را نشناسد مورد 2 و 3 به عنوان یک پیوست با کاراکترها و اعداد عجیب و غریب ارسال خواهد شد . در این شیوه رمزنگاری از الگوریتمهای ریاضی خاصی استفاده می شود . </li></ul>
  21. 21. <ul><li>هنگامی که دریافت کننده پیام رمزنگاری شده را د ریافت می کند در صندوق پستی خود پیام جدید را مشاهده کرده اگر امضا دیجیتال معتبر باشد پیام به شکل یک ایمیل معمولی نمایان می شود در غیراینصورت در صندوق پستی پیام ” امضای دیجیتال معتبر نمی باشد ” نمایان خواهد شد . الگوریتمهای ریاضی مورد استفاده در رمزنگاری با مجموعه از اعداد که بشکل کاملا تصادفی ایجاد شده و منحصر بفرد می باشند کار می کنند بنابراین احتمال جعل آنها چیزی نزدیک به صفر است . دسترسی به گواهی های دیجیتال محدود به فرد یا افراد درخواست کننده می باشد که به آدرس ایمیل آنها ارسال می شود . این گواهی ها توسط سازمانهایی به نام Certificate Authorities صادر می شود . </li></ul><ul><li>استاندارد SMIME توسط نرم افزارهای Netscape Messenger ، Mozilla ، Thunderbird و Outlook Express پشتیبانی می شود . Eudora از SMIME و PGP پشتیبانی می کند . </li></ul>
  22. 22. Weaknesses of digital keys نقاط ضعف کلیدهای دیجیتال
  23. 23. <ul><li>کلید خصوصی می تواند سرقت شده مورد سوء استفاده قرار گیرد . </li></ul><ul><li>ممکن صادر کننده گواهی اطلاعات در مورد گواهی را به شخص ثالثی منتقل کرند مثلا یک کپی از کلید خصوصی را برایش ارسال نماید . </li></ul><ul><li>جعل گواهی نامه یا کرک کردن آن ، که با توجه به سطوح امنیتی حاضر این امر عملا غیرممکن است . </li></ul><ul><li>امضاهای دیجیتال بسیار قابل حمل تر و معتبرتر از آدرس برگشت است زیرا جعل آن بسیار دشوار است به همین دلیل در صورت سرقت گواهی دیجیتال بهترین کار اقدام جهت توقف اعتبار گواهی سرقت شده و اقدام جهت اخذ گواهی جدید است . </li></ul>
  24. 24. <ul><li>نحوه انتشار کلید عمومی مشکل دیگر است . </li></ul><ul><li>برخی از نرم افزارهای قدیمی پست الکترونیک امضاء دیجیتال را نمی شناسد و آن را بصورت یک فایل پیوست نامفهوم شناسایی می کند . </li></ul><ul><li>مشکل ارسال ایمیلهای ناشناس در این روش هنوز قابل حل نیست . مثلا اگر شخصی آدرس ایمیلی را بیابد یا کلید عمومی شخصی را داشته باشد می تواند به آن پیام ارسال کند بدون آنکه شناسایی شود مانند Spam ها </li></ul>
  25. 25. PGP
  26. 26. <ul><li>یک جایگزین خوب برای SMIME می باشد که دارای امنیت بالایی است و می تواند جهت رمز کردن اسناد مختلف در خارج از محیط اینترنت نیز مورد استفاده قرار گیرد . PGP بطور گسترده جهت رمزنگاری ایمیل مورد استفاده قرار می گیرد که به راحتی می تواند با Internet Explorer ، Eudora و Netscape کار می کند . در محیط ویندوز کاربران براحتی می توانند از PGP محیط Netscape ، Eudora و Outlook استفاده کنند . برای اینکار کافی است به سایت PGPI رفته و آخرین نسخه PGP رایگان را دریافت کنید . PGP بر روی Mozilla و Thunderbird نیز قابل استفاده می باشد . </li></ul>
  27. 27. Mobile email security
  28. 28. <ul><li>امروزه استفاده از تلفن همراه جهت انجام امور روزمره بشکل همگیر درآمده است . به همین دلیل امنیت در انجام امور به شکل موبایل بیش از پیش احساس می شود . در اینجا مکانیزم گوشی های آیفون که یکی از پیشروترین تکنولوژی ها را داراست بیان می کنیم . </li></ul>
  29. 29. <ul><li>آیفونها دارای نرم افزار پست الکترونیک کوچکی به نام Mail.app ساخت شرکت اپل می باشد که می تواند سرویس ایمیل را به تمامی کاربران بشکل کاملا ایمن ارائه دهد . با استفاده از این برنامه می توان به تمامی Account های ایمیل با پشتیبانی پروتکلهای امن IMAP ، POP و SMTP دسترسی داشت . ویژگی خوب این نرم افزار این است که امکان پیکربندی آیفون برای ارتباطات امن وجود دارد . در واقع بطور پیش فرض می توان استفاده از گزینه های SSL/TLS را فعال یا غیرفعال نمود . این قابلیت زمانی مفید خواهد بود که مجبور باشیم از طریق یک شبکه وایرلس ناامن ایمیلمان را چک کنیم . </li></ul>
  30. 30. <ul><li>برنامه ایمیل تست شده آیفون و مرورگر Safari آن از الگوریتم رمزنگاری AES 128-bit برای اتصال به Mail Server و Web Server استفاده می کند . البته استفاده از این الگوریتم مطلق نیست بلکه براساس طول کلید مورد نیاز ممکن است از AES 256-bit نیز استفاده شود مانند Internet Explorer یا Win XP . البته شرکت اپل برای کاهش هزینه ها و افزایش سرعت در گوشی های آیفون از الگوریتم 128 بیتی استفاده می کند . </li></ul>
  31. 31. <ul><li>از آنجا که آیفون امکان دسترسی به پست الکترونیک را تنها پس از اتصال به پوشه مربوطه بر روی سرور و سپس اتصال از آن پوشه به پست الکترونیک می دهد می توان از سرویسها و خدمات سمت سرور در هنگام استفاده از ایمیل استفاده نمود . نمونه ای از این سرویسها عبارتند از : </li></ul><ul><ul><ul><li>امکان استفاده از فیلترینگ پایه برای ویروسها و Spam ها </li></ul></ul></ul><ul><ul><ul><li>امکان استفاده از فیلترینگ سفارشی شده سمت سرور </li></ul></ul></ul><ul><ul><ul><li>ساخت آرشیو از پیامهای دریافتی </li></ul></ul></ul><ul><ul><ul><li>امکان رمزگشایی خودکار PGP یا رمزنگاری SMIME پیامها </li></ul></ul></ul><ul><ul><ul><li>پاسخ خودکار و نامحدود به پیامها </li></ul></ul></ul><ul><ul><ul><li>ساخت نسخه پشتیبان از ایمیلهای دریافتی و ایمیلهای ذخیره شده بر روی سرور </li></ul></ul></ul>
  32. 32. Encryption
  33. 33. Digital Signature Public Key Private Key Public Key can be distributed Private Key should be secret PKI Public Key Infrustracture
  34. 34. Encryption رمزگذاری با استفاده ازکليد عمومی (Encrypted) رمزگذاری شده رمز گشايی بااستفاده از کليد خصوصی
  35. 35. Certification فرستنده پيام را امضاء می کند معتبر بودن امضاء مورد بررسی قرار مي گيرد
  36. 36. None Secure Model Bob John Hacker نفوذ گر می تواند : - نامه ارسالی را بخواند . - محتوای آن را تغيير دهد . Receiving ارسال ايميل changing Re-sending
  37. 37. Secure Model Bob Hacker John - ” جان“ ايميل ارسالی را بدون تغيير دريافت ميکند . - کليد عمومی باب را دريافت ميکند . - ايميل را توسط کليد خصوصی خود باز می کند . - مي تواند نامه امضاء و رمزگذاری شده برای ”باب“ ارسال کند . ارسال ايميل ايميل توسط کليد خصوصی باب امضاء شده است . ايميل توسط کليد عمومی جان امضاء شده است . - نفوذگرنامه ارسالی را ناخوانا می بيند چون او کليد خصوصی ”جان“ ( دريافت کننده ) را در اختيار ندارد . - نفوذ گر نميتواند نامه امضاء شده ارسال کند چون او کليد خصوصی ”باب“ ( فرستنده ) را ندارد .
  38. 38. نمی تواند نامه را بخواند زيرا نامه با کليد عمومی او رمزگذاری نشده است . A Signed by His Private Key B C D E F Encrypted by B,C,D,F Public Key
  39. 39. Server
  40. 40. ISP Yahoo login page Client DNS server Router Yahoo mail server
  41. 41. Yahoo fake login page ISP Client DNS server Router Yahoo mail server Yahoo fake server
  42. 42. Data Exchanging User name : -- Password : --- Catch user Confidential Information User name : administrator Password : =44gtfDs43 Can affect information <ul><li>Changing Password </li></ul><ul><li>Using the account Resources </li></ul>None Secure Model Client Server Sniffer Can see the screen http session pocket
  43. 43. Data Exchanging Secure Model Can not read data because he doesn’t have the server’s private key . Client Sniffer https session pocket Server
  44. 44. مواردی که در زمان ورود کاربر به يک شبکه امن مورد بررسي قرار مي گيرد . معتبر بودن صادر کننده گواهينامه درصورتيکه صادر کننده گواهينامه معتبر نباشد پيام خطا نمايش داده ميشود تاريخ اعتبار در صورت گذشتن از زمان تاريخ اعتبار گواهينامه عدم اعتبار آن به کاربر اعلام ميشود استفاده کننده نام سايت استفاده کننده بايستی با نام مندرج در گواهينامه يکسان باشد در غير اينصورت پيغام خطا داده مي شود
  45. 45. نمونه ای از گواهينامه غير معتبر
  46. 46. نمونه ای از گواهينامه معتبر

×