Các đặc điểm và chức năng

2.4Ứng dụng PKI cho an toàn và bảo mật thư điện tử

3.2.2Các đặc điểm và chức năng

3.2.2.1 Đặc điểm

Dựa trên giao diện web.

Hỗ trợ hầu như không giới hạn số lượng người sử dụng và chứng chỉ. Khai bảo người gửi sau khi mã hóa email.

Cài đặt có thể được quy đinh tại gateway, domain và các cấp người dùng. Tự động sao lưu để chia sẻ từ xa ở khoảng thời gian ấn định.

Java, Spring base, dịch vụ có thể dễ dàng thay thế và mở rộng. Có sẵn các gói cho Ubuntu, Debian, RedHat/ Centos

Sẵn sàng để chạy máy ảo Vmware ESX/ESXi/Workstation/Player và HyperV. Phân phối TAR có sẵn cho các hệ thống khác có hỗ trợ java va Postfix.

3.2.2.2 Chức năng

Hỗ trợ chuẩn mã hóa S/MIME [9], [14]: S/MIME3.1 (X.509 [8], RFC 3280)

Cài đặt sẵn CA mà có thể được sử dụng một cách an toàn, phát hành chứng chỉ cho người sử dụng nội bộ và bên ngoài.

Việc chọn chứng chỉ là tự động hoặc thủ công. Chứng chỉ sẽ tự động được lấy từ các email gửi đến. Email gửi đến tự động giải mã.

Chứng chỉ domain (mã hóa các domain với chỉ một chứng chỉ).Hỗ trợ nhiều chứng chỉ cho một người gửi / người nhận.

Danh sách thu hồi chứng chỉ (CRLs) sẽ được tự động tải về (LDAP và HTTP). Danh sách chứng chỉ tin cây (CTLs) có thể sử dụng chứng chỉ danh sách đen hoặc trắng.

S/MIME được hỗ trợ bởi hầu hết các mail client.

S/MIME dựa trên cơ sở hạ tầng khóa công khai (PKI) và sử dụng chứng chỉ X.509 [7]. PKI là công nghệ có thể được sử dụng một cách an toàn trao đổi thông tin qua mạng và không an toàn bằng cách sử dụng mã hóa khóa công khai. PKI sử dụng chứng chỉ X.509 [8] ràng buộc một khóa công khai để nhận dạng.

 S/MIME sử dụng mô hình tin cậy phân cấp

 Nếu cần thiết, DJIGZO sẽ tự động lựa chọn chứng chỉ chính xác cho việc ký và mã hóa dựa trên các quy tắc của PKI. Chứng chỉ có giá trị (tin cậy, không hết hạn, không bị thu hồi) sẽ được tự động sử dụng (xem hình 3.1).

Hình 3.1: Lựa chọn chứng chỉ [9]

Hỗ trợ chuẩn mã hóa email PDF[10]

Mặc dù mã hóa S/MIME là một trong những cách an toàn nhất để mã hóa email, nhưng chuẩn mã hóa S/MIME đòi hỏi người nhận phải sử dụng email client hỗ trợ chuẩn mã hóa S/MIME và người nhận phải có chứng nhận và một khóa riêng. Mặc dù việc cài đặt chứng chỉ và một khóa riêng không quá khó khăn, thậm chí các bước ít hơn khi sử dụng các email gateway được xây dựng chức năng CA. Việc sử dụng S/MIME mã hóa sẽ mất thêm thời gian thiết lập. Đặc biệt yêu cầu có một số thư điện tử cần thiết lập và trao đổi an toàn trong một khoản thời gian dài.

Để thay thể cho mã hóa S/MIME, mã hóa PDF đã được sử dụng. Các chuẩn mã hóa PDF cho phép mã hóa ra một file PDF với mật khẩu. Tập tin được thêm vào PDF và đã được mã hóa rất tốt.Bởi vì hầu hết người dùng thư điện tử đều có một trình đọc PDF cài sẵn, người dùng thư được tử không phải cài đặt hay cấu hình thêm bất kỳ phần mềm nào. Để phù hợp với tình hình, DJIGZO đã làm thêm chức năng mã hóa PDF trong phần mềm.Chúng ta có thể cấu hình DJIGZO để email gửi đi tự động chuyển đổi tất cả các file đính kèm, tài liệu PDF được mã hóa mật khẩu bằng cách sử dụng các kỹ thuật má hóa PDF chuẩn.

Các chế độ mật khẩu khác nhau được hỗ trợ.

 Mã hóa với một mật khẩu được tạo ngẫu nhiên sau đó được gửi bằng tin nhắn SMS đến người nhận.

 Mã hóa với một mật khẩu được tạo ngẫu nhiên sau đó được gửi lại cho người gửi bằng thư điện tử.

 Mã hóa với mật khẩu được tạo ra bằng cách sử dụng thuật toán One Time Password (OTP).

Hình 3.2: Mã hóa PDF [9]

Bằng cách sử dụng một kênh riêng biệt cho việc gửi mật khẩu, mã hóa PDF là khá an toàn giống như mã hóa S/MIME, cung cấp một mật khẩu đủ dài để chịu được các cuộc tấn công. Mã hóa PDF trong DJIGZO là trực quan và dễ dàng và không phải hướng dẫn thêm cho người sử dụng đầu cuối.

Thông điệp được mã hóa như hình 3.1. Tất cả các mail client như Webmail (Gmail, Hotmail..) đều hỗ trợ. Thông điệp này chứa đựng một thông điệp chung dựa trên cài đặt. PDF mã hóa được file đính kèm vào tin nhắn. File PDF có thể được mở với bất kỳ trình đọc PDF nào.

Sau khi giải mã, file PDF sẽ được mở ra bởi người đọc mặc định.PDF sẽ được hiển thị như là một thông điệp email. Tất cả các file đính kèm có thể được truy cập từ cửa sổ tập tin đính kèm (xem hình 3.3). Người nhận có thể trả lời an toàn bằng cách nhấn vào liên kết trả lời PDF. PDF được mã hóa AES-128.

Hình 3.3: Mã hóa thư điên tử với PDF [9]

Các tinh năng DLP

Mail gửi đến có thể được quét vào từ khóa và biểu thức thông thường. (adsbygoogle = window.adsbygoogle || []).push({});

Từ khóa và biểu thức thông thường có thể được quy định tại gateway, domain và các cấp người dùng.

Mã hóa thư điện tử có thể bị bắt buộc khi có một quy tắc phù hợp.

phạm. Quản lý DLP sẽ khai báo khi một quy tắc bị vi phạm, email đó được cách ly. Nếu cho phép, người dùng cơ thể quản lý thư cách ly của họ.

Phần chính của email, file đính kèm và file đính kèm lồng nhau của các loại văn bản ..và các định dạng dựa trên văn bản khác được hỗ trợ.

DLP là tính năng ngăn ngừa một số thông tin nhất định của tổ chức bị mất thông qua email. Những thông tin này được định nghĩa trong cấu hình của hệ thống DLP. Thông thường, là số thẻ tín dụng, số tài khoản ngân hàng, một lượng lớn địa chỉ email hoặc thông tin cá nhân khác trong một thong điệp email, DLP là công cụ như bộ lọc ở đầu ra thư điện tử. DLP có thể là một hệ thống riêng biệt hoặc sản phẩm, hoặc có thể được tích hợp với một sản phẩm khác có liên quan đến thư điện tử hoặc hệ thống. DJIGZO đã tích hợp DLP với Email Encryption Gateway

DLP có thể theo dõi email ở các cấp độ khác nhau:  Nội dung thân email

 Tiêu đề email

 File đính kèm email của các loại khác nhau  File đính kèm lồng nhau của các loại khác nhau

DJIGZO DLP hiện lọc các nội dung thân email, file đính kèm và lồng nhau của văn bản, html, xml hoặc dựa trên văn bản định dạng khác. Lọc file đính kèm của loại pdf, doc, xls, vv sẽ là một phần của một cung cấp trong tương lai của DJIGZO DLP.

DJIGZO Gateway với việc quyét nội dung và virus

Hầu hết các tổ chức cần phải quét tất cả các email gửi đến và gửi đi để kiểm tra virus. Một thiết lập điển hình của Encryption Gateway và máy quét virus có thể được nhìn thấy trong Hình3.4 .

Hình 3.4: Quét virus [9]

DJIGZO với việc quét virus:

1. Thông điệp mã hóa S/MIME được nhận từ internet. 2. DJIGZO gateway giải mã thông điệp.

3. Các thông điệp giải mã được quét virus.

4. Sau khi quét virus tin nhắn được chuyển tiếp sang Zimbra. 5. Người dùng đọc thông điệp.

Một thiết lập nâng cao hơn là yêu cầu khi email được mã hóa trên desktop thì tất cả các email gửi đi phải được quét virus vì chính sách của công ty. Hình 3.4 cho thấy cách mã hóa email gửi đi có thể quét virus.

Hình 3.5: Quét virus với mã hóa [9]

1. Người sử dụng mã hóa thông điệp.

2. Thông điệp mã hóa S / MIME được gửi cho Zimbra.

3. Zimbra gửi thông điệp mã hóa S / MIME đến cổng DJIGZO.

4. Cổng DJIGZO giải mã thông điệp với khóa riêng của người gửi (gateway lưu trữ một bản sao của khóa) và gửi thông điệp giải mã đến trình quét virus.

5. Trình quét virus quét các thông điệp và nếu không có gì, nó sẽ được gửi trở lại cổng DJIGZO.

6. Các cổng DJIGZO lại mã hóa tin nhắn và gửi tin nhắn tới người nhận bên ngoài.

3.2.3Lưu đồ hoạt động hệ thống DJIGZO Gateway

Các sơ đồ sau đây hiển thị chính xác thư điện tử sẽ được xử lý như thế nào bởi DJIGZO [9]:

Hình 3.9: Ký S/MIME [9] 3.3. Một số ưu nhược điểm triển khai DJIGZO

Ưu điểm:

- Chống được nguy cơ truy cập trái phép, giải pháp mã hóa thư điện tử DJIGZO đảm bảo an toàn cho email của chúng ta, bảo vệ thông điệp và chống truy cập trái phép, cả khi thư điện tử đang trên đương đi hoặc đang dừng ở 1 trạm bất kỳ. - Tương thích với các mail server: DJIGZO dựa trên chuẩn MTA để mã hóa và

giải mã email vào ra ở cấp độ gateway. Giải pháp này tương thích với bất kỳ cơ sở hạ tầng email hiện có (mail Exchange, Zimbra, Lotus notes) và hỗ trợ mã hóa S/MIME, mã hóa PDF. (adsbygoogle = window.adsbygoogle || []).push({});

hệ thống dựa trên LINUX và UNIX. Các gói cài đặt có sẵn cho Ubuntu, Debian, Redhat và Centos. Thiết bị sẵn sàng để chạy các máy ảo như VMware, và Hyper-V.

- Tương thích với các cơ sở hạ tầng thư điện tử hiện có: DJIGZO là một máy chủ email MTA với chức năng mã hóa và giải mã email vào ra. Chức năng của DJIGZO như một máy chủ SMTP chung, nó tương thích với bất kỳ cơ sở hạ tầng email hiện có và có thể được đặt trước hoặc sau khi xây dựng các máy chủ email. DJIGZO thường được cài đặt như là một máy chủ “lưu trữ và chuyển tiếp”. Do đó email được lưu trữ tạm thời cho đến khi nó được chuyển tiếp đến đích cuối cùng.

- Tương thích với các mail client: Email được mã hóa, ký số bởi DJIGZO có thể được đọc trong Outlook, Thunderbird, và các mail client khác, cung cấp cho người sử dụng các chứng chỉ thích hợp cài đặt.

- DJIGZO là giải pháp miễn phí, giúp tiết kiệm chi phí triển khai.

- Để tiết kiệm được thời gian và chi phí, thì hệ thống mail gateway an toàn DJIGZO là một lựa chọn tối ưu thay vì ta phải thực hiện mã hóa và ký số trên từng client.

Nhược điểm:

- DJIGZO sử dụng chuẩn mã hóa S/MIME đòi hỏi người nhận sử dụng công cụ email client có hỗ trợ S/MIME và người nhận phải có chứng chỉ và khóa riêng. - Việc sử dụng S/MIME sẽ mất thêm thời gian thiết lập. Trong khi đó chỉ cần một

số thư điện tử được an toàn trong khoảng thời gian nào đó.

3.4 Thiết kế hệ thống thư điện tử an toàn với DJIGZO gateway

Tổng quan về bom thư [3]

Khái niệm PK