COMPUTERWORLD - BezpeΦnost pro vÜechny, soukromφ pro ka₧dΘho

Specializovan² t²denφk o v²poΦetnφ technice

Serißl
o bezpeΦnosti
a informaΦnφm soukromφ

╚ßst 43 - CW 9/98

BezpeΦnost poÜty X.400

Jaroslav DoΦkal

Monstr≤znφ, neefektivnφ, komplikovanß, tak se hodnotφ poÜta X.400. A p°esto je stßle pou₧φvanß, p°edevÜφm v rßmci stßtnφch institucφ. Jednφm z d∙vod∙ jsou propracovanΘ bezpeΦnostnφ slu₧by.

Problematika elektronickΘ poÜty mß obecn∞ svou u₧ivatelskou a komunikaΦnφ strßnku. U₧ivatelskou strßnku u X.400 zajiÜ¥ujφ programovΘ moduly UA (User Agent) a volitelnΘ MS (Message Store), komunikaΦnφ strßnku zajiÜ¥ujφ programovΘ moduly MTA (Message Transfer Agent). Vzßjemn∞ propojenΘ moduly MTA vytvß°ejφ tzv. MTS (Message Transfer System). U poÜty X.400 navr₧enΘ v roce 1984 definuje komunikaci mezi moduly MTA protokol oznaΦovan² jako P1, komunikaci mezi u₧ivateli MTS (UA a MS) a vlastnφm MTS definuje protokol P3 a p°φpadnou komunikaci mezi UA a MS protokol P7. Zßkladnφ moduly a protokoly poÜty X.400 vidφte na obr. 1.

Hrozby a protiopat°enφ

U elektronickΘ poÜty existuje 6 typ∙ hrozeb -- modifikace, prozrazenφ, odep°enφ slu₧by, p°edstφrßnφ, zp°ehßzenφ, popφrßnφ.

Modifikace spoΦφvß ve zm∞n∞ obsahu zprßvy b∞hem jejφho p°enosu, v jejφm zruÜenφ, p°φpadn∞ ve zm∞n∞ adresy. Citliv²m mφstem jsou pam∞ti poΦφtaΦ∙ odesφlatele a p°φjemce zprßvy, ale i poΦφtaΦ∙ na trase jejφho p°enosu. Ochranou pro poÜtu X.400 m∙₧e b²t pou₧itφ mechanism∙ DAC (Discretionary Access Control), resp. MAC (Mandatory Access Control) -- viz dφl 25 serißlu.

Prozrazenφ m∙₧e spoΦφvat v neoprßvn∞nΘm p°eΦtenφ zprßvy nebo jejφho zßhlavφ, p°φpadn∞ anal²ze intenzity provozu. NebezpeΦφm jsou zde p°eklepy v adresßch, chyby v konfiguraci sm∞rovacφ tabulky atd. Pro usnadn∞nφ prßce se pou₧φvajφ nap°. seznamy p°φjemc∙ zavedenΘ protokolem X.500, nazvanΘ distribuΦnφ seznamy. Ty mohou b²t znaΦn∞ dlouhΘ, p°φpadn∞ m∙₧e b²t seznam Φßstφ seznamu. P°i Φast²ch zm∞nßch se m∙₧e p°ehlΘdnout, ₧e se do n∞jakΘho seznamu doplnil n∞kdo ne₧ßdoucφ. P°i prßci s citliv²mi daty je n∞kdy lepÜφ jejich pou₧itφ zakßzat.

Odep°enφ slu₧by m∙₧e b²t nap°φklad realizovßno zneu₧itφm prioritnφho systΘmu. StaΦφ generovat dostateΦnΘ mno₧stvφ urgentnφch zprßv a tφm zcela zablokovat p°enos zprßv normßlnφ priority. Zabrßnit tomu lze dvojφm zp∙sobem a to bu∩ p°id∞lenφm prßva nastavovat priority pouze administrßtorovi poÜty, nebo nastavenφm na MTA maximßlnφ hodnoty intenzity urgentnφch zprßv, p°i p°ekroΦenφ je priorita zprßv snφ₧ena z urgentnφ na normßlnφ.

P°edstφrßnφ m∙₧e b²t r∙znΘho typu: u₧ivatele v∙Φi MTA, MTA v∙Φi u₧ivateli Φi jinΘmu MTA, MS v∙Φi UA i UA v∙Φi MS. Nap°φklad u poÜty X.400 mohou b²t souΦßstφ adresy adresß°e, pak lze klamat volbou nßzvu adresß°e shodnΘho s n∞Φφm jmΘnem, nap°. Kabrle. Je t°eba dßvat pozor na to, co vlastn∞ adresa znamenß.

Zp°ehßzenφ zprßv lze uplatnit tehdy, pokud zßle₧φ na jejich po°adφ nebo naΦasovßnφ p°φjmu. Standardn∞ nic nebrßnφ si vzßjemn∞ ruÜit naΦasovßnφ zprßv. Je proto t°eba nastavit prßvo Φasovat sprßvy pouze pro jejich odesilatele.

Popφrßnφ hrozφ u odesφlatele (popφrßnφ odeslßnφ), MTA (popφrßnφ p°edßnφ) i p°φjemce (popφrßnφ p°evzetφ). Nap°φklad se pracovnφkovi poda°φ si z nedostateΦn∞ chrßn∞nΘ doΦasnΘ pam∞ti na disku poΦφtaΦe p°eΦφst zprßvu, kterß mu uklßdß provΘst n∞co, do Φeho se mu nechce. Pak si zprßvu nevyzvedne standardnφm zp∙sobem a bude tvrdit, ₧e ji prost∞ neΦetl. ╪eÜenφm m∙₧e b²t zmφn∞nΘ pou₧itφ mechanism∙ MAC nebo DAC.

BezpeΦnostnφ slu₧by

Ochrana proti bezpeΦnostnφm hrozbßm je zalo₧ena na dozoru administrßtora sφt∞. U rozsßhl²ch sφtφ m∙₧e snadno ztrßcet p°ehled a pak by jeho obavy mohly vΘst ke p°ehnanΘmu omezovßnφ u₧ivatel∙ a p°φpadn∞ i paranoidnφmu chovßnφ. V∞tÜφm nebezpeΦφm ale m∙₧e b²t, pokud nebude schopen sφ¥ uchrßnit proti ·tok∙m nebo ne₧ßdoucφm ·nik∙m informacφ. Proto poslednφ verze poÜty X.400 z roku 1988 zahrnuje ucelenou a propracovanou sadu bezpeΦnostnφch slu₧eb, Φφm₧ se v²razn∞ liÜφ od internetovΘ poÜty, kterß byla p∙vodn∞ zcela otev°enß a veÜkerΘ bezpeΦnostnφ slu₧by jsou do nφ dopl≥ovßny postupn∞.

PoÜta X.400 nynφ definuje 19 slu₧eb, kterΘ d∞lφ do 5 skupin:

KoncovΘ slu₧by (end-to-end):
╖ autentizace p∙vodu zprßvy z hlediska odesilatele,
╖ d∙kaz doruΦenφ,
╖ d∙v∞ryhodnost obsahu,
╖ integrita obsahu,
╖ kontrola po°adφ zprßvy.
Slu₧by cesty zprßvy (hop-by-hop):
╖ autentizace dvojice entit na trase zprßvy (zabra≥uje p°edstφrßnφ),
╖ bezpeΦnostnφ nßv∞Ütφ zprßv (slou₧φ pro podporu mechanism∙ DAC a MAC).
Potvrzovacφ slu₧by MTS:
╖ autentizace p∙vodu zprßvy v rßmci MTS (prov∞°enφ nßv∞Ütφ pro pot°ebu sm∞rovßnφ a doruΦenφ),
╖ autentizace p∙vodu testu,
╖ autentizace p∙vodu hlßÜenφ (zprßva o doruΦenφ Φi nedoruΦenφ zprßvy),
╖ d∙kaz p°evzetφ.
Slu₧by zamezujφcφ popφrßnφ:
╖ zamezenφ pop°enφ odeslßnφ,
╖ zamezenφ pop°enφ p°φjmu,
╖ zamezenφ pop°enφ p°evzetφ.
Slu₧by bezpeΦnostnφho managementu:
╖ v²m∞na kredit∙,
╖ registrace UA u MTA,
╖ registrace UA u MS.
Pro zajiÜt∞nφ bezpeΦnostnφch slu₧eb poÜty X.400 se pou₧φvajφ standardnφ techniky, jako je Üifrovßnφ (obsahu zprßvy, datovΘho pole tokenu atd.), peΦet∞ a digitßlnφ podpisy. Slu₧by poÜty X.400 zde tvo°φ pouh² rßmec pro realizaci a volba konkrΘtnφch algoritm∙, dΘlek klφΦ∙, klφΦovΘho managementu atd. je v∞cφ implementace dan²m v²robcem.

BezpeΦnostnφ slu₧by versus hrozby

KterΘ z hrozeb bezpeΦnostnφ slu₧by poÜty X.400 odstra≥ujφ a kterΘ ne?

Proti modifikaci zprßvy slou₧φ slu₧ba integrity obsahu, ruÜenφ zprßv zabra≥uje slu₧ba kontroly po°adφ zprßvy. Zßm∞n∞ sm∞rovacφ informace a dalÜφm ·tok∙m proti sφ¥ovΘmu managementu zabra≥uje autentizace p∙vodu zprßvy v rßmci MTS.

Proti prozrazenφ zprßvy je zde dostatek opat°enφ: slu₧ba d∙v∞ryhodnosti obsahu, pou₧itφ nßv∞Ütφ i vÜechny slu₧by bezpeΦnostnφho managementu. Chybφ vÜak ochrana proti anal²ze toku zprßv. Anal²zou toku dat lze zjistit °adu zajφmav²ch ·daj∙: kde je centrßlnφ server, jakΘ jsou mo₧nosti ucpat sφ¥, jak sφ¥ reaguje na ·tok atd.

Proti odep°enφ slu₧by zde ₧ßdnΘ zvlßÜtnφ nßstroje nejsou, je na administrßtorovi poÜty, aby tΘto problematice v∞noval specißlnφ pozornost.

Proti p°edstφrßnφ je zde naopak k dispozici dostatek pot°ebn²ch slu₧eb: a¥ ji₧ jde o nßstroje autentizace, slu₧by zamezujφcφ popφrßnφ Φi slu₧by bezpeΦnostnφho managementu. Nap°. zneu₧itφ MTA zabra≥ujφ slu₧by autentizace p∙vodu zprßvy a registrace UA u MTA.

Proti zp°ehßzenφ zprßv slou₧φ slu₧ba kontroly po°adφ zprßvy; ochrana vÜak nenφ zajiÜt∞na proti um∞lΘmu zpo₧∩ovßnφ zprßv.

Proti popφrßnφ je zde urΦena samostatnß skupina t°φ slu₧eb.

Celkov∞ jsou bezpeΦnostnφ slu₧by poÜty X.400 mohutn²m nßstrojem a jsou tak obsßhlΘ, ₧e nejv∞tÜφm problΘmem je jejich plnß realizace. Pokud jsou bezpeΦnostnφ slu₧by kombinovßny, jsou pou₧ity v po°adφ integrita, autentizace, v∞rohodnost.

Profily bezpeΦnostnφch t°φd

Vzhledem k tomu, ₧e realizovat vÜechny po₧adovanΘ bezpeΦnostnφ funkce nemusφ b²t v₧dy pot°ebnΘ, p°φpadn∞ m∙₧e b²t i nad sφly v²robce, bylo definovßno 6 profil∙ bezpeΦnostnφch t°φd:

T°φda S0: KoncovΘ slu₧by s v²jimkou d∙v∞ryhodnosti obsahu.
T°φda S0A: T°φda S0 dopln∞nß d∙v∞ryhodnostφ obsahu (kompletnφ koncovΘ slu₧by).
T°φda S1: Slu₧by t°φdy S0 dopln∞nΘ slu₧bami cesty zprßvy a slu₧bami bezpeΦnostnφho managementu.
T°φda S1A: T°φda S1 dopln∞nß o slu₧bu d∙v∞ryhodnosti obsahu.
T°φda S2: T°φda S1 dopln∞nß potvrzovacφmi slu₧bami MTS a slu₧bami zamezujφcφmi popφrßnφ. A₧ od tΘto ·rovn∞ jsou povinnΘ podpisy privßtnφm klφΦem.
T°φda S2A: T°φda S2 dopln∞nß o slu₧bu d∙v∞ryhodnosti obsahu.

Gradace je i v rßmci n∞kter²ch slu₧eb: nap°. autentizace p∙vodu zprßvy m∙₧e b²t ve t°φd∞ S0 zajiÜt∞na kontrolou integrity jejφho obsahu, ve t°φd∞ S1 u₧ musφ b²t realizovßna alespo≥ jednoduchou autentizaΦnφ v²m∞nou a ve t°φd∞ S2 silnou autentizaΦnφ v²m∞nou (na bßzi kryptografickΘho algoritmu). Podrobn² popis profil∙ bezpeΦnostnφch t°φd vΦetn∞ specifikacφ p°φsluÜn²ch rozhranφ obsahuje tabulka 1.

Z bezpeΦnostnφho hlediska jsou zvlßÜt∞ v²znamnΘ t°φdy poΦφnajφc ·rovnφ S1, proto₧e podporujφ nßv∞Ütφ a bezpeΦnostnφ management. PoÜty t°φdy S0 s t∞mito poÜtami proto nelze p°φmo propojit. V²hodou poÜty S0 je pouze to, ₧e je realizaΦn∞ mΘn∞ nßroΦnß (zajiÜ¥uje pouze koncovΘ slu₧by, kterΘ se net²kajφ MTA, do n∞ho₧ jsou zßsahy slo₧it∞jÜφ a nßkladn∞jÜφ). Naopak poÜty t°φdy S2 ji₧ vy₧adujφ podpis privßtnφm klφΦem a to Φinφ jejich provoz znaΦn∞ slo₧it²m.

Jako p°φklad poÜty, vhodnΘ z bezpeΦnostnφho hlediska pro stßtnφ instituce, lze uvΘst produkt X.400-MIL firmy Siemens Nixdorf. Tato poÜta je t°φdy S1A a mß takΘ vojenskΘ dodatky, definovanΘ pomocφ STANAG (Standard Agreement of NATO) 4406 verze 2 z roku 1995.

PoÜta X.400 byla od samΘho poΦßtku koncipovßna se z°etelem na bezpeΦnost. Jde o °eÜenφ obsßhlΘ a komplexnφ. P°i vÜech v²hradßch k poÜt∞ X.400 je t°eba uznat, ₧e pro organizace, kde je bezpeΦnost primßrnφm po₧adavkem, ekvivalentnφ alternativa zatφm nenφ.

profily bezpeΦnostnφch t°φd rozhranφ -- viz obr. 2

t°φda povinnΘ bezpeΦnostnφ slu₧by 1 2 3 4 5 6 7 8 9

S0 = Autentizace p∙vodu zprßvy (koncovß) X

D∙kaz doruΦenφ X X

Integrita obsahu zprßvy X

S0A = S0 + D∙v∞ryhodnost obsahu X

S1 = S0 + Vzßjemnß autentizace entit na trase zprßvy X X X X X X X

Kontrola po°adφ zprßvy X X X X X X X

BezpeΦnostnφ nßv∞Ütφ zprßvy X X X X X X X X X

V²m∞na kredit∙ X X X X

Registrace UA u MTA X X

Registrace UA u MS X

S1A = S1 + D∙v∞ryhodnost obsahu X

S2 = S1 + Autentizace p∙vodu testu X X

Autentizace p∙vodu hlßÜenφ X X X

D∙kaz p°edßnφ X

Zamezenφ pop°enφ odeslßnφ X X

Zamezenφ pop°enφ p°φjmu X

Zamezenφ pop°enφ p°evzetφ X X

S2A = S2 + D∙v∞ryhodnost obsahu X

BezpeΦnost poÜty X.400

| COMPUTERWORLD - serißl o bezpeΦnosti | COMPUTERWORLD | IDG CZ homepage |