КРИПТОН-Почта
Программный комплекс «Криптон-Почта» работает на базе свободно распространяемого почтового транспортного агента (MTA) Sendmail (GPL) для ОС Linux, дополняя это почтовое приложение функциями аппаратного или программного шифрования.
Комплекс предназначен для организации защищённых почтовых каналов в открытой сети Интернет между абонентами криптографической почтовой сети.
В качестве абонентов сети могут выступать отдельные почтовые домены и/или индивидуальные е-mail адреса пользователей.
Работа пользователей с почтовой корреспонденцией внутри локальной сети организации не меняется, является прозрачной и не требует никаких дополнительных настроек.
Почтовая корреспонденция между серверами комплекса «КРИПТОН-ПОЧТА» передаётся по открытым каналам Интернет в зашифрованном виде, а при получении централизованно расшифровывается во внутренней локальной сети абонента, в рамках задаваемой администратором единой политики безопасности.
Состав комплекса:
- Программный драйвер-эмулятор УКЗД Crypton Emulator.
- Криптографический почтовый Sendmail-фильтр (либо Postfix-фильтр*).
- Рабочее место администратора криптографической почтовой сети.
Программный комплекс как прикладное программное обеспечение может работать также с аппаратными шифраторами КРИПТОН-8/PCI и КРИПТОН-10/PCI.
Поддерживаемые ОС и серверные платформы: Linux 2.2, 2.4 и 2.6 FreeBSD* Solaris* на платформах Intel и Sparc.
Для организации защищённого почтового обмена между абонентами сети генерируется симметричная матрица ключей парной связи (ключевая таблица), на основании которой могут создаваться ключевые наборы для каждого из серверов-абонентов.
Размер ключа – 256 бит. Ключевые наборы и ключевая таблица хранятся в зашифрованном на главном ключе виде и могут открыто передаваться по незащищённым каналам.
Комплекс может работать как с ключевыми таблицами так и с ключевыми наборами.
Шифрование почтовых сообщений (включая прикреплённые документы и другие вложения) осуществляется по алгоритму ГОСТ 28147-89 на временном случайном транспортном ключе размером 256 бит.
Сам секретный транспортный ключ передаётся в зашифрованном виде вместе с сообщением. Шифрование транспортного ключа отдельно для каждого из абонентов осуществляется на соответствующем ключе парной связи отправителя и получателя. Для передачи зашифрованного бинарного файла используется модифицированное Base64 преобразование.
При приёме сообщения используется раннее обнаружение искажения информации (порчи, подмены и т.п.) до выполнения криптографических операций, что упрощает процесс диагностирования каких-либо неисправностей либо ошибочных настроек работы комплекса.
При отправке сообщений комплекс может быть настроен как на прозрачную передачу корреспонденции без шифрования для тех адресов, которые отсутствуют в ключевом наборе, так и на жёсткую блокировку отправки незашифрованных сообщений.
При этом в любом случае исключается возможность формирования и отправки зашифрованного сообщения для закрытых (имеет ключ) и открытых (не имеет ключа) абонентов, заданных в одном списке получателей.
При приёме почты и в случае невозможности расшифровывания зашифрованного сообщения по какой-либо причине (отключение криптон- сервиса, отсутствие ключа в ключевом наборе, повреждение данных и т.п.) комплекс может быть настроен как на возврат такого сообщения отправителю, так и на доставку сообщения адресату в принятом зашифрованном виде.
Администратор криптографической сети помимо генерации и управления ключевыми наборами может при наличии необходимых условий расшифровать нерасшифрованные по некоторым причинам почтовые сообщения.
При искажении сообщения и получении его из «чужой» криптографической сети (с другой ключевой таблицей) расшифровывание невозможно.
* – дорабатывается по специальному заказу.