КРИПТОН-Почта

Программный комплекс «Криптон-Почта» работает на базе свободно распространяемого почтового транспортного агента (MTA) Sendmail (GPL) для ОС Linux, дополняя это почтовое приложение функциями аппаратного или программного шифрования.

Комплекс предназначен для организации защищённых почтовых каналов в открытой сети Интернет между абонентами криптографической почтовой сети.

В качестве абонентов сети могут выступать отдельные почтовые домены и/или индивидуальные е-mail адреса пользователей.

Работа пользователей с почтовой корреспонденцией внутри локальной сети организации не меняется, является прозрачной и не требует никаких дополнительных настроек.

Почтовая корреспонденция между серверами комплекса «КРИПТОН-ПОЧТА» передаётся по открытым каналам Интернет в зашифрованном виде, а при получении централизованно расшифровывается во внутренней локальной сети абонента, в рамках задаваемой администратором единой политики безопасности.

Состав комплекса:

  • Программный драйвер-эмулятор УКЗД Crypton Emulator.
  • Криптографический почтовый Sendmail-фильтр (либо Postfix-фильтр*).
  • Рабочее место администратора криптографической почтовой сети.

Программный комплекс как прикладное программное обеспечение может работать также с аппаратными шифраторами КРИПТОН-8/PCI и КРИПТОН-10/PCI.

Поддерживаемые ОС и серверные платформы: Linux 2.2, 2.4 и 2.6 FreeBSD* Solaris* на платформах Intel и Sparc.

Для организации защищённого почтового обмена между абонентами сети генерируется симметричная матрица ключей парной связи (ключевая таблица), на основании которой могут создаваться ключевые наборы для каждого из серверов-абонентов.

Размер ключа – 256 бит. Ключевые наборы и ключевая таблица хранятся в зашифрованном на главном ключе виде и могут открыто передаваться по незащищённым каналам.

Комплекс может работать как с ключевыми таблицами так и с ключевыми наборами.

crmail

Шифрование почтовых сообщений (включая прикреплённые документы и другие вложения) осуществляется по алгоритму ГОСТ 28147-89 на временном случайном транспортном ключе размером 256 бит.

Сам секретный транспортный ключ передаётся в зашифрованном виде вместе с сообщением. Шифрование транспортного ключа отдельно для каждого из абонентов осуществляется на соответствующем ключе парной связи отправителя и получателя. Для передачи зашифрованного бинарного файла используется модифицированное Base64 преобразование.

При приёме сообщения используется раннее обнаружение искажения информации (порчи, подмены и т.п.) до выполнения криптографических операций, что упрощает процесс диагностирования каких-либо неисправностей либо ошибочных настроек работы комплекса.

При отправке сообщений комплекс может быть настроен как на прозрачную передачу корреспонденции без шифрования для тех адресов, которые отсутствуют в ключевом наборе, так и на жёсткую блокировку отправки незашифрованных сообщений.

При этом в любом случае исключается возможность формирования и отправки зашифрованного сообщения для закрытых (имеет ключ) и открытых (не имеет ключа) абонентов, заданных в одном списке получателей.

При приёме почты и в случае невозможности расшифровывания зашифрованного сообщения по какой-либо причине (отключение криптон- сервиса, отсутствие ключа в ключевом наборе, повреждение данных и т.п.) комплекс может быть настроен как на возврат такого сообщения отправителю, так и на доставку сообщения адресату в принятом зашифрованном виде.

Администратор криптографической сети помимо генерации и управления ключевыми наборами может при наличии необходимых условий расшифровать нерасшифрованные по некоторым причинам почтовые сообщения.

При искажении сообщения и получении его из «чужой» криптографической сети (с другой ключевой таблицей) расшифровывание невозможно.

* – дорабатывается по специальному заказу.