КРИПТОН-Почта
Программный
комплекс «Криптон-Почта» работает на базе свободно распространяемого почтового
транспортного агента (MTA) Sendmail (GPL) для ОС Linux, дополняя это почтовое
приложение функциями аппаратного или программного шифрования.
Комплекс предназначен для организации защищённых почтовых каналов в открытой
сети Интернет между абонентами криптографической почтовой сети. В качестве
абонентов сети могут выступать отдельные почтовые домены и/или индивидуальные
е-mail адреса пользователей.
Работа пользователей с почтовой корреспонденцией внутри локальной сети организации
не меняется, является прозрачной и не требует никаких дополнительных настроек.
Почтовая корреспонденция между серверами комплекса «КРИПТОН-ПОЧТА» передаётся
по открытым каналам Интернет в зашифрованном виде, а при получении централизованно
расшифровывается во внутренней локальной сети абонента, в рамках задаваемой
администратором единой политики безопасности.
Cостав комплекса: Программный драйвер-эмулятор
УКЗД
Crypton
Emulator;
Криптографический почтовый Sendmail-фильтр (либо Postfix-фильтр*); Рабочее
место администратора криптографической почтовой сети.
Программный комплекс как прикладное программное обеспечение может работать
также с аппаратными шифраторами
КРИПТОН-4/PCI и КРИПТОН-8/PCI
.
Поддерживаемые ОС и серверные платформы: Linux
2.2, 2.4 и 2.6 FreeBSD* Solaris* на платформах Intel и Sparc
Для организации защищённого почтового обмена между абонентами сети генерируется
симметричная матрица ключей парной связи (ключевая таблица), на основании
которой могут создаваться ключевые наборы для каждого из серверов-абонентов.
Размер ключа – 256 бит. Ключевые наборы и ключевая таблица хранятся в зашифрованном
на главном ключе виде и могут открыто передаваться по незащищённым каналам.
Комплекс может работать как с ключевыми таблицами так и с ключевыми наборами.
Шифрование
почтовых сообщений (включая прикреплённые документы и другие вложения) осуществляется
по алгоритму ГОСТ 28147-89 на временном случайном транспортном ключе размером
256 бит. Сам секретный транспортный ключ передаётся в зашифрованном виде
вместе с сообщением. Шифрование транспортного ключа отдельно для каждого
из абонентов осуществляется на соответствующем ключе парной связи отправителя
и получателя. Для передачи зашифрованного бинарного файла используется модифицированное
Base64 преобразование.
При приёме сообщения используется раннее обнаружение искажения информации
(порчи, подмены и т.п.) до выполнения криптографических операций, что упрощает
процесс диагностирования каких-либо неисправностей либо ошибочных настроек
работы комплекса.
При отправке сообщений комплекс может быть настроен как на прозрачную передачу
корреспонденции без шифрования для тех адресов, которые отсутствуют в ключевом
наборе, так и на жёсткую блокировку отправки незашифрованных сообщений.
При этом в любом случае исключается возможность формирования и отправки
зашифрованного сообщения для закрытых (имеет ключ) и открытых (не имеет
ключа) абонентов, заданных в одном списке получателей.
При приёме почты и в случае невозможности расшифрования зашифрованного сообщения
по какой-либо причине (отключение криптон- сервиса, отсутствие ключа в ключевом
наборе, повреждение данных и т.п.) комплекс может быть настроен как на возврат
такого сообщения отправителю, так и на доставку сообщения адресату в принятом
зашифрованном виде. Администратор криптографической сети помимо генерации
и управления ключевыми наборами может при наличии необходимых условий расшифровать
нерасшифрованные по некоторым причинам почтовые сообщения. При искажении
сообщения и получении его из «чужой» криптографической сети (с другой ключевой
таблицей) расшифрование невозможно.
* – дорабатывается по специальному заказу.