Похожие презентации:
Криптопротоколы_ПР6
1. Протоколы защиты электронной почты и сообщений
2. План
1.Защита электронной почты: PGP и S/MIME
2.
Защита мессенджеров: OTR, Signal Protocol, MTProto
3.
Аутентификация почты: DMARC, DKIM, SPF
4.
Практическая часть — 5 задач
3. Особенности защиты электронной почты
В отличие от протоколов типа IPSec или SSL, почтовая безопасность не предполагаетустановления сеанса между отправителем и получателем .
Проблемы почтовой безопасности:
•Нет handshake для согласования алгоритмов
•Нет возможности обменяться ключами "на лету"
•Сообщение может храниться на серверах длительное время
Решения:
•Отправитель сам выбирает алгоритмы и указывает их в сообщении
•Используется гибридная схема: симметричное шифрование данных + асимметричное
шифрование ключа
4. PGP (Pretty Good Privacy)
PGP — программа и стандарт криптосистемы OpenPGP для шифрования и цифровойподписи .
Принцип работы:
1. Генерируется случайный сеансовый ключ (симметричный)
2. Сообщение шифруется сеансовым ключом
3. Сеансовый ключ шифруется открытым ключом получателя
4. Зашифрованное сообщение + зашифрованный ключ отправляются
5. PGP — ключи и их назначение
При создании ключа GPG генерируется несколько компонентовОбозначение
Тип ключа
Назначение
pub
Публичный
Для проверки подписей
sec
Секретный
Для создания подписей
sub
Подчиненный публичный
Для шифрования
ssb
Подчиненный секретный
Для расшифровки
6. S/MIME (Secure/Multipurpose Internet Mail Extensions)
S/MIME — стандарт для шифрования и подписи электронной почты, использующийинфраструктуру открытых ключей (PKI) .
Отличия от PGP
Характеристика
PGP
S/MIME
Модель доверия
Сеть доверия (Web of Trust)
Иерархическая (CA)
Сертификаты
Свои, самоподписанные
X.509 (от удостоверяющих
центров)
Формат
Открытый текст с вложениями
Специальный MIME-формат
Поддержка в клиентах
Плагины, GPG
Встроена в Outlook, Thunderbird
7. Архитектура почтовой безопасности
ПротоколыНекоторые протоколы, которые обеспечивают безопасность электронной почты:
S/MIME (Secure/Multipurpose Internet Mail Extensions) — шифрует содержимое сообщения и добавляет
цифровую подпись для подтверждения личности отправителя.
TLS (Transport Layer Security) — защищает электронные письма во время их передачи между серверами.
SPF (Sender Policy Framework) — позволяет владельцам доменов сообщать почтовым серверам, какие
источники имеют право отправлять электронные письма от их имени. Это помогает предотвратить
спуфинг, когда злоумышленники подделывают домен для отправки фальшивых писем.
DKIM (DomainKeys Identified Mail) — добавляет цифровую подпись к каждому сообщению, которая
доказывает, что оно не было изменено после отправки.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) — основывается на SPF и DKIM,
предоставляет владельцам доменов чёткие правила обработки подозрительных писем.
8. Средства
Для защиты электронной почты используются, например:Фильтры для борьбы со спамом и фишингом.
Антивирусные решения — интеграция с антивирусными системами позволяет блокировать
вредоносные вложения до их открытия.
Системы мониторинга — помогают отслеживать подозрительные активности и своевременно
реагировать на них.
Двухфакторная аутентификация при доступе к почтовому ящику — дополнительный уровень
защиты, требующий подтверждения личности пользователя с помощью второго фактора
(например, кода из SMS или push-уведомления).
Ограничение доступа к корпоративной почте в зависимости от ролей сотрудников, например,
доступ к конфиденциальным данным должен быть доступен только определённым группам.
9. Протоколы защиты мессенджеров — обзор
ПротоколГде используется
Особенности
OTR
Pidgin, Adium
Конфиденциальность, совершенная прямая
секретность, отрицаемость
Signal Protocol
Signal, WhatsApp
Сквозное шифрование по умолчанию, протокол
двойного храповика (Double Ratchet)
MTProto
Telegram
Собственный протокол, AES + RSA, оптимизация
для плохих соединений
MTProto — проприетарная технология Telegram, ее исходный код не полностью открыт
10. Signal Protocol — лидер безопасности
Signal Protocol признан самым защищенным протоколом для мессенджеров .Преимущества Signal :
Открытый исходный код
Сквозное шифрование по умолчанию во всех чатах
Минимальный сбор метаданных
Инновационная система "запаздывающего шифрования" (защита при компрометации ключей)
Критика Telegram от основателя Signal :
В Telegram сквозное шифрование не включено по умолчанию (только Secret Chats)
Обычные чаты и группы хранятся на серверах в открытом виде
Компания технически может предоставить данные властям
11. Telegram и MTProto
MTProto (Mobile Protocol Telegram) :Алгоритмы:
Шифрование: AES
Обмен ключами: RSA
Авторизация: RSA
Достоинства :
Работает в условиях плохого интернет-соединения
Облачная синхронизация между устройствами
12. Telegram и MTProto
Недостатки :Закрытый исходный код (независимый аудит затруднен)
Нет совместимости с другими мессенджерами
Отсутствие анонимности (регистрация по номеру телефона)
Почему Telegram не вошел в топ-5 безопасных мессенджеров 2025 :
Отсутствие сквозного шифрования по умолчанию
Изменения в политике безопасности в 2024 году
13. OTR (Off-the-Record)
OTR — протокол для защищенного обмена сообщениями в реальном времени .Возможности:
Конфиденциальность (шифрование)
Совершенная прямая секретность (при компрометации ключа прошлые сообщения не
расшифровываются)
Отрицаемость (можно утверждать, что сообщение подделано)
Недостаток : Не обеспечивает целостность данных (риск подделки или утери сообщений)
Используется в: Pidgin, Adium
14. Аутентификация почты
Проблемы электронной почты:Подделка отправителя (spoofing)
Фишинговые письма от имени легитимных доменов
Спам с поддельных адресов
Три протокола для защиты:
SPF — проверяет, с какого сервера пришло письмо
DKIM — проверяет цифровую подпись письма
DMARC — определяет, что делать при ошибках SPF/DKIM
15. SPF (Sender Policy Framework)
SPF — протокол, позволяющий владельцу домена указать, какие почтовые серверы имеютправо отправлять почту от имени этого домена.
Как работает:
1.
Администратор публикует SPF-запись в DNS:
2.
Почтовый сервер получателя проверяет IP отправителя по SPF-записи
3.
Результат: Pass / Fail / Softfail / Neutral
Механизмы SPF:
•ip4 / ip6 — разрешенные IP-адреса
•include — включение записей другого домена
•a / mx — разрешены серверы с записями A/MX домена
•-all — запрет всех остальных (жесткое правило)
•~all — мягкое правило (softfail)
16. DKIM (DomainKeys Identified Mail)
DKIM — протокол, добавляющий цифровую подпись к письму для подтверждения, что ононе было изменено и действительно отправлено с данного домена .
Как работает:
1.
Отправляющий сервер подписывает письмо закрытым ключом
2.
Подпись добавляется в заголовок (DKIM-Signature)
3.
Получающий сервер получает открытый ключ из DNS домена отправителя
4.
Проверяет подпись
17. DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC (Domain-based MessageAuthentication, Reporting & Conformance)
DMARC — протокол, который говорит получателю, что делать, если проверки SPF и/или
DKIM не пройдены .
Политики DMARC:
•p=none — только мониторинг, не блокировать
•p=quarantine — помечать как спам
•p=reject — отклонять письмо
18. Взаимодействие SPF, DKIM и DMARC
ОтправительSPF
(чей IP)
Письмо проходит, если хотя бы одна проверка (SPF или DKIM)
успешна, и это соответствует политике DMARC.
DKIM
(подпись)
Получатель (проверка
параметров)
DMARC
(что
сделать)
19. Сравнение протоколов защиты мессенджеров
ХарактеристикаOTR
Signal
MTProto (Telegram)
Шифрование по
умолчанию
Да
Да
Только Secret Chats
Групповые чаты
Нет
Да (защищенные)
Не защищены
Прямая
секретность
Да
Да
Ограниченно
Открытый код
Да
Да
Нет
Совместимость
Несколько клиентов
WhatsApp, Signal
Только Telegram
Анонимность
Да (без телефона)
Минимум данных
Нет (нужен телефон)
20. Практическая часть
1.Задача 1 (PGP): Генерация ключей и шифрование
2.
Задача 2 (S/MIME vs PGP): Выбор протокола
3.
Задача 3 (Мессенджеры): Сравнение Signal и Telegram
4.
Задача 4 (Аутентификация почты): DMARC, DKIM, SPF
5.
Задача 5 (Криптоанализ): Анализ безопасности MTProto
21. Задача 1. PGP vs S/MIME: выбор протокола
Условие:Компания выбирает стандарт для защиты корпоративной почты. Два варианта: PGP (с
использованием GPG) и S/MIME.
Характеристики компании:
500 сотрудников
Есть собственный удостоверяющий центр (CA) на базе Windows Server
Сотрудники используют Outlook и Thunderbird
Бюджет на внедрение ограничен
22.
Задания:1. Заполните таблицу сравнения :
Критерий
Модель доверия
Необходимость CA
Поддержка в
Outlook
Сложность
управления
ключами
PGP
S/MIME
2.Какой протокол вы
рекомендуете компании?
Почему?
3.Верно ли утверждение:
"PGP и S/MIME
взаимозаменяемы, можно
использовать оба
одновременно"? Ответ
обоснуйте
23. Задача 2. Signal vs Telegram: анализ безопасности
Условие:Вы — эксперт по информационной безопасности. К вам обратились с вопросом: "Какой мессенджер безопаснее — Signal или
Telegram?"
Дано :
В Signal сквозное шифрование включено по умолчанию во всех чатах
В Telegram сквозное шифрование доступно только в режиме "Secret Chats", обычные чаты хранятся на серверах
Протокол Signal — открытый, прошел независимый аудит
Протокол MTProto (Telegram) — проприетарный
В 2024 году политика безопасности Telegram изменилась, мессенджер не вошел в топ-5 безопасных в 2025 году
Задания:
Объясните, почему отсутствие сквозного шифрования по умолчанию в Telegram является критическим недостатком с точки зрения
безопасности .
Что такое "запаздывающее шифрование" (future secrecy / post-compromise security) и как оно реализовано в Signal?
Групповые чаты в Telegram не используют сквозное шифрование. Почему реализовать безопасные групповые чаты технически
сложнее, чем личные?
В августе 2024 года Роскомнадзор ограничил доступ к Signal в России. Влияет ли это на оценку безопасности самого протокола?
(Ответ: нет, техническая безопасность и доступность — разные вещи).
24. Задача 3. DMARC, DKIM, SPF: настройка аутентификации почты
Условие:Вы — администратор домена company.ru. Вы хотите защитить свой домен от подделки (spoofing) и настроить аутентификацию почты.
Дано:
•Почтовые серверы компании имеют IP-адреса: 192.168.10.0/24 и 10.0.0.0/24
•Для подписи писем используется селектор mail в DKIM
•Вы хотите, чтобы письма, не прошедшие проверку, отклонялись
Задания:
1.Составьте SPF-запись, которая:
•Разрешает отправку с IP-диапазонов компании
•Разрешает отправку с серверов Google (include:_spf.google.com)
•Запрещает все остальные серверы
2.Составьте DKIM-запись (текстовое описание), указав версию, алгоритм и публичный ключ (можно указать плейсхолдер)
3.Составьте DMARC-запись с политикой reject и адресом для отчетов dmarc@company.ru
4.Объясните, что произойдет с письмом, которое:
•Пришло с IP, не указанного в SPF
•Имеет корректную DKIM-подпись
25. Задача 4. Криптоанализ MTProto
Условие:Вы изучаете протокол MTProto, используемый в Telegram. Известно :
MTProto использует AES для шифрования и RSA для обмена ключами
Протокол оптимизирован для работы в условиях плохой связи
Исходный код протокола не полностью открыт
Задания:
Перечислите три недостатка проприетарного (закрытого) протокола с точки зрения безопасности .
Почему отсутствие совместимости с другими мессенджерами может быть проблемой для пользователей?
В октябре 2021 года Telegram имел 550 млн активных пользователей, а Signal — 50 млн загрузок . Означает
ли большая популярность более высокую безопасность? Почему да/нет?
Основатель Signal Мокси Марлинспайк назвал Telegram "противоположностью частного сервиса" .
Согласны ли вы с этим утверждением? Кратко обоснуйте.
26. Задача 5. Проверка аутентификации почты (SPF, DKIM, DMARC)
Тема: Моделирование работы почтового сервераУсловие задачи
Вы разрабатываете упрощённую модель почтового сервера, который проверяет входящие
письма по протоколам SPF, DKIM и DMARC. Нужно написать программу, которая:
Принимает письмо (структура: отправитель, IP-адрес, домен, подпись)
Проверяет SPF (соответствует ли IP разрешённым)
Проверяет DKIM (корректна ли подпись)
Применяет политику DMARC (что делать: none/quarantine/reject)
Выносит вердикт: принять письмо, отправить в спам или отклонить
27. Задание
Исходный код (шаблон) – см файл (пр6_код)Задание 1. Реализуйте проверку SPF см файл (пр6_доп код)
Задание 2. Реализуйте проверку DKIM см файл (пр6_доп код)
Задание 3. Реализуйте получение политики DMARC см файл (пр6_доп код)
Задание 4. Анализ результатов. Запустите программу и ответьте на вопросы:
1.
Почему письмо №2 (user@example.com с IP 5.5.5.5) было принято, хотя SPF не прошёл?
2.
Почему письмо №3 (security@bank.ru) было отправлено в спам?
3.
Какое письмо будет отклонено? Почему?
4.
Объясните, почему для домена attacker.ru установлена политика "none".
Интернет