COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 43 - CW 9/98

Bezpečnost pošty X.400

Jaroslav Dočkal

Monstrózní, neefektivní, komplikovaná, tak se hodnotí pošta X.400. A přesto je stále používaná, především v rámci státních institucí. Jedním z důvodů jsou propracované bezpečnostní služby.

Problematika elektronické pošty má obecně svou uživatelskou a komunikační stránku. Uživatelskou stránku u X.400 zajišťují programové moduly UA (User Agent) a volitelné MS (Message Store), komunikační stránku zajišťují programové moduly MTA (Message Transfer Agent). Vzájemně propojené moduly MTA vytvářejí tzv. MTS (Message Transfer System). U pošty X.400 navržené v roce 1984 definuje komunikaci mezi moduly MTA protokol označovaný jako P1, komunikaci mezi uživateli MTS (UA a MS) a vlastním MTS definuje protokol P3 a případnou komunikaci mezi UA a MS protokol P7. Základní moduly a protokoly pošty X.400 vidíte na obr. 1.

Hrozby a protiopatření

U elektronické pošty existuje 6 typů hrozeb -- modifikace, prozrazení, odepření služby, předstírání, zpřeházení, popírání.

Modifikace spočívá ve změně obsahu zprávy během jejího přenosu, v jejím zrušení, případně ve změně adresy. Citlivým místem jsou paměti počítačů odesílatele a příjemce zprávy, ale i počítačů na trase jejího přenosu. Ochranou pro poštu X.400 může být použití mechanismů DAC (Discretionary Access Control), resp. MAC (Mandatory Access Control) -- viz díl 25 seriálu.

Prozrazení může spočívat v neoprávněném přečtení zprávy nebo jejího záhlaví, případně analýze intenzity provozu. Nebezpečím jsou zde překlepy v adresách, chyby v konfiguraci směrovací tabulky atd. Pro usnadnění práce se používají např. seznamy příjemců zavedené protokolem X.500, nazvané distribuční seznamy. Ty mohou být značně dlouhé, případně může být seznam částí seznamu. Při častých změnách se může přehlédnout, že se do nějakého seznamu doplnil někdo nežádoucí. Při práci s citlivými daty je někdy lepší jejich použití zakázat.

Odepření služby může být například realizováno zneužitím prioritního systému. Stačí generovat dostatečné množství urgentních zpráv a tím zcela zablokovat přenos zpráv normální priority. Zabránit tomu lze dvojím způsobem a to buď přidělením práva nastavovat priority pouze administrátorovi pošty, nebo nastavením na MTA maximální hodnoty intenzity urgentních zpráv, při překročení je priorita zpráv snížena z urgentní na normální.

Předstírání může být různého typu: uživatele vůči MTA, MTA vůči uživateli či jinému MTA, MS vůči UA i UA vůči MS. Například u pošty X.400 mohou být součástí adresy adresáře, pak lze klamat volbou názvu adresáře shodného s něčím jménem, např. Kabrle. Je třeba dávat pozor na to, co vlastně adresa znamená.

Zpřeházení zpráv lze uplatnit tehdy, pokud záleží na jejich pořadí nebo načasování příjmu. Standardně nic nebrání si vzájemně rušit načasování zpráv. Je proto třeba nastavit právo časovat správy pouze pro jejich odesilatele.

Popírání hrozí u odesílatele (popírání odeslání), MTA (popírání předání) i příjemce (popírání převzetí). Například se pracovníkovi podaří si z nedostatečně chráněné dočasné paměti na disku počítače přečíst zprávu, která mu ukládá provést něco, do čeho se mu nechce. Pak si zprávu nevyzvedne standardním způsobem a bude tvrdit, že ji prostě nečetl. Řešením může být zmíněné použití mechanismů MAC nebo DAC.

Bezpečnostní služby

Ochrana proti bezpečnostním hrozbám je založena na dozoru administrátora sítě. U rozsáhlých sítí může snadno ztrácet přehled a pak by jeho obavy mohly vést ke přehnanému omezování uživatelů a případně i paranoidnímu chování. Větším nebezpečím ale může být, pokud nebude schopen síť uchránit proti útokům nebo nežádoucím únikům informací. Proto poslední verze pošty X.400 z roku 1988 zahrnuje ucelenou a propracovanou sadu bezpečnostních služeb, čímž se výrazně liší od internetové pošty, která byla původně zcela otevřená a veškeré bezpečnostní služby jsou do ní doplňovány postupně.

Pošta X.400 nyní definuje 19 služeb, které dělí do 5 skupin:

Koncové služby (end-to-end):
· autentizace původu zprávy z hlediska odesilatele,
· důkaz doručení,
· důvěryhodnost obsahu,
· integrita obsahu,
· kontrola pořadí zprávy.
Služby cesty zprávy (hop-by-hop):
· autentizace dvojice entit na trase zprávy (zabraňuje předstírání),
· bezpečnostní návěští zpráv (slouží pro podporu mechanismů DAC a MAC).
Potvrzovací služby MTS:
· autentizace původu zprávy v rámci MTS (prověření návěští pro potřebu směrování a doručení),
· autentizace původu testu,
· autentizace původu hlášení (zpráva o doručení či nedoručení zprávy),
· důkaz převzetí.
Služby zamezující popírání:
· zamezení popření odeslání,
· zamezení popření příjmu,
· zamezení popření převzetí.
Služby bezpečnostního managementu:
· výměna kreditů,
· registrace UA u MTA,
· registrace UA u MS.
Pro zajištění bezpečnostních služeb pošty X.400 se používají standardní techniky, jako je šifrování (obsahu zprávy, datového pole tokenu atd.), pečetě a digitální podpisy. Služby pošty X.400 zde tvoří pouhý rámec pro realizaci a volba konkrétních algoritmů, délek klíčů, klíčového managementu atd. je věcí implementace daným výrobcem.

Bezpečnostní služby versus hrozby

Které z hrozeb bezpečnostní služby pošty X.400 odstraňují a které ne?

Proti modifikaci zprávy slouží služba integrity obsahu, rušení zpráv zabraňuje služba kontroly pořadí zprávy. Záměně směrovací informace a dalším útokům proti síťovému managementu zabraňuje autentizace původu zprávy v rámci MTS.

Proti prozrazení zprávy je zde dostatek opatření: služba důvěryhodnosti obsahu, použití návěští i všechny služby bezpečnostního managementu. Chybí však ochrana proti analýze toku zpráv. Analýzou toku dat lze zjistit řadu zajímavých údajů: kde je centrální server, jaké jsou možnosti ucpat síť, jak síť reaguje na útok atd.

Proti odepření služby zde žádné zvláštní nástroje nejsou, je na administrátorovi pošty, aby této problematice věnoval speciální pozornost.

Proti předstírání je zde naopak k dispozici dostatek potřebných služeb: ať již jde o nástroje autentizace, služby zamezující popírání či služby bezpečnostního managementu. Např. zneužití MTA zabraňují služby autentizace původu zprávy a registrace UA u MTA.

Proti zpřeházení zpráv slouží služba kontroly pořadí zprávy; ochrana však není zajištěna proti umělému zpožďování zpráv.

Proti popírání je zde určena samostatná skupina tří služeb.

Celkově jsou bezpečnostní služby pošty X.400 mohutným nástrojem a jsou tak obsáhlé, že největším problémem je jejich plná realizace. Pokud jsou bezpečnostní služby kombinovány, jsou použity v pořadí integrita, autentizace, věrohodnost.

Profily bezpečnostních tříd

Vzhledem k tomu, že realizovat všechny požadované bezpečnostní funkce nemusí být vždy potřebné, případně může být i nad síly výrobce, bylo definováno 6 profilů bezpečnostních tříd:

  • Třída S0: Koncové služby s výjimkou důvěryhodnosti obsahu.

  • Třída S0A: Třída S0 doplněná důvěryhodností obsahu (kompletní koncové služby).

  • Třída S1: Služby třídy S0 doplněné službami cesty zprávy a službami bezpečnostního managementu.

  • Třída S1A: Třída S1 doplněná o službu důvěryhodnosti obsahu.

  • Třída S2: Třída S1 doplněná potvrzovacími službami MTS a službami zamezujícími popírání. Až od této úrovně jsou povinné podpisy privátním klíčem.

  • Třída S2A: Třída S2 doplněná o službu důvěryhodnosti obsahu.

Gradace je i v rámci některých služeb: např. autentizace původu zprávy může být ve třídě S0 zajištěna kontrolou integrity jejího obsahu, ve třídě S1 už musí být realizována alespoň jednoduchou autentizační výměnou a ve třídě S2 silnou autentizační výměnou (na bázi kryptografického algoritmu). Podrobný popis profilů bezpečnostních tříd včetně specifikací příslušných rozhraní obsahuje tabulka 1.

Z bezpečnostního hlediska jsou zvláště významné třídy počínajíc úrovní S1, protože podporují návěští a bezpečnostní management. Pošty třídy S0 s těmito poštami proto nelze přímo propojit. Výhodou pošty S0 je pouze to, že je realizačně méně náročná (zajišťuje pouze koncové služby, které se netýkají MTA, do něhož jsou zásahy složitější a nákladnější). Naopak pošty třídy S2 již vyžadují podpis privátním klíčem a to činí jejich provoz značně složitým.

Jako příklad pošty, vhodné z bezpečnostního hlediska pro státní instituce, lze uvést produkt X.400-MIL firmy Siemens Nixdorf. Tato pošta je třídy S1A a má také vojenské dodatky, definované pomocí STANAG (Standard Agreement of NATO) 4406 verze 2 z roku 1995.

Pošta X.400 byla od samého počátku koncipována se zřetelem na bezpečnost. Jde o řešení obsáhlé a komplexní. Při všech výhradách k poště X.400 je třeba uznat, že pro organizace, kde je bezpečnost primárním požadavkem, ekvivalentní alternativa zatím není.

profily bezpečnostních tříd rozhraní -- viz obr. 2

třída povinné bezpečnostní služby 1 2 3 4 5 6 7 8 9

S0 = Autentizace původu zprávy (koncová) X

Důkaz doručení X X

Integrita obsahu zprávy X

S0A = S0 + Důvěryhodnost obsahu X

S1 = S0 + Vzájemná autentizace entit na trase zprávy X X X X X X X

Kontrola pořadí zprávy X X X X X X X

Bezpečnostní návěští zprávy X X X X X X X X X

Výměna kreditů X X X X

Registrace UA u MTA X X

Registrace UA u MS X

S1A = S1 + Důvěryhodnost obsahu X

S2 = S1 + Autentizace původu testu X X

Autentizace původu hlášení X X X

Důkaz předání X

Zamezení popření odeslání X X

Zamezení popření příjmu X

Zamezení popření převzetí X X

S2A = S2 + Důvěryhodnost obsahu X


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |