Проверка цифровой подписи
Рисунок 2.24. Проверка цифровой подписи
Принимающая сторона создает собственную версию цифровой подписи на основе тела полученного сообщения, расшифровывает открытым ключом отправителя приложенную цифровую подпись и затем их сравнивает. Совпадение цифровых подписей гарантирует, что сообщение не было изменено в процессе передачи.
Для версии, экспортируемой за пределы США, длина ключа шифрования равна 40 битам, для цифровой подписи - 512 битам. Используемый при шифрации алгоритм называется CAST-40. В текущей версии сервера Exchange не предусмотрено возможности замены сервера ключей и подстановки другого алгоритма шифрации. В последующих версиях такие возможности заявлены.
Существует несколько способов обеспечения возможности всех пользователей организации использовать цифровую подпись и шифрование. Один из них заключается в том, что после установки первого в организации сервера ключей и полной синхронизации каталогов, на одном из серверов каждой площадки устанавливаются дополнительные серверы ключей. Это дает возможность местным администраторам управлять расширенными средствами защиты в пределах подотчетной площадки. Другой способ требует предварительной подготовки списков характерных имен пользователей, для которых необходимо выполнить настройку расширенных средств защиты. После передачи этого списка администратору площадки, в составе которой установлен сервер ключей, последний, используя утилиту SIMPORT, создает жетоны для каждого пользователя в списке. Полученные жетоны передаются либо администратору исходной площадки, либо непосредственно пользователям для завершения процесса установки расширенных средств защиты.
Сервер управления ключами использует собственную базу данных для хранения сертификатов и ключей пользователей. Эта база хранится отдельно от каталога и не сохраняется автоматически при выполнении резервного копирования сервера Exchange. Для копирования и восстановления базы сервера ключей используется собственный механизм. Во избежание потери информации рекомендуется регулярно сохранять копию этой базы, так как восстановление зашифрованных сообщений, без наличия информации о ключах не представляется возможным.
Шифрование трафика
Для увеличения степени защищенности данных может использоваться шифрование всего трафика между сервером и клиентом. Для этого в конфигурации клиентской части устанавливается специальный флаг. Шифрование выполняется средствами Secure RPC сетевых служб Microsoft. Используется алгоритм Stream-Cheaper фирмы RSA и ключи шифрования длиной 40 бит. Шифрование трафика поддерживаются для клиентских частей семейства Windows.
