Настройка шифрования почты в The Bat.

Как настроить шифрование почты (S/MIME) в The Bat .
Это продолжение статьи Защита электронной почты. Шифрование почты. Получение сертификата.

The Bat поддерживает две технологии защиты информации: PGP и PKI (S/MIME). В этой статье речь пойдет только о технологии PKI (S/MIME).

Подразумевается, что сертификат для шифрования почты уже получен.

Загружаем Bat, открываем настройки шифрования в меню Свойства -> Настройки S/MIME и TLS…
Здесь перед нами встает выбор: использовать внутреннюю реализацию S/MIME или Microsoft CryptoAPI.
При выборе внутренней реализации сертификаты будут находиться в хранилище Bat. Импорт/экспорт сертификатов будет осуществляться через интерфейс Bat. Также для корректной работы потребуется импорт корневых сертификатов и внесение их в список доверенных.
При выборе Microsoft CryptoAPI используется хранилище сертификатов Windows. Импорт/экспорт осуществляется через стандартные процедуры операционной системы. Лично я считаю этот вариант более удобным.
Однако, если вы работаете в Windows XP, и вам нужен максимальный уровень безопасности, в этом случае следует использовать криптопровайдер Bat. Он обеспечивает лучший набор алгоритмов шифрования по сравнению с стандартным Microsoft Enhanced Cryptographic Provider v1.0 (доступны алгоритмы AES 128 и 256-бит). В Vista добавлена встроенная поддержка AES, поэтому данная рекомендация относиться только к XP.

Для начала рассмотрим настройку с помощью Microsoft CryptoAPI (Win XP).

В списке криптопровайдеров выбираем Microsoft Enhanced Cryptographic Provider v1.0 (как обеспечивающий наилучшее шифрование). В списке также присутствует Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), однако, с его помощью зашифровать письмо у меня не получилось (вместо AES 256-бит, письмо зашифровывалось алгоритмом RC2). Использовать это криптопровайдер не рекомендую.
Алгоритм шифрования: 3DES.
Хеш-алгоритм подписи: SHA-1.
Отмечаем опции «Помнить связи e-mail адресов с сертификатами для подписи» и «Помнить связи e-mail адресов с сертификатами для шифрования».

Импорт сертификата из подписанного письма.
Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат).
Откроется мастер импорта сертификатов. Нажимаем Далее. В следующем окне оставляем выбранной опцию «Автоматически выбрать хранилище на основе типа сертификата» и Далее. Если появится предупреждение об импорте корневого сертификата, нажимаем Да, затем Готово.
Теперь по указанному в сертификате адресу можно отправлять зашифрованные письма.

Настройка шифрования с помощью внутреннего криптопровайдера Bat.

Алгоритм шифрования выбираем: AES (256-бит).
Хеш-алгоритм подписи: SHA-1.

Следующий этап — импорт сертификата вашего почтового ящика в хранилище Bat. Если вы следовали предыдущей статье, то ваш сертификат находится в хранилище Windows из которого его надо предварительно экспортировать. Если же у вас уже есть файл сертификата в формате PKCS#12 (.PFX), то вы можете сразу перейти к разделу Импорт сертификата.

Экспорт сертификата
Открываем Панель управления -> Свойства обозревателя -> вкладка Содержание -> кнопка Сертификаты
Переходим на закладку Личные, выделяем нужный сертификат, нажимаем кнопку Экспорт.
Откроется мастер экспорта сертификатов. Нажимаем Далее. В следующем окне необходимо выбрать опцию «Да, экспортировать закрытый ключ», нажимаем Далее.
Выбор формата файла сертификата. Оставляем значения по умолчанию: файл обмена личной информацией — PKCS#12 (.PFX), опция «Усиленная защита» включена. Нажимаем Далее.
Вводим пароль закрытого ключа. Этот пароль будет запрашиваться каждый раз при доступе к закрытому ключу. Т.е. каждый раз при расшифровке/зашифровке письма (учтите это). Можно ввести пустой пароль, но это сильно понизит уровень безопасности.
Далее выбираем имя и расположение экспортируемого файла. Нажимаем Далее и затем Готово.

Импорт сертификата
Открываем Адресную книгу и создаем контакт для СВОЕГО адреса e-mail. Если включен внутренний криптопровайдер Bat, то в адресной книге будет доступна вкладка Сертификаты. Открываем ее и нажимаем кнопку Импортировать. Выбираем сохраненный сертификат. Появится окно для ввода пароля закрытого ключа:

Вводим пароль. Появится похожее окно, в него опять вводим тот же пароль. После этого в списке сертификатов должен появится новый сертификат.

Теперь двойным щелчком открываем его. Если в сведениях о сертификате будет надпись — «Этот S/MIME сертификат недействителен», в этом случае необходимо добавить корневой сертификат в список доверенных. Для этого открываем вкладку Путь сертификации:

Выделяем корневой сертификат (в примере AAA Certificate Services) и нажимаем кнопку Добавить к доверенным. На вопрос, действительно ли мы хотим это сделать, отвечаем Да.
На этом импорт сертификата завершен.

Импорт сертификата из подписанного письма.
Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат). После этого появится сообщение о количестве импортированных сертификатов (может быть более одного, если импортируются отсутствующие вышестоящие сертификаты). Сертификаты автоматически добавляются к существующим контактам в адресной книге. Если адрес e-mail не был заведен, то соответствующий ему контакт будет создан автоматически. Для некоторых сертификатов может потребоваться процедура добавления корневого сертификата в список доверенных. В этом случае выполняем описанную выше процедуру.

Теперь мы готовы к отправке подписанных и/или зашифрованных сообщений.

Зашифровать/подписать письмо можно с помощью соответствующих кнопок на панели инструментов в окне создания письма.
Расшифровка письма/проверка подлинности подписи выполняется с помощью значка в виде письма в правом верхнем углу окна просмотра сообщения.

Странность Bat.
Я так и не нашел где можно узнать с помощью какого алгоритма зашифровано письмо… Непонятно…