شرکت داده پرداز سپهر آسیا

مقالات

ESA, ESA-news

نحوه تهیه نرم افزار رمزگذاری ایمیل

 مهمترین معیارهای ارزیابی نرم افزار رمزگذاری ایمیل برای استقرار در شرکت 

از نرم افزار رمزگذاری ایمیل برای رمزگذاری خودکار یا دستی پیام ها و پیوست های ایمیل استفاده می شود تا اطلاعات حساس را از افشای غیر مجاز محافظت کند. این رایج معمولاً برای محافظت از ایمیل های ارسالی از یک سازمان به سازمان دیگر – یا به اشخاص دیگری مانند مشتریان – استفاده می شود ، اما به طور فزاینده ای برای ایمیل های داخلی کارمندان نیز استفاده می شود.

بسیاری از محصولات نرم افزاری رمزگذاری ایمیل در دسترس است ، اما ویژگی های آنها به طور قابل توجهی متفاوت است. بنابراین ، برای سازمان ها مهم است که قبل از خرید مقایسه ای ، معیارهایی را برای ارزیابی نرم افزار رمزگذاری ایمیل تعیین کنند ، تا از نظر ویژگی ها ، عملکرد و هزینه ، بهترین محصول را بدست آورند.

بیش از هر چیز ، نرم افزار رمزگذاری ایمیل باید بسیار قابل استفاده باشد – به خصوص اگر کاربران نهایی مسئولیت انتخاب دستی ایمیل های رمزگذاری شده را بر عهده داشته باشند و یا گیرندگان ایمیل های رمزگذاری شده خارج از سازمان باشند. محصولی غیرقابل استفاده احتمالاً نادیده گرفته یا دور زده می شود ، بنابراین اطلاعات حساس را در معرض خطر بیشتر سازش قرار می دهد.

در زیر چندین معیار مهم برای بررسی به عنوان بخشی از ارزیابی نرم افزار رمزگذاری ایمیل وجود دارد.

پشتیبانی از کاربران داخلی و / یا خارجی

همانطور که در مقاله دوم این مجموعه بحث شد ، مهمترین تصمیماتی که باید در هنگام برنامه ریزی برای یک محصول نرم افزار رمزگذاری ایمیل گرفته شود ، این است که آیا رمزگذاری برای فرستنده های داخلی جداگانه مورد نیاز است یا خیر (در مقابل انجام همه رمزگذاری در پشت صحنه بر اساس سیاست) و آیا رمزگذاری برای گیرندگان خارجی مورد نیاز است یا خیر.

بر اساس اینکه سازمان تصمیم به چه مسیری می گیرد ، بنابراین اطمینان از اینکه نرم افزار رمزگذاری ایمیل ارزیابی شده از این تصمیمات پشتیبانی می کند بسیار مهم است. بنابراین ، به عنوان مثال ، اگر سازمان می خواهد فرستنده های شخصی بتوانند ایمیل ها را رمزگذاری کنند ، فقط باید محصولات احتمالی را که برای کاربران نهایی یک رابط رمزگذاری ارائه می دهند ، ارزیابی کند. به همین ترتیب ، اگر سازمان بخواهد از گیرندگان خارجی پشتیبانی شود ، فقط محصولات بالقوه ای كه رابط های مبتنی بر وب را برای گیرندگان خارجی فراهم می كنند ، باید در نظر گرفته شوند.

قابلیت استفاده نیز موضوعی است که نمی توان از آن غافل شد. بسیاری از محصولات رمزگذاری ایمیل در گذشته شکست خورده اند ، نه به این دلیل که کار نکرده اند ، بلکه به دلیل اینکه کاربران آنها را بسیار چالش برانگیز یا دست و پا گیر می دانند. به عنوان مثال ، هنگامی که نسل های قبلی محصولات رمزگذاری ایمیل قبل از ارسال ایمیل رمزگذاری شده ، کاربران را مجبور به تجارت کلید می کردند ، کاربران اغلب کلیدهای اشتباهی ارسال می کردند (کلیدهای خصوصی به جای کلیدهای عمومی) ، بنابراین رمزگذاری آنها به خطر می افتد. اگر رمزگذاری ایمیل اختیاری باشد و ناخوشایند باشد ، کاربران از آن استفاده نمی کنند. آنها یا نامه های الکترونیکی را بدون رمزگذاری ارسال می کنند و یا از سیستم های ایمیل جایگزین ، وب سایت های اشتراک فایل یا سایر روش ها برای تبادل اطلاعات با یکدیگر بدون استفاده از رمزگذاری استفاده می کنند.

ادغام با زیرساخت های ایمیل موجود

سهولت ادغام با زیرساخت های ایمیل موجود یک فاکتور واضح و در عین حال مهم است که باید هنگام خرید و استقرار و رمزگذاری ایمیل در نظر بگیرید.

در سمت سرور نامه / دروازه معادله ، برخی از محصولات نرم افزاری رمزگذاری ایمیل فقط با یک یا چند مارک خاص سرور ایمیل کار می کنند. مشكل مشابهي در سمت مشتري وجود دارد (با فرض اينكه سازماني مي خواهد مشتريان منفرد بتوانند نامه هاي الكترونيكي را رمزگذاري كنند). برخی از محصولات رمزگذاری ایمیل فقط با یک یا چند طعم دهنده ایمیل مشتری مانند Microsoft Outlook یا Novell GroupWise سازگار هستند . علاوه بر این ، برای در دسترس قرار دادن رمزگذاری در سمت سرویس گیرنده ، کاربران ممکن است نیاز به نصب یک افزونه برای سرویس گیرنده ایمیل خود یا احتمالاً یک بخش جداگانه از نرم افزار داشته باشند.

در نتیجه ، مهم است که بدانید کاربران سرورهای ایمیل و سرویس گیرنده های ایمیل را اجرا می کنند و مطمئن شوید که همه سرورها و کلاینت ها توسط محصول رمزگذاری پشتیبانی می شوند یا اینکه سازمان می تواند همه کاربران را از سرورهای پشتیبانی نشده و کلاینت ها به سرورهای پشتیبانی شده منتقل کند. و مشتریان ، که از نظر تلاش و ایجاد اختلال ، موضوعی نیست که بتوان به راحتی آن را پذیرفت.

قدرت رمزنگاری

جزئیات رمزنگاری اغلب زیر پوشش محصولات رمزگذاری ایمیل پنهان می شوند ، اما دسترسی به حداقل ویژگی های اصلی رمزنگاری: الگوریتم ها ، اندازه کلید و وضعیت های صدور گواهینامه مهم است. در حالت ایده آل ، محصول انتخاب شده باید الگوریتم Advanced Encryption Standard (AES) با حداقل کلیدهای 128 بیتی (ترجیحاً کلیدهای 256 بیتی) را پشتیبانی کند و با FIPS سازگار باشد. انطباق با استفاده از FIPS یک گواهینامه است که نشان می دهد یک اجرای رمزنگاری آزمایش اساسی را پشت سر گذاشته است (نه این که اجرای آن بدون اشکال باشد).

یکی دیگر از موارد مهم رمزنگاری ، مدیریت کلیدی است. بسیاری از پیاده سازی های رمزگذاری ایمیل ، کلید جدیدی را برای هر پیام ایمیل صادر می کنند. دیگران ممکن است برای هر آدرس ایمیل جفت کلیدی صادر کنند. در این حالت ، مهم است که محصول رمزگذاری ایمیل چرخه حیات مدیریت کلید رمزنگاری کامل ، از جمله چرخش منظم کلید را ارائه دهد.

امنیت پرونده

نرم افزار رمزگذاری ایمیل فقط در مورد محافظت از پیام های ایمیل نیست ، بلکه پیوست های فایل ایمیل نیز می باشد. به طور پیش فرض ، پیوست ها به عنوان بخشی از هر محصول رمزگذاری ایمیل که ارزش آن را دارد رمزگذاری می شوند. با این وجود ، دو ملاحظه خاص مربوط به پیوست ها وجود دارد که هنگام ارزیابی محصولات شایسته بررسی است.

اولین مورد ، امکان انتقال پرونده های بزرگ از طریق نرم افزار رمزگذاری ایمیل است. بسیاری از سیستم های ایمیل حداکثر اندازه ایمیل یا پیوست را محدود می کنند ، اغلب در 10 یا 20 مگابایت. این محدودیت ها اغلب ناخوشایند هستند.

اما از آنجا که محصول رمزگذاری در واقع پیوندی را به پرونده و نه خود فایل ارسال می کند ، فایل تحت تأثیر محدودیت اندازه پیوست فایل سیستم ایمیل قرار نمی گیرد. برخی از محصولات رمزگذاری ایمیل از اندازه پرونده در گیگابایت پشتیبانی می کنند. این ممکن است محصول قابل استفاده تری نسبت به سایر روشهای امن انتقال فایل را ارائه دهد.

مورد دوم توانایی داشتن رمزگذاری “stick” با یک فایل است حتی پس از اینکه پیوست از پیام ایمیل جدا شد. این به طور معمول شامل نصب یک افزونه سرویس گیرنده ایمیل یا ابزار نرم افزاری جداگانه ای است که رمزگذاری و رمزگشایی را مدیریت می کند. توجه داشته باشید که اگر پرونده ها از مرزهای سازمانی خارج شوند ، احتمالاً نوعی تهیه کاربر یا مشتری برای کاربران خارجی برای رمزگشایی پرونده ها لازم است.

نیروهای کار سیار

با رفتن کارگران به طور فزاینده برای تلفن های موبایل ، بیش از هر زمان دیگری مهم است که یک محصول امنیتی ایمیل از تلفن های هوشمند و تبلت ها و رایانه های از راه دور پشتیبانی کند ، از جمله تمام طعم های ایجاد کننده پدیده های دستگاه خود (BYOD) . به طور کلی ، این تنها در صورتی ضروری است که سازمانی به کاربران مجزا اجازه رمزگذاری ایمیل ها را بدهد. اطمینان حاصل کنید که تمام محصولات رمزگذاری ایمیل ارزیابی شده از دستگاه های تلفن همراه و برنامه هایی که برای ارسال و دریافت ایمیل رمزگذاری شده در داخل سازمان نیاز به پشتیبانی دارند ، پشتیبانی می کنند.

رمزگذاری مبتنی بر خط مشی و هویت

اکثر محصولات رمزگذاری ایمیل تبلیغ می کنند که آنها از رمزگذاری مبتنی بر سیاست یا رمزگذاری مبتنی بر هویت استفاده می کنند.

رمزگذاری مبتنی بر خط مشی به رمزگذاری پیام ها و پیوست های ایمیل بر اساس مجموعه ای از سیاست ها اشاره دارد – به عنوان مثال ، رمزگذاری خودکار تمام پیام های ایمیل ارسال شده توسط اعضای بخش منابع انسانی ، یا تمام پیام های ایمیل که به نظر می رسد حاوی شماره کارت اعتباری هستند. رمزگذاری مبتنی بر هویت (IBE) زمانی است که جفت کلید عمومی / خصوصی بر اساس ویژگی کاربر مانند آدرس ایمیل کاربر ایجاد می شود.

IBE اجازه می دهد پیام های رمزگذاری شده بدون هیچگونه تعویض کلید قبلی برای گیرندگان ارسال شود. اما برای رمزگشایی پیام ها ، هر گیرنده باید با زیرساخت فرستنده تماس بگیرد تا کلید خصوصی را دریافت کند. با محصولات رمزگذاری ایمیل ، این کار معمولاً از طریق رابط وب انجام می شود.

رمزگذاری مبتنی بر سیاست و IBE به طور متقابل از یکدیگر جدا نیستند و مطمئناً برای هر محصولی امکان استفاده از هر دوی این اشکال رمزگذاری وجود دارد ، بنابراین نباید تصور شود که این دو یا یکی باشد. به نظر می رسد اکثر فروشندگان اظهار می دارند که آنها یکی یا دیگری را انجام می دهند ، اما در واقع ، بیشتر فروشندگان رمزگذاری ایمیل هر دو نوع رمزگذاری را انجام می دهند.

از نظر معیارها ، مهم است که بدانید آیا از رمزگذاری مبتنی بر سیاست و / یا IBE استفاده می شود و اگر یکی از آنها استفاده نمی شود ، چه معماری به جای آنها استفاده می شود.

نتیجه

ارزیابی هر محصول امنیتی برای استفاده در شرکت می تواند چالش برانگیز باشد ، و این امر به ویژه در مورد محصولات رمزنگاری صادق است. با اتکا به برخی معیارهای اساسی می توان محصولات مختلف را به روشی عینی با یکدیگر مقایسه کرد. حتی اگر مقایسه های شخص ثالث موجود در مورد محصولات نرم افزاری رمزگذاری ایمیل وجود داشته باشد ، این مقایسه ها شامل کلیات زیادی می شود و آنها نمی توانند نیازها ، نیازها و فرهنگ یک سازمان فردی را در نظر بگیرند. بنابراین لازم است که هر سازمانی ارزیابی خاص خود را از هر محصول نرم افزاری رمزگذاری ایمیل که در نظر دارد ، انجام دهد. توجه داشته باشید که بیشتر فروشندگان نسخه های آزمایشی محصولات خود را برای بارگیری در دسترس قرار می دهند.

این مقاله چندین معیار را ارائه می دهد که به طور کلی استفاده از آنها هنگام ارزیابی محصولات مفید است. با این حال ، این معیارها لزوماً تنها معیارهای مورد نیاز نیستند. هر سازمان ممکن است الزامات اضافی داشته باشد که شایسته است در لیست معیارها قرار گیرد. این مقاله را به عنوان یک نقطه شروع برای ایجاد لیستی شخصی از ارزیابی معیارها در نظر بگیرید.

How to procure email encryption software

Expert contributor Karen Scarfone examines the most important criteria for evaluating email encryption software for deployment within the enterprise.

Email encryption software is used to automatically or manually encrypt email messages and attachments so as to protect sensitive information from unauthorized disclosure. It is most commonly used to protect emails sent from one organization to another — or to individuals, such as customers — but increasingly it’s also being used for internal emails between employees.

There are many email encryption software products available, but their features can differ significantly. Therefore, it’s important for organizations to establish criteria for evaluating email encryption software before comparison shopping, so as to get the product that’s the best fit in terms of features, performance and cost.

Above all else, email encryption software must be highly usable — especially if end users are responsible for manually selecting which emails will be encrypted, and/or if recipients of the encrypted emails are outside the organization. An unusable product will likely be ignored or circumvented, thus putting sensitive data at increased risk of compromise.

Below are several important criteria to consider as part of any email encryption software evaluation.

Support for internal and/or external users

As discussed in the second article in this series, the most important decisions to be made when planning an email encryption software product are whether encryption is needed for individual internal senders or not (as opposed to doing all encryption behind the scenes based on policy) and whether encryption is needed for external recipients or not.

Based on which direction the organization decides to go, it’s then critically important to ensure the email encryption software evaluated supports those decisions. So, for example, if the organization wants individual senders to be able to encrypt emails, it should only evaluate potential products that provide an encryption interface for end users. Similarly, if the organization wants external recipients to be supported, then only potential products that provide Web-based interfaces for external recipients should be considered.

Usability is also something that can’t be overlooked. Many email encryption products in the past have failed, not because they didn’t work, but because users found them too challenging or cumbersome. For instance, when earlier generations of email encryption products required users to trade keys before sending encrypted emails, users often sent the wrong keys (private keys instead of public keys), thus compromising their encryption. If email encryption is made optional and it’s inconvenient, users won’t use it; they’ll either send emails without encryption or they’ll use alternate email systems, file-sharing websites, or other means to exchange information with each other without using encryption.

Integration with existing email infrastructure

The ease of integration with the existing email infrastructure is an obvious, yet important, factor to consider when purchasing and deploying and email encryption.

On the mail server/gateway side of the equation, some email encryption software products only work with one or more particular email server brands. A similar problem exists on the client-side (assuming an organization wants individual clients to be able to encrypt emails). Some email encryption products are only compatible with one or a few client email flavors, such as Microsoft Outlook or Novell GroupWise. In addition, to make encryption available on the client-side, users may need to install an add-on for their email client or possibly a separate piece of software.

Consequently, it’s important to be aware of which email servers and email clients users run, and to make sure that either all the servers and clients are supported by the encryption product or that the organization can migrate all users from unsupported servers and clients to supported servers and clients, which is not something to be taken lightly in terms of effort and disruption.

Strength of cryptography

The details of cryptography are often hidden under the covers of email encryption products, but it’s important to get access to at least the major cryptography attributes: algorithms, key size, and certification statuses. Ideally, the product chosen should support the Advanced Encryption Standard (AES) algorithm with minimum 128-bit keys (preferably 256-bit keys) and be FIPS compliant. FIPS compliance is a certification that demonstrates that a cryptographic implementation has passed basic testing (not that the implementation is bug-free).

Another important cryptographic consideration is key management. Many email encryption implementations issue a new key for every email message. Others may issue a key pair per email address. In this case, it is important that the email encryption product provide the full cryptographic key management lifecycle, including regular key rotation.

File security

Email encryption software isn’t just about protecting email message bodies but also email file attachments. By default, attachments are encrypted as part of any email encryption product worth its salt. However, there are two special considerations involving attachments that merit investigation when evaluating products.

The first is the ability to transfer large files via email encryption software. Many email systems limit maximum email or attachment sizes, often at 10 or 20 megabytes. These limits are often inconvenient.

But because the encryption product is actually sending a link to the file, and not the file itself, the file is unaffected by the email system’s file attachment size limit. Some email encryption products support file sizes in gigabytes. This may provide a more usable product than other secure file transfer methods.

The second is the ability to have the encryption “stick” with a file even after the attachment has been separated from the email message. This typically involves the installation of an email client add-on or separate software tool that handles the encryption and decryption. Note that if files are leaving an organization’s boundaries, some sort of user or client provisioning for the external users will probably be necessary to allow them to decrypt the files.

Mobile workforces

With workforces increasingly going mobile, it’s more important than ever for an  email security product to support smartphones and tablets and telecommuters, including all flavors of the bring your own device (BYOD) phenomena. Generally, this is only a necessary consideration if an organization is allowing individual users to encrypt emails. Make sure all email encryption products evaluated provide support for the mobile devices and apps that will need to send and receive encrypted email within the organization.

Policy- and identity- based encryption

Most email encryption products tout that they use policy-based encryption or identity-based encryption.

Policy-based encryption refers to encrypting email messages and attachments based on a set of policies — for example, automatically encrypting all email messages sent by members of the human resources department or all email messages that appear to contain credit card numbers. Identity-based encryption (IBE) is when public/private key pairs are created based on a characteristic of a user, such as a user’s email address.

IBE allows encrypted messages to be sent to recipients without any previous key exchange. But to decrypt messages, each recipient must contact the sender’s infrastructure to get the private key. With email encryption products, this is typically done through a Web interface.

Policy-based encryption and IBE are not mutually exclusive, and it’s certainly possible for a product to use both of these forms of encryption, so they should not be thought of as either/or. Most vendors seem to state that they perform one or the other, but in reality, most email encryption vendors perform both types of encryption.

In terms of criteria, it is important to know if policy-based encryption and/or IBE is being used, and if either one is not being used, what architecture is being used instead of them.

Conclusion

Evaluating any security product for enterprise use can be challenging, and this is particularly true with cryptographic products. By relying on some basic criteria, various products can be compared with each other in an objective way. Even though there may be existing third-party comparisons of email encryption software products, such comparisons involve a lot of generalization, and they can’t possibly take an individual organization’s requirements, needs, and culture into account. It is, therefore, necessary that each organization perform its own evaluation of any email encryption software product it is considering. Note that most vendors make trial versions of their products available for download.

This article presents several criteria that are generally helpful to use when evaluating products. However, these criteria aren’t necessarily the only criteria that’s needed. Each organization may have additional requirements that merit inclusion in the list of criteria. Think of this article as a starting point for creating a personalized list of criteria evaluations.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

متخصصین داده پرداز سپهر آسیا

جهت مشاوره تخصصی با متخصصین ما در ارتباط باشید

سایدبار