Hlavní navigace

Braňte si své soukromí (3)

Miroslav Petříček

Až dosud jsme uvažovali pouze jedinou metodu zabezpečení emailové komunikace - šifrování vlastní zprávy pomocí technologie PGP. Existují však i další způsoby, které možná nejsou tak efektivní jako PGP, ale zato jsou pro své uživatele - odesílatele i adresáta - při vhodném použití zcela transparentní.

APOP

APOP je rozšíření POP3 odstraňující nejslabší místo tohoto protokolu a sice nezabezpečenou autentizaci uživatele. POP3 totiž funguje tak, že po navázání spojení musí váš poštovní program poslat na server jméno a heslo uživatele, k jehož poštovní schránce chcete přistupovat. Celá komunikace POP3 však probíhá v otevřeném textu, takže datový paket s heslem může být kdekoli cestou na server odchycen a heslo zneužito. Často je navíc heslo k POP3 schránce zároveň heslem k uživatelskému účtu, takže potencionální cracker může získat nejen přístup k vaší poště, ale i shell konto na serveru. Proto je namístě jeho odchycení zabránit.

APOP funguje tím způsobem, že server nejprve pošle klientovi tzv. „banner greeting“, tedy jakési pozdravení, které je pro každé spojení jedinečné, neboť vedle jména serveru obsahuje také číslo procesu a časový údaj. Klient za tento údaj připojí uživatelské heslo a z takto získaného textu pomocí algoritmu MD5 vygeneruje 128-bitový kontrolní součet, který odešle zpátky na server. Server, který zná „banner greeting“ stejně jako uživatelovo heslo, tento proces provede také a porovná jej s tím, co získá od klienta. Pokud se oba výsledky shodují, autentizace je úspěšná a spojení přejde do další fáze podle původního protokolu POP3.

Z uvedeného plyne, že pokud se hackerovi podaří odchytit tento autorizační paket, nebude mu k ničemu, neboť při dalším spojení vygeneruje server jiný „greeting“ a tedy i výsledný MD5 bude jiný. Z vlastností algoritmu MD5 je zřejmé, že z výsledku jednocestného hashování už nelze zpětně získat původní heslo.

Aby bylo možné autentizaci APOP používat, je nutné zajistit, aby tuto funkci podporoval jak POP server, tak i klient. Na straně klientů to umožňuje např. fetchmail, getmail, stejně jako Netscape Messenger nebo třeba Microsoft Outlook. Horší je to na straně serverů. Aby server dokázal získat autentizační údaje, musí znát otevřený formát uživatelova hesla, tedy nikoliv jeho MD5 či SHA obraz, jak je dnes v unixech (jinak dobrým) zvykem. Proto je u některých serverů nutné už při vytváření schránky pamatovat na to, zda bude použita tradiční (USER/PASS) autentizace nebo APOP, protože hesla pro APOP nelze získat ze standardní unixové databáze hesel, kde jsou již uložena v MD5 formátu, ze kterého již nelze rekonstruovat jejich otevřený formát. Uživatel také většinou může použít jednu nebo druhou metodu přihlášení, ale ne obě současně. Ze serverů podporujících APOP jmenujme například qmail-pop3d, XMail POP3, „standardní“ IMAPd 2000, aj.

RFC 1939 Popis protokolu POP3
RFC 1321 Popis algoritmu MD5

CRAM-MD5

Tím, čím je APOP pro POP3, je metoda CRAM-MD5 pro protokol IMAP. Funguje velice podobně, ale navíc obsahuje další vylepšení – server nemusí znát otevřený tvar uživatelova hesla, pracuje s ním v tzv. klíčovaném-MD5 formátu. Tím lze zabránit odcizení uživatelova hesla například při napadení serveru.

Je zřejmé, že APOP stejně jako CRAM-MD5 řeší jenom problém odchycení hesla. Samotné předání zpráv však probíhá v otevřeném textu, takže pokud se chceme bránit také proti odposlechu přenášených zpráv, musíme se poohlédnout po jiných metodách…

RFC 2195 Autentizace metodou CRAM

POP3/IMAP over SSL

SSL (TLS) je technologie, kterou vyvinula společnost Netscape nejprve pro zabezpečený přenos dat mezi http serverem a www browserem protokolem https. Nejprve se klient a server dohodnou na použitém šifrováním a následně se po vytvořeném bezpečném spojení provede autentizace. Ta je zpravidla řešena pomocí certifikátů X.509.

Přes SSL lze přemostit prakticky jakoukoli službu používající TCP spojení, tedy i POP nebo IMAP. Pro IMAP/SSL je registrován TCP port číslo 993 a někteří klienti používají POP3/SSL na portu 995. Příslušné přenosy se pak označují jako imaps, resp. pop3s.

Podpora SSL může být řešena dvěma způsoby. Buď ji má nativně implementovánu klient či server, anebo se pomocí externího programu stunel (součást balíku OpenSSL) „vytuneluje“ příslušný otevřený port, čímž se dá podpora SSL vnutit i serveru (klientovi), který ji sám o sobě nepodporuje.

IMAP/SSL podporuje většina IMAP serverů, stejně jako většina klientů. Naopak pop3s není tolik rozšířený a bývá obvykle realizován pomocí zmíněného triku s stunelem.

RFC 2595 Použití POP/IMAP přes SSL

Našli jste v článku chybu?

10. 8. 2001 19:38

Matej Cepl (neregistrovaný)

Zkuste se podivat na DejaNews (sorry Google Groups :-) a zadejte S/MIME Mutt. Najdete tam odkaz na stranku. Nebo zkuste rovnou nazev souboru smime4mutt-1.3.17-2.tar.gz.

Hodne stesti.



25. 6. 2001 17:47

Jaroslav Snajdr (neregistrovaný)

Metoda CRAM-MD5 neni vazana na protokol IMAP, ale je to univerzalni standard pouzitelny s vetsinou protokolu - POP3, SMTP, IMAP, LDAP atd. APOP lze tedy povazovat za "zastaraly" a prednost by se mela davat CRAM-MD5.

Hesla pro CRAM-MD5 sice nemusi byt ulozena na serveru v citelne forme, ale pokud se mi podari ukrast jejich hashe, muzu je pouzivat k uspesne CRAM-MD5 autentizaci, aniz bych znal primo heslo.

SSL lze pouzivat dvema zpusoby - bud bezi server na jinem portu, nebo se pripojim na s…



Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

DigiZone.cz: TV Philips a Android verze 6.0

TV Philips a Android verze 6.0

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte