Office 365 Message Encryption v2: ochrana poštovních zpráv odkudkoliv, komukoliv a kdykoliv (1.díl)

Miroslav Knotek
5 minuty, 38 sekundy
6

Po dlouhé roky dostávám v souvislosti s nasazením poštovních systémů zdánlivě jednoduchý dotaz: „Jakou technologii nám doporučíte, abychom si mohli s kýmkoliv posílat zabezpečené maily?” Bohužel žádný systém typu S/MIME nebo PGP tento požadavek nedokáže dostatečně komfortně zajistit. Vždy musí zabezpečené komunikaci předcházet nepraktická výměna šifrovacích klíčů. To je ostatně také důvod, proč si navzájem stále i dnes posíláme maily standardně nechráněné. Navíc běžně jako uživatelé dnes pracujeme s poštou na mnoha různých zařízeních a pokud na nich nemáme ručně importovaný náš privátní klíč, chráněnou zprávu sice obdržíme, ale nemůžeme si ji přečíst. Zde nemohu neuvést zaznamenaný případ, kdy dokonce samotný autor standardu PGP Phillip Zimmermann žádá odesílatel o znovu zaslání chráněné zprávy v nechráněné podobě, protože ji na svém mobilním telefonu nemůže přečíst.


Obrázek 1 PGP je nepraktické

A tak neváhám označit slovem revoluce příchod nového systému OMEv2 (Office 365 Message Encryption). Ten je opravdu prvním systémem během mé praxe, který garantuje, že můžeme jako uživatelé Office 365 poslat chráněný mail naprosto jakémukoliv příjemci v internetu bez ohledu na to, jaký poštovní systém využívá, na jakém zařízení či v jakém poštovním klientovi pracuje.

Jak funguje OMEv2 z pohledu odesílatele

Jako uživatel Office 365 můžete vytvořit chráněnou zprávu pomocí Outlook 2013/2016, Outlook for Mac nebo pomocí webového rozhraní Outlook On the Web.

Nemusíte vůbec přemýšlet nad tím, jaký poštovní systém cílový příjemce používá. Jednoduše jen kliknete na připravené tlačítko Chránit.

Obrázek 2 Odesílání chráněné zprávy

Výchozí akcí je „Nepřeposílat”. OMEv2 je totiž plně postaveno nad technologií AIP (Azure Information Protection), a tak kromě šifrování zprávy můžeme i nastavit oprávnění, co se zprávou přesně může příjemce po přečtení udělat. Výchozí šablona „Nepřeposílat“ příjemci zakazuje přeposílání, vytisknutí i kopírování obsahu. Protože pro některou komunikace je to dle odezvy zákazníků příliš restriktivní, nově můžeme změnit typ ochrany na „Šifrovat“. Zde příjemce může zprávu bez omezení dál přeposlat, ale nesmí odebrat samotnou ochranu. Zpráva i po přeposlání tak bude dále šifrovaná. Samozřejmě si můžete v rámci konfigurace připravit svoje vlastní upravené sady oprávnění.

V případě, že je součástí poštovní zprávy i příloha ze sady nativně podporovaných typů souborů, tato příloha bude také zašifrována a chráněna pomocí přiřazených oprávnění i za předpokladu, že tento soubor z e-mailové zprávy uložíme třeba na lokální disk.

Jak funguje OMEv2 z pohledu příjemce

Office 365 uživatel

Pokud je příjemcem uživatel Office 365 nebo Outlook.com, může využívat Outlook for PC/MAC (2013/2016), Outlook on the web nebo Outlook for iOS/Android k přečtení zprávy a případné odpovědi na ní, aniž by jakkoliv měnil způsob svojí práce. Podpora je nativní a žádným způsobem neomezuje komfort uživatele.

Uživatel Yahoo! nebo Gmail

Služby Gmail a Yahoo! obsluhují celosvětově velké množství uživatelů a ti mohou všichni těžit z dohody s Microsoftem nad možností se přihlásit svým nativním účtem k webovému Office 365 message encryption portálu, který jim nejen zobrazí chráněnou zprávu, ale umožní jim na ni například odpovědět. Vše je vidět na následujících obrázcích, každopádně jsou nutné jen 3 kroky:

  • Uživatel obdrží ve svém Gmail/Yahoo rozhraní zprávu o tom, že mu někdo poslal chráněnou zprávu a je zde odkaz pro přečtení

  • Uživatel je vyzván k přihlášení se pomocí svého Google nebo Yahoo účtu

  • Po přihlášení se na samostatné záložce webového prohlížeče otevře Office 365 Message Encryption portál, který zprávu zobrazí

Obrázek 3 Gmail – doručená chráněná zpráva

Obrázek 4 Gmail – přihlášení pomocí google účtu

Obrázek 5 Gmail – zobrazení zprávy v Office 365 message encryption portálu

Uživatel jakéhokoliv jiného poštovního systému

Jak jsme popsali hned v úvodu, tato služba nás nelimituje pouze na příjemce z Office 365, outlook.com, Gmail nebo Yahoo. Zprávu můžeme poslat opravdu komukoliv a ten si ji může přečíst prostřednictvím prohlížeče. Jediný rozdíl u ostatních poštovních systémů je ten, že není možné se autentizovat svým nativním účtem, a tak je ověření účtem a heslem nahrazeno ověřením OTP (one-time password). OTP má formu jednorázového kódu, který na vyžádání přijde do poštovní schránky příjemce. Po přihlášení pomocí OTP je zpráva opět zpřístupněna pomocí Office 365 Message Encryption portálu.

Obrázek 6 Přístup pomocí OTP

V tomto článku jsme si ukázali základní vlastnosti a způsob práce s chráněnou zprávou na straně odesílatele i příjemce v různých scénářích. V příštím pokračování vysvětlíme požadavky na licence, potřebou konfiguraci v Office 365 i možnosti automatizované ochrany na zpráv na základě definovaných podmínek.

Miroslav Knotek, KPCS CZ, knotek@kpcs.cz

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Autor: Miroslav Knotek

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Následující článek Předchozí článek