電子郵件加密

1、電子郵件加密,目錄 ：,一、基于對(duì)稱算法的加密二、基于PKI/CA認(rèn)證加密技術(shù)加密郵件三、基于身份的密碼技術(shù)進(jìn)行郵件加密,近年來(lái)隨著Internet的蓬勃發(fā)展，越來(lái)越多的公司和個(gè)人從事網(wǎng)上電子商務(wù)活動(dòng)，并逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。電子商務(wù)的發(fā)展前景十分誘人，而其安全問(wèn)題也變得越來(lái)越突出，如何建立一個(gè)安全便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)心的話題。無(wú)論在電子商務(wù)還是電子政務(wù)中

2、，電子郵件都是一種不可或缺的便捷的低成本的通信手段，但由于普通電子郵件本身不安全的特點(diǎn)，需要保密的信息還不能用通常的電子郵件系統(tǒng)傳送，這樣就需要一種既能保密、又能夠?qū)︵]件進(jìn)行完整性驗(yàn)證，驗(yàn)證郵件是否被別人篡改和偽造的電子郵件加密方法。,1、基于對(duì)稱算法的加密 利用對(duì)稱加密算法加密郵件：對(duì)稱加密算法是應(yīng)用較早的加密算法，技術(shù)成熟。在對(duì)稱加密算法中，數(shù)據(jù)發(fā)信方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過(guò)特殊加密算法處理后，使其變成復(fù)雜的加密

3、密文發(fā)送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過(guò)的密鑰及相同算法的逆算法對(duì)密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。在對(duì)稱加密算法中，使用的密鑰只有一個(gè)，發(fā)收信雙方都使用這個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密，這就要求解密方事先必須知道加密密鑰。對(duì)稱加密算法的特點(diǎn)是算法公開(kāi)、計(jì)算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。利用對(duì)稱密碼算法對(duì)電子郵件進(jìn)行加密，需要解決密碼的傳遞，保存、交換。這種方

4、式的郵件加密系統(tǒng)目前很少使用。,今年來(lái)，各大郵件運(yùn)營(yíng)商都十分重視郵件安全問(wèn)題，紛紛推出了眾多和郵件安全相關(guān)的服務(wù)，但2010年，網(wǎng)易則是首家推出真正意義的“郵件加密”功能，這是網(wǎng)易為了更好地保護(hù)用戶郵件，防止隱私及重要信息被披露，率先在業(yè)內(nèi)開(kāi)發(fā)的一套郵件保護(hù)功能。,電子郵件加密系統(tǒng)目前大部分產(chǎn)品都是基于這種加密方式。PKI(Public Key Infrastructure)指的是公鑰基礎(chǔ)設(shè)施, CA(Certificate Autho

5、rity)指的是認(rèn)證中心。PKI從技術(shù)上解決了網(wǎng)絡(luò)通信安全的種種障礙；CA從運(yùn)營(yíng)、管理、規(guī)范、法律、人員等多個(gè)方面解決了網(wǎng)通信任問(wèn)題。,電子簽名技術(shù)非常復(fù)雜，但使用起來(lái)非常方便，不論是簽名還是加密、解密，具體的步驟都將由電子郵件客戶端軟件實(shí)施。目前FoxMail、Outlook Express與Outlook等主流的電子郵件客戶端軟件都能夠支持。您需要做的只是申請(qǐng)電子證書(shū)，并在電子郵件客戶端軟件上指定每個(gè)電子郵件地址將使用哪種電子證書(shū)。

6、在需要為發(fā)送的電子郵件簽名或加密時(shí)單擊相應(yīng)的按鈕即可完成。而當(dāng)收到使用電子簽名的郵件時(shí)，驗(yàn)證郵件是否完整和解密的工作也將由電子郵件客戶端軟件自動(dòng)完成。,2、基于PKI/CA認(rèn)證加密技術(shù)加密郵件,在Outlook 中選擇“工具”*“選項(xiàng)”*“安全”，切換到“安全”選項(xiàng)卡，在“安全”選項(xiàng)卡上方的“加密郵件”一欄中，您可以通過(guò)復(fù)選框選擇是否需要加密所有發(fā)出的郵件，或者為所有發(fā)出的郵件簽名。單擊“默認(rèn)設(shè)置”旁邊的“設(shè)置”按鈕，您將可以在彈出的“

7、更改安全設(shè)置”對(duì)話框上，單擊“選擇”指定用于加密和簽名的電子證書(shū)，更改加密算法以及選擇是否在發(fā)送簽名郵件時(shí)將電子證書(shū)一同發(fā)出。設(shè)置完畢后，在使用Outlook編輯郵件時(shí)，您將可以通過(guò)郵件編輯窗口工具欄上的“簽名”和“加密”，使用自己的電子證書(shū)簽名或使用收件人的證書(shū)加密郵件.,申請(qǐng)：需要向相關(guān)部門(mén)認(rèn)證申請(qǐng)，并同時(shí)注冊(cè)。收發(fā)雙方申請(qǐng)數(shù)字證書(shū)。,2.1 Outlook：,2.2 PGP一一Pretty Good Privaey,PGP就是一個(gè)

8、基于RSA公匙加密體系的郵件加密軟件．它可以用來(lái)對(duì)你的郵件加密以防止非授權(quán)者閱讀．還能對(duì)你的郵件加上數(shù)字簽名而使收信人可以確信郵件是你發(fā)來(lái)的。,（一）IDEA算法(Internation Date Encryption Algorithm)。IDEA 叫對(duì)稱加密算法算法，其機(jī)理是用一個(gè)128bit的密鑰加密明文，解密時(shí)再使用相同的密鑰解密密文，此處的密鑰在PGP中叫會(huì)話密鑰。IDEA算法優(yōu)點(diǎn)是加密速度較快，缺點(diǎn)是收發(fā)雙方不能確保有一個(gè)安

9、全渠道來(lái)傳送會(huì)話密鑰。在PGP中，IDEA算法被用來(lái)加密郵件正文。 （二）RSA算法(Rivest-Shamir-Adleman)。RSA叫非對(duì)稱加密算法，其原理是找兩個(gè)很大的質(zhì)數(shù)，其中一個(gè)對(duì)外界公開(kāi)，稱為公匙，另一個(gè)稱為私匙，用公匙加加密的密文可以用私匙，反之亦然。發(fā)信人需用收信人的公匙將傳輸信息加密，通過(guò)網(wǎng)絡(luò)傳給收信人。收信人再用自己的私匙才能解密，此時(shí)只有收信人的私匙才能解密，由此可確認(rèn)能讀懂信的人必是正確的收信人，從而實(shí)現(xiàn)身份

10、的鑒別。另一方面，如果發(fā)信人用自己的私匙將傳輸信息加密，就相當(dāng)于在此消息上作了簽名。收信人只有用發(fā)信人的公匙才能將其解開(kāi)。這樣可以證明信件確實(shí)是由原發(fā)件人發(fā)出，別人無(wú)法假冒他的名義，便實(shí)現(xiàn)了數(shù)字簽名功能。RSA算法的不足之處是其計(jì)算量很大，加密正文信息效率低，加密正文信息效率低，速度慢。 （三）SHA算法(Secure Hash Algorithm)。SHA叫單向散列算法，在PGP中，信息摘要是一串能表達(dá)內(nèi)容的160bit或128bi

11、t的二進(jìn)制特征數(shù)。信息內(nèi)容和信息摘要是一一對(duì)應(yīng)的，不同的內(nèi)容所產(chǎn)生的信息摘要不同，即使內(nèi)容有一個(gè)字節(jié)的改變信息摘要的結(jié)果都會(huì)發(fā)生較大的變化。單向散列算法不能夠由信息摘要反推出原郵件內(nèi)容。因SHA可以保證郵件的完整性。,傳統(tǒng)的端到端郵件加密，如PGP，都采用傳統(tǒng)的基于PKI/CA機(jī)制的構(gòu)建安全電子郵件系統(tǒng)，這在應(yīng)用中暴露出諸多的弱點(diǎn)，例如：1.證書(shū)管理系統(tǒng)復(fù)雜。一個(gè)典型、完整、有效的PKI/CA系統(tǒng)至少應(yīng)具有以下幾部分：公鑰密碼證書(shū)管

12、理；黑名單的發(fā)布和管理；密鑰的備份和恢復(fù)；自動(dòng)密鑰更新；自動(dòng)管理歷史密鑰；支持交叉認(rèn)證。由于電子郵件系統(tǒng)通常面對(duì)龐大的用戶群，證書(shū)管理系統(tǒng)的必然極為復(fù)雜。2.用戶必須擁有可信第三方頒發(fā)的公鑰證書(shū)，才可以進(jìn)行保密通信。而實(shí)際中證書(shū)的申請(qǐng)、頒發(fā)和管理通常需要一個(gè)復(fù)雜的過(guò)程。在電子郵件的用戶群中，擁有公鑰證書(shū)的用戶只占很小的比例。3.獲得對(duì)方公鑰證書(shū)并確認(rèn)其有效性困難。在利用電子郵件通信中，用戶間的關(guān)系通常是松散的。如何獲得對(duì)方證書(shū)？如何

13、搜索證書(shū)的CA鏈以確認(rèn)證書(shū)的有效性？都是實(shí)際應(yīng)用中面臨的棘手問(wèn)題。4.證書(shū)機(jī)制的正確使用需要具備一定的信息安全專業(yè)知識(shí)。由于證書(shū)系統(tǒng)及其使用的復(fù)雜性，雖然電子郵件安全的市場(chǎng)需求迫切，但基于PKI/CA機(jī)制的安全電子郵件系統(tǒng)，在實(shí)際中并沒(méi)有得到廣泛深入的應(yīng)用。,為簡(jiǎn)化傳統(tǒng)公鑰密碼系統(tǒng)的密鑰管理問(wèn)題，1984年，以色列科學(xué)家、著名的RSA體制的發(fā)明者之一提出基于身份密碼的思想：將用戶公開(kāi)的身份信息（如e-mail地址，IP地址，名字…

14、…，等等）作為用戶公鑰，用戶私鑰由一個(gè)稱為私鑰生成者的可信中心生成。在隨后的二十幾年中，基于身份密碼體制的設(shè)計(jì)成為密碼學(xué)界的一個(gè)熱門(mén)的研究領(lǐng)域。目前這種方式是最有希望實(shí)現(xiàn)電子郵件加密大規(guī)模應(yīng)用的方式。,3.基于身份的加密（IBE）技術(shù)進(jìn)行電子郵件加密,3.1 基于身份密碼的電子郵件原理：基于身份的安全電子郵件系統(tǒng)直接以用戶的E-mail地址作為公鑰，不需要證書(shū)及相關(guān)操作，系統(tǒng)構(gòu)成也比較簡(jiǎn)單。下面給出了一個(gè)基于身份密碼體制的安全電子郵件

15、模型，該模型將基于身份的加密、簽名和私鑰分發(fā)方案有機(jī)結(jié)合，提供了安全的電子郵件服務(wù)。,PKG：私鑰生成中心 LRA：本地注冊(cè)機(jī)構(gòu),1.系統(tǒng)建立 由PKG執(zhí)行初始化算法,產(chǎn)生系統(tǒng)的公開(kāi)參數(shù)和系統(tǒng)主密鑰,準(zhǔn)備接收用戶私鑰申請(qǐng)。2.發(fā)送方獲取自己私鑰 用戶A以離線的方式向LRA注冊(cè),LRA審核A身份后,A向LRA注冊(cè)一個(gè)一次性口令，注冊(cè)完畢后,LRA將用戶身份一口令(ID,pwd)組安全地遞交給PKG，用戶A

16、憑借信息(ID,pwd)在非安全信道上向PKG申請(qǐng)私鑰,PKG驗(yàn)證A的信息,如果通過(guò)驗(yàn)證就在非安全信道上把私鑰發(fā)放給用戶A。3.簽名/加密 用戶A想發(fā)送一封郵件給B,他首先用自己的私鑰給郵件簽名,簽名方案采用基于身份的卡梅隆簽名方案，然后A隨機(jī)選擇會(huì)話密鑰,用AES算法加密郵件，最后用B的公鑰(郵件地址) 加密會(huì)話密鑰,并將加密結(jié)果附帶到已用會(huì)話密鑰加密的郵件后面，這時(shí),整個(gè)簽名加密過(guò)程全部完成。4.發(fā)送郵件 A將簽名/加密

17、后的電子郵件發(fā)送給郵件服務(wù)器。5.接收郵件“B從郵件服務(wù)器接收簽名/加密后的電子郵件。6.當(dāng)B收到A的郵件后,如果沒(méi)有私鑰,則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密會(huì)話密鑰,然后再用會(huì)話密鑰解密郵件,之后用A的公鑰驗(yàn)證郵件簽名,如果簽名正確,則B相信郵件是完整的,并且確實(shí)是A發(fā)送的電子郵件。,3.2 基于身份加密的缺點(diǎn)：首先，密鑰托管問(wèn)題，PKG有能力獲得任何一個(gè)用戶的私鑰，也就是說(shuō)用戶發(fā)送的信息對(duì)PKG來(lái)說(shuō)都是可見(jiàn)