電子郵件加密

1、電子郵件加密,目錄 ：,一、基于對稱算法的加密二、基于PKI/CA認證加密技術(shù)加密郵件三、基于身份的密碼技術(shù)進行郵件加密,近年來隨著Internet的蓬勃發(fā)展，越來越多的公司和個人從事網(wǎng)上電子商務活動，并逐漸成為人們進行商務活動的新模式。電子商務的發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全便捷的電子商務應用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關(guān)心的話題。無論在電子商務還是電子政務中

2、，電子郵件都是一種不可或缺的便捷的低成本的通信手段，但由于普通電子郵件本身不安全的特點，需要保密的信息還不能用通常的電子郵件系統(tǒng)傳送，這樣就需要一種既能保密、又能夠?qū)︵]件進行完整性驗證，驗證郵件是否被別人篡改和偽造的電子郵件加密方法。,1、基于對稱算法的加密 利用對稱加密算法加密郵件：對稱加密算法是應用較早的加密算法，技術(shù)成熟。在對稱加密算法中，數(shù)據(jù)發(fā)信方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過特殊加密算法處理后，使其變成復雜的加密

3、密文發(fā)送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密算法中，使用的密鑰只有一個，發(fā)收信雙方都使用這個密鑰對數(shù)據(jù)進行加密和解密，這就要求解密方事先必須知道加密密鑰。對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。利用對稱密碼算法對電子郵件進行加密，需要解決密碼的傳遞，保存、交換。這種方

4、式的郵件加密系統(tǒng)目前很少使用。,今年來，各大郵件運營商都十分重視郵件安全問題，紛紛推出了眾多和郵件安全相關(guān)的服務，但2010年，網(wǎng)易則是首家推出真正意義的“郵件加密”功能，這是網(wǎng)易為了更好地保護用戶郵件，防止隱私及重要信息被披露，率先在業(yè)內(nèi)開發(fā)的一套郵件保護功能。,電子郵件加密系統(tǒng)目前大部分產(chǎn)品都是基于這種加密方式。PKI(Public Key Infrastructure)指的是公鑰基礎設施, CA(Certificate Autho

5、rity)指的是認證中心。PKI從技術(shù)上解決了網(wǎng)絡通信安全的種種障礙；CA從運營、管理、規(guī)范、法律、人員等多個方面解決了網(wǎng)通信任問題。,電子簽名技術(shù)非常復雜，但使用起來非常方便，不論是簽名還是加密、解密，具體的步驟都將由電子郵件客戶端軟件實施。目前FoxMail、Outlook Express與Outlook等主流的電子郵件客戶端軟件都能夠支持。您需要做的只是申請電子證書，并在電子郵件客戶端軟件上指定每個電子郵件地址將使用哪種電子證書。

6、在需要為發(fā)送的電子郵件簽名或加密時單擊相應的按鈕即可完成。而當收到使用電子簽名的郵件時，驗證郵件是否完整和解密的工作也將由電子郵件客戶端軟件自動完成。,2、基于PKI/CA認證加密技術(shù)加密郵件,在Outlook 中選擇“工具”*“選項”*“安全”，切換到“安全”選項卡，在“安全”選項卡上方的“加密郵件”一欄中，您可以通過復選框選擇是否需要加密所有發(fā)出的郵件，或者為所有發(fā)出的郵件簽名。單擊“默認設置”旁邊的“設置”按鈕，您將可以在彈出的“

7、更改安全設置”對話框上，單擊“選擇”指定用于加密和簽名的電子證書，更改加密算法以及選擇是否在發(fā)送簽名郵件時將電子證書一同發(fā)出。設置完畢后，在使用Outlook編輯郵件時，您將可以通過郵件編輯窗口工具欄上的“簽名”和“加密”，使用自己的電子證書簽名或使用收件人的證書加密郵件.,申請：需要向相關(guān)部門認證申請，并同時注冊。收發(fā)雙方申請數(shù)字證書。,2.1 Outlook：,2.2 PGP一一Pretty Good Privaey,PGP就是一個

8、基于RSA公匙加密體系的郵件加密軟件．它可以用來對你的郵件加密以防止非授權(quán)者閱讀．還能對你的郵件加上數(shù)字簽名而使收信人可以確信郵件是你發(fā)來的。,（一）IDEA算法(Internation Date Encryption Algorithm)。IDEA 叫對稱加密算法算法，其機理是用一個128bit的密鑰加密明文，解密時再使用相同的密鑰解密密文，此處的密鑰在PGP中叫會話密鑰。IDEA算法優(yōu)點是加密速度較快，缺點是收發(fā)雙方不能確保有一個安

9、全渠道來傳送會話密鑰。在PGP中，IDEA算法被用來加密郵件正文。 （二）RSA算法(Rivest-Shamir-Adleman)。RSA叫非對稱加密算法，其原理是找兩個很大的質(zhì)數(shù)，其中一個對外界公開，稱為公匙，另一個稱為私匙，用公匙加加密的密文可以用私匙，反之亦然。發(fā)信人需用收信人的公匙將傳輸信息加密，通過網(wǎng)絡傳給收信人。收信人再用自己的私匙才能解密，此時只有收信人的私匙才能解密，由此可確認能讀懂信的人必是正確的收信人，從而實現(xiàn)身份

10、的鑒別。另一方面，如果發(fā)信人用自己的私匙將傳輸信息加密，就相當于在此消息上作了簽名。收信人只有用發(fā)信人的公匙才能將其解開。這樣可以證明信件確實是由原發(fā)件人發(fā)出，別人無法假冒他的名義，便實現(xiàn)了數(shù)字簽名功能。RSA算法的不足之處是其計算量很大，加密正文信息效率低，加密正文信息效率低，速度慢。 （三）SHA算法(Secure Hash Algorithm)。SHA叫單向散列算法，在PGP中，信息摘要是一串能表達內(nèi)容的160bit或128bi

11、t的二進制特征數(shù)。信息內(nèi)容和信息摘要是一一對應的，不同的內(nèi)容所產(chǎn)生的信息摘要不同，即使內(nèi)容有一個字節(jié)的改變信息摘要的結(jié)果都會發(fā)生較大的變化。單向散列算法不能夠由信息摘要反推出原郵件內(nèi)容。因SHA可以保證郵件的完整性。,傳統(tǒng)的端到端郵件加密，如PGP，都采用傳統(tǒng)的基于PKI/CA機制的構(gòu)建安全電子郵件系統(tǒng)，這在應用中暴露出諸多的弱點，例如：1.證書管理系統(tǒng)復雜。一個典型、完整、有效的PKI/CA系統(tǒng)至少應具有以下幾部分：公鑰密碼證書管

12、理；黑名單的發(fā)布和管理；密鑰的備份和恢復；自動密鑰更新；自動管理歷史密鑰；支持交叉認證。由于電子郵件系統(tǒng)通常面對龐大的用戶群，證書管理系統(tǒng)的必然極為復雜。2.用戶必須擁有可信第三方頒發(fā)的公鑰證書，才可以進行保密通信。而實際中證書的申請、頒發(fā)和管理通常需要一個復雜的過程。在電子郵件的用戶群中，擁有公鑰證書的用戶只占很小的比例。3.獲得對方公鑰證書并確認其有效性困難。在利用電子郵件通信中，用戶間的關(guān)系通常是松散的。如何獲得對方證書？如何

13、搜索證書的CA鏈以確認證書的有效性？都是實際應用中面臨的棘手問題。4.證書機制的正確使用需要具備一定的信息安全專業(yè)知識。由于證書系統(tǒng)及其使用的復雜性，雖然電子郵件安全的市場需求迫切，但基于PKI/CA機制的安全電子郵件系統(tǒng)，在實際中并沒有得到廣泛深入的應用。,為簡化傳統(tǒng)公鑰密碼系統(tǒng)的密鑰管理問題，1984年，以色列科學家、著名的RSA體制的發(fā)明者之一提出基于身份密碼的思想：將用戶公開的身份信息（如e-mail地址，IP地址，名字…

14、…，等等）作為用戶公鑰，用戶私鑰由一個稱為私鑰生成者的可信中心生成。在隨后的二十幾年中，基于身份密碼體制的設計成為密碼學界的一個熱門的研究領(lǐng)域。目前這種方式是最有希望實現(xiàn)電子郵件加密大規(guī)模應用的方式。,3.基于身份的加密（IBE）技術(shù)進行電子郵件加密,3.1 基于身份密碼的電子郵件原理：基于身份的安全電子郵件系統(tǒng)直接以用戶的E-mail地址作為公鑰，不需要證書及相關(guān)操作，系統(tǒng)構(gòu)成也比較簡單。下面給出了一個基于身份密碼體制的安全電子郵件

15、模型，該模型將基于身份的加密、簽名和私鑰分發(fā)方案有機結(jié)合，提供了安全的電子郵件服務。,PKG：私鑰生成中心 LRA：本地注冊機構(gòu),1.系統(tǒng)建立 由PKG執(zhí)行初始化算法,產(chǎn)生系統(tǒng)的公開參數(shù)和系統(tǒng)主密鑰,準備接收用戶私鑰申請。2.發(fā)送方獲取自己私鑰 用戶A以離線的方式向LRA注冊,LRA審核A身份后,A向LRA注冊一個一次性口令，注冊完畢后,LRA將用戶身份一口令(ID,pwd)組安全地遞交給PKG，用戶A

16、憑借信息(ID,pwd)在非安全信道上向PKG申請私鑰,PKG驗證A的信息,如果通過驗證就在非安全信道上把私鑰發(fā)放給用戶A。3.簽名/加密 用戶A想發(fā)送一封郵件給B,他首先用自己的私鑰給郵件簽名,簽名方案采用基于身份的卡梅隆簽名方案，然后A隨機選擇會話密鑰,用AES算法加密郵件，最后用B的公鑰(郵件地址) 加密會話密鑰,并將加密結(jié)果附帶到已用會話密鑰加密的郵件后面，這時,整個簽名加密過程全部完成。4.發(fā)送郵件 A將簽名/加密

17、后的電子郵件發(fā)送給郵件服務器。5.接收郵件“B從郵件服務器接收簽名/加密后的電子郵件。6.當B收到A的郵件后,如果沒有私鑰,則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密會話密鑰,然后再用會話密鑰解密郵件,之后用A的公鑰驗證郵件簽名,如果簽名正確,則B相信郵件是完整的,并且確實是A發(fā)送的電子郵件。,3.2 基于身份加密的缺點：首先，密鑰托管問題，PKG有能力獲得任何一個用戶的私鑰，也就是說用戶發(fā)送的信息對PKG來說都是可見