现代密码学电子邮件安全课件

1、现代密码学电子邮件安全1 电子邮件安全电子邮件安全 现代密码学电子邮件安全2 电子邮件系统原理电子邮件系统原理 l1. 1. 什么是电子邮件？什么是电子邮件？电子邮件是电子邮件是InternetInternet上应用最广同时上应用最广同时 也是最基本的服务之一。只要能够连接到因特网，拥有一个也是最基本的服务之一。只要能够连接到因特网，拥有一个E-mailE-mail账账 号，就可以通过电子邮件系统，用非常低廉的价格、非常快的速度，号，就可以通过电子邮件系统，用非常低廉的价格、非常快的速度， 与世界上任何一个角落的网络用户联络。与世界上任何一个角落的网络用户联络。 l2 2电子邮件系统的组成电子

2、邮件系统的组成 E-mailE-mail服务是一种客户机服务是一种客户机/ /服务器模式的应用，一个电子邮件系统服务器模式的应用，一个电子邮件系统 主要有以下两部分组成：主要有以下两部分组成： （1 1）客户机软件）客户机软件UAUA（User AgentUser Agent）：用来处理邮件，如邮件的编）：用来处理邮件，如邮件的编 写、阅读和管理（删除、排序等）；写、阅读和管理（删除、排序等）； （2 2）服务器软件）服务器软件TATA（Transfer AgentTransfer Agent）：用来传递邮件。）：用来传递邮件。 l3 3电子邮件的工作原理电子邮件的工作原理 电子邮件不是一种电

3、子邮件不是一种“终端到终端终端到终端”的服务，而是被称为的服务，而是被称为“存储转发式存储转发式” 服务服务 现代密码学电子邮件安全3 邮件网关邮件网关 1. 1. 什么是邮件网关什么是邮件网关 l邮件网关指在两个不同邮件系统之间传递邮件的计算机。它能邮件网关指在两个不同邮件系统之间传递邮件的计算机。它能 够计算出消息中哪些是重要信息，如主题、发送者、接收者，够计算出消息中哪些是重要信息，如主题、发送者、接收者， 并把它们翻译成其它系统所需的格式。并把它们翻译成其它系统所需的格式。 l也可以说邮件网关负责内部与外部邮件系统的沟通。外部发送也可以说邮件网关负责内部与外部邮件系统的沟通。外部发送

4、到本企业的邮件，通过到本企业的邮件，通过InternetInternet网站上的网站上的Mail ServerMail Server先行保先行保 存着，邮件网关可以定时将这些邮件收下来，分发给邮件的接存着，邮件网关可以定时将这些邮件收下来，分发给邮件的接 收者，同时，将发送到企业外部的邮件通过收者，同时，将发送到企业外部的邮件通过InternetInternet传送出去。传送出去。 现代密码学电子邮件安全4 2 2邮件网关的主要功能邮件网关的主要功能 l（1 1）预防功能）预防功能 l（2 2）监控功能）监控功能 l（3 3）跟踪功能）跟踪功能 l（4 4）账务管理）账务管理 l（5 5）分类

5、统计表）分类统计表 l（6 6）邮件备份）邮件备份 现代密码学电子邮件安全5 3 3邮件网关的应用邮件网关的应用 根据邮件网关的用途可将其分成普通邮件网关、邮件过滤网关和反垃圾根据邮件网关的用途可将其分成普通邮件网关、邮件过滤网关和反垃圾 邮件网关。邮件网关。 l普通邮件网关普通邮件网关。即具有一般邮件网关的功能。即具有一般邮件网关的功能。 l邮件过滤网关邮件过滤网关。邮件过滤网关是一个集中检测带毒邮件的独立硬件系。邮件过滤网关是一个集中检测带毒邮件的独立硬件系 统，与用户的邮件系统类型无关，并支持统，与用户的邮件系统类型无关，并支持SMTPSMTP认证。认证。 l反垃圾邮件网关反垃圾邮件网关

6、。反垃圾邮件网关是基于服务器的邮件过滤和传输系。反垃圾邮件网关是基于服务器的邮件过滤和传输系 统，可以帮助企业有效管理邮件系统，防止未授权的邮件进入或发出，统，可以帮助企业有效管理邮件系统，防止未授权的邮件进入或发出， 同时被用于阻挡垃圾邮件、禁止邮件转发和防止电子邮件炸弹。它通同时被用于阻挡垃圾邮件、禁止邮件转发和防止电子邮件炸弹。它通 过消除不需要的邮件，有效降低网络资源的浪费。过消除不需要的邮件，有效降低网络资源的浪费。 现代密码学电子邮件安全6 SMTPSMTP与与POP3POP3协议协议 SMTPSMTP协议协议 lSMTPSMTP（Simple Mail Transfer Prot

7、ocolSimple Mail Transfer Protocol）即简单邮件传输协议，它）即简单邮件传输协议，它 是一组用于由源地址到目的地址传送邮件的规则，用来控制信件的中是一组用于由源地址到目的地址传送邮件的规则，用来控制信件的中 转方式。转方式。 lSMTPSMTP协议属于协议属于TCPTCPIPIP协议族的应用层协议，它帮助每台计算机在发协议族的应用层协议，它帮助每台计算机在发 送或中转信件时找到下一个目的地。通过送或中转信件时找到下一个目的地。通过SMTPSMTP协议所指定的服务器，协议所指定的服务器， 我们就可以把我们就可以把E Emailmail寄到收信人的服务器上寄到收信人的

8、服务器上 。 lSMTPSMTP服务器则是遵循服务器则是遵循SMTPSMTP协议的发送邮件服务器，用来发协议的发送邮件服务器，用来发 送或中转电子邮件。送或中转电子邮件。 现代密码学电子邮件安全7 POPPOP协议协议 lPOPPOP协议是邮局协议（协议是邮局协议（Post Office ProtocolPost Office Protocol）的缩写，是一种允许）的缩写，是一种允许 用户从邮件服务器收发邮件的协议。用户从邮件服务器收发邮件的协议。 lPOP3POP3（Post Office Protocol 3Post Office Protocol 3）即邮局协议的第）即邮局协议的第3 3

9、个版本，它规定个版本，它规定 怎样将个人计算机连接到怎样将个人计算机连接到InternetInternet的邮件服务器和下载电子邮件的电的邮件服务器和下载电子邮件的电 子协议，是因特网电子邮件的第一个离线协议标准。子协议，是因特网电子邮件的第一个离线协议标准。POP3POP3允许用户从允许用户从 服务器上把邮件存储到本地主机，同时删除保存在邮件服务器上的邮服务器上把邮件存储到本地主机，同时删除保存在邮件服务器上的邮 件。件。 lPOP3POP3服务器则是遵循服务器则是遵循POP3POP3协议的接收邮件服务器，用来接收电子邮件协议的接收邮件服务器，用来接收电子邮件 的。与的。与SMTPSMTP协

10、议相结合，协议相结合，POP3POP3是目前最常用的电子邮件服务协议。是目前最常用的电子邮件服务协议。 现代密码学电子邮件安全8 电子邮件系统安全问题电子邮件系统安全问题 匿名转发匿名转发 l没有发件人信息的邮件就是这里所说的匿名邮件，邮件的发件人刻意没有发件人信息的邮件就是这里所说的匿名邮件，邮件的发件人刻意 隐瞒自己的电子邮箱地址和其他信息，或者通过某些方法给你一些错隐瞒自己的电子邮箱地址和其他信息，或者通过某些方法给你一些错 误的发件人信息。误的发件人信息。 l现在现在InternetInternet上有大量的匿名转发邮件系统，发送者首先将邮件发送上有大量的匿名转发邮件系统，发送者首先将

11、邮件发送 给匿名转发系统，并告诉这个邮件希望发送给谁，匿名转发邮件系统给匿名转发系统，并告诉这个邮件希望发送给谁，匿名转发邮件系统 将删去所有的返回地址信息，再把邮件转发给真正的收件者，并将自将删去所有的返回地址信息，再把邮件转发给真正的收件者，并将自 己的地址作为发信人地址显示在邮件的信息表头中。己的地址作为发信人地址显示在邮件的信息表头中。 现代密码学电子邮件安全9 电子邮件欺骗电子邮件欺骗 l电子邮件电子邮件“欺骗欺骗”是在电子邮件中改变名字，使之看起来是从某地或是在电子邮件中改变名字，使之看起来是从某地或 某人发来的行为。某人发来的行为。 例如，攻击者佯称自己为系统管理员（邮件地址和系

12、统管理员例如，攻击者佯称自己为系统管理员（邮件地址和系统管理员 完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字 符串）或在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只符串）或在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只 要用户提高警惕，一般危害性不是太大。要用户提高警惕，一般危害性不是太大。 现代密码学电子邮件安全10 l“欺骗欺骗”对于使用多于一个电子邮件账户的人来说，是合法且有用的对于使用多于一个电子邮件账户的人来说，是合法且有用的 工具。，。你可以做一点小小的工具。，。你可以做一点小小的“欺骗欺骗”使

13、所有从使所有从邮件账邮件账 户发出的电子邮件看起来好像从你的户发出的电子邮件看起来好像从你的账户发出。如果有人账户发出。如果有人 回复你的电子邮件，。回复你的电子邮件，。 l要改变电子邮件身份，到电子邮件客户软件的邮件属性栏中，或者要改变电子邮件身份，到电子邮件客户软件的邮件属性栏中，或者 WebWeb页邮件账户页面上寻找页邮件账户页面上寻找“身份身份”一栏，通常选择一栏，通常选择“回复地址回复地址”。 回复地址的默认值正常来说，就是你的电子邮件地址和你的名字，但回复地址的默认值正常来说，就是你的电子邮件地址和你的名字，但 在此，你可以任意更改。在此，你可以任意更改。 现代密码学电子邮件安全1

14、1 执行电子邮件欺骗常用的三种基本方法执行电子邮件欺骗常用的三种基本方法 l（1 1）相似的电子邮件地址）相似的电子邮件地址 l攻击者找到一个公司的老板或者高级管理人员的名字。有了这个名字后，攻击者注册攻击者找到一个公司的老板或者高级管理人员的名字。有了这个名字后，攻击者注册 一个看上去像高级管理人员名字的邮件地址。他只需简单的进入一个看上去像高级管理人员名字的邮件地址。他只需简单的进入hotmailhotmail等网站或者提等网站或者提 供免费邮件的公司，签署这样一个账号。然后在电子邮件的别名字段填入管理者的名供免费邮件的公司，签署这样一个账号。然后在电子邮件的别名字段填入管理者的名 字。我

15、们知道，别名字段是显示在用户的邮件客户的发件人字段中。因为邮件地址似字。我们知道，别名字段是显示在用户的邮件客户的发件人字段中。因为邮件地址似 乎是正确的，所以邮件接收人很可能会回复它，这样攻击者就会得到想要的信息。乎是正确的，所以邮件接收人很可能会回复它，这样攻击者就会得到想要的信息。 l（2 2）修改邮件客户）修改邮件客户 l当用户发出一封电子邮件时，没有对发件人地址进行验证或者确认，因此如果攻击者当用户发出一封电子邮件时，没有对发件人地址进行验证或者确认，因此如果攻击者 有一个像有一个像outlookoutlook的邮件客户，他能够进入并且指定出现在发件人地址栏中的地址。的邮件客户，他能

16、够进入并且指定出现在发件人地址栏中的地址。 l攻击者能够指定他想要的任何返回地址。因此当用户回信时，答复回到真实的地址，攻击者能够指定他想要的任何返回地址。因此当用户回信时，答复回到真实的地址， 而不是到被盗用了地址的人那里。而不是到被盗用了地址的人那里。 l（3 3）远程联系，登录到端口）远程联系，登录到端口2525 l因为邮件服务器使用端口因为邮件服务器使用端口2525发送信息，所以没有理由说明攻击者不会连接到发送信息，所以没有理由说明攻击者不会连接到2525，装作，装作 是一台邮件服务器，然后写一个信息。有时攻击者会使用端口扫描来判断哪个是一台邮件服务器，然后写一个信息。有时攻击者会使用

17、端口扫描来判断哪个2525端口端口 是开放的，以此找到邮件服务器的是开放的，以此找到邮件服务器的IPIP地址。地址。 现代密码学电子邮件安全12 E-mailE-mail炸弹炸弹 l电子邮件炸弹（电子邮件炸弹（E EMail BombMail Bomb），是一种让人厌烦的攻击。它是黑客常用的），是一种让人厌烦的攻击。它是黑客常用的 攻击手段。传统的邮件炸弹大多只是简单的向邮箱内扔去大量的垃圾邮件，攻击手段。传统的邮件炸弹大多只是简单的向邮箱内扔去大量的垃圾邮件， 从而充满邮箱，大量的占用了系统的可用空间和资源，使机器暂时无法正常从而充满邮箱，大量的占用了系统的可用空间和资源，使机器暂时无法正常

18、 工作。工作。 l过多的邮件垃圾往往会加剧网络的负载力和消耗大量的空间资源来储存它们，过多的邮件垃圾往往会加剧网络的负载力和消耗大量的空间资源来储存它们， 还将导致系统的还将导致系统的loglog文件变得很大，甚至有可能溢出文件系统，这样会给文件变得很大，甚至有可能溢出文件系统，这样会给 UnixUnix、WindowsWindows等系统带来危险。除了系统有崩溃的可能之外，大量的垃圾等系统带来危险。除了系统有崩溃的可能之外，大量的垃圾 信件还会占用大量的信件还会占用大量的CPUCPU时间和网络带宽，造成正常用户的访问速度成了问题。时间和网络带宽，造成正常用户的访问速度成了问题。 l例如：同时

19、间内有近百人同时向某国的大型军事站点发去大量的垃圾信件的例如：同时间内有近百人同时向某国的大型军事站点发去大量的垃圾信件的 话，那么这样很有可能会使这个站的邮件服务器崩溃，甚至造成整个网络中话，那么这样很有可能会使这个站的邮件服务器崩溃，甚至造成整个网络中 断。断。 现代密码学电子邮件安全13 l从目前来说，电子邮件采用的协议确实十分不妥，在技术上也是没有从目前来说，电子邮件采用的协议确实十分不妥，在技术上也是没有 任何办法防止攻击者给你发送大量的电子邮件炸弹。只要你的邮箱允任何办法防止攻击者给你发送大量的电子邮件炸弹。只要你的邮箱允 许别人给你发邮件，攻击者即可做简单重复的循环发送邮件程序把

20、你许别人给你发邮件，攻击者即可做简单重复的循环发送邮件程序把你 的邮箱灌满。由于不能直接阻止电子邮件炸弹，我们在收到电子邮件的邮箱灌满。由于不能直接阻止电子邮件炸弹，我们在收到电子邮件 炸弹攻击后，只能做一件事，即在不影响信箱内正常邮件的前提下，炸弹攻击后，只能做一件事，即在不影响信箱内正常邮件的前提下， 把这些大量的垃圾电子迅速清除掉。把这些大量的垃圾电子迅速清除掉。 l接下来我们介绍一些解救方法：接下来我们介绍一些解救方法： l1 1向向ISPISP求助求助 l打电话向打电话向ISPISP服务商求助，技术支持是服务商求助，技术支持是ISPISP的服务之一，他们会帮用户清除电的服务之一，他们

21、会帮用户清除电 子邮件炸弹。子邮件炸弹。 l2 2用软件清除用软件清除 l用一些邮件工具软件如用一些邮件工具软件如PoPPoPItIt等清除，这些软件可以登录邮件服务等清除，这些软件可以登录邮件服务 器，选择要删除哪些器，选择要删除哪些E Emailmail，又要保留哪些。，又要保留哪些。 l3 3借用借用OutlookOutlook的阻止发件人功能的阻止发件人功能 l（1 1）如果已经设置了用）如果已经设置了用OutlookOutlook接受信件，先选中要删除的垃圾邮件。接受信件，先选中要删除的垃圾邮件。 l（2 2）点击邮件标签。）点击邮件标签。 l（3 3）在邮件标签下有一）在邮件标签下

22、有一“阻止发件人阻止发件人”选项，点击该项，程序会自选项，点击该项，程序会自 动阻止并删除要拒收的邮件。动阻止并删除要拒收的邮件。 现代密码学电子邮件安全14 l4 4用邮件程序的用邮件程序的email-notifyemail-notify功能来过滤信件功能来过滤信件 lemailemailnotifynotify不会把信件直接从主机上下载下来，只会把所有信件的头部信息不会把信件直接从主机上下载下来，只会把所有信件的头部信息 (headers)(headers)送过来，它包含了信件的发送者、信件的主题等信息，用送过来，它包含了信件的发送者、信件的主题等信息，用viewview功能检查头部功能检

23、查头部 信息，看到有来历可疑的信件，可直接下指令把它从主机信息，看到有来历可疑的信件，可直接下指令把它从主机ServerServer端直接删除掉。万一端直接删除掉。万一 误用一般的邮件程序抓到误用一般的邮件程序抓到mail bombmail bomb，看到在没完没了的下载的时候，强迫关闭程序，看到在没完没了的下载的时候，强迫关闭程序， 重新运行程序，连回重新运行程序，连回ServerServer，用，用email-notifyemail-notify把它删除掉。把它删除掉。 l5 5自动转信自动转信 l假如用户拥有几个假如用户拥有几个EmailEmail地址，其中一个存储空间很大（至少地址，其

24、中一个存储空间很大（至少10M10M），那么，就有了如），那么，就有了如 下的办法：在其它几个较小的下的办法：在其它几个较小的EmailEmail目录中都新建一个目录中都新建一个.forward.forward文件（文件（UnixUnix系统），把系统），把 存储空间最大的那个存储空间最大的那个EmailEmail地址填写如下所示：地址填写如下所示： 。这样你所有的信件都会自动转寄到。这样你所有的信件都会自动转寄到 那个大信箱，有用的信件也就不那么容易被那个大信箱，有用的信件也就不那么容易被“炸毁炸毁”了。了。 l另外，用户还申请一个转信信箱，因为只有它是不怕炸的，根本不会影响到转信的目另外，

25、用户还申请一个转信信箱，因为只有它是不怕炸的，根本不会影响到转信的目 标信箱。其次，在使用的标信箱。其次，在使用的E Emailmail程序中设置限制邮件的大小和垃圾文件的项目，如果程序中设置限制邮件的大小和垃圾文件的项目，如果 发现有很大的信件在服务器上，可用一些登录服务器的程序（如发现有很大的信件在服务器上，可用一些登录服务器的程序（如BECKYBECKY）直接删除。）直接删除。 现代密码学电子邮件安全15 电子邮件安全协议电子邮件安全协议 l电子邮件在传输中使用的是电子邮件在传输中使用的是SMTPSMTP协议，它不提供加密服务，攻击者可在邮件协议，它不提供加密服务，攻击者可在邮件 传输中

26、截获数据。其中的文本格式、非文本格式的二进制数据（如：传输中截获数据。其中的文本格式、非文本格式的二进制数据（如：.exe.exe文文 件）都可轻松地还原。经常收到的好像是好友发来的邮件，可能是一封冒充件）都可轻松地还原。经常收到的好像是好友发来的邮件，可能是一封冒充 的、带着病毒或其他欺骗性的邮件。还有，电子邮件误发给陌生人或不希望的、带着病毒或其他欺骗性的邮件。还有，电子邮件误发给陌生人或不希望 发给的人，也是电子邮件的不加密性客观带来的信息泄露。发给的人，也是电子邮件的不加密性客观带来的信息泄露。 l安全电子邮件能解决邮件的加密传输问题，验证发送者的身份问题，错发用安全电子邮件能解决邮件

27、的加密传输问题，验证发送者的身份问题，错发用 户的收件无效问题。保证电子邮件的安全常用到两种端到端的安全技术：户的收件无效问题。保证电子邮件的安全常用到两种端到端的安全技术：PGPPGP （Pretty Good PrivacyPretty Good Privacy）和）和S/MIMES/MIME（Secure MultiSecure MultiPart Intermail Mail Part Intermail Mail ExtensionExtension）。它们的主要功能就是身份的认证和传输数据的加密。）。它们的主要功能就是身份的认证和传输数据的加密。 l另外还有另外还有MOSSMOSS

28、、PEMPEM等都是电子邮件的安全传输标准。等都是电子邮件的安全传输标准。 现代密码学电子邮件安全16 PGP l1PGP简介 lPGPPGP是一个基于公开密钥加密算法的应用程序，该程序创造性在于把是一个基于公开密钥加密算法的应用程序，该程序创造性在于把RSARSA公钥体系的方公钥体系的方 便和传统加密体系的高速度结合起来，并在数字签名和密钥认证管理机制上有巧妙的便和传统加密体系的高速度结合起来，并在数字签名和密钥认证管理机制上有巧妙的 设计。在此之后，设计。在此之后，PGPPGP成为自由软件，经过许多人的修改和完善逐渐成熟。成为自由软件，经过许多人的修改和完善逐渐成熟。 lPGP相对于其他邮

29、件安全系统有以下几个特点： l1 1）加密速度快。）加密速度快。 l2 2）可移植性出色，可以在）可移植性出色，可以在DOSDOS、Mac-OSMac-OS、OS/2OS/2和和UNIXUNIX等操作系统和等操作系统和Inter80 x86Inter80 x86、VAXVAX、 MC68020MC68020等多种硬件体系下成功运行。等多种硬件体系下成功运行。 l3 3）源代码是免费的，可以削减系统预算。）源代码是免费的，可以削减系统预算。 用户可以使用用户可以使用PGPPGP在不安全的通信链路上创建安全的消息和通信。在不安全的通信链路上创建安全的消息和通信。PGPPGP协议已经成为公协议已经成

30、为公 钥加密技术和全球范围消息安全性的事实标准。因为所有人都能看到它的源代码，使钥加密技术和全球范围消息安全性的事实标准。因为所有人都能看到它的源代码，使 系统安全故障和安全性漏洞的更容易发现和修正。系统安全故障和安全性漏洞的更容易发现和修正。 现代密码学电子邮件安全17 PGP运行方式 lPGP有五种业务： 认证性、保密性、压缩、电子邮件的兼 容性和分段。 现代密码学电子邮件安全18 l认证业务认证业务 M |HDP M 比较比较 Z )(MHEP A SK Z-1 EP SKA PKA H 现代密码学电子邮件安全19 l保密业务保密业务 MM Z )(MHEP A SK Z-1DC DP

31、KS SKB EC| KS EP PKB H(M)EP B PK 现代密码学电子邮件安全20 l保密与认证保密与认证 M |HDP M 比较比较 Z )(MHEP A SK Z-1 EP SKA PKA H DC DP KS SKB EC| KS EP PKB H(M)EP A SK 现代密码学电子邮件安全21 l压缩压缩 PGPPGP在加密前进行预压缩处理，在加密前进行预压缩处理，PGPPGP内核使用内核使用 PKZIPPKZIP算法压缩加密前的明文。一方面对电子邮件算法压缩加密前的明文。一方面对电子邮件 而言，压缩后再经过而言，压缩后再经过radix-64radix-64编码有可能比明文编

32、码有可能比明文 更短，这就节省了网络传输的时间和存储空间；更短，这就节省了网络传输的时间和存储空间； 另一方面，明文经过压缩，实际上相当于经过一另一方面，明文经过压缩，实际上相当于经过一 次变换，对明文攻击的抵御能力更强。次变换，对明文攻击的抵御能力更强。 现代密码学电子邮件安全22 l电子邮件的兼容性电子邮件的兼容性 X文件文件 压缩压缩 XZ(X) 签字？签字？ 保密性？保密性？ 基数基数64变换变换 XR64X XEPKBKS | EKSX 产生签字产生签字 X签字签字|X Yes Yes No No 解压缩解压缩 XZ-1(X) 保密性？保密性？ 签字？签字？ 基数基数64反变换反变换

33、 XR64-1X KSDSKBEPKBKS; X DKSEKSX 从从X中取出中取出 签字并验证签字并验证 Yes Yes No No 现代密码学电子邮件安全23 l分段和重装分段和重装 电子邮件设施经常受限于最大报文长度（电子邮件设施经常受限于最大报文长度（5000050000个）个） 八位组的限制。分段是在所有其他的处理（包括八位组的限制。分段是在所有其他的处理（包括radix-64radix-64 转换）完成后才进行的，因此，会话密钥部分和签名部分转换）完成后才进行的，因此，会话密钥部分和签名部分 只在第一个报文段的开始位置出现一次。在接收端，只在第一个报文段的开始位置出现一次。在接收端

34、，PGPPGP 必须剥掉所在的电子邮件首部，并且重新装配成原来的完必须剥掉所在的电子邮件首部，并且重新装配成原来的完 整的分组。整的分组。 现代密码学电子邮件安全24 密钥和密钥环密钥和密钥环 l1 会话密钥的生成会话密钥的生成 PGPPGP的会话密钥是个随机数，它是基于的会话密钥是个随机数，它是基于ANSI ANSI X.917X.917的算法由随机数生成器产生的。随机数生成的算法由随机数生成器产生的。随机数生成 器从用户敲键盘的时间间隔上取得随机数种子。器从用户敲键盘的时间间隔上取得随机数种子。 对于磁盘上的对于磁盘上的randseed.binrandseed.bin文件是采用和邮件同文件

35、是采用和邮件同 样强度的加密。这有效地防止了他人从样强度的加密。这有效地防止了他人从 randseed.binrandseed.bin文件中分析出实际加密密钥的规律。文件中分析出实际加密密钥的规律。 现代密码学电子邮件安全25 密钥和密钥环密钥和密钥环 l2 2 密钥识别符密钥识别符 l 允许用户拥有多个公开允许用户拥有多个公开/ /私有密钥对：（私有密钥对：（1 1） 不时改变密钥对；（不时改变密钥对；（2 2）同一时刻，多个密钥对在）同一时刻，多个密钥对在 不同的通信组交互。所以用户和他们的密钥对之不同的通信组交互。所以用户和他们的密钥对之 间不存在一一对应关系。假设间不存在一一对应关系。

36、假设A A给给B B发信，发信，B B就不知就不知 道用哪个私钥和哪个公钥认证。因此，道用哪个私钥和哪个公钥认证。因此，PGPPGP给每个给每个 用户公钥指定一个密钥用户公钥指定一个密钥IDID，这在用户，这在用户IDID中可能是中可能是 唯一的。它由公钥的最低唯一的。它由公钥的最低64bit64bit组成（组成（Kua mod 2 Kua mod 2 6464）, ,这个长度足以使密钥这个长度足以使密钥IDID重复概率非常小。重复概率非常小。 现代密码学电子邮件安全26 密钥和密钥环密钥和密钥环 l3 PGP3 PGP的消息格式的消息格式 B PK E 接收方公开钥接收方公开钥PKB的的ID

37、 会话密钥会话密钥KS 时戳时戳 发送方公开钥发送方公开钥PKA的的ID 消息摘要的前两个消息摘要的前两个8比特比特 消息摘要消息摘要 文件名文件名 时戳时戳 数据数据 消息消息签字签字 会话密钥会话密钥 内容内容 A SK E 运算运算 ZIP S K E R64 现代密码学电子邮件安全27 l4 4 密钥环密钥环 密钥需要以一种系统化的方法来存储和组织，密钥需要以一种系统化的方法来存储和组织， 以便有效和高效地使用。以便有效和高效地使用。PGPPGP在每个结点提供一对在每个结点提供一对 数据结构，一个是存储该结点年月的公开数据结构，一个是存储该结点年月的公开/ /私有密私有密 钥对（私有密

38、钥环）；另一个是存储该结点知道钥对（私有密钥环）；另一个是存储该结点知道 的其他所有用户的公开密钥。相应地，这些数据的其他所有用户的公开密钥。相应地，这些数据 结构被称为私有密钥环和公开密钥环。结构被称为私有密钥环和公开密钥环。 现代密码学电子邮件安全28 PGPPGP的消息产生过程的消息产生过程 | H RNG EP H DC EC | 消息消息 M 消息消息 秘密钥秘密钥SKA 被加密的被加密的 秘密钥秘密钥 密钥密钥ID 秘密钥环秘密钥环 通行字短语通行字短语 EP 会话密钥会话密钥KS 签字签字 + 消息消息 被加密的（签字被加密的（签字+消息）消息） 输出输出 密钥密钥ID IDA

39、IDB 公开钥公开钥PKB 公开钥环公开钥环 现代密码学电子邮件安全29 PGPPGP的消息接收过程的消息接收过程 H DC 接收方接收方B的的 密钥密钥ID 被加密的被加密的 会话密钥会话密钥 被加密的被加密的 （签字（签字+消息）消息） 秘密钥秘密钥SKB 被加密的被加密的 秘密钥秘密钥 秘密钥环秘密钥环 通行字短语通行字短语 会话密钥会话密钥KS 公开钥公开钥PKA 公开钥环公开钥环 DP DC 发送方发送方A的的 密钥密钥ID 被加密的被加密的 摘要摘要 消息消息 DP H 比较比较 现代密码学电子邮件安全30 公钥管理方法公钥管理方法 l防止篡改公钥的方法防止篡改公钥的方法 （1 1

40、）直接从）直接从B B手中得到其公钥。手中得到其公钥。 （2 2）通过电话认证密钥。）通过电话认证密钥。 （3 3）从双方信任的）从双方信任的D D那里获得那里获得B B的公钥。的公钥。 （4 4）由一个普通信任的机构担当第三方，即）由一个普通信任的机构担当第三方，即“认证认证 机构机构”。 现代密码学电子邮件安全31 PGP中的信任关系中的信任关系 l表示对该公钥证书的信任程度的表示对该公钥证书的信任程度的3 3个数据项：个数据项： （1 1）密钥合法性字段）密钥合法性字段 （2 2）签字可信字段）签字可信字段 （3 3）拥有者可信字段）拥有者可信字段 现代密码学电子邮件安全32 PGP信任

41、关系示例信任关系示例 现代密码学电子邮件安全33 lPGPPGP加密算法加密算法 lPGPPGP加密算法是加密算法是InternetInternet上最广泛的一种基于公开密钥的混合加密算法，它的产生与其上最广泛的一种基于公开密钥的混合加密算法，它的产生与其 他加密算法是分不开的。以往的加密算法各有自己的长处，也存在一定的缺点。他加密算法是分不开的。以往的加密算法各有自己的长处，也存在一定的缺点。PGPPGP加加 密算法综合了他们的长处，避免了一些弊端，在安全和性能上都有了长足的进步。密算法综合了他们的长处，避免了一些弊端，在安全和性能上都有了长足的进步。 lPGPPGP加密算法包括四个方面：加

42、密算法包括四个方面： l（1 1）一个单钥加密算法（）一个单钥加密算法（IDEAIDEA）。）。IDEAIDEA（International Data Encryption International Data Encryption AlgorithmAlgorithm，国际数据加密算法）是，国际数据加密算法）是PGPPGP加密文件时使用的算法。发送者需要传送消息加密文件时使用的算法。发送者需要传送消息 时，使用该算法加密获得密文，而加密使用的密钥将由随机数产生器产生。时，使用该算法加密获得密文，而加密使用的密钥将由随机数产生器产生。 l（2 2）一个公钥加密算法（）一个公钥加密算法（RSAR

43、SA）。）。公钥加密算法用于生成用户的私人密公钥加密算法用于生成用户的私人密 钥和公开密钥、加密钥和公开密钥、加密/ /签名文件。签名文件。 l（3 3）一个单向散列算法（）一个单向散列算法（MD5MD5）。）。为了提高消息发送的机密性，在为了提高消息发送的机密性，在PGPPGP中，中， MD5MD5用于单向变换用户口令和对信息签名，以保证信件内容无法被修改。用于单向变换用户口令和对信息签名，以保证信件内容无法被修改。 l（4 4）一个随机数产生器。）一个随机数产生器。PGPPGP使用两个伪随机数发生器，一个是使用两个伪随机数发生器，一个是ANSI X9.17ANSI X9.17发发 生器，另

44、一个是从用户击键的时间和序列中计算熵值从而引入随机性。主要用于产生生器，另一个是从用户击键的时间和序列中计算熵值从而引入随机性。主要用于产生 对称加加密算法中的密钥。对称加加密算法中的密钥。 现代密码学电子邮件安全34 S/MIMES/MIME lMIMEMIME（Multipurpose Internet Mail ExtensionsMultipurpose Internet Mail Extensions，多用途因特网邮件扩展），多用途因特网邮件扩展） 是一种因特网邮件标准化的格式，它允许以标准化的格式在电子邮件消息中包含是一种因特网邮件标准化的格式，它允许以标准化的格式在电子邮件消息中

45、包含 增强文本、音频、图形、视频和类似的信息。然而，增强文本、音频、图形、视频和类似的信息。然而，MIMEMIME不提供任何安全性元不提供任何安全性元 素素 S/MIME S/MIME则添加了这些元素。则添加了这些元素。 lS/MIMES/MIME（Secure/MIMESecure/MIME，安全的多用途，安全的多用途InternetInternet电子邮件扩充）电子邮件扩充）是由是由RSARSA公司公司 于于19951995年提出的电子邮件安全协议，与较为传统的年提出的电子邮件安全协议，与较为传统的PEMPEM不同，由于其内部采用了不同，由于其内部采用了 MIMEMIME的消息格式，因此不

46、仅能发送文本，还可以携带各种附加文档，如包含国际的消息格式，因此不仅能发送文本，还可以携带各种附加文档，如包含国际 字符集、字符集、HTMLHTML、音频、语音邮件、图像、多媒体等不同类型的数据内容，目前大、音频、语音邮件、图像、多媒体等不同类型的数据内容，目前大 多数电子邮件产品都包含了对多数电子邮件产品都包含了对S/MIMES/MIME的内部支持。的内部支持。 lS/MIMES/MIME同同PGPPGP一样，利用单向散列算法和公钥与单钥的加密体系。但是一样，利用单向散列算法和公钥与单钥的加密体系。但是S/MIMES/MIME也也 有两方面与有两方面与PGPPGP不同：一是不同：一是S/MI

47、MES/MIME的认证机制依赖于层次结构的证书认证机构，的认证机制依赖于层次结构的证书认证机构， 所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织 （根证书）之间相互认证；二是（根证书）之间相互认证；二是 S/MIMES/MIME将信件内容加密签名后作为特殊的附件将信件内容加密签名后作为特殊的附件 传送。传送。 现代密码学电子邮件安全35 MOSSMOSS协议协议 lMOSSMOSS（MIMEMIME对象安全服务）是将对象安全服务）是将PEMPEM和和MIMEMIME两者的两者的 特性进行了结合。特性进行了

48、结合。MOSSMOSS对算法没有特别的要求，对算法没有特别的要求， 它可以使用许多不同的算法，该标准没有推荐特它可以使用许多不同的算法，该标准没有推荐特 定的算法。定的算法。 lMOSSMOSS是专门设计用来保密一条信息的全部是专门设计用来保密一条信息的全部MIMEMIME结结 构的，并没有被广泛的使用。构的，并没有被广泛的使用。 现代密码学电子邮件安全36 PEMPEM协议协议 lPEMPEM（Privacy Enhanced MailPrivacy Enhanced Mail，私密性增强邮件），是由，私密性增强邮件），是由IRTFIRTF安全研安全研 究小组设计的邮件保密与增强规范，它的实

49、现基于究小组设计的邮件保密与增强规范，它的实现基于PKIPKI公钥基础结构公钥基础结构 并遵循并遵循X.509X.509认证协议，认证协议，PEMPEM提供了数据加密、鉴别、消息完整性及秘提供了数据加密、鉴别、消息完整性及秘 钥管理等功能，目前基于钥管理等功能，目前基于PEMPEM的具体实现有的具体实现有TIS/PEMTIS/PEM、RIPEMRIPEM、MSPMSP等多等多 种软件模型。种软件模型。 lPEMPEM是增强是增强InternetInternet电子邮件隐秘性的标准草案，在电子邮件隐秘性的标准草案，在InternetInternet电子邮电子邮 件的标准格式（参见件的标准格式（参

50、见RFC 822RFC 822）上增加了加密、鉴别和密钥管理的功）上增加了加密、鉴别和密钥管理的功 能，允许使用公开密钥和对称密钥的加密方式，并能够支持多种加密能，允许使用公开密钥和对称密钥的加密方式，并能够支持多种加密 工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、 数字鉴别算法、散列功能等安全措施，但它是通过数字鉴别算法、散列功能等安全措施，但它是通过InternetInternet传输安全传输安全 性商务邮件的非正式标准，有可能被性商务邮件的非正式标准，有可能被S/MIMES/MIME和和PEM-MIMEPEM-MIME规范所取代。规范所取代。 现代密码学电子邮件安全37 通过通过Outlook Express Outlook Express 发送安全电子邮件发送安全电子邮件 l8.4.1 Outlook Express 8.4.1 Outlook Express 中的安全措施中的安全措施 lOutlook Express Outlook Ex