j第十周电子邮件安全协议与系统设计第13章课件

1、华南理工大学计算机学院本科课程电子商务安全与保密大纲第13章 电子邮件安全协议与系统设计1第1页，共37页。安全电子邮件 意义协议的先天不安全绝对隐私安全需求发送邮件和接收邮件的安全登录安全的目录服务安全的电子邮件：邮件保密性和完整性内容安全性防止病毒邮件安全方案S/MIMEPGP2第2页，共37页。Simple Mail Transfer Protocol (SMTP, RFC 822)SMTP （简单邮件传输协议）存在的问题:SMTP不能传输可执行文件和其他二进制码 (jpeg image)SMTP只能传输7-位ASCII字符的文字STMP服务器拒绝接收超长邮件ASCII 到 EBCDIC

2、 转换问题截取换行超过76字符的行，等等MIME是对RFC 822框架的扩展，致力于解决STMP存在的问题3第3页，共37页。MIME的头标MIME的头标定义了5个新的字段版本（MIME-Version）: 1.0（按照 RFC 2045, RFC 2046定义的规格）内容类型（Content-Type）: 这个字段用于详细描述主体的数据内容传输编码（Content-Transfer-Encoding）: 内容采用的编码方案 (如radix-64)内容ID（Content-ID）: 该字段主要用于多个上下文时，对MIME实体的标识.内容描述（Content Description）: 对内容的

3、文本描述 (e.g.,mpeg)4第4页，共37页。安全电子邮件 S/MIME是对MIME电子邮件格式的安全扩展基于密码学的诸多成果与PKI的结合，使用X.509证书，以及PKCS标准算法协商不可能在线进行，只能用一组规则保证尽可能地达到安全性不严格的信任模型，由客户实现和用户来决定S/MIME更象商用或组织使用的工业标准，PGP更面向个体用户选用。5第5页，共37页。S/MIME 功能在功能上，S/MIME与PGP相似，通过使用签名、加密或签名/加密的组合来保证MIME通信的安全，但强化了证书的规范S/MIME的安全功能：封装的数据: 加密的内容和加密的会话密钥签名的数据: 报文摘要发送者的

4、私钥签名，然后使用基64变换编码内容和签名透明签名: 签名但不加密.只对签名进行基64变换，这样具有MIME支持而没有S/MIME权能的接收者也能读取，但不能验证签名签名和封装的数据: 各种不同嵌套顺序将数据加密、签名，如签名加密的数据或加密签名的数据S/MIME使用X.509证书，它的密钥管理方案介于严格的X.509证书层次结构和PGP信任网6第6页，共37页。Algorithms Used报文摘要: SHA-1 and MD5数字签名: DSS对称密码算法: Triple-DES, RC2/40 (exportable)公钥密码算法: RSA with key sizes of 512 a

5、nd 1024 bits, and Diffie-Hellman (for session keys).7第7页，共37页。PGP 安全电子邮件系统由个人发展起来Phil Zimmermann(齐默尔曼)PGP为电子邮件和文件存储应用提供了认证和保密性服务选择理想的密码算法把算法很好地集成到通用应用中，独立于操作系统和微处理器自由发放，包括文档、源代码等与商业公司(Network Associates)合作，提供一个全面兼容的、低价位的商业版本PGP不是由政府或者标准化组织所控制，可信性版本众多，包括各种系统平台，商业版本使用户得到很好的支持8第8页，共37页。PGP PGP功能列表为了适应邮

6、件的大小限制，PGP支持分段和重组数据分段邮件应用完全透明，加密后的消息用Radix 64转换Radix 64邮件兼容性消息用ZIP算法压缩ZIP压缩消息用一次性会话密钥加密，会话密钥用接收方的公钥加密CAST或IDEA或3DES、AES及RSA或D-F消息加密用SHA-1创建散列码，用发送者的私钥和DSS或RSA加密消息摘要DSS/SHA或RSA/SHA数字签名说明采用算法服务9第9页，共37页。PGP密码功能概要10第10页，共37页。PGP 邮件数据处理顺序：签名 压缩 加密压缩对邮件传输或存储都有节省空间的好处。签名后压缩的原因：不需要为检验签名而保留压缩版本的消息为了检验而再做压缩不

7、能保证一致性，压缩算法的不同实现版本可能会产生不同的结果压缩之后再做加密的原因：压缩后的消息其冗余小，增加密码分析的难度若先加密，则压缩难以见效E-mail兼容性PGP处理后的消息，部分或者全部是加密后的消息流，为任意的8位字节。某些邮件系统只允许ASC字符，所以PGP提供了转换到ASC格式的功能。采用了Radix-64转换方案11第11页，共37页。Session keycomponentKeyID of recipientspublic key (KUb)Session key(Ks)TimestampKeyID of senderspublic key (KUa)Leading two

8、octetsof message digestMessage digestSignatureFilenameTimestampDataMessageEKUbEKRaZIPEKsR64ContentOperationPGP消息的一般格式（A to B)12第12页，共37页。PGP PGP密钥PGP使用四种类型的密钥：一次性会话传统密钥公钥私钥基于口令短语的传统密钥PGP对密钥的需求会话密钥：需要一种生成不可预知的会话密钥的方法，PGP使用了一种复杂的随机密钥生成算法(一定的真随机性)公钥和私钥需要某种手段来标识具体的密钥一个用户拥有多个公钥/私钥对密钥更新管理私钥如何保存13第13页，共37页

9、。PGP 密钥标识符和钥匙环一个用户有多个公钥/私钥对时，接收者如何知道发送者是用哪个公钥来加密会话密钥的？将公钥与消息一起传送。将一个标识符与一个公钥关联，对一个用户来说唯一。即用户ID和密钥ID标识一个密钥定义KeyID 包括64个有效位(PGP采用公钥的低64位作为KeyID)对于PGP数字签名，KeyID也很必需。用哪个公钥来验证签名？钥匙环KeyID对于PGP非常关键。PGP消息中包括两个keyID，分别提供保密与认证功能。需要一种系统化的方法存储和组织这些密钥以保证有效使用这些密钥PGP密钥管理方案：用户机器(节点)上有一对数据结构：私钥环：存储本节点拥有的公钥/私钥对公钥环：存储

10、本节点所知道的其他用户的公钥14第14页，共37页。15第15页，共37页。PGP 私钥环信息：时间戳、KeyID、公钥、私钥、UserIDUserID：通常是用户的邮件地址。也可以是一个名字，可以重名私钥如何保存：用户选择一个口令短语用于加密私钥当系统用RSA生成一个新的公钥/私钥对时，要求用户输入口令短语。对该短语使用SHA-1生成一个160位的散列码后，销毁该短语系统用其中128位作为密钥用CAST-128加密私钥，然后销毁这个散列码，并将加密后的私钥存储到私钥环中当用户要访问私钥环中的私钥时，必须提供口令短语。PGP将取出加密后的私钥，生成散列码，解密私钥16第16页，共37页。PGP

11、 公钥环信息： 时间戳、KeyID、公钥、对所有者信任度、用户ID、密钥合法度、签名、对签名者信任度UserID：公钥的拥有者。多个UserID可以对应一个公钥。公钥环可以用UserID或KeyID索引。17第17页，共37页。PGP 公钥管理由于PGP重在广泛地在正式或非正式环境下的应用，所以它没有建立严格的公钥管理模式。有关的问题：一旦你的私钥泄漏，存在两种危险：别人可以伪造你的签名其他人发送给你的保密信件可被别人读取防止公钥环上包含错误的公钥保证公钥环上公钥的正确性物理上得到B的公钥。可靠，但有一定局限性通过电话验证公钥从双方都信任的个体D处获得B的公钥从一个信任的CA中心得到B的公钥1

12、8第18页，共37页。PGP 发送方处理消息的过程签名：从私钥环中得到私钥，利用userid作为索引PGP提示输入口令短语，恢复私钥构造签名部分加密：PGP产生一个会话密钥，并加密消息PGP用接收者userid从公钥环中获取其公钥构造消息的会话密钥部分19第19页，共37页。20第20页，共37页。PGP 接收方处理消息的过程解密消息PGP用消息的会话密钥部分中的KeyID作为索引，从私钥环中获取私钥PGP提示输入口令短语，恢复私钥PGP恢复会话密钥，并解密消息验证消息PGP用消息的签名部分中的KeyID作为索引，从公钥环中获取发送者的公钥PGP恢复被传输过来的消息摘要PGP对于接收到的消息作

13、摘要，并与上一步的结果作比较21第21页，共37页。22第22页，共37页。PGP信任模型在PGP中使用Meta-introducer和trusted introducers,与X.509环境中的Root CA和Certification Authorities相对应采用 Web of Trust 模型，由用户自己决定信任关系。基于从旁观者角度和信息越多越好的思想，是一种累计的信任模型可以是直接信任，可以是某种形式的信任链也可以通过多个介绍者23第23页，共37页。PGP- Web of Trust 模型是通过定在公钥环中的三个域来实现的：1.密钥合法字段（key_legitimacy）用来指

14、示 PGP 信任“ 这是这个用户合法的公开密钥”的程度；信任程度越高，这个用户 ID 与这个密钥的绑定越紧密2.拥有者信任字段(owner_trust) 用来指示这个公开钥对其他公开密钥证书进行签名的可信任程度，这个信任程度是由该公钥环的拥有者指派的。3.签名信任字段（signature_trust）用来指示该 PGP 公钥环拥有者信任签名者对这个公开密钥信任的程度。签名信任字段是拥有者信任字段的一个备份。24第24页，共37页。信任关系处理过程1、当A向公钥环中插入一个新公钥时，建立一个新条目，PGP必须向owner_trust字段赋值，该标志与该公钥的拥有者相关。如果其拥有者是A，则该值为

15、最高信任(ultimate trust)。否则，PGP询问用户，让用户给出信任级别。用户可选：该公钥的拥有者是不认识(unknown)、不信任(untrusted)、接近信任(marginally trusted)或完全信任(complete trusted)。2、当新公钥加入时，可能有一个或多个签名跟随其后。许多签名可以以后再加入。当一个签名插入到一个条目中时，PGP查找该公钥环中是否已存在该签名的公钥的拥有者。如果存在，则这个拥有者的owner_trust字段值拷贝到该插入公钥条目的signature_trust字段。否则，赋予unknown user 值。3、key_legitimacy

16、 字段的值基于该条目中signature_trust 字段来计算。如果至少一个签名有一个签名信任值为ultimate，则key_legitimacy 字段的值设为complete。否则，PGP计算一个信任值的加权和。25第25页，共37页。PGP 信任模型示例26第26页，共37页。PGP 公钥的注销公钥注销功能的必要性：密钥暴露或定时更新通常的注销途径是由私钥主人签发一个密钥注销证书私钥主人应尽可能越广越快散布这个证书，以使得潜在的有关人员更新他们的公钥环注意：对手也可以发出这个证书，然而，这将导致他自己也被否决。因此，这样比起恶意使用偷来的私钥来看，似乎会减少漏洞。27第27页，共37页。

17、保密增强邮件（PEM）保密增强邮件(Private Enhanced Mail,PEM)是增强Internet电子邮件隐秘性的标准草案, 是美国RSA实验室基于RSA和DES算法而开发的产品,其目的是为了增强个人的隐私功能。它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能，允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。 PEM有可能被S/MIME和PEM-MIME规范所取代28第28页，共37页。PGP vs

18、PEM、S/MIMEItemPGPPEM or S/MIMESupports encryption?YesYesSupports authenticationYesYesSupports non-repudiation?YesYesSupports compression?YesNoSupports mailing lists?NoYesUses base64 coding?YesYesCurrent data encryption algorithmIDEADESKey length for data encryption (bits)12856Current algorithm for k

19、ey managementRSARSA/D-HKey length for key management (bits)?384/512/1024VariableUser name spaceUser definedX.400X.509 conformant?NoYesCan eavesdropper read messages?NoNoCan eavesdropper read signatures?NoYesInternet Standard?YesYes29第29页，共37页。“垃圾”邮件全球性泛滥问题黑客採用的攻击手段多变无穷特洛伊木马(Trojan),蠕虫,恶意代码 等植入手段控制无数计算机使之成为“僵尸” 邮件目录帐号搜集 攻击 (DHA)拒绝服务(DoS) 攻击 网上钓鱼 诈骗方式有效防御措施 (Email 网关)避免企业信息系统受攻破88% 的病毒由电子邮件及附件传播 (1)节省内部系统资源提高员工工作效率Source: IDC 2004预测电子邮件增长趋势 (2003 2008)每日电子邮件流量 (十亿)CAGR: 14%(1) Source: ISCA Labs, 200350.698.7E-Mail 发展趋势及未来挑战30第30页