电子邮件安全及PGP课件

第11章电子邮件安全及PGP

11.1电子邮件安全概述11.2PGP11.3PGP软件的使用11.4S/MIME11.5垃圾邮件小结NetworkandInformationSecurity导引信息加密是每一个普通用户都有权利和有能力使用的一种安全的通信技术。PGP（PrettyGoodPrivacy）是一个强有力的电子邮件加密系统。它是由许多人开发，在国际互联网上广为传播的免费软件。我们应该了解PGP系统的功能，研究它的可行性、方便性、安全性和认证的可操作性。使用PGP加密系统可以保证信息在计算机上的安全存储和在网络上的安全传输。NetworkandInformationSecurity11.1电子邮件安全概述

电子邮件中主要存在的问题如下：1.诈骗邮件：通常指那些带有恶意的欺诈性邮件。2.邮件炸弹：指在短时间内向同一信箱发送大量电子邮件的行为。3.传播病毒：通过电子邮件传播的病毒通常用VBScript编写，且大多数采用附件的形式夹带在电子邮件中。4.邮件的安全问题：未加密的信息可能在传输中被截获、偷看或篡改；如果邮件未经数字签名，用户就无法肯定邮件是从哪里来的。NetworkandInformationSecuritySSLSMTP和SSLPOP是在SSL所建立的安全传输通道上运行SMTP和POP协议。同时又对这两种协议做了一定的扩展，以更好地支持加密的认证和传输。这种模式要求客户端的电子邮件软件和服务器端的邮件服务器都支持，而且都必须安装SSL证书。基于VPN和其他IP安全通道技术，封装所有的TCP/IP服务，也是实现安全电子邮件传输的一种方法，这种模式往往是整体网络安全机制的一部分。对于网络入侵的防范，主要依赖于软件编程时的严谨程度，在选择时很难从外部衡量。对于拒绝服务攻击的防范，则可以分成以下几个方面：防止来自外部网络的攻击，包括拒绝来自指定地址和域名的邮件服务连接请求，拒绝单个用户数量大于预定上限的邮件，限制单个IP地址的连接数量，暂时搁置可疑的信件等；防止来自内部网络的攻击，包括拒绝来自指定用户、IP地址和域名的邮件服务请求，强制实施SMTP认证，实现SSLPOP和SSLSMTP以确认用户身份，防止中继攻击，包括完全关闭中继功能、按照发信和收信的IP地址和域名灵活地限制中继、按照收信人数限制中继等。NetworkandInformationSecurity11.2PGP

11.2.1PGP的历史及概述

PGP是PrettyGoodPrivacy的缩写，是一种长期在学术界和技术界都得到广泛使用的安全邮件标准。PGP的特点是使用单向散列算法和公开密钥技术对邮件内容进行签名，以保证信件内容无法被篡改且不可否认；使用对称和非对称加密技术保证邮件内容保密。发信人与收信人的公钥都存放在公开的地方，如某个公认的FTP站点。而公钥本身的权威性(也就是说这把公钥是否代表发信人)则可以由第三方(特别是收信人所熟悉或信任的第三方)进行签名认证，没有统一的集中的机构进行公钥/私钥对的签发。在PGP体系中，“信任”或是双方之间的直接关系，或是通过第三者、第四者的间接关系。但无论哪种，任意两方之间都是对等的，整个信任关系构成网状结构，这就是所谓的信任网(WebofTrust)。1992年9月，PGP2.0在欧洲发布。2.0版本中还用国际数据加密算法IDEA(InternationalDataEncryptionAlgorithm)替换了原有的Bass-O-Matic加密算法，IDEA是一个专门开发的密码算法，与DES一样，都是分组密码，但是它的密钥较长，因此被认为更安全。NetworkandInformationSecurity11.2.2PGP的功能

PGP软件有3个主要功能：(1)对存储在计算机上的文件加密。加密的文件只能由知道密钥的人解密阅读。(2)对电子邮件进行加密。经加密的电子邮件只有收信人本人才能解密阅读。(3)对文件或电子邮件作数字签名。收件人可以用签名人的公开密钥签别真伪。此外，为了方便使用，PGP软件还可以：(1)对文件或电子邮件既加密又签名，这是PGP提供的最安全的通信方式。(2)为用户生成公/私钥对。(3)为用户管理密钥。用户可以把通信人的公开密钥穿在自己的公钥环上，取用时提供通信人地址即可。(4)允许用户把所知的公开密钥签名并发给朋友。(5)在得知密钥失效或泄密后，能够对该密钥取消或停用。为了防止遗忘或意外，用户还可以对密钥做备份。(6)允许用户根据个人喜好和使用环境设置PGP。(7)允许用户与国际互联网上的公开密钥服务器打交道。NetworkandInformationSecurity那么又如何能安全地得到小赵的公钥呢?这似乎是一个先有鸡还是先有蛋的问题。的确小张拿到的小赵的公钥也有可能是假的，但这就要求这个作假者参与整个过程，他必须对小王、小张和小赵这三人都很熟悉，而且还要策划很久，这一般很困难。当然，PGP对这种可能也有预防的建议，那就是由一个大家普遍信任的人或机构担当小赵这样的角色，他被称为密钥侍者或认证权威，每个由他签名的公钥都被认为是真的，这样大家只要有一份他的公钥就行了。而认证这个人的公钥是方便的，因为他广泛提供这种服务，所以他的公钥流传广泛，要假冒他的公钥很困难。这样的“权威”适合由非个人控制的组织或政府机构充当。总之，一条必须遵循的规则是：在使用任何一个公钥之前，一定要首先认证它!无论受到什么诱惑，都绝对不能直接信任一个从公共渠道(尤其是那些看起来保密的渠道)得来的公钥，要用经过熟人介绍的公钥，或者自己与对方亲自认证。同样也不要随便为别人签名认证他们的公钥，就和现实生活中一样，家里的房门钥匙只交给信任的人。和传统的单密钥体系类似，私钥的保密也是至关重要的。PGP把压缩同签名和加密组合到一起，压缩发生在创建签名之后，但是在进行加密之前。PGP内核使用Pkzip算法来压缩加密前的明文。Pkzip算法是公认的压缩率和压缩速度都相当好的压缩算法。NetworkandInformationSecurity11.2.4PGP对文件加解密的过程

1.PGP对文件的加密过程

PGP在接受用户输入的加密口令以后，并没有直接把它用于加密文件。这与许多流行软件是不同的，许多流行软件通常把口令直接用来加密文件。PGP系统让用户口令通过它的MD5单向函数，产生了一个128位的密钥。进而用该密钥和IDEA加密算法对文件进行加密，产生加密后的密文文件。加密完成后，PGP不会在任何地方存储用户口令和中间过程所产生的密钥。MD5函数是一个单向散列函数，它把任意长度的报文内容用一个128位的数值来概括。即使是两个仅有一字之差的报文，它们的MD5函数输出也会截然不同。其加密过程如图11-1。NetworkandInformationSecurity图11-1PGP文件加密过程NetworkandInformationSecurity11.2.5PGP公/私钥对生成过程

生成公/私钥对时，用户要经过如下四个步骤。1.密钥长度的选择：首先考虑的是安全因素，其次是速度。选1024位的密钥应该是足够安全的，密钥的长度并不影响加密和解密邮件或文件内容的速度，只影响加密和解密128位会话密钥的速度以及签名的速度。2.提供用户标识信息：纯粹是为了标识生成的公开密钥。3.确定口令：是用户保护私钥和向PGP系统证明自己是私钥主人的唯一依据。4.做些随机的击键动作：是为了生成一个536位的伪随机数发生器种子，它与PGP加密系统的安全性有关。将每个人完成随机击键的时间差异放大来产生随机数种子，比其它很多方式都安全有效。NetworkandInformationSecurity图11-3PGP公/私钥对的生成过程NetworkandInformationSecurity11.2.6PGP的数字签名技术

与加密不同，数字签名系统的目的是保证信息的完整性、真实性和不可否认性。这和使用手写签名和印章的文件相似。数字签名系统是公开密钥技术与单向散列函数相结合的产物。单向散列函数能把信息集合提炼为一个很长的数字。PGP中签名的过程如下：签名时，用户提供口令，经MD5单向散列函数输出加密自己RSA私钥的IDEA密钥。密钥管理模块取出加密的RSA私钥，经过IDEA解密算法和IDEA密钥，恢复出明文的RSA私钥。另一方面，PGP读出要被签名的文件内容，计算其MD5函数摘要值。该值经过RSA私钥和RSA加密算法加密以后，变成了被加密的MD5值，形成数字签名。然后再附加到原文件之后，合并为可以向外发送的传输文件。NetworkandInformationSecurity11.2.7PGP公开密钥所使用的认证方式

对于拟使用的任何公开密钥，原则上都应当进行鉴定。其实，怎样鉴定某人或某物的真实身份，决非公开密钥加密系统的特有问题。人们之所以能够建立某种互相信任的关系，归纳起来，不外有三种方式：中心控制式、金字塔式和网络式。目前切实可行的公开密钥认证方案，也不外乎有以上几种。社会中每个人都有一张这样无形的信任网。他们互相交织、相互依赖，而且不断变化。随着时间的推移，有些信任关系会逐渐陈旧、最终断裂，另一些信任关系又在生长、发展。由于国际互联网跨越任何国界和组织机构的界限，若要鉴别用户的真实身份没有任何有效而可靠的办法，无论中心控制式还是金字塔式，都不可能实现。NetworkandInformationSecurityPGP在鉴别公开密钥真伪时，所使用的就是网络式。PGP一般使用私人方式的公钥介绍机制，因为这样的非官方方式更能反映出人们自然的社会交往，而且人们也能自由地选择信任的人来介绍。用网络式的方法来认证公开密钥，可以模仿人们在自然交往中建立相互信任的过程。每一个公钥都用两个参数来描述：真实性（Validity）和信任度（Trust）。真实性表明该公开密钥的真实程度；信任度则表明对密钥主人的信任程度。信任度可以分成若干级别：绝对信任、完全信任、勉强信任、不肯定、不信任。随着通信量的增加，信任度既可以增加，也可以降低。对于重要机密，只有当信任度为“绝对信任”时，才能进行加密通信；对于不是特别重要的信息，则可以适当地选择信任度。用网络式的方法来认证公开密钥也有它自身不可克服的缺陷，认证过程烦琐，有时在信任度的设置方面也会出现偏差。NetworkandInformationSecurity11.2.8PGP的安全性

从加密的理论基础和实际运用的可靠性分析来看，PGP加密系统属于较强的加密系统。一个好的加密系统在技术上至少需要满足如下三个条件：(1)核心的加密算法必须是公认可靠的；(2)加密系统的具体实现应当是可靠的；(3)加密系统应能支持足够长的密钥。NetworkandInformationSecurity

PGP程序产生随机数的方法类似RSA密钥的产生，它是从用户敲击键盘的时间间隔上取得其随机数种子的。同时对于硬盘上的随机数文件采用了和邮件同样强度的加密，这有效地防止了他人从该文件中分析出加密密钥的规律来。然而，PGP程序的使用并不能完全保证用户的通信就是安全的，用户的计算机也仍可能很脆弱。就像在房子前门安装一个最安全的锁，小偷仍然可以从开着的窗户爬进来一样。存在许多著名的对PGP的攻击，主要有蛮力攻击、对私钥环的攻击和对公钥环的攻击等。对PGP最直接的攻击是蛮力攻击其所使用的密钥。这种情况下，PGP的安全性就取决于它所使用的RSA和IDEA这两个算法的安全性。对于RSA密钥，已知最好的蛮力攻击是分解公钥n。但PGP所使用的密钥非常长，理论上说，一个512位的密钥能够有大约1年左右时间的安全性。当然，如果技术上有所提高，需要的时间可能会少些。至于对IDEA密钥的蛮力攻击目前为止还没听说有人尝试过，据估计破译IDEA的困难同分解3000位长的RSA密钥的困难程度相当。所以，尝试破译PGP中用于加密IDEA密钥的RSA密钥相对更容易些。NetworkandInformationSecurityPGP私钥环的安全性基于以下两点：对私钥环数据的访问和对用于加密每个私钥的口令的了解。使用私钥需要拥有这两部分，对私钥环的攻击也立足于这两部分。1首先，如果PGP在多用户系统中使用，就可能被他人访问到自己的私钥环。通过读取缓存文件、网络窥视或者许多其他的攻击方法，攻击者可以得到他人的私钥环。这样就只剩下口令可以保护私钥环中的数据了，也就是说攻击者只要能获得口令就能攻破PGP。2其次，还是在一个多用户系统中，键盘和CPU之间的链路很可能是不安全的。如果有人能够访问连接用户键盘和主机的网络，监视用户键盘的输入是很容易做到的。NetworkandInformationSecurity攻击攻击者可以从一个公共的终端上登录，然后窥探共享的连接网络得到他人的口令。由于公钥环的重要性和对它的依赖性，PGP也受到许多针对公钥环的。因为PGP的公钥环只有在改变时才被检查，当添加新的密钥或签名时，PGP验证它们，然后标记它们为公钥环中已检查过的签名，以后不再去重复验证它们。所以，有一种对PGP公钥环的攻击是修改公钥环中的签名，并且标记它为公钥环中已检查过的签名，使得系统不会再去检查它。对PGP公钥环的另一种攻击是针对PGP的使用过程。PGP对密钥设置一个有效位，当到达一个密钥的新签名时，PGP计算该密钥的有效位，然后在公钥环中缓存这个有效位。还有一种对PGP公钥环的攻击，利用了作为介绍人的密钥信任也缓存在公钥环中这个特点。密钥信任定义密钥的签名有多少信任度，所以如果使用带有特定参数的密钥为一个无效密钥签名就可能使PGP把这个无效密钥作为有效密钥接受。而且，如果一个密钥被修改为完全受托的介绍人，那么用这个密钥签名的任何密钥都将被信任为有效的。NetworkandInformationSecurityPGP的每一个密钥还包括另一个用户无法控制的名字：keyid。密钥的keyid是一个数字串，这个数字串通过密钥参数自动生成，由PGP内部使用，以便访问处理中的密钥。根据设计，想要让keyid一定程度上模仿实际的密钥，每个密钥的keyid都不同。keyid有64位，但是只给用户用十六进制格式打印出32位。要向PGP标识一个串为keyid，必须在它的前面放字符串“0x”，表示这是一个十六进制串。PGP要求用户保持一个密钥的本地缓存。这个缓存被称为用户的密钥环。每个用户至少有两个密钥环：公钥环和私钥环。每个密钥环都用来存放用于特定目标的一套密钥。保持这两个密钥环的安全很重要，公钥环存放所有与用户通信的人或单位的公钥、UserID、签名和信任参数等。

NetworkandInformationSecurity在设计公钥环的时候，只是想用它保存一些比较亲密的朋友和同事的公钥。私钥环是PGP中存放个人私钥的地方。当用户产生一个密钥时，不能泄露的私钥部分就存放在私钥环中。这些数据在私钥环中被加密保存，因此对私钥环的访问不会自动允许对其私钥的使用。当然，如果一个攻击者能够访问私钥环，那么他伪造签名解密消息的障碍就小多了。

PGP不推荐多方共享一个私钥，尽管有时可能有这种需要。例如，当用户拥有代表一个组织的私钥时，可能有必要让这个组织的多个成员都能访问这个私钥。这意味着任何个人都可以完全代表那个组织行动，但知道和使用的人越多越容易泄密。有时可能会使用一个不带口令的私钥，例如，建立一个带有私钥的服务器以代表一群人。在某些情况下，一个私钥环中可能有多个私钥，PGP可以通过私钥的UserID来指定用户想要使用的私钥。缺省情况下，每当PGP需要使用一个私钥时，它都会选择私钥环中的第一个私钥，这个私钥通常是最近创建的。但用户可以使用-u选项向PGP提供UserID来修改它，这样PGP就会使用相应UserID的私钥。NetworkandInformationSecurityPGP的常规加密方法的命令为：

pgp-cmessage使用常规加密方法时，PGP会两次询问口令。第二次询问是为了保证用户正确键入了口令，然后使用这个口令加密消息。要为一个消息签名，用户可以使用他的私钥加密这个消息的摘要。签名附加到消息之后，其他用户可以验证这个签名。为消息签名的命令为pgp-smessage当用户收到一个PGP消息时，使用PGP解密以得到数据，这就涉及到消息的解密以及对消息中签名的验证，这是PGP的缺省操作。使用“pgpmessage”命令，PGP就会试着解码PGP消息，而且根据需要解密和/或验证消息。当解密需要用户的私钥时，PGP会提示用户输入该私钥的口令，以便使用该私钥。在成功解密并经过验证后，PGP将解码得到的消息存储到一个输出文件中，用户就可以读取、处理或使用这个文件。当一个消息因为被用户所没有的一个或一组密钥加密而无法读取时，PGP会告诉用户谁能解密这个消息。如果与为消息签名的私钥相对应的公钥不在当前密钥环中，PGP会要求用户给出另一个密钥环，如果提供不了的话，PGP就无法验证签名。不过，如果有可能，它仍然会试图输出一部分消息。NetworkandInformationSecurityPGP允许每个用户有一个配置文件，对PGP使用的各种值指定选项，而不必使用缺省选项。PGP在启动时读取这个文件，以确定如何为用户服务。这个配置文件指定这样一些选项，例如，防护层的缺省行或使用的缺省密钥。PGP还支持全系统的配置文件，这个配置文件可以为系统的所有用户设置缺省值。用户自己的局部配置文件的选项设置优先于系统配置文件的选项设置。系统配置文件的位置在编译时设置。感兴趣的读者可以访问PGP作者Zimmermann的个人网站，下面的链接是其中的中文部分：http:///ZH/background/index.html。NetworkandInformationSecurity11.4S/MIME

S/MIME是SecureMultipurposeInternetMailExtensions的简称，它是从PEM(PrivacyEnhancedMail)和MIME发展而来的。最初由RSA公司开发，目的是为了使不同产品的开发者能使用兼容的加密技术创建能互通的消息传输代理。同PGP一样，S/MIME也利用单向散列算法和非对称的加密体系。NetworkandInformationSecurityS/MIME与PGP的不同之处主要有两点：首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，最上一级的组织的证书(根证书)则依靠组织之间相互认证，整个信任关系基本是树状结构，就是所谓的TreeofTrust；其次，S/MIME将信件内容加密签名后作为特殊的附件传送，其证书格式采用X.509规范，但与一般网上购物所使用的SSL证书还有一定差异，支持的厂商也相对比较少。在国外，有VeriSign公司免费向个人提供S/MIME电子邮件证书；在国内，也有公司提供支持该标准的产品。在客户端，NetscapeMessenger和MicrosoftOutlook等都支持S/MIME。NetworkandInformationSecurityS/MIME不只是用于Internet的标准，它还能用在专用网络上(例如AOL)，但是它对Internet电子邮件最有效。因为，在专用网络上发信人发信直接连到电子邮件服务器，相对比较安全。Internet电子邮件在到达目的地之前，可能要经过多个服务器，要实现安全的通道是不可能的。所以，要实现Internet电子邮件的安全，就必须保证消息本身是安全的。

NetworkandInformationSecurity所以S/MIME采用了一种混合方法，叫做数字信封。消息本身仍使用对称密码进行加密，然后用非对称密码加密所使用的对称密钥，加密后的对称密钥和经对称加密的消息一起发送。因为对称密码相对比较简单，所以加解密的速度要比用非对称方法加密整个消息快得多。S/MIME能够防止篡改，方法类似于校验和。它使用单向散列算法把消息的内容浓缩成一个惟一的摘要，然后把这个摘要加密后和消息一起发送。收信人的S/MIME程序解密消息，根据消息内容采用同样的单向散列算法在本地再次计算该消息的摘要。然后解密发送来的电子邮件摘要，把它的内容和自己算出来的摘要进行比较。如果彼此匹配，则说明消息没有被篡改；如果不匹配，则说明在传输过程中消息内容已经被人篡改，S/MIME程序会报警提示收信人。NetworkandInformationSecurityS/MIME还能够防止仿造，方法是通过数字签名，或者说使用私钥进行加密。签过名的公钥叫做证书，随消息一起发送。更安全的证书是由第三方签署的证书。但是，任何人都能签署公钥，所以如果仅仅由某个第三方签署证书，还无法证实身份，除非该签署者是众所周知的、可以信任的。但是这些自己设置的权威证书机构，不一定能被他人所认可，所以，S/MIME采用信任等级体系来解决这个问题。信任等级体系也叫做信任链。为了让小王相信自己，小赵在电子邮件里除了提供小赵自己的证书，还提供了签发其证书的证书签署机构的证书。如果这个证书签署机构是小王所知道而且信任的机构，那么他就能用它的公钥来验证小赵的证书和公钥，最终也能接受小张的证书，承认他的证书有效。如果信任链的最高一级是众所周知、可以信任的，那么信任链里的证书最终也都可以得到信任。NetworkandInformationSecurity当今最权威的证书签署机构是VeriSign公司。VeriSign公司的公钥随处可得，实际上它已经预置在多数S/MIME程序里，所以验证VeriSign的签名实际上很容易做到。如果用户相信VeriSign在确认人们身份上做的工作不错，那么当他看到证书上有VeriSign签名时，就可以确信它是有效的。VeriSign提供两类个人证书。第一类成本较低，只验证申请人的电子邮件地址。第二类成本较高，要验证申请人的通信地址和电子邮件地址。申请人必须输入私人信息，使得VeriSign能够确认申请人的身份，所以申请信息必须通过安全通道传递，而不能通过未加安全保护的电子邮件发送。

NetworkandInformationSecurityS/MIME签名主要由这几部分组成：加密的摘要、生成摘要使用的算法、解密摘要使用的算法以及证书列表(用于消息的信任等级)。S/MIME用户不用加密消息就能给消息签名，实际上这也是S/MIME一般的使用方法。如果用户缺省地把签名功能打开，那么运行S/MIME电子邮件程序的收信人就能检验收到的电子邮件，检查它是否被篡改过，并验证发信人的身份。还能接收发信人的公钥，以后利用该公钥给发信人发送加密的消息。由于收信人运行的电子邮件程序可能不支持S/MIME，S/MIME提供两种签名方式：清晰签名(Clear，又叫做分离签名)和模糊签名(Opaque)。使用带有清晰签名的消息时，消息本身以正常方式发送，签名作为一个小的文件以附件方式随信发送，不支持S/MIME的客户端可以忽略该签名。这种方法的弊端是：某些邮件服务器可能会对消息做少许修改(例如，重新折行，或者去掉尾部的空格等)，而这种处理会造成接收方的S/MIME程序错误地认为消息被修改过并报警。NetworkandInformationSecurity但是，S/MIME仍然存在一些问题。同一个电子邮件地址拥有多个别名是很常见的，例如，和。但是多数S/MIME程序，在证书里都只认为其中的一个电子邮件地址有效。虽然，当名称不匹配造成证书无效时，用户可以显式地接受这个证书，但是，用户还是无法解密收到的消息，也无法回复该消息，除非对地址进行编辑，以使其和证书匹配。S/MIME规范的设计者正在设计一个解决方案，这个方案允许多个电子邮件地址同时和一个证书关联。要使用S/MIME加密，发信人需要收信人的公钥。有两种方法可以得到公钥：从VeriSign站点手工