【網絡信息安全】電子郵件安全

主要內容

11.1 電子郵件的安全威脅

11.2 安全電子郵件標準

11.3 PGP 標準

• 11.3.1 PGP 的功能
• 11.3.2 PGP 消息格式及收發過程
• 11.3.3 PGP 密鑰的發佈和管理
• 11.3.4 PGP 的安全性分析

11.1 電子郵件的安全威脅

（1）電子郵件的內容是公開的和可獲取的。
（2）郵件在網絡上反覆複製，傳輸路徑不確定，易遭到竊取、篡改、假冒甚至破壞。

電子郵件的安全需求：

1. 機密性——只有真正的接收方纔能閱讀郵件
2. 完整性——電子郵件在傳輸過程中不被修改
3. 認證性——信息的發送者不被假冒
4. 不可否認性——發信人無法否認發過電子郵件

電子郵件的安全問題

1. 垃圾郵件——增加網絡負荷，佔用服務器空間
2. 詐騙郵件——能迅速讓大量受害者上當
3. 郵件炸彈——短時間內向同一郵箱發送大量電子郵件
4. 通過電子郵件/附件傳播網絡蠕蟲/病毒
5. 電子郵件欺騙、釣魚式攻擊

郵件具有 單向性 和 非實時性 —— 不能通過建立隧道來保證安全，只能對郵件本身加密。

11.2 安全電子郵件標準

1）PEM（privacy enhanced mail，增強型郵件保密）標準

• 在郵件標準格式上增加加密、認證和密鑰管理
• 在 MIME 之前出現，所以不支持 MIME
• 依賴一個既存的、完全可操作的 PKI，發展被限制
• PEM 像一個 OSI 標準，PGP 像一個 Internet 軟件包

2）PGP（pretty good privacy，高質量保密）標準

• 符合 PEM 的絕大多數規範，但不要求存在PKI
• 創造性結合公鑰加密的方便和對稱加密的高速度
• 數字簽名和密鑰管理機制設計巧妙
• 不僅功能強大，速度快，而且源代碼公開

3）S/MIME 標準

S/MIME：secure/multipurpose Internet mail extensions —— 安全/多用途因特網郵件擴展

• 並非只能用於郵件傳輸，任何支持 MIME 的傳輸機制都可使用，如 HTTP
• 對電子郵件最有效，因爲必須保證郵件本身安全
• 認證機制依賴於層次結構的 CA（Tree of Trust）
• 證書格式採用 X.509 規範，但支持的廠商比較少

11.3 PGP 標準

• Philip Zimmermann於1991年發佈 PGP 1.0
• 可在各種平臺（Windows、UNIX等）免費運行
• 還可用於普通文件加密及軍事目的
• 所用算法被證實爲非常安全：
  1. 公鑰加密算法 RSA、DSS 和 Diffie-Hellman
  2. 對稱加密算法 IDEA、3DES 和 CAST-128
  3. 散列算法 SHA-1

PGP 的特點

1. 使用散列函數對郵件內容簽名，保證信件內容不被篡改；
2. 使用公鑰和對稱加密保證郵件內容機密且不可否認；
3. 公鑰的權威性由收發雙方所信任的第三方簽名認證；
4. 事先不需要任何保密信道來傳遞對稱的會話密鑰。

PGP的 Web of Trust

• “信任”或是雙方的直接關係，或是通過第三者、第四者的間接關係。
• 任意兩方對等，整個信任關係構成網狀結構。
• PGP 沒有嚴格 CA 的約束，用戶自行決定信任誰。
• 若把使用 PGP 的用戶限制在一定範圍，則 PGP 比 PEM 更安全，因爲信任鏈由用戶自己維護。

11.3.1 PGP 的功能

數字指紋、數字身份證、數字簽名、數字信封、數字證書、機密性、完整性、不可否認、發送方鑑別

（1）完整性鑑別

• MD5 散列任意長度的報文，產生 128 位的報文摘要。
• 報文摘要唯一對應原始報文，如果原始報文改變並再次散列，生成的報文摘要不同。
• 接收者收到的報文摘要應與對收到的郵件明文進行散列得到的散列值匹配，否則報文不完整。

（2）數字簽名

用發送方 A 的 RSA 私鑰 PR_A 對明文的散列加密，即實現數字簽名：

1. 只有用發送方公鑰才能解開，實現了發送方對所發送報文的不可否認性；
2. 還保證了數據的完整性；
3. 同時簽名速度比較快。
4. 利用數字簽名一定程度上認證了發送方的身份。

（3）壓縮

1. 先簽名，後壓縮
   若對壓縮的消息簽名，對驗證簽名的結果進行動態解壓縮的算法則很不穩定。
2. 先壓縮，後加密
   減少了網絡傳輸時間和磁盤空間
   壓縮實際上也是一種“混淆”
   先加密後壓縮，壓縮效果較差

（4）機密性

鏈式加密（數字信封）：

1. 用接收方 B 的公鑰 PU_B 加密對稱的會話密鑰 K_S
2. 以 K_S 爲 IDEA 密鑰對壓縮的明文加密
   既有 RSA 加密的保密 —— 安全傳遞 IDEA 密鑰
   又有 IDEA 算法的快捷 —— 保證消息自身的安全

優點：

1. 發送方隨機產生 K_S，不需和接收方協商
2. 一次 K_S 的泄漏不影響其他次密文傳遞的安全
3. 用 RSA 公鑰 PU_B 對 K_S 加密保證加密的速度

（5）電子郵件的兼容性

• base64 轉換導致消息大小增加 33%
• 壓縮的效果不僅可補償 base64 轉換導致的膨脹，還可大大減少佔用空間