【网络信息安全】电子邮件安全

主要内容

11.1 电子邮件的安全威胁

11.2 安全电子邮件标准

11.3 PGP 标准

• 11.3.1 PGP 的功能
• 11.3.2 PGP 消息格式及收发过程
• 11.3.3 PGP 密钥的发布和管理
• 11.3.4 PGP 的安全性分析

11.1 电子邮件的安全威胁

（1）电子邮件的内容是公开的和可获取的。
（2）邮件在网络上反复复制，传输路径不确定，易遭到窃取、篡改、假冒甚至破坏。

电子邮件的安全需求：

1. 机密性——只有真正的接收方才能阅读邮件
2. 完整性——电子邮件在传输过程中不被修改
3. 认证性——信息的发送者不被假冒
4. 不可否认性——发信人无法否认发过电子邮件

电子邮件的安全问题

1. 垃圾邮件——增加网络负荷，占用服务器空间
2. 诈骗邮件——能迅速让大量受害者上当
3. 邮件炸弹——短时间内向同一邮箱发送大量电子邮件
4. 通过电子邮件/附件传播网络蠕虫/病毒
5. 电子邮件欺骗、钓鱼式攻击

邮件具有 单向性 和 非实时性 —— 不能通过建立隧道来保证安全，只能对邮件本身加密。

11.2 安全电子邮件标准

1）PEM（privacy enhanced mail，增强型邮件保密）标准

• 在邮件标准格式上增加加密、认证和密钥管理
• 在 MIME 之前出现，所以不支持 MIME
• 依赖一个既存的、完全可操作的 PKI，发展被限制
• PEM 像一个 OSI 标准，PGP 像一个 Internet 软件包

2）PGP（pretty good privacy，高质量保密）标准

• 符合 PEM 的绝大多数规范，但不要求存在PKI
• 创造性结合公钥加密的方便和对称加密的高速度
• 数字签名和密钥管理机制设计巧妙
• 不仅功能强大，速度快，而且源代码公开

3）S/MIME 标准

S/MIME：secure/multipurpose Internet mail extensions —— 安全/多用途因特网邮件扩展

• 并非只能用于邮件传输，任何支持 MIME 的传输机制都可使用，如 HTTP
• 对电子邮件最有效，因为必须保证邮件本身安全
• 认证机制依赖于层次结构的 CA（Tree of Trust）
• 证书格式采用 X.509 规范，但支持的厂商比较少

11.3 PGP 标准

• Philip Zimmermann于1991年发布 PGP 1.0
• 可在各种平台（Windows、UNIX等）免费运行
• 还可用于普通文件加密及军事目的
• 所用算法被证实为非常安全：
  1. 公钥加密算法 RSA、DSS 和 Diffie-Hellman
  2. 对称加密算法 IDEA、3DES 和 CAST-128
  3. 散列算法 SHA-1

PGP 的特点

1. 使用散列函数对邮件内容签名，保证信件内容不被篡改；
2. 使用公钥和对称加密保证邮件内容机密且不可否认；
3. 公钥的权威性由收发双方所信任的第三方签名认证；
4. 事先不需要任何保密信道来传递对称的会话密钥。

PGP的 Web of Trust

• “信任”或是双方的直接关系，或是通过第三者、第四者的间接关系。
• 任意两方对等，整个信任关系构成网状结构。
• PGP 没有严格 CA 的约束，用户自行决定信任谁。
• 若把使用 PGP 的用户限制在一定范围，则 PGP 比 PEM 更安全，因为信任链由用户自己维护。

11.3.1 PGP 的功能

数字指纹、数字身份证、数字签名、数字信封、数字证书、机密性、完整性、不可否认、发送方鉴别

（1）完整性鉴别

• MD5 散列任意长度的报文，产生 128 位的报文摘要。
• 报文摘要唯一对应原始报文，如果原始报文改变并再次散列，生成的报文摘要不同。
• 接收者收到的报文摘要应与对收到的邮件明文进行散列得到的散列值匹配，否则报文不完整。

（2）数字签名

用发送方 A 的 RSA 私钥 PR_A 对明文的散列加密，即实现数字签名：

1. 只有用发送方公钥才能解开，实现了发送方对所发送报文的不可否认性；
2. 还保证了数据的完整性；
3. 同时签名速度比较快。
4. 利用数字签名一定程度上认证了发送方的身份。

（3）压缩

1. 先签名，后压缩
   若对压缩的消息签名，对验证签名的结果进行动态解压缩的算法则很不稳定。
2. 先压缩，后加密
   减少了网络传输时间和磁盘空间
   压缩实际上也是一种“混淆”
   先加密后压缩，压缩效果较差

（4）机密性

链式加密（数字信封）：

1. 用接收方 B 的公钥 PU_B 加密对称的会话密钥 K_S
2. 以 K_S 为 IDEA 密钥对压缩的明文加密
   既有 RSA 加密的保密 —— 安全传递 IDEA 密钥
   又有 IDEA 算法的快捷 —— 保证消息自身的安全

优点：

1. 发送方随机产生 K_S，不需和接收方协商
2. 一次 K_S 的泄漏不影响其他次密文传递的安全
3. 用 RSA 公钥 PU_B 对 K_S 加密保证加密的速度

（5）电子邮件的兼容性

• base64 转换导致消息大小增加 33%
• 压缩的效果不仅可补偿 base64 转换导致的膨胀，还可大大减少占用空间