電子簽名技術採用多種加密方法,但可以通過易於理解的RSA(Rivest Shamir Adleman)公鑰體系爲例簡述其原理。RSA加密基於一個無法對大數進行分解質因子的數學假設,使用2 個大素數的函數,一個作爲公共密鑰,另一個作爲私人密鑰,由於這2 個密鑰是互補的,公共密鑰加密的密文可以用私人密鑰解密,反之亦然。因而郵件發送者只需要使用收件人的公共密鑰加密郵件,加密後的郵件只有擁有私人密鑰的收件人才可能有辦法解密閱讀,也就實現了郵件的加密,從而保證了郵件不會被任何第三者所閱讀,即使在傳輸的過程中被第三者截取仍然不至於泄密。
當用戶使用自己的電子證書在發出的郵件上簽名時,郵件將被按照郵件的內容通過摘要函數運算取得一個可以用以檢驗郵件完整性的值,並將該值使用電子證書中的私人密鑰加密,然後與公共密鑰和郵件內容一起發送出去。由於私人密鑰加密的內容只有對應的公共密鑰可以解密,並且摘要函數可以在任意大小的數據中採集一個固定長度的摘要,供採集的數據源即使有一位數據改變取得的結果也不同,郵件的內容有任何改變都無法與原來檢驗郵件完整性的值相匹配,當收件人收到郵件時即可知道郵件的內容是否被篡改,同時也知道該郵件發送者使用的是哪一個電子證書。而由於第三方的權威證書發行機構在發出電子證書時,將驗證申請者是否擁有所申請電子郵箱的使用權,收件人也就能夠通過證書發行機構驗證發件人所使用的電子證書,確認所收到的郵件的確來自擁有這個郵箱地址的用戶,從而實現對發件人的真實性與郵件內容是否完整的鑑別。
電子簽名技術非常複雜,但使用起來非常方便,不論是簽名還是加密、解密,具體的步驟都將由電子郵件客戶端軟件實施。目前FoxMail、Outlook Express與Outlook等主流的電子郵件客戶端軟件都能夠支持。您需要做的只是申請電子證書,並在電子郵件客戶端軟件上指定每個電子郵件地址將使用哪種電子證書。在需要爲發送的電子郵件簽名或加密時單擊相應的按鈕即可完成。而當收到使用電子簽名的郵件時,驗證郵件是否完整和解密的工作也將由電子郵件客戶端軟件自動完成。
使用實例
首次使用郵件安全技術時,必須花費一些時間申請和安裝電子證書,並對電子郵件客戶端軟件進行配置,這一過程或許有些繁瑣,但與您的電子郵件通信安全相比,花費這些時間是非常值得的。
件
獲得電子證書後,需要在自己使用的電子郵件客戶端軟件設置相關的選項,然後纔可以使用電子證書籤名或加密郵件,下面將分別介紹在FoxMail、Outlook Express 與Outlook 上的設置和使用方法。
(1)FoxMail
在FoxMail 中只需要選擇“賬戶”*“賬戶屬性”*“安全”*“選擇”,在彈出的“選擇證書”對話框中選中Thawte證書名稱前的複選框並單擊“確定”,返回“賬戶屬性”對話框中您將發現右側將顯示出證書的相關信息(見圖4)。單擊“確定”關閉“賬戶屬性”存儲設置,以後在使用FoxMail 編輯郵件時,您就可以通過郵件編輯窗口工具欄上的“簽名”和“加密”按鈕,使用自己的電子證書籤名或使用收件人的證書加密郵件。
(2)Outlook
在Outlook 中選擇“工具”*“選項”*“安全”,切換到“安全”選項卡,在“安全”選項卡上方的“加密郵件”一欄中,您可以通過複選框選擇是否需要加密所有發出的郵件,或者爲所有發出的郵件簽名。單擊“默認設置”旁邊的“設置”按鈕,您將可以在彈出的“更改安全設置”對話框上(見圖5),單擊“選擇”指定用於加密和簽名的電子證書,更改加密算法以及選擇是否在發送簽名郵件時將電子證書一同發出。設置完畢後,在使用Outlook編輯郵件時,您將可以通過郵件編輯窗口工具欄上的“簽名”和“加密”,使用自己的電子證書籤名或使用收件人的證書加密郵件
(3)Outlook Express
在Outlook Express 中選擇“工具”*“選項”*“安全”,切換到“安全”選項卡,在“安全”選項卡下方的“安全郵件”一欄中,您可以通過複選框選擇是否需要加密所有發出的郵件,或者爲所有發出的郵件簽名。單擊旁邊的“設置”,您將可以在彈出的“高級安全設置”對話框上(見圖6)作更細緻的設置,選擇在收到使用電子簽名的郵件時是否自動驗證證書的可靠性,以及是否將對方的電子證書添加到地址本,以便未來用於給對方發送加密郵件。設置完畢後,在使用OutlookExpress編輯郵件時,可以通過郵件編輯窗口工具欄上的“簽名”和“加密”按鈕,使用自己的電子證書籤名或使用收件人的證書加密郵件。
收發安全郵件
在完成上述操作之後,您已經大功告成,可以使用電子簽名應用了。這樣,您的郵件系統又多了一分安全。
在發出的郵件上簽名的方法非常簡單,在設置郵件客戶端軟件的過程中,可以選擇對所有發出的郵件簽名,也可以設置證書後在編輯郵件時單擊“簽名”即可簽名。當收件方接到一封已簽名或加密的安全郵件時,將分別以不同的圖標在“收件箱”中顯示使用了電子簽名的郵件與加密郵件。在閱讀郵件時,軟件將首先顯示安全郵件幫助頁面,郵件可能出現的任何問題都將在該頁面上做出詳細描述(見圖7),如果該安全郵件存在問題,信息之中可能出現“安全警告”之類的描述,告知用戶該郵件已被篡改或並非來自所謂的發件人。而單擊郵件查看窗口的“文件”*“屬性”,在郵件的屬性窗口中,“安全”選項卡,將可以查看發件人簽署電子簽名時所使用的電子證書所對應的電子郵件地址,以及證書的狀態、加密時所使用的電子證書、加密的算法等等相關信息。
在收件人收到使用電子證書籤名的郵件後,可以通過電子郵件客戶端軟件自動收集您的證書,也可以在查看簽名證書時單擊電子證書下方的“安裝證書”,將您的證書安裝到自己的系統上,以後就可以使用該電子證書加密郵件發送給您。同樣,您也需要有收件人的電子證書纔可以給對方發送加密郵件,因此一般情況下在設置電子郵件客戶端時,應儘量選中相關的項目,讓軟件能夠在收到有電子證書籤名的郵件時自動將證書安裝到系統上。而在收到加密郵件時操作非常簡單,軟件將自動要求您確認允許使用私人密鑰進行解密,只需要點擊“確認”即可閱讀郵件。
證書管理
您已經在自己的電腦安裝了電子證書,它是您隱私的一部分,一定要保護和管理好,否則安全措施形同虛設。
在接收加密郵件時只需一個單擊即可解密證書,但前提條件是包含私人密鑰的電子證書已經安裝在系統上。因此,如果您使用多部電腦,那麼您將需要按照下面的方法將電子證書安裝到多部電腦上:在Outlook Express 的設置過程中,選擇“選項”*“安全”*“數字標識”;或者在Outlook的設置過程中,當單擊“選擇”指定用於加密和簽名的證書時,都將運行證書管理器打開“證書”窗口(見圖8)。在“證書”窗口中,除了可以查看和選擇證書,還可以對證書進行管理。在“證書”窗口中單擊“個人”一欄中Thawte的電子證書名稱,然後單擊“導出”,就可以把電子證書導出爲一個文件,然後在其他電腦上通過證書管理器的“導入”將證書導入,就可以在其他電腦上使用該電子證書了。對於聯繫人的電子證書也可以通過同樣的方法導入和導出,以便在不同的電腦上仍然可以給對方發送加密郵件。