欢迎您访问科普小知识本站旨在为大家提供日常生活中常见的科普小知识,以及科普文章!
您现在的位置是:首页  > 安全

如何保障电子邮件的安全?

科普小知识2021-09-02 04:48:54
...

一、背景

随着因特网的普及,电子邮件已经成为现代人生活和工作中最常用的通信工具之一。据不完全统计,Internet上每天传送的电子邮件达数十亿份。然而,电子邮件在网络中是以明文形式传输和存储,就犹如明信片一样在网上飞来飞去,个人隐私和公司机密随时存在被截获和浏览的风险。端到端电子邮件加密服务已成为电子邮件市场的迫切需求。

安全电子邮件系统的核心是密码技术。传统的端到端邮件加密,如PGP,都采用传统的基于PKI/CA机制的构建安全电子邮件系统,这在应用中暴露出诸多的弱点,例如:

证书管理系统复杂。一个典型、完整、有效的PKI/CA系统至少应具有以下几部分:公钥密码证书管理;黑名单的发布和管理;密钥的备份和恢复;自动密钥更新;自动管理历史密钥;支持交叉认证。由于电子邮件系统通常面对庞大的用户群,证书管理系统的必然极为复杂。

用户必须拥有可信第三方颁发的公钥证书,才可以进行保密通信。而实际中证书的申请、颁发和管理通常需要一个复杂的过程。在电子邮件的用户群中,拥有公钥证书的用户只占很小的比例。

获得对方公钥证书并确认其有效性困难。在利用电子邮件通信中,用户间的关系通常是松散的。如何获得对方证书?如何搜索证书的CA链以确认证书的有效性?都是实际应用中面临的棘手问题。

证书机制的正确使用需要具备一定的信息安全专业知识。

由于证书系统及其使用的复杂性,虽然电子邮件安全的市场需求迫切,但基于PKI/CA机制的安全电子邮件系统,在实际中并没有得到广泛深入的应用。正如Osterman研究公司总裁M.Osterman所言:“加密信息技术在应用方面存在很大的偶然性。如果您问某人是否需要对电子邮件进行加密,多数人会说:‘不太需要’。但如果您将一种简单易用的加密能力放在他们面前,很多人都会欣然接受并使用这种技术。”要让电子邮件安全产品获得用户的认可和广泛使用,必须寻找更有效的解决方案。

二、基于身份密码

为简化传统公钥密码系统的密钥管理问题,1984年,以色列科学家、著名的RSA*的发明者之一A.Shamir提出基于身份密码(ID-basedCryptography)的思想:将用户公开的身份信息(如e-mail地址,IP地址,名字……,等等)作为用户公钥,用户私钥由一个称为私钥生成者的可信中心生成。在随后的二十几年中,基于身份密码*的设计成为密码学界的一个热门的研究领域。

2001年,D.Boneh和M.Franklin博士利用双线性映射(BilinearPairing)为数学工具,设计了第一个实用的基于身份加密*。这一成果使得基于身份密码*的研究取得了突破性进展,在随后的几年中,基于身份密码的理论和实现技术的研究空前活跃。2006年,国际标准化组织ISO在ISO/IEC14888-3中给出了两个基于身份签名*标准。IEEE组织了专门的基于身份密码工作组(IEEEP1363.3),并于2006年2月至2006年8月间征集基于身份密码标准草案。我国也启动了基于身份密码的标准化进程。随着理论和实现技术的日趋成熟,基于身份的密码系统可代替PKI/CA系统,成为构建信息安全体系的一个新的选择。

三、解决方案

瑞可利公司提供的安全电子邮件系统解决方案是采用基于身份(ID-based)密码技术,实现基于e-Mail地址的加密,消除了对公钥证书的依赖,只要知道对方邮件地址即可发送加密邮件。系统由安全中心和广大用户群组成,安全中心向广大注册用户提供电子邮件加密/解密服务:

例如:小张和小王拥有e-mail地址:zhang@163.com和wang@sina.com。当小张发邮件给小王时,她只需用小王的e-mail地址wang@sina.com作为公钥加密邮件即可。若小王还没有在私钥生成中心注册,则向中心发出注册请求,中心为小王生成e-mail地址wang@sina.com相应的私钥,并通过安全信道传送给小王。小王以自己的私钥对收到的加密邮件进行解密。