校园项目之电子邮件安全

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第七章,电子邮件安全,电子邮件概述,电子邮件（E-mail）是Internet上应用最广同时也是最基本的服务之一。电子邮件将邮件发送到收信人的邮箱中，收信人可随时进行读取。,不仅可传送文字信息，而且还可附上声音和图像等多媒体信息文件。,电子邮件不是一种“终端到终端”的服务，而是被称为,“存储转发式”,服务。,电子邮件的工作原理,电子邮件是被称为“,存储转发,”（store and forwad）服务。,一封电子邮件,从发送端计算机发出,，在网络传输的过程中，,经过多台计算机的中转,，最后到达目的计算机,收信人的电子邮件服务器,，送到,收信人的电子邮箱,。收信人可以在方便的时候上网查看，或者利用客户端软件把邮件下载到自己的计算机上慢慢阅读。,发送邮件,意味着将邮件放到收件人信箱；,接收邮件,是从自己的信箱读取邮件。,首先，客户端利用客户端软件使用,SMTP,协议,将要发送邮件发送到本地的邮件服务器，,然后本地服务器再查看接收来邮件的目标地址，如果目标地址在远端则本地邮件服务器就将该邮件发往下一个邮件服务器或直接发往目标邮件服务器里。,如果客户端想要查看其邮件内容，则必须使用,POP3,协议,来接收才可以看到。,认识PGP,PGP是一个用来提供电子邮件安全的开放源代码软件包，它通过数字签名提供认证服务，通过对称加密提供保密性；利用ZIP算法压缩数据；用基于-64转换提供电子邮件兼容性。,PGP作为一个优秀的方法，它的出现很大程度上归功于一个人：PhilZimmermann,PGP特点,软件免费,；版本众多，支持各种系统平台,采用一,系列安全算法和机制,，安全性已经得到了充分的论证,广泛的安全性,邮件和文件存储,自由发放,，包括文档、源代码等,不是由政府或者标准化组织所控制,PGP所使用的符号约定,Ks：用于对称加密体制中的会话密钥,PRa：用户A的私钥，用于私钥加密体制,PUa：用户A的公钥，用于公钥加密体制,EP：公钥加密,DP：公钥解密,EC：对称加密,DC：对称解密,H:散列函数,|：串接操作(并置),Z：使用ZIP算法进行压缩,R64:转换为基数为64的ASCII格式,PGP包括五种服务：认证,保密，压缩，电子邮件兼容性和分段,功能,使用的算法,描述,认证(数字签名),DSS/SHA或RSA/SHA,使用SHA-1创建的报文的散列编码。采用DSS或RSA算法使用发送者的私有密钥对这个报文摘要进行加密，并且包含在报文中,保密(报文加密),CAST或IDEA或3DES结合Diffie-Hellman算法或RSA,采用CAST-128或IDEA或3DES，使用发送者生成的一次性会话密钥对报文进行加密，采用Diffie-Hellman或RSA，使用接收方的公开密钥对会话密钥进行加密并包含在报文中,压缩,ZIP,报文可以使用ZIP进行压缩，用于存储或传输,电子邮件兼容性,64基转换算法,为了提供电子邮件应用的透明性，加密的报文可以使用64基转换算法转换成ASCII字符串,分段,-,为了满足最大报文长度的限制，PGP完成报文的分段和重新装配,认证（鉴别），保密（机密性），认证+保密,PGP的操作压缩,在默认情况下，在签名之后加密之前，PGP可以对报文进行压缩。这有利于在电子邮件传输和文件存储时节省空间。压缩算法使用的是ZIP。,在压缩之前生成签名有两个理由：,对没有经过压缩的报文进行签名更好，这样为了将来的验证只需要存储没压缩的报文和签名。如果对压缩文档签名，那么为了将来的验证就必须或者存储压缩过的报文，或者在需要验证时重新压缩报文。,即使一个人愿意在验证时动态生成重新压缩的报文，,PGP,的压缩算法也存在问题。算法不是固定的，算法的不同实现在运行速度和压缩比上进行不同的折衷，因此产生了不同的压缩形式。但是，这些不同的压缩算法是可以互操作的，因为任何版本的算法都可以正确地解压其他版本的输出。在压缩之后应用散列函数和签名，将约束所有的,PGP,实现都使用同样的压缩算法。,在压缩之后对报文加密可以加强加密的强度。因为压缩过的报文比原始明文冗余更少，密码分析更加困难。,PGP的操作电子邮件的兼容性,很多电子邮件系统只允许使用由ASCII正文组成的块。为了满足这一约束，PGP提供了将原始8 bit二进制流转换成可打印ASCII字符的服务。为这一目的采用的方案是radix-64转换,。,PGP的操作分段和重装,电子邮件设施经常受限于最大的报文长度。例如，很多Internet可以访问的设施都有最大50 000个八位组的限制。任何长度超过这个数值的报文都必须划分成更小的报文段，每个段单独发送。,为了满足这个约束，PGP自动将太长的报文划分成可以使用电子邮件发送的足够小的报文段。分段是在所有其他的处理（包括radix-64转换）完成之后才进行的，因此会话密钥部分和签名部分只在第一个报文段的开始位置出现一次。,PGP加密密钥和密钥环,PGP使用四种类型的密钥：一次性会话密钥、公开密钥。私有密钥和基于对称密钥口令。对于这些密钥存在三种独立的需求：,需要产生不可预测的会话密钥。,希望能允许用户拥有多个公钥私钥对。,因为用户可能希望能经常改变他（她）的密钥对。当发生了这种情况时，信道中所有消息往往仍在使用过时的密钥。此外，接收方在更新到达之前只知道旧的公钥。除了不时地改变密钥的需要之外，用户希望在某一时刻拥有多对密钥以与不同的人交互，或者只是为了增强安全性而限制密钥能够加密的报文的数量。所有这些情况都导致了用户和公钥之间不是一对一的关系。因此，需要能鉴别不同的密钥,每个,PGP,实体必须管理一个自己的公钥私钥对文件和其他用户的公钥文件。,会话密钥的产生,以CAST-128为例。,128位的随机数是由CAST-128自己生成的。输入包括一个128位的密钥和两个64位的数据块作为加密的输入。使用CFB方式，CAST-128 产生两个64位的加密数据块，这两个数据块的结合构成128位的会话密钥。（算法基于ANSI X12.17）,作为明文输入的两个64位数据块，是从一个128位的随机数流中导出的。这些数是基于用户的键盘输入的。键盘输入时间和内容用来产生随机流。因此，如果用户以他通常的步调敲击任意键，将会产生合理的随机性。,密钥标识符,加密后的消息将与加密消息使用的会话密钥的密文一起传送。会话密钥将使用接收方的公钥加密，而只有接收方可以恢复会话密钥从而进一步恢复消息。如果每个用户只使用一个公钥/私钥对，则接收方可以自动知道该用哪个密钥解密会话密钥：即使用接收方唯一的私钥。然而，给定用户可以拥有多个公钥/私钥对。,但是一个用户有多个公钥/私钥对时，接收者如何知道发送者是用了哪个公钥来加密会话密钥？,方案1：将公钥和信息一起传递，但会浪费不必要的空间；方案2：每个用户的不同公钥与唯一的ID一一对应，则只需传递较短的ID即可。但这个方案产生了管理和开销问题，密钥ID必须确定和存储，发送方和接受方都知道ID与密钥之间的映射关系,PGP采用的解决方案,为每个公钥分配一个密钥ID，并在很大机率上与用户ID意义对应，密钥ID至少为64比特，公钥PU,a,的密钥ID为PU,a,mod 2,64,）。密钥ID足够长，重复的可能性非常小。,PGP的数字签名也需要密钥ID。因为发送方需要使用私钥加密消息摘要，接收者必须知道应该使用哪个公钥解密。相应地，消息的数字签名部分必须包括公钥对应的64 bit密钥ID。当消息被收到后，接收方验证密钥 ID用于发送方所知的公钥，然后继续验证签名。,因此，消息分成了三部分：,消息部分、签名部分、会话密钥部分,PGP消息的一般格式,任何PGP消息包含两个密钥ID可以提供保密性和认证功能。必须采用有效且系统的方式存储，组织，以供各方使用。PGP为每一个节点提供一对数据结构，一个用于存放本节点自身的公钥/私钥对，另一个用于存放本节点知道的其他用户的公钥。这些数据结构分别被称为私钥环和公钥环。,每一对公钥/私钥存储结构信息：,时间戳：密钥对生成日期时间,密钥ID：公钥的低64位,公钥：密钥对的公钥部分,私钥ID：密钥对的私钥部分，此部分加密，需要使用口令才能访问。用户ID：电子邮件地址 等标识,时间戳,密钥ID,公开密钥,加密的私有密钥,用户ID,T,i,KU,i,mod 2,64,KU,i,E,H(Pi),KR,i,用户,i,时间戳：该密钥对生成的日期时间。,密钥ID：这个实体的公开密钥的低位64比特。,公开密钥：密钥对的公开密钥部分。,私有密钥：密钥对的私有密钥部分；这个字段是加密的。,用户ID：这个字段的典型值是用户的电子邮件地址（例如，stallingsacm.org）。然而，用户可以为每个密钥对选择不同的名字（例如，Stallings，Wstallings，Williamstallings等等），或者多次重用相同的用户ID。,私钥环,PGP对私有密钥的保护,虽然私钥环只存储在创建和拥有密钥对的用户的机器上，并且只有该用户可以访问私有密钥环，但确保私有密钥的值尽可能地安全仍然很有意义。相应地，私有密钥本身并不存储在密钥环中，相反，要使用CAST-128（或IDEA或3DES）加密后存储。其步骤如下：,用户选择加密私钥的口令。,当系统使用,RSA,生成新的公钥,/,私钥对时，向用户询问口令。使用,SHA-1,为口令生成,160 bit,的散列码，然后该口令被丢弃。,系统使用,CAST-128,和作为密钥的,128 bit,散列码作为密钥来加密私有密钥。然后，散列码被丢弃，加密过的私有密钥被存储在私有密钥环中。,当用户从私钥环中重新取得私钥时，他必须提供口令。,PGP,将生成口令的散列码，并用,CAST-128,和散列码一起解密私钥。,这是一种非常紧凑和有效的模式。在任何基于口令的系统中，系统的安全性依赖于口令安全。为避免将口令写下来，用户应使用不易猜测但容易记忆的口令。,时间戳,密钥ID,公开密钥,拥有者信任,用户ID,密钥合法性,签名(S),签名信任(S),T,i,KU,i,mod 2,64,KU,i,trust_flag,i,User,i,trust_flag,i,公钥环,时间戳：这个实体生成的日期时间。,密钥ID：这个实体公开密钥的低位64比特。,公开密钥：这个实体的公开密钥。,用户ID：这个密钥的拥有者。公开密钥可以与多个用户ID相关联。,现在讨论如何在消息传递和接收中使用密钥环。为简化论述，忽略压缩和基-64转换。首先考虑消息传递，假设对消息进行签名和加密，则发送的PGP实体执行下列步骤：,（1）签名消息,1.PGP以用户ID作为索引从发送方的私钥中取出选定的私钥，如果在命令中不提供用户ID，则取出私钥环中的第一个私钥；,2.PGP提示用户输入口令以恢复私钥；,3.创建消息签名。,（2）加密消息,1.PGP生成会话密钥加密消息；,2.PGP用接收方的用户ID作为索引，从公钥环中获得接收方的公钥；,3.创建消息会话密钥。,PGP消息的生成,接收方PGP实体执行下列步骤,（1)解密消息：,1.PGP用消息的会话密钥的密钥ID域作为索引，从私钥环中获得接收方的私钥；,2.PGP提示用户输入口令以恢复私钥；,3.PGP恢复会话密钥，解密消息。,（2）加密消息,1.PGP用消息的签名密钥中包含的密钥ID，从公钥环中获取发送方的公钥；,2.PGP恢复消息摘要；,3.PGP计算接收方收到的消息的消息摘要，并将其与恢复的消息摘要进行比较来认证。,PGP消息的接收,公钥管理的方法,公钥管理的实质是：用户A为了与其他用户用PGP互操作必须建立一个拥有其他用户公钥的公钥环，假设A的公钥环中包含一个属于B的公钥，但该公钥实际上是属于C的。例如，A从B发布的公告板（BBS）上获得公钥，但该公钥却是C伪造的，则此时A就会以为该公钥属于B。这样，就存在如下两种威胁：其一，C向A发送消息并伪造B的签名，这样A就会以为该消息来源于B；其二。对任何由A发送往B的加密消息，C均