梁雪梅

摘 要：網(wǎng)絡(luò)時(shí)代的到來(lái)使世界的距離縮短了，隨著信息的流通電子郵件成為當(dāng)今社會(huì)不可缺少的一個(gè)網(wǎng)絡(luò)組成部分，并且隨之而來(lái)的安全問(wèn)題也逐步的被人們重視。本文對(duì)現(xiàn)今社會(huì)電子郵件的安全問(wèn)題作出歸納，并詳細(xì)介紹現(xiàn)如今流行的電子郵件加密軟件PGP的報(bào)文組成以及PGP的工作原理。

關(guān)鍵詞：數(shù)字簽名；郵件文摘；電子郵件；密匙；RSA簽名體制

1引言

上世紀(jì)末本世紀(jì)初，因特網(wǎng)在世界范圍內(nèi)得到了迅猛的發(fā)展，網(wǎng)絡(luò)用戶(hù)每年都呈幾何級(jí)數(shù)增長(zhǎng)。與此同時(shí)，網(wǎng)絡(luò)上的信息安全問(wèn)題逐漸成為國(guó)際互聯(lián)望商業(yè)化的巨大障礙，越來(lái)越受到重視。網(wǎng)絡(luò)的安全問(wèn)題，諸如網(wǎng)絡(luò)新聞、文件傳輸、萬(wàn)維網(wǎng)（WWW）等，在缺乏保護(hù)的情況下，在網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)娜魏涡畔?，都存在著被泄露和篡改的可能性?/p>

電子郵件（E-mail）是因特網(wǎng)上最大的應(yīng)用，也是廣泛的跨平臺(tái)、跨體系結(jié)構(gòu)的分布式應(yīng)用。隨著用戶(hù)的增多和使用范圍的逐漸擴(kuò)大，保證郵件本身的安全以及電子郵件對(duì)系統(tǒng)安全性的影響越來(lái)越重要。

2 電子郵件存在的安全問(wèn)題

E-mail在因特網(wǎng)上傳輸，從一個(gè)機(jī)器傳輸?shù)搅硪粋€(gè)機(jī)器。在這種方式下，在其所經(jīng)過(guò)網(wǎng)絡(luò)上的任一系統(tǒng)管理員或黑客都有可能截獲和更改該郵件，甚至偽造某人的E-mail。因此電子郵件本身的安全性是以郵件經(jīng)過(guò)的網(wǎng)絡(luò)系統(tǒng)的安全性和管理人員的誠(chéng)實(shí)、對(duì)信息的漠不關(guān)心為基礎(chǔ)的。

因特網(wǎng)電子郵件系統(tǒng)由郵件用戶(hù)代理（Mail User Agent，MUA）、收集報(bào)文的輸出隊(duì)列、郵件傳輸代理（Mail Transport Agent，MTA）以及接收郵件報(bào)文的郵箱組成。

MUA：即郵件客戶(hù)端程序，負(fù)責(zé)為用戶(hù)提供管理郵件的界面。這些管理功能包括接收信件、閱讀信件、寫(xiě)和發(fā)送新信件等。常見(jiàn)的郵件用戶(hù)代理例如Microsoft Outlook，F(xiàn)oxmail。

MTA：負(fù)責(zé)電子郵件報(bào)文的轉(zhuǎn)發(fā)和投遞。常見(jiàn)的郵件傳輸代理有sendmail，smail，Qmail，Postfix等。

郵件發(fā)送者使用MUA將編輯好的郵件送入輸出隊(duì)列，本地MTA再將本地郵件隊(duì)列中的郵件發(fā)往因特網(wǎng)，其間可能經(jīng)過(guò)若干中繼MTA，直到轉(zhuǎn)發(fā)到接收方的本地MTA，接收方本地的MTA將郵件最后存儲(chǔ)到接收方的郵箱中去。

不難看出，在整個(gè)電子郵件傳遞過(guò)程中都必須依靠因特網(wǎng)的支持，因此所呈現(xiàn)的安全問(wèn)題主要包括以下幾類(lèi)：

（1）開(kāi)放性

基于因特網(wǎng)技術(shù)的最顯著優(yōu)點(diǎn)是開(kāi)放性，而且是完全連接的，千百萬(wàn)個(gè)用戶(hù)中的任何一個(gè)都可以給特定用戶(hù)發(fā)送電子郵件。這種廣泛的開(kāi)放性從安全性上看，反而成了易受攻擊的弱點(diǎn)。任何運(yùn)行TCP/IP的機(jī)器都可以利用這些協(xié)議進(jìn)入網(wǎng)絡(luò)。進(jìn)而竊取、篡改電子郵件內(nèi)容。

（2）自身的不完善

電子郵件通信協(xié)議的制定是建立在完全信任的基礎(chǔ)之上，即被信任的一方會(huì)嚴(yán)格按信任者期望的那樣行動(dòng)，因此包括發(fā)送時(shí)使用的SMTP（簡(jiǎn)單郵件傳輸協(xié)議）協(xié)議以及接收時(shí)使用的POP3（郵局協(xié)議）都是明文的通信協(xié)議。使用明文協(xié)議意味著發(fā)件人的賬號(hào)密碼甚至郵件的內(nèi)容隨時(shí)有可能在任何一個(gè)傳遞的中間環(huán)節(jié)被盜取。

諸如此類(lèi)的問(wèn)題顯然并不符合用戶(hù)安全要求。在人們譴責(zé)虐習(xí)，呼吁安全的聲音中PGP （Pretty Good Privacy）誕生了。PGP是一個(gè)基于RSA公匙加密體系的郵件加密軟件?？梢杂盟鼘?duì)你的郵件保密以防止非授權(quán)者閱讀，同時(shí)還能對(duì)郵件加上數(shù)字簽名從而使收信人可以確信郵件發(fā)送方身份。

3 PGP在電子郵件中的運(yùn)用

3.1 PGP的報(bào)文組成

PGP其創(chuàng)始人是美國(guó)的齊默恩. 菲爾（ Phil Zimmermann）。PGP的創(chuàng)造性在于把 RSA 公鑰體系的方便和傳統(tǒng)加密體系的高速結(jié)合起來(lái)，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)。

PGP報(bào)文由三個(gè)部分組成，即報(bào)文的IDEA密鑰部分、簽字部分以及報(bào)文本身。第一部份是密鑰部份，主要包括密鑰創(chuàng)建人的信息，如姓名、電子郵件等與一次性會(huì)話(huà)密鑰。第二部份是簽字部份，主要包括密鑰創(chuàng)建人的信息，如姓名、電子郵件等、創(chuàng)建時(shí)間、簽字首部?jī)?nèi)容、MD5散列函數(shù)的值。第三部份是報(bào)文部份，主要包括用戶(hù)所要發(fā)送的報(bào)文體、時(shí)間、報(bào)文名字、報(bào)文首部?jī)?nèi)容。其中報(bào)文部份與簽字部份采用IDEA 算法來(lái)加密壓縮，得到的壓縮密文信息再與密鑰部份拼接在一起轉(zhuǎn)換成BASE64編碼。所以用戶(hù)最終接收到信息就是BASE64編碼的信息內(nèi)容。

3.2 PGP的運(yùn)作過(guò)程

PGP的實(shí)際操作過(guò)程由五種服務(wù)組成：鑒別、機(jī)密性、電子郵件的兼容性、壓縮、分段和重裝。

過(guò)程說(shuō)明如下：

第一步：鑒別

①發(fā)送者創(chuàng)建報(bào)文；

②發(fā)送者使用MD5生成報(bào)文的160bit散列代碼（郵件文摘）；

③發(fā)送者使用自己的私有密鑰，采用RSA算法對(duì)散列代碼進(jìn)行加密，串接在報(bào)文的前面；

④接收者使用發(fā)送者的公開(kāi)密鑰，采用RSA解密和恢復(fù)散列代碼；

⑤接收者為報(bào)文生成新的散列代碼，并與被解密的散列代碼相比較。如果兩者匹配，則報(bào)文作為

已鑒別的報(bào)文而接收。

第二步： 機(jī)密性

在PGP中，每個(gè)常規(guī)密鑰只使用一次，即對(duì)每個(gè)報(bào)文生成新的128bit的隨機(jī)數(shù)。為了保護(hù)密鑰，使用接收者的公開(kāi)密鑰對(duì)它進(jìn)行加密。

①發(fā)送者生成報(bào)文和用作該報(bào)文會(huì)話(huà)密鑰的128bit隨機(jī)數(shù)；

②發(fā)送者采用CAST-128加密算法，使用會(huì)話(huà)密鑰對(duì)報(bào)文進(jìn)行加密。也可使用IDEA或3DES；

③發(fā)送者采用RSA算法，使用接收者的公開(kāi)密鑰對(duì)會(huì)話(huà)密鑰進(jìn)行加密，并附加到報(bào)文前面；

④接收者采用RSA算法，使用自己的私有密鑰解密和恢復(fù)會(huì)話(huà)密鑰；

⑤接收者使用會(huì)話(huà)密鑰解密報(bào)文。

第三步：電子郵件的兼容性

當(dāng)使用PGP時(shí)，至少傳輸報(bào)文的一部分需要加密，因此部分或全部的結(jié)果報(bào)文由任意8bit字節(jié)流組成。但由于很多的電子郵件系統(tǒng)只允許使用由ASCII正文組成的塊，所以PGP提供了radix-64（BASE 64格式）轉(zhuǎn)換方案，將原始二進(jìn)制流轉(zhuǎn)化為可打印的ASCII字符。

第四步：壓縮

PGP在加密前進(jìn)行預(yù)壓縮處理，PGP內(nèi)核使用PKZIP算法壓縮加密前的明文。一方面對(duì)電子郵件而言，壓縮后再經(jīng)過(guò)radix-64編碼有可能比明文更短，這就節(jié)省了網(wǎng)絡(luò)傳輸?shù)臅r(shí)間和存儲(chǔ)空間；另一方面，明文經(jīng)過(guò)壓縮，實(shí)際上相當(dāng)于經(jīng)過(guò)一次變換，對(duì)明文攻擊的抵御能力更強(qiáng)。

第五步：分段和重裝

電子郵件設(shè)施經(jīng)常受限于最大報(bào)文長(zhǎng)度（50000個(gè)）八位組的限制。分段是在所有其他的處理（包括radix-64轉(zhuǎn)換）完成后才進(jìn)行的，因此，會(huì)話(huà)密鑰部分和簽名部分只在第一個(gè)報(bào)文段的開(kāi)始位置出現(xiàn)一次。在接收端，PGP必須剝掉所在的電子郵件首部，并且重新裝配成原來(lái)的完整的分組。

4結(jié)束語(yǔ)

基于PGP的安全郵件加密是針對(duì)傳統(tǒng)電子郵件所存在的某些問(wèn)題而提出的，所以與明文形式的電子郵件傳遞相比擁有自己獨(dú)特的優(yōu)點(diǎn)。主要解決了傳統(tǒng)電子郵件易被竊取，保密性受損的弊端；第二，解決了傳統(tǒng)電子郵件易被篡改，破壞完整性的缺點(diǎn)；因此PGP在今后的網(wǎng)絡(luò)安全技木中將占據(jù)很重要的地位。