◆何俊輝
(解放軍信息工程大學 河南 450000)
電子郵件加密技術(shù)的分析
◆何俊輝
(解放軍信息工程大學 河南 450000)
隨著電子郵件的不斷發(fā)展,在其自身價值不斷增加的同時,安全問題也日益突出,部分電子郵件甚至關(guān)系到國家的機密信息,一旦泄密后果不堪設(shè)想。因此對電子郵件進行加密處理尤為重要。
電子郵件;泄密;加密技術(shù)
釣魚軟件、病毒木馬等不安全因素的存在,使電子郵件成為泄密新渠道,一些個人和企事業(yè)單位因電子郵件的泄露而造成重大損失的案例不計其數(shù)。由于使用個人郵箱處理大量的公務(wù)郵件,美國現(xiàn)任國務(wù)卿希拉里的郵件風波直到現(xiàn)在仍沒有平息,這些郵件中不乏機密文件。由此可見,電子郵件已成為現(xiàn)階段企業(yè)甚至是黨和政府機密泄密的主要途徑,其安全防護勢在必行。由于對電子郵件使用的越來越頻繁,人們對其有效的保護措施日益重視。使用密碼技術(shù)對郵件加密,從而只允許指定的合法用戶獲取發(fā)件人的郵件信息,是對電子郵件保護的核心。
目前電子郵件系統(tǒng)主要存在的安全問題有以下幾種:
(1)如果電子郵件在傳輸?shù)恼麄€過程中沒有任何加密處理,那么攻擊者就可以輕易地在這個公開傳輸?shù)倪^程中竊取用戶郵件的重要信息;
(2)在沒有安全防護的網(wǎng)絡(luò)中,攻擊者可以輕易利用用戶的郵件地址發(fā)送非法郵件;
(3)若用戶的電子郵件沒有經(jīng)過任何加密處理錯發(fā)給其他用戶,則收到該郵件的用戶可能會利用此郵件中的信息從事非法網(wǎng)上活動;
(4)發(fā)件人對自己發(fā)送過某一郵件的行為進行抵賴。
2.1 對稱加密技術(shù)
對稱加密算法在加密和解密時使用相同的密鑰,要求通信的雙方在通信前擁有相同的密鑰。在這種算法中,發(fā)方在發(fā)送消息時可以不具有脫密的能力,只需對明文進行加密,將其變?yōu)槊芪暮蟀l(fā)送至收方,此時若收方想獲得明文信息,必須使用雙方在通信前獲得的脫密密鑰對密文進行脫密。目前該算法的應(yīng)用比較廣泛,但也存在以下不足:
(1)若雙方使用的相同的密鑰被竊取,那么擁有該密鑰的第三方都能夠輕易破譯消息;
(2)在這種密碼體制下要求通信的雙方使用任何第三方都不知道的唯一密鑰,因此在大型通信網(wǎng)絡(luò)中,通信前的密鑰分配問題就成為了一個突出的問題,其代價非常大。
2.2 PKI/CA加密技術(shù)
PKI/CA主要由三部分構(gòu)成:用戶、注冊機構(gòu)和證書頒發(fā)機構(gòu)。PKI是指公鑰基礎(chǔ)設(shè)施,它通過公鑰密碼體制中用戶私鑰的機密性來提供用戶身的唯一驗證。CA是指證書頒發(fā)機構(gòu),也稱認證中心,它使網(wǎng)絡(luò)信任的多種問題得到了解決。PKI/CA的工作原理如圖1所示。
圖1 PKI/CA的工作原理
如圖,注冊機構(gòu)的主要功能是對主體注冊證書時的用戶的身份進行審查,審查后將申請者的信息傳送至CA,并由CA來完成制證處理。此外,證書的更新、撤銷等任務(wù)也由注冊機構(gòu)上傳至CA來處理。CA會將數(shù)字證書發(fā)放給該體系中的合法用戶,表示用戶身份的合法性,可見,CA可視為這個體系中的一個可信第三方。因此能夠快速判別用戶身份合法性的方法就是:檢查雙方的數(shù)字證書。
PKI/CA技術(shù)能夠?qū)υ诰W(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行加解密操作以及簽名和驗證,能夠確保郵件在傳輸過程中不被更改且發(fā)方無法抵賴自己發(fā)出的信息,并通過核實數(shù)字證書來確保通信雙方身份的合法性。
目前該體系加密技術(shù)經(jīng)過發(fā)展已比較成熟,但將其應(yīng)用在電子郵件加密中時仍存在一些不足然,如:
(1)密鑰管理不方便;
(2)復(fù)雜繁瑣的密鑰交換工作,是該密碼體系運行的前提;
(3)CA證書獲得比較麻煩,該技術(shù)的普及有一定的難度。
由此可見,PKI/CA加密技術(shù)更適合于高級電子商務(wù)和高級用戶。
2.3 鏈式加密技術(shù)
鏈式加密技術(shù)是一種將對稱和非對稱密鑰算法結(jié)合使用的巧妙的郵件加密技術(shù)。在鏈式加密技術(shù)中,發(fā)方A加密時選擇一個會話密鑰,結(jié)合一個對稱加密算法對明文進行第一次加密,隨后用RSA(非對稱算法)對第一次加密得到的密文再次加密。脫密時,收方B先用RSA算法將會話密鑰脫密,然后用對應(yīng)的對稱算法再次脫密,最終完成解密。其工作方式見圖2。
圖2 鏈式加密技術(shù)工作原理
鏈式加密技術(shù)綜合了RSA算法和對稱密碼體制各自的優(yōu)點。此外,公鑰交換由信任機制完成,因此自己管理密鑰的用戶的郵件是安全的。目前使用鏈式加密技術(shù)的軟件主要有PGP。
2.4 基于身份的密碼加密技術(shù)
上世紀八十年代,基于身份的密碼思想被Adi Shamir提出,簡化了傳統(tǒng)公鑰密碼中公鑰的管理問題?;谏矸莸募用埽↖BE)是一種公鑰使用用戶的身份信息得到,而非直接從公鑰證書中獲得的新型公鑰加密體制。其工作原理可通過收發(fā)雙方的通信來體現(xiàn):發(fā)方A利用收方B的身份信息作為公鑰,加密消息并傳送至收方B,隨后收方B向可信中心C進行認證并申請私鑰,可信中心C在核實發(fā)方A的合法性后生成用戶私鑰并將其回傳給收方B,最終收方B使用此私鑰脫密。
由于簡化了公鑰的管理,無需公鑰證書及其一系列的相關(guān)操作,因此IBE技術(shù)在被提出后就成為了密碼學研究中的熱點。賽曼郵件天使系統(tǒng)是目前使用該密碼技術(shù)的典型產(chǎn)品。值得注意的是,在此體系中服務(wù)器的安全性至關(guān)重要,因為在服務(wù)器端托管有用戶的所有密鑰。
綜合文中分析的四種加密技術(shù)的特點,得到它們的優(yōu)缺點比較表格,見表1。在實際應(yīng)用中,應(yīng)針對它們各自的特點選用合適的加密技術(shù)。
表1 電子郵件加密技術(shù)比較表
當前的郵件系統(tǒng)面臨著泄密的嚴峻形勢,部分電子郵件甚至關(guān)系到國家的機密信息,一旦泄密后果不堪設(shè)想,因此對于電子郵件加密的研究需要不斷深入地探討。通過以上分析,可見目前常用的四種加密技術(shù)各有所長,作為開發(fā)者,應(yīng)選擇最為合適的加密技術(shù),兼顧電子郵件的安全保證和加密速度,以保證用戶在電子郵件的使用中的安全性和便利性。
[1]金晨輝,鄭浩然,張少武.等.密碼學(第一版) [M].北京:高等教育出版社,2009.
[2]羅萱.PKI技術(shù)的基本原理及常規(guī)應(yīng)用[J].電腦知識與技術(shù),2014.
[3]徐志大,南相浩.認證中心CA理論與開發(fā)技術(shù)[J].計算機工程與應(yīng)用,2000.
[4]丁麗,孫高峰.基于PGP的安全電子郵件應(yīng)用研究[J].鄂州大學學報,2013.
[5]Shamir A.Identity-based cryptosystems and signatur-esc hemes[C]//Advancesincryptology-crypto`84.[s.l.]:Springer-Verla g,1984.
[6]曾兵,楊宇,曹云飛.基于身份加密(IBE)技術(shù)研究[J].信息安全與通信保密,2011.