Foxmail安全電子郵件白皮書(shū)博大國(guó)際互聯(lián)網(wǎng)索引：第1章 為什么需要安全電子郵件？...2電子郵件的安全問(wèn)題...2安全電子郵件的作用...4第2章 實(shí)現(xiàn)電子郵件安全的核心技術(shù)...6第3章 應(yīng)用實(shí)例...9數(shù)字證書(shū)的申請(qǐng)...9Foxmail發(fā)送安全電子郵件...11FoxmailServerWeb151章為什么需要安全電子郵件？電子郵件的安全問(wèn)題常見(jiàn)的面對(duì)面的直接交談。人們?nèi)粘Ｉ詈蜕虅?wù)工作離不開(kāi)這些溝通方式。在溝通過(guò)程中，對(duì)溝通的對(duì)象必需有某種程度的識(shí)別——你必需清楚你是在和老板還是和同學(xué)在說(shuō)話。傳統(tǒng)的全，避開(kāi)消滅冒名頂替或者偷梁換柱的狀況。觸，很難去判別一個(gè)人的實(shí)際身份，聽(tīng)不到對(duì)方在說(shuō)話、看不到對(duì)方的動(dòng)作。這些障礙實(shí)際上也為網(wǎng)上交易和商務(wù)活動(dòng)帶來(lái)了很大的難度。實(shí)際上，在網(wǎng)上很多商務(wù)欺詐所牽涉的金額很大，但詐騙的過(guò)程卻很隱蔽，如何界定各種行為的合法性、如何保證網(wǎng)上溝通的安全，法律上始終沒(méi)有完善的規(guī)定。E-mail只會(huì)給收到的人所閱讀——但是全部的這些會(huì)被“隱私”網(wǎng)站簡(jiǎn)潔的一個(gè)點(diǎn)擊所擊碎。頃刻之間，你會(huì)看到你的IP地址、電腦主機(jī)名稱和你從哪個(gè)頁(yè)面訪問(wèn)的信息。假設(shè)你興趣，另外的幾個(gè)點(diǎn)擊將會(huì)分析其他的信息。這個(gè)頁(yè)面暴露了你的電腦配置，掃瞄器類型和操作系統(tǒng)，是否允許JavaScript，插件是否安裝，甚至你的顯示器的具體設(shè)置。E-mail是否是一件難事呢？大多數(shù)人們不知道，EmailInternet上傳輸，從一個(gè)機(jī)器傳輸?shù)搅硪粋€(gè)機(jī)器。在這種方式下，在電子郵件所經(jīng)過(guò)網(wǎng)路上的任一系統(tǒng)治理員或黑客都有可能截獲和更改該郵件，甚至偽造E-mailE-mail是很安全的。E-mailCertifiedMailMaheshMuchhall說(shuō)?！癊-mail那是人們沒(méi)有留意到的。”性是以郵件經(jīng)過(guò)的網(wǎng)絡(luò)系統(tǒng)的安全性和治理人員的誠(chéng)懇、對(duì)信息的漠不關(guān)心為根底的。3個(gè)廣泛的主題：假冒、竊聽(tīng)和系統(tǒng)完整性，它們之間是相互關(guān)聯(lián)的。假冒電子郵件就不知道害了多少人。SMTP不供給任何驗(yàn)證，所以很簡(jiǎn)潔偽造電子郵件，只要給SMTP效勞器供給適宜的信封信息，并使用想要的數(shù)據(jù)產(chǎn)生有關(guān)的信件即可。嚴(yán)峻的問(wèn)題。假定密碼不再以明文傳送，這并不意味著問(wèn)題就解決了，另外還有兩個(gè)問(wèn)題需要解決。第一個(gè)問(wèn)題是黑客仍可Internet上是相當(dāng)常見(jiàn)的。保護(hù)在網(wǎng)絡(luò)上發(fā)送的密碼并不肯定能防止字典式攻擊，由于黑客仍可能正確地試出密碼。至少使用字典式攻擊不能覺(jué)察的密碼是有幫助的，但大多數(shù)用戶并不擅長(zhǎng)這樣做。即使他們這樣做了，仍有對(duì)密碼的蠻力組合攻擊的問(wèn)行的，一次性的密碼也能供給保護(hù)。密碼不再以明文發(fā)送的其次個(gè)問(wèn)題是中間人〔maninmiddloe〕攻擊，這涉及一個(gè)人或程序插入在通信的雙方驗(yàn)證機(jī)制都或多或少的易于受這種類型的攻擊。假設(shè)不想讓別人冒充你的名義發(fā)送郵件，數(shù)字驗(yàn)證技術(shù)不失為一個(gè)好方法。系統(tǒng)完整性33個(gè)特征是，它們需要是可用的，需要是可信任的，有時(shí)候需要是私有的。為了供給這些功能，通信通道和實(shí)現(xiàn)它們的系統(tǒng)必需具有完整性。而缺省狀況下，SMTP、POP和信件的核心協(xié)議定義沒(méi)有供給傳送的數(shù)據(jù)的完整性指示，驗(yàn)證數(shù)據(jù)的完整性需要一些額外的方法。竊聽(tīng)另外一種問(wèn)題是面臨被竊聽(tīng)的威逼。由于電子郵件通常在網(wǎng)絡(luò)上傳送，所以它們很簡(jiǎn)潔成為竊聽(tīng)的目標(biāo)。依據(jù)網(wǎng)絡(luò)環(huán)境的不同，進(jìn)展竊聽(tīng)是很簡(jiǎn)潔snooping或sniffing，且以明文傳送的任何數(shù)據(jù)都是它的目標(biāo)。竊聽(tīng)可分為兩種竊聽(tīng)方式：一種是局域網(wǎng)內(nèi)的竊聽(tīng)，通常使用嗅探器對(duì)局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)進(jìn)展竊聽(tīng)，例如POP3協(xié)議通常都是明文傳輸，所以很簡(jiǎn)潔就被嗅探器嗅探到郵箱密碼。另外一種竊聽(tīng)就是來(lái)自信箱內(nèi)部的竊信箱的流量了，由于當(dāng)他想讓你收郵件的時(shí)候就轉(zhuǎn)發(fā)給你，不想讓你收就取消轉(zhuǎn)發(fā)，這種方法相當(dāng)隱蔽。效，這樣即使黑客竊聽(tīng)，攻擊者面對(duì)加密信息也無(wú)計(jì)可施。PGP加密的功能，解決了被竊聽(tīng)的問(wèn)題，實(shí)現(xiàn)了安全電子郵件的局部要求，但對(duì)于Webmail這是件很麻煩的事，必需首先經(jīng)過(guò)加密系統(tǒng)的培訓(xùn)。更好的消息是，F(xiàn)oxmailServer和Foxmail客戶端在版本中將全面供給對(duì)S/MIME的支持，擁有了很便利的3方面問(wèn)題的困擾，從而實(shí)現(xiàn)安全電子郵件的功能。安全電子郵件的作用由于越來(lái)越多的人通過(guò)電子郵件進(jìn)展重要的商務(wù)活動(dòng)和發(fā)送機(jī)密信息，因此保證郵件的真實(shí)性〔即不被他人偽造〕和不被其他人截取和偷閱也變得日趨重要。所以，對(duì)于包含敏感信息的郵件，你可以使用Foxmail的安全電子郵件功能。Foxmail安全電子郵件需要先獲得數(shù)字標(biāo)識(shí)〔數(shù)字證書(shū)，即安全電子郵件證書(shū)〕，所謂數(shù)字標(biāo)識(shí)是指由獨(dú)Internet上身份的證件，是你在因特網(wǎng)上的身份證，是用戶收發(fā)電子郵件時(shí)承受證書(shū)機(jī)制保證安全所必需具備的證書(shū)。數(shù)字證書(shū)應(yīng)當(dāng)集成加密與簽名的雙重安全措施，以確保電子郵件的的真實(shí)性和保密性。對(duì)于企業(yè)內(nèi)部的郵件用戶，可以由治理員統(tǒng)一發(fā)放和治理證書(shū)，就無(wú)需到Internet上申請(qǐng)了。Internet上的用Foxmail郵件客戶端軟件便利的申請(qǐng)到博大公司供給的個(gè)人安全電子郵件證書(shū)。的鑰匙“加密”的郵件，別人只能用他自己的鎖來(lái)解密。簽名可使收件人確信郵件是你發(fā)送的，并且未被偽造或篡改。因此，安全電子郵件的作用可以總結(jié)如下：防假冒——通過(guò)數(shù)字簽名進(jìn)展身份認(rèn)證在Internet上傳遞電子郵件的雙方相互不能見(jiàn)面，所以必要時(shí)必需有方法確定對(duì)方的身份。利用發(fā)件人數(shù)字證書(shū)在傳送前對(duì)電子郵件進(jìn)展數(shù)字簽名即可確定發(fā)件人身份，而不是他人冒充的。〔私鑰〕，獲得了數(shù)字標(biāo)識(shí)，可以實(shí)現(xiàn)向別人發(fā)送“數(shù)字簽名”的郵件，別人就可以推斷相關(guān)郵件確實(shí)是你發(fā)送的。保密性——只有收件人才能解密查看〔公鑰〕，向別人發(fā)送“加密”郵件，相關(guān)收件人必需使用他自己的證書(shū)〔私鑰〕才能解密查看。完整性——保證郵件沒(méi)有被中途篡改能被人在傳輸過(guò)程中修改。由于使用了證書(shū)進(jìn)展驗(yàn)證，假設(shè)郵件內(nèi)容被黑客中途篡改，驗(yàn)證將會(huì)覺(jué)察。不行否認(rèn)性數(shù)字簽名，發(fā)件人就無(wú)法否認(rèn)發(fā)送過(guò)這個(gè)電子郵件。2章實(shí)現(xiàn)電子郵件安全的核心技術(shù)最早版本的電子郵件供給很少或者不供給安全功能。Internet一開(kāi)頭是用于爭(zhēng)論人員爭(zhēng)論機(jī)器之間通信的環(huán)境，一開(kāi)頭的重點(diǎn)是使一組不同的機(jī)器能夠相互通信。要。InternetInternet標(biāo)準(zhǔn)委員會(huì)的重點(diǎn)。事實(shí)上，一個(gè)重要的中心是在Internet協(xié)議增加高級(jí)的安全特性〔特別是核心協(xié)議〕。1997IABInternet設(shè)計(jì)一個(gè)安全體系構(gòu)造，至少是了解internet3個(gè)使用安全組件的方面需要得到最大的改善，其中就包括保密電子郵件〔2個(gè)是對(duì)象安全和路由安全〕。Internet上最普遍的效勞，甚至最保守的防的任何弱點(diǎn)。理解根底安全問(wèn)題的終端用戶使用。似，衍生出的數(shù)字證書(shū)，和身份證件的作用也是類似的。4種算法：偽隨機(jī)數(shù)產(chǎn)生器、密碼散列函數(shù)、對(duì)稱加密和非對(duì)稱加密。這些算法以某種形式組合起來(lái)，產(chǎn)生另外兩個(gè)核心安全技術(shù)：數(shù)字簽名和信件驗(yàn)證代碼。S/MIME，實(shí)現(xiàn)了安全電子郵件功能。關(guān)于非對(duì)稱加密對(duì)稱加密使用一樣的密鑰加密和解密數(shù)據(jù)，它的主要困難是密鑰必需在保密通信涉及的兩方之間傳遞。1976午，WhitfieldDiffieMartinHellman制造了一個(gè)叫做非對(duì)稱〔asymmetric〕或公共密鑰〔Public-key〕加密方法，作為對(duì)稱加密的替換。RSAABAB才能解密；同樣用密鑰BA才能解密。為了應(yīng)用，密鑰的仆人要把這對(duì)密鑰中的一條〔密A〕公開(kāi)出去，交給其他人，而把另一條〔B〕留給自己保存。習(xí)慣上把公開(kāi)出去的密鑰叫做公鑰，而留給自己保存的密鑰叫做私鑰。PGP使用的所謂的信任網(wǎng)，另一個(gè)是中心資格授權(quán)機(jī)構(gòu)〔如被授權(quán)簽發(fā)數(shù)字證書(shū)的商業(yè)公司〕在審核身份后發(fā)放。信任是這兩個(gè)技術(shù)的核心。以中心資格授權(quán)機(jī)構(gòu)為例，為了證明公鑰A確實(shí)是屬于密鑰持有者的，它充當(dāng)值得信任而且獨(dú)立的第三方機(jī)構(gòu)充當(dāng)認(rèn)證中心〔CA〕，AA之前應(yīng)當(dāng)去認(rèn)證中心申請(qǐng)自己的證書(shū)。認(rèn)證中心在鑒定該人的真實(shí)身份后，就會(huì)頒發(fā)包含用戶公鑰A的數(shù)字證書(shū)。其他用戶只要能驗(yàn)證證書(shū)是真實(shí)的，并且信任頒發(fā)證書(shū)的認(rèn)證中心，就可以確認(rèn)用戶的公鑰。構(gòu)造證書(shū)的最常見(jiàn)格式是X.509v3，由ITU公布。X.509v3證書(shū)含有以下信息。·版本·序列號(hào)·簽名算法·發(fā)出者姓名·合法性期限·主題名稱·主題公共密鑰數(shù)據(jù)·發(fā)出者唯一標(biāo)識(shí)符·主題唯一標(biāo)識(shí)符·擴(kuò)展最終供給的信息是證書(shū)的數(shù)字簽名，由發(fā)出者創(chuàng)立。RSARonaldL.RivestAdiShamir和LeonardAdleman1997年制造的，已經(jīng)成為正在使用的最流行的公共密鑰加密算法。關(guān)于S/MIMES/MIME協(xié)議全稱“安全的多功能互聯(lián)網(wǎng)郵件擴(kuò)展”〔Secure/MultipurposeInternetMailExtensions〕，是通RFCl847MIME中打包安全效勞的另一個(gè)技術(shù)。它供給驗(yàn)證、信件完整性、數(shù)字簽名和加密。S/MIMERSAPKCS(Public-keyCryptographyStandard，公共密鑰加密標(biāo)準(zhǔn))。這是一組用于RSA加密、Diffie-Hellman密鑰交換和傳統(tǒng)加密的標(biāo)準(zhǔn)，以及證書(shū)、密碼信件、私有密RFCS/MIMEPKCS標(biāo)準(zhǔn)的文本?！FC2313(PKCS#l：RSA加密版本1.5) 。·RFC2314(PKCS#l01.5)·RFC2315(PKCS#71.5)·RFC2437(PKCS#l：RSA2.0)2RFC2311RFC2312RSA密鑰交換算法，這個(gè)算法在美國(guó)有專利，RFC是信息文件，而不是標(biāo)準(zhǔn)或建議的標(biāo)準(zhǔn)。S/MIME使用X.509標(biāo)準(zhǔn)的樹(shù)狀認(rèn)證構(gòu)造，這個(gè)標(biāo)準(zhǔn)得到了MicrosoftNetscape等大多數(shù)商業(yè)公司的支持。S／MIMEOpenPGP〔另外一種安全協(xié)議〕IT經(jīng)理們對(duì)S/MIME更感興趣的，正漸漸成為事實(shí)上的安全郵件標(biāo)準(zhǔn)。Foxmail安全電子郵件也是以S/MIME為安全標(biāo)準(zhǔn)的。S/MIME保證郵件的安全，首先要保證郵件不被無(wú)關(guān)的人竊取或更改，同時(shí)接收者也必需能確定該郵件是由合〔有密鑰僅對(duì)該用戶可用，從來(lái)不在網(wǎng)絡(luò)上傳輸〕，將另一把鑰匙公開(kāi)，這把鑰匙稱為公鑰。而這些鎖也只能用這把私人鑰匙翻開(kāi)?，F(xiàn)在這個(gè)人將這些鎖分發(fā)給了很多人，這些鎖就是所謂的公鑰。稱為數(shù)字簽名和核實(shí)。件中數(shù)字簽名所用的私人鑰匙確實(shí)是某人擁有的，只有那個(gè)人才能夠用這樣的私人鑰匙進(jìn)展數(shù)字簽名。發(fā)送者用接收方的公鑰加密 接收方用自己的私鑰解密文信息。用了特定的鎖鎖上了信息，只有那把私人鑰匙才能翻開(kāi)——這就實(shí)現(xiàn)了安全加密。3章應(yīng)用實(shí)例數(shù)字證書(shū)的申請(qǐng)我們從證書(shū)的申請(qǐng)開(kāi)頭講解安全電子郵件的應(yīng)用?！裁堋秤蓲呙槠鳟a(chǎn)生和治理。安全電子郵件證書(shū)中包含證書(shū)持有者的電子郵件地址、“公用密鑰”、“私人密鑰”、“數(shù)字簽名”等局部組成。CAIE掃瞄器〔4.0版以上〕Foxmail客戶端中的相關(guān)菜單項(xiàng)進(jìn)入個(gè)人數(shù)字證書(shū)效勞的頁(yè)面。頁(yè)面如以下圖所示：數(shù)字證書(shū)申請(qǐng)流程很簡(jiǎn)潔：IE中〔4.0版以上〕查看證書(shū)——你不需要做任何設(shè)置，這不是必需步驟。在InternetExplorer的菜單上，單擊“工具”菜單中的Internet選項(xiàng)，選取“內(nèi)容”選項(xiàng)卡，然后點(diǎn)擊“證書(shū)”以查看當(dāng)前證書(shū)的列表：E-mail地址等信息，如以下圖所示：CA中心那里獲得自己的個(gè)人證書(shū)。Foxmail安全電子郵件可以在版Foxmail、OutlookExpress4.0FoxmailServerWebmail上實(shí)現(xiàn)。下面我們將分別對(duì)FoxmailWebmail下的應(yīng)用進(jìn)展說(shuō)明。使用Foxmail發(fā)送安全電子郵件在Foxmail中為郵件帳號(hào)設(shè)置自己的數(shù)字證書(shū)假設(shè)用戶是只有申請(qǐng)一個(gè)證書(shū)，那么用戶不需要再做任何設(shè)置了，F(xiàn)oxmailIE中自動(dòng)獲得。Foxmail主菜單“帳號(hào)屬性”——“安全”處選擇自己的默認(rèn)證書(shū)。安全電子郵件的功能設(shè)置在Foxmail主窗口〔不是寫(xiě)郵件的窗口〕中“選項(xiàng)”——“系統(tǒng)設(shè)置”——“安全”里有一些設(shè)置選項(xiàng)。一般默認(rèn)設(shè)置就可以了。頁(yè)面如以下圖所示：發(fā)送安全電子郵件〔私鑰〕簽名，按下“加密”表示此郵件將使用收件人的證書(shū)〔公鑰〕加密。三方有可能看到其中的內(nèi)容。Foxmail默認(rèn)狀況下當(dāng)在郵件添加數(shù)字簽名時(shí)，就在郵件中參加了數(shù)字簽名和公的私人密鑰來(lái)對(duì)郵件進(jìn)展解密才能閱讀。為了發(fā)送簽名郵件，你必需有自己的數(shù)字證書(shū)。為了加密郵件，你必需有收信人的數(shù)字證書(shū)〔對(duì)方的公鑰〕。則，發(fā)送郵件時(shí)將會(huì)彈出找不到對(duì)方證書(shū)信息的提示，如以下圖所示：假設(shè)按“取消”，郵件就不能夠被加密，點(diǎn)擊“確定”，彈出查找證書(shū)的窗口：CA證書(shū)效勞器的地址〔在左上角的下拉列表中選取〕，成功到找到了對(duì)方的證書(shū)，可以郵件。CA證書(shū)效勞器，點(diǎn)擊“建”，彈出窗口如以下圖所示：CA效勞器即可。另外在發(fā)送加密郵件之前，事先我們也可以在地址簿中關(guān)聯(lián)別人的證書(shū)。在Foxmail主窗口按“Ctrl+K”進(jìn)入地址簿，選中“工具”——“LDAP帳號(hào)”，設(shè)置LDAP帳號(hào)〔同上圖〕。假設(shè)已經(jīng)設(shè)好了證書(shū)效勞器，就可Ctrl+FLdap效勞器，查找其它人證