《电子邮件安全》PPT课件.ppt

1,电子邮件安全,2,电子邮件应用,几乎所有的分布式环境中 和主机操作系统或通信设备无关 两种广泛方法：良好隐私(Pretty Good Privacy,PGP)和S/MIME,3,PGP,归功于PhiZimmermann PGP可以在电子邮件和文件存储应用中提供保密和认证服务。PhiZimmermann所做工作： 选择了可用的、最好的算法 将算法集成到一个通用应用程序中，该应用程序独立于操作系统和处理器，只依赖于一小组易用的命令 封装成包括源代码的包和文档，可通过互联网在BBS(公告板)和商用网络上免费使用 与一家公司(Viacrypt,即Network Associates)达成协议，提供完全兼容、低成本的商用PGP版本,4,广泛使用的可能原因,世界范围内提供各种免费版本，可运行于各种平台 使用的算法经过充分的公众检验，且被认为是非常安全的算法，包括RSA DSS Diffie -Hellman等公钥加密算法，以及CAST-128 IDEA和3DES堆成加密算法以及散列编码算法SHA-1 应用范围广泛。既可被公司选择为一种标准式加密文件和消息，也可悲希望在互联网和其他网络上安全通信的个人使用 不是由任何政府或标准制定机构开发与控制的 PGP现已成为互联网标准文档RFC3156,5,符号约定,Ks=对称加密中的会话密钥 PRa=用户A的私钥 PUa=用户A的公钥 EP=公钥加密 DP=公钥解密 EC=对称加密 DC=对称解密 H=散列函数 |=串接 Z=用ZIP算法压缩 R64=转换为基-64的ASICII码格式,6,PGP实际操作与密钥管理,包括五种服务：认证、保密、压缩、电子邮件兼容性和分段 /hack/soft/200607/35246.html,7,PGP服务概述,8,认证,SHA-1和RSA的组合提供了一种有效的数字签名模式。 由于RSA的强度，接受方可以确定只有匹配私钥的拥有者才能生成签名。由于SHA-1的强度，接收方可以确信其他人都不可能生成与该散列码匹配的新消息，从而确保签名是原始消息的签名,9,仅认证,M,H,PRa,EP,|,Z,M,DP,H,比较,10,加密,为了减少加密时间，使用对称和公钥加密的组合方式。 使用公钥算法解决会话密钥的分发问题 使用一次性对称密钥加强了已经是强加密算法的加密方法 PGP公钥算法的密钥大小从7683072比特之间任选,11,仅加密,M,Z,Ks,Ec,PUb,EP,|,C,PRb,DP,DC,Z-1,M,12,保密和认证,M,H,PRa,EP,|,Z,Ks,Ec,PUb,EP,|,DP,PRb,DC,Z-1,PUa,DP,H,比较,13,保密和认证同时应用于同一消息,首先，生成签名 然后，加密经过签名的明文，RSA加密会话密钥,14,压缩,用于压缩的Z和用于解压缩的Z-1 压缩前生成签名： 可以只保存未压缩的消息和签名供未来验证时使用 压缩算法不确定。考虑速度和压缩比，产生不同的压缩格式。而在压缩之后应用散列函数和签名就必须要求PGP实现时采用同一种压缩算法。本身压缩算法可以被任一种解压缩解压 对压缩后的消息进行加密可以加强密码的安全性，压缩后冗余信息比原文少，使得密码分析更加困难,15,LZ77简单介绍,the brown fox jumped over the brown foxy jumping frog 424比特，53字节 滑动历史缓冲区：记录最后N个被处理的字符 前瞻缓冲区：包含后面L个要处理的字符,16,算法描述：,从前瞻缓冲区的第一个字符开始向前寻找在滑动历史缓冲区中出现过的长度不小于2的字符串，如果找不到，则将前瞻缓冲区中的第一个字符以9比特字符输出，将其推入滑动历史缓冲区，将滑动历史缓冲区中最老的一个字符挤出缓冲区。如果找到了，算法将继续搜索最长的重复字符串，用一个三元组（指示比特、指针、长度）替代这个重复的字符串。如果重复串的长度为K，则挤出滑动缓冲区中最老的K个字符，刚被编码的K个字符则转入该缓冲区中,17,讨论,实例 时间 指针 解压缩算法相当简单,18,电子邮件兼容性,签名和加密得到的部分或全部数据块可能由任意的8比特字节流组成。然而，许多电子邮件系统仅仅允许使用由ASCII码组成的块。为适应这个限制，PGP提供了将原始8比特二进制流转换为可打印的ASCII码字符的功能。提供这一服务的模式称为基-64转换。一组3个8比特二进制数据映射为4个ASCII码字符，同时加上CRC校验以检测传送错误。导致消息大小增加33%，而压缩本身平均压缩2.0，因此总体大约压缩1/3,19,基-64转换,3个8bit成为4个6比特，将每个6比特的对应一个ASCII值，大小扩展1.33倍,20,一般的发送流程,文件,需要签名吗,生成签名,压缩,需要保密吗,加密密钥,转换为基-64格式,21,一般的接收流程,从基-64转换,需要保密吗,解密密钥,解压缩,需要签名吗,抽出签名验证签名,22,分段和重组,电子邮件工具通常限制消息的最大长度，如50000个8比特字节，任何大于该长度的消息必须分成若干小段，单独发送。为适应这个限制，PGP自动将长消息分段，使之可以通过电子邮件发送。分段在所有其他操作之后进行（基-64转换）。接收方，PGP必须剥掉所有的电子邮件头，所有步骤之前重组整个原始数据块,23,加密密钥和密钥环,PGP使用四种类型的密钥： 一次性会话密钥，公钥，私钥，基于对称密钥的口令。这些密钥有三种需求： 1 产生不可预测的会话密钥 2 希望能允许用户有多个公钥/私钥对 3 每个PGP实体必须管理一个自己的公钥/私钥对文件和一个其他用户的公钥文件,24,会话密钥的产生,使用CAST-128产生128位的随机数，随机数生成器的输入包括一个128比特的密钥和两个64比特待加密的明文块。 不规则的算法将产生一系列不规则的会话密钥,25,密钥标识符,每个用户有多对公钥/私钥对，接受方如何知道使用哪个公钥加密会话密钥？ 方案1 如果将公钥和信息一起传递，会浪费不必要的空间；方案2 每个用户的不同公钥与唯一的ID一一对应，则只需传递较短的ID即可。但这个方案产生了管理和开销问题，密钥ID必须确定和存储，发送方和接受方都知道ID与密钥之间的映射关系,26,PGP解决方案,每个公钥分配一个密钥ID64位，密钥ID足够长，重复的可能性非常小。 PGP数字签名也需要使用密钥ID 因此，消息分成了三部分： 消息部分、签名部分、会话密钥部分,27,消息部分,实际数据、文件名、创建时间戳等,28,签名部分,时间戳：签名创建时间 消息摘要：160位SHA-1摘要，包含签名时间戳，防止重放攻击。不包含消息部分的时间戳和文件名 消息摘要的前两个8位字节：快速比较是否用对了正确的公钥解密 发送方公钥的密钥ID，标识解密所应使用的公钥，从而标识加密消息摘要的私钥,29,会话密钥部分,包括会话密钥和发送方加密会话密钥时所用的接受方公钥的标识。整个块通常使用基64编码,30,密钥环,任何PGP消息包含两个密钥ID可以提供保密性和认证功能。必须采用有效且系统的方式存储，组织，以供各方使用。每一对公钥/私钥存储结构信息： 时间戳：密钥对生成日期时间 密钥ID：公钥的低64位 公钥：密钥对的公钥部分 私钥ID：密钥对的私钥部分，此部分加密，需要使用口令才能访问。用户ID：电子邮件地址 等标识,31,私钥存储,私钥并不直接存储在私钥环中，而是加密后存储,口令,H,RSA产生私钥,cast-128,E,密钥环的私钥,32,公钥环,时间戳 密钥ID 公钥 用户ID 使用用户ID和密钥ID进行索引,33,发送方过程（省压缩和基64转换）,签名： A使用IDa选择私钥，然后用口令经过一系列解密，得到用来签名的私钥 用私钥签名+密钥ID+消息M构成传送的签名消息 加密： 使用IDb选择加密会话密钥的公钥，使用会话密钥加密签名后的消息，然后用公钥加密会话密钥，连接所有信息，传输,34,接收方过程,解密： 根据收到的密钥ID，在私钥环找到私钥位置，使用口令一系列还原，得到私钥，解密会话密钥，用会话密钥解密签名的消息 验证： 发送者的密钥ID，在公钥环中找到公钥，解密摘要信息，和散列结果进行比较,35,公钥管理,实际的应用中，防止公钥篡改是最困难的问题之一，有许多公钥密码体制和软件的复杂性都是为了解决这一问题而引入的 PGP可用于许多正式和非正式环境，并没有严格的公钥管理模式,36,公钥管理的方法,A从公告系统 获得B的公钥，但实际上这个公钥是C伪造的，将存在两种威胁： 1 C向A发送消息并伪造B的签名，A以为消息来自于B 2 任何A发往B的消息，实际被C看到 许多方法可以减少公钥环中包含错误的可能性。可用的方法包括：,37,1 通过物理途径获得B的公钥 2 利用电话验证密钥 3 从共同信任的D处获得B的公钥。介绍人D为此创建签名证书。证书包括B的公钥、密钥创建时间、并用D的私钥加密，签名证书可由B或D发往A,或公布 4 从信任机构获取B的公钥。认证机构签名。A可以向认证机构提供用户名 并接收签名证书。 3，4方案关键取决于A对第三方的信任,38,信任的应用,密钥合法性域：表示A用户信任该用户公钥正确性，信任级别越高，用户ID与密钥间的绑定关系越强； 签名信任域：用户信任该签名的程度 所有者信任域：包含对本公钥签名的其他公钥证书的信任程度，此信任级别由用户设置 三个域个包含一个信任标志字节。,39,信任标志字节的内容,赋给公钥/用户ID的信任值（用户ID后，PGP计算） 赋给公钥所有者的信任值（用户定义） 赋给签名的信任值,40,公钥证书信任等级应用,1 A向公钥环中插入一个新公钥，PGP为公钥所有者设置一个信任标识。必须键入相应的信任级别。不知道、不可信、基本可信、完全可信，如果所有者就是A，则置为终极信任。 2新公钥进入环后，必须与一个或多个签名相联系。插入一个签名时，PGP将搜索公钥环，看该签名的作者是否是已知 的所有者。,41,3 根据表项中签名信任域计算密钥合法性域。如果至少一个签名的签名信任为终极信任，则密钥合法性为完全信任，否则，PGP计算加权的信任值。当第三方的密钥/用户ID组合的权值达到1，则认定该绑定值可信任，并将密钥合法性置为完全信任。 4 PGP周期性的处理公钥环获得一致性,42,PGP信任模型实例,43,3 撤销公钥,需要所有者签发一个密钥撤销证书,44,S/MIME,S/MIME是基于RSA数据安全性，对互联网电子邮件格式标准MIME的安全性增强。 S/MIME侧重于适合商业和团体使用的工业标准，而PGP则仍然维持为多个用户提供基于个人电子邮件的安全性。 首先，对电子邮件格式MIME有个总体了解，先要对传统电子邮件格式RFC822了解,45,RFC822,电子邮件标准格式。报头和无限制的文本。消息是ASCII码文本，报头和内容用一个空行隔开 除了由一个Internet用户传递给另一个用户的信息之外，电子邮件中还必须包含附加的服务信息。SMTP服务器利用这些信息来传递邮件，而客户端的邮件接收软件则利用这些信息来对邮件进行分类。 每封邮件都有两个部分：信头和主体。 信头部分的字段可分为两类。一类是由你的电子邮件程序产生的，另一类是邮件通过SMTP服务器时被加上的。,46,SMTP/822模式的一些局限性,不能传输二进制对象 不能传递国际语言字符的文本 SMTP服务器拒绝超过一定大小的邮件 SMTP网关在ACSCII码和EBDCDID码之间转换时没有使用一致的映射 不能处理非文本数据 一些实现与RFC821定义的标准不一致,47,多用途网际邮件扩展MIME,MIME的英文全称是“Multipurpose Internet Mail Extensions“ 多功能Internet 邮件扩充服务，它是一种多用途网际邮件扩充协议，在1992年最早应用于电子邮件系统，但后来也应用到浏览器。服务器会将它们发送的多媒体数据的类型告诉浏览器，而通知手段就是说明该多媒体数据的MIME类型，从而让浏览器知道接收到的信息哪些是MP3文件，哪些是Shockwave文件等等。服务器将MIME标志符放入传送的数据中来告诉浏览器使用哪种插件读取相关文件。,48,MIME概述,定义5个新报头域 定义若干内容格式，从而标准化支持多媒体电子邮件的表示 定义编码转换方式，使任何内容格式都可以转换为免受邮件系统更改影响的模式,49,MIME5个报头域,MIME版本：参数必须1.0,表明该消息符合RFC2045和2046 内容类型：详细描述正文中包含的数据，使得用户代理可以选择合适机制正确处理数据 内容传输编码：将消息内容转换为可传输类型的转换方式 内容ID：多个上下文中唯一标识MIME实体的标识 内容描述：正文对象的文本描述，该对象不可读时使用（如音频数据）,50,MIME内容类型,RFC2046中说明主要有7种不同类型的内容和15种子类型，内容类型描述数据的通用类型，子类型描述数据的特殊格式 Text 文本类型 Multipart 正文包含多个互相的独立的部分 Message表明消息完整/可分 Image Video Audio Application其他类型的数据，如二进制可执行,51,MIME转换编码,在庞大的网络环境中提供可靠的递送方式 7bit 8bit 二进制 Quoted-printable:大于7FH用= Base 64 X-token,52,S/MIME的功能,封装数据：加密内容和加密内容的一个或多个密钥组成 签名数据：数字摘要经过签名者的私钥加密得到。然后base64重新编码。经过签名的数据消息只能被具有S/MIME能力的接收方处理 透明签名数据 签名并封装数据,53,加密算法,创建用于签名的消息摘要、加密消息摘要形成数字签名，发送消息加密会话密钥、一次性会话密钥加密消息，创建消息认证码,54,S/MIME消息,S/MIME使用许多新的MIME内容类型。PKCS是RSA实验室发布的一组公钥加密规范，在S/MIME上的努力使之变得可用 Mulipart :signed一部分是消息，另一部分是签名 Application：signedData 签名的S/MIME实体； envelopedData 加密的S/MIME实体 ；退化的signedData 仅包含公钥证书的实体；CompressedData压缩的S/MIME实体,55,保护MIME实体,S/MIME使用签名、加密或同时使用二者来保护MIME实体 MIME实体将按照MIME消息准备规则进行准备工作，然后将MIME实体和一些与安全相关的数据一起用S/MIME处理，得到PKCS对象。总之，需要把发送的消息转换为规范的格式,56,envelopedData实体的步骤,1 为特定对称加密算法生成伪随机的会话密钥 2 用每个接受方的RSA公钥分别加密会话密钥 3 为每个接收方准备一个接收方信息块，包括接受方的乖哦更要证书ID，加密会话密钥的算法标识和加密后的会话密钥 4 用会话密钥加密消息内容,57,signedData,选择消息摘要算法SHA或MD5 计算待签名内容的摘要或散列函数 用签名者的私钥加密数字摘要 准备一个签名者信息块，包含签名者公钥证书、消息摘要算法的标识符、加密消息摘要的算法和加密的消息摘要,58,透明签名,content-type:multipart/signed,5