数据安全2005--电子邮件安全.ppt

1,数据安全 - 电子邮件安全,主讲人：翟健宏 Email: 办公室:新技术楼509 Tel2,1 电子邮件安全简介 2 PGP 3 S/MIME,3,1 电子邮件安全简介,1.1 引言 E-mail 是Internet上最大的应用,也是唯一的广泛跨平台、跨体系结构的分布式应用。 安全的电子邮件主要是解决身份鉴别和保密性的安全问题。 涉及到的问题： 安全算法的选择 系统邮件的信息格式 如何实现认证和信任管理 邮件服务器的可靠性 应用实际例子：PGP、S/MIME、PEM、MOSS PGP - Pretty Good Privacy 作者：Phil Zimmermann 提供可用于电子邮件和文件存储应用的保密与鉴别服务。 S/MIME - Secure/Multipurpose Internet Mail Extension),MIME对象安全服务（MIME Object Security Services）,保密性增强邮件标准（PrivacyEnhanced Mail）,4,1.2 互联网上电子邮件传递简图,用户代理: UNIX MH, Berkeley Mail, Elm和Mush 报文传输代理(MTA):UNIX sendmail RFC 821定义了SMTP协议。 RFC 822定义了在两个MTA之间采用RFC821标准传输的函件报文格式,5,1.3 电子邮件的收发方式,使用Browser来收发电子邮件 在Communicator 中以Messenger来收发邮件 在IE中使用outlook express来收发 Web Mail:直接使用Web服务器提供的服务 M M,6,1.4 安全的算法,算法的安全 没有一种算法能够保证绝对的安全和不可破译。许多事实使密码人员相信现在使用的最安全的算法是非常安全的。 交互操作性 收发邮件的双方最好都使用同一种算法。如果双方使用不同的算法会带来交互操作性的问题，这会大大限制E-mail的的应用。,7,1.5 系统的邮件信息格式,ASCII 文本 最初的Internet E-mail的内容只包括明文 . Multipurpose Internet Mail Extensions (MIME) 有了MIME标准后，就允许E-mail信息被分成多个部分和结构，并在E-mail中携带各个部分的类型信息，也开始可以携带非明文数据。最经常使用的就是携带各种附加文档，MIME允许携带国际字符集、HTML、音频、语音邮件、图象、多媒体等。,8,1.6 系统的信任管理,信任管理要更多的依靠系统使用的组织环境。一个信任系统常常也称为“信任模型”。 现在许多企业或公司将公司的标志发放给它的员工就是信任模型的一种例子，这个标志可以表明持有者与该公司或企业是有关系的。这种标志只对企业中和对那些同该企业有关的个人或组织有意义。 PGP密钥：公钥环、私钥环，简单的信任模型，相当于把一个朋友介绍给另一 个朋友 X.509只能被签名者签名一次 PEM是简单的而又严格的全球认证分级(PEM采用一种简单的认证方法并使用X.509 v1标准。 ),9,1.7 安全的邮件服务器,对邮件服务器的攻击由来已久，WORM病毒 网络入侵和拒绝服务 防范措施： 防止来自外部的攻击：拒绝来自特定地址的连接请求、限制单个IP的连接数量 防止来自内部的攻击：实现用户身份的鉴别,10,1 电子邮件安全简介 2 PGP 3 S/MIME,11,2 PGP,PGP - Pretty Good Privacy 作者：Phil Zimmermann 提供可用于电子邮件和文件存储应用的保密与鉴别服务。,12,2.1 PGP自身发展特点,1) 选择最好的可用加密算法作为系统的构造模块 2) 将这些算法集成到一个通用的应用程序中，该程序独立于操作系统和处理器，并且基于一个使用方便的小命令集。 3) 设计了程序、文档，并在Internet上公开 4) 一个商业公司（Via crypt 即Network Associates)提供全兼容、低成本的商业版本。,13,2.2 PGP广泛应用的原因,免费、可用于多平台。DOS/Windows、Unix、Macintosh 选用算法的生命力和安全性公众认可。 具有广泛的可用性 不由政府或标准化组织控制。,14,2.3 PGP安全业务,数字签名：DSS/SHA或RSA/SHA 完整性：RSA、MD5 消息加密：CAST-128或IDEA或3DES + Diffie-Hellman或RSA 数据压缩：ZIP 邮件兼容：Radix 64， 数据分段,Radix 64是一种将任意二进制输入，转换成可打印的字符输出的编码技术。,对于大的数据，PGP自动分段并在接收时自动恢复。,15,2.4 PGP密码功能概要,记号说明： Ks : session key KRa : 用户A的私钥 KUa : 用户A的公钥 EP : 公钥加密 DP : 公钥解密 EC : 常规加密 DC : 常规解密 H : 散列函数 | : 连接 Z : 用ZIP算法数据压缩 R64 : 用radix64转换到ASCII格式,16,(c) Authentication and confidentiality,17,2.5 PGP 功能：身份鉴别,发送方 接收方 说明： 签名与消息可以分离,产生消息M 用SHA-1对M生成一个160位的散列码H 用发送者的私钥对H加密，并与M连接,用发送者的公钥解密并恢复散列码H 对消息M生成一个新的散列码，与H比较。如果一致，则消息M被鉴别。,1. RSA的强度保证了发送方的身份 2. SHA-1的强度保证了签名的有效性 3. DSS/SHA-1可选替代方案。, 对消息进行单独的日志记录 可执行程序的签名记录，检查病毒 文档多方签名，可以避免嵌套签名,18,2.6 PGP 保密性,发送方 生成消息M并为该消息生成一个随机数作为会话密钥。 用会话密钥加密M 用接收者的公钥加密会话密钥并与消息M结合 接收方 用自己的私钥解密恢复会话密钥 用会话密钥解密恢复消息M,说明： 1) 对称加密算法和公钥加密算法的结合可以缩短加密时间 2) 用公钥算法解决了会话密钥的分配问题 3) 每个消息都有自己的一次性密钥，进一步增强了保密强度。所以，每个密钥只加密很小部分的明文内容 4) 公开密钥算法的长度决定安全性RSA（7683072）、DSS（1024）,19,2.7 保密与鉴别同时运用,两种服务都需要时，发送者先用自己的私钥签名，然后用会话密钥加密，再用接收者的公钥加密会话密钥。,20,2.8 数据压缩,压缩的位置：发生在签名后、加密前。 压缩之前生成签名： （1）验证时无须压缩 （2）压缩算法的多样性 在加密前压缩：压缩的报文更难分析，对邮件传输或存储都有节省空间的好处。,21,2.9 LZ77的压缩过程,22,2.10 E-mail兼容性,加密后是任意的8位字节，需要转换到ASCII格式。 Radix64将3字节输入转换到4个ASCII字符，并带CRC校验。 长度扩大33% 与压缩综合后，长度为： 1.33x0.5xM = 0.665xM,23,2.11 Radix-64变换,24,2.12 分段与重组,Email常常受限制于最大消息长度（一般限制在最大50000字节） 更长的消息要进行分段，每一段分别邮寄。 PGP自动分段并在接收时自动恢复。 签名只需一次，在第一段中。,25,2.13 PGP消息的传送与接收,26,2.14 加密密钥和密钥环,PGP使用四种类型的密钥：一次性会话常规密钥，公钥，私钥，基于口令短语的常规密钥。 需求： 需要一种生成不可预知的会话密钥的手段 需要某种手段来标识具体的密钥。 一个用户拥有多个公钥/私钥对。（更换，分组） 每个PGP实体需要维护一个文件保存其公钥私钥对，和一个文件保存通信对方的公钥。,27,2.15 会话密钥的生成,以CAST-128为例。 128位的随机数是由CAST-128自己生成的。输入包括一个128位的密钥和两个64位的数据块作为加密的输入。使用CFB方式，CAST-128 产生两个64位的加密数据块，这两个数据块的结合构成128位的会话密钥。（算法基于ANSI X17） 作为明文输入的两个64位数据块，是从一个128位的随机数流中导出的。这些数是基于用户的键盘输入的。键盘输入时间和内容用来产生随机流。因此，如果用户以他通常的步调敲击任意键，将会产生合理的随机性。,28,2.16 密钥标识符,一个用户有多个公钥/私钥对时，接收者如何知道发送者是用了哪个公钥来加密会话密钥？ 将公钥与消息一起传送。 将一个标识符与一个公钥关联。对一个用户来说做到一一对应。 定义KeyID 包括64个有效位：(KUa mod 264) KeyID同样也需要PGP数字签名。,29,2.17 发送消息的格式,一个消息包含三部分成员： 报文message component 签名signature (optional) 会话密钥session key component (optional),30,2.18PGP消息的一般格式（A to B),31,2.19 密钥环,我们已经看到KeyID对于PGP是如何关键。 两个keyID包含在任何PGP消息中，提供保密与鉴别功能。 需要一种系统化的方法存储和组织这些key以保证使用。 PGP在每一个节点上提供一对数据结构： 存储该节点拥有的公钥/私钥对； （私钥环） 存储本节点知道的其他用户的公钥；（公钥环）,32,33,2.20 私钥环说明,UserID：通常是用户的邮件地址。也可以是一个名字，或重用一个名字多次。 Private Key：使用CAST-128(或IDEA或3DES)加密过程如下： 用户选择一个口令短语用于加密私钥； 当系统用RSA生成一个新的公钥/私钥对时，要求用户输入口令短语。对该短语使用SHA-1生成一个160位的散列码后，销毁该短语。 系统用其中128位作为密钥用CAST-128加密私钥，然后销毁这个散列码，并将加密后的私钥存储到私钥环中。 当用户要访问私钥环中的私钥时，必须提供口令短语。PGP将检索出加密的私钥，生成散列码，解密私钥。,34,2.21 公钥环说明,UserID：公钥的拥有者。多个UserID可以对应一个公钥。 公钥环可以用UserID或KeyID索引。,35,2.22 PGP报文的生成,KUb,36,2.23 PGP 发送方处理消息的过程,签名： 从私钥环中得到私钥，利用userid作为索引 PGP提示输入口令短语，恢复私钥 构造签名部分 加密： PGP产生一个会话密钥，并加密消息 PGP用接收者userid从公钥环中获取其公钥 构造消息的会话密钥部分,37,2.24 PGP报文的接收,KUa,38,2.25 PGP 接收方处理消息的过程,解密消息 PGP用消息的会话密钥部分中的KeyID作为索引，从私钥环中获取私钥 PGP提示输入口令短语，恢复私钥 PGP恢复会话密钥，并解密消息,39,2.26 验证消息,PGP用消息的签名部分中的KeyID作为索引，从公钥环中获取发送者的公钥 PGP恢复被传输过来的消息摘要 PGP对于接收到的消息作摘要，并与上一步的结果作比较,40,2.27 公钥管理问题,由于PGP重在广泛地在正式或非正式环境下应用，没有建立严格的公钥管理模式。 如果A的公钥环上有一个从BBS上获得B发布的公钥，但已被C替换，这时就存在两条通道。C可以向A发信并冒充B的签名，A以为是来自B；A与B的任何加密消息C都可以读取。,41,为了防止A的公钥环上包含错误的公钥，有若干种方法可用于降低这种风险。 1、物理上得到B的公钥。 2、通过电话验证公钥。 B将其公钥email给A，A可以用PGP对该公钥生成一个160位的SHA-1摘要，并以16进制显示。这一特点称作密钥的“指纹”。然后A打电话给B，让B在电话中对证“指纹”。如果双方一致，则该公钥被认可。 3、从双方都信任的个体D处获得B的公钥。 D是介绍人，生成一个签名的证书。其中包含B的公钥，密钥生成时间。D对该证书生成一个SHA-1摘要，用其私钥加密这个摘要，并将其附加在证书后。因为只有D能够产生这个签名，没有人可以生成一个错误的公钥并假装是D签名的。这个签名的证书可以由B或D直接发给A，也可以贴到公告牌上。 4、从一个信任的CA中心得到B的公钥。,42,2.28 信任关系的应用,尽管PGP没有包含任何建立认证权威机构或建立信任体系的规格说明，但它提供了一个利用信任关系的手段，将信任与公钥关联，利用信任信息。 Key legitimacy field：表明PGP将信任这是一个对该用户是合法的公钥；信任级别越高，这个userID对这个密钥的绑定越强。这个字段是由PGP计算的。 每一个签名与一个signature trust field关联，表明这个PGP用户对签名人对公钥签名的信任程度。Key legitimacy field 是由多个signeture trust field 导出的。 Owner trust field：表明该公钥被信任用于签名其它公钥证书的信任程度。这一级别的信任是由用户给出的。,43,2.29 Contents of Trust Flag Byte,(a) Trust Assigned to Public Key Owner （appears after key packet;user defined ） OWNER TRUST field undefined trust unknown user usually not trusted to sign other keys usually trusted to sign other keys always trusted to sign other keys this key is present in secret key ring (ultimate trust) BUCKSTOP bit set if this key appears in secret key ring,44,(b) Trust Assigned to Public Key/User ID Pair （appears after User ID packet; computed by PGP） KEYLEGIT field unknown or undefined trust key ownership not trusted marginal trust in key ownership complete trust in key ownership WARNONLY bit set if user wants only to be warned when key that is not fully validated is used for encryption,45,(c) Trust Assigned to Signature （appears after signature packet ; cached copy of OWNERTRUST for this signature） SIGTRUST Field undefined trust unknown user usually not trusted to sign other keys usually trusted to sign other keys always trusted to sign other keys this key is present in secret key ring( ultimate trust) CONTIG bit set if signature leads up a contiguous trusted certification path back to the ultimately trusted key ring owner,46,2.30 信任关系处理过程,1、当A向公钥环中插入一个新公钥时，PGP必须向trust flag赋值，该标志与该公钥的主人相关。如果其主人是A，则该值为最高信任(ultimate trust)。否则，PGP询问用户，让用户给出信任级别。用户可选：该公钥的主人是不认识(unknown)、不信任(untrusted)、接近信任(marginally trusted)或完全信任(complete trusted). 2、当新公钥进入时，可能有一个或多个签名跟随其后。许多签名可以以后再加入。当插入一个签名到一个条目中时，PGP查找这个签名的作者是否已属于公开密钥的所有者。如果是，则为这个签名的SIGTRUST字段指定该所有者的OWNERTRUST 值。否则，赋予unknown user 值。 3、key legitimacy field的值基于该条目中signature trust field 来计算。如果至少一个签名有一个签名信任值为ultimate，则 klf的值设为complete。否则，PGP计算一个信任值的加权和。,47,2.31 PGP 信任模型示例,48,2.32 公钥的作废,密钥暴露或定时更新导致需要公钥报废功能 通常的报废方法是由主人签发一个密钥报废证书。这个证书具有与通常签名证书相同的形式，但包含一个指示符表明这个证书是要作废该公钥的使用。注意到必须使用所对应的私钥来签名一个密钥报废证书，其主人应尽可能越广越快散布这个证书，以使得潜在的有关人员更新他们的公钥环。 注意：对手也可以发出这个证书，然而，这将导致他也不能再使用该密钥。,49,1 电子邮件安全简介 2 PGP 3 S/MIME,50,3 S/MIME,是对MIME电子邮件格式的安全扩展 技术来自RSA Data Security 与PKI的结合，使用X.509证书，以及PKCS标准 算法协商不可能在线进行，只能用一组规则保证尽可能地达到安全性 不严格的信任模型，由客户实现和用户来决定 S/MIME更象商用或组织使用的工业标准，PGP更面向个体用户选用。,51,3.1 RFC 822,定义了用电子邮件发送的正文消息的格式。 在RFC 822的内容中，消息被看成是具有信封和内容组成。信封包含传输和交付的信息；内容包含要交付给接收者的对象。 RFC822标准只应用于内容，然而，内容标准中包含了一组字头段可以被邮件系统用于生成信封。且该标准目的在于方便程序获得这些信息。 Date: Tue, 16 Jan 1999 10:37:17 (EST) From: “Zhai Jian hong ” Subject: The Syntax in RFC 822 To: zjh_001 Cc: J Hello. This section begins the actual message body ,which is delimited from the message heading by a blank line.,52,3.2 MIME,MINE是对RFC 822/SMTP822的扩展。 SMTP不能传送可执行文件或其他二进制文件。（UNIX UU） SMTP不能传送包含自然语言字符的正文数据。(7-bit only) SMTP服务器可能拒绝超过某一大小限制的邮件 SMTP网关转换ASCII和EBCDIC（Extended Binary Coded Decimal Interchange Code ）码未用一个一致的映射集，导致转换问题。 SMTP gateway到X.400的电子邮件网络, 不能处理X.400中的非正文数据 某些SMTP实现没有完全遵循RFC821中定义的标准：截断长于76字符的行，对报文的行填充 MIME试图解决这些问题，定义在RFC2045到2049。,53,3.3 MIME概要,1、定义了5种新的消息头字段，提供了关于消息体的信息 2、定义了若干内容格式，从而标准化地表达多媒体电子邮件。 3、定义多种转换编码方式，使得任意格式内容转换到位适用各种邮件系统的格式。,54,3.4 5个首部字段,MIME-version:必须有参数值1.0，表明该消息符合RFC2045和2046。 Content-Type: 足够详细地描述消息体中包含的数据，使得接收用户代理能挑选一个适当的代理或机制来将该数据表现给用户，或以一种合适的方式处理该数据。 Content-Transfer-Encoding: 表明转换的类型 Content-ID:在多重内容中唯一标识MIME实体 Content-Description: 报文主体中对象的正文描述；当对象是不可读时（如音频）这会很有用。,55,3.5 MIME Content Types（RFC2046）,Text Plain : unformatted text; may be ASCII or ISO8859 Enriched : 提供更大的格式灵活性,56,Multi part Mixed: 不同部分是独立的，但一起传送。保持次序 Parallel: 与Mixed不同的是不必保持次序 Alternative: 不同部分是同一信息的选择性的版本，他们被组织成递增，忠实于原作，接收者邮件系统应该显示“最好”的版本给用户。 Digest: 类似于Mixed，但每一部分缺省的类型/子类型是message/rfc822,57,From: “Zhai Jian Hong “ To: Subject: SG 0.2发布 Date: Thu, 21 Nov 2002 20:56:46 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=“-=_NextPart_000_00E6_01C291A0.80B8BA20“ This is a multi-part message in MIME format. -=_NextPart_000_00E6_01C291A0.80B8BA20 Content-Type: text/plain; charset=“gb2312“ Content-Transfer-Encoding: 8bit,58,Message rfc822 : 主体自身是一个符合rfc822的封装的消息 Partial : 用于大邮件项的分块，对接收者来说是透明的。 External-body: 包含一个指针,指向已存在其他地方的对象 Image jpeg: 图象用JPEG格式，JFIF编码。 gif: 图象是GIF 格式 Video mpeg: MPEG格式 Audio Basic: 单声道8位ISDN 律编码，采样频率为8kHz Application PostScript: Adobe PostScript octet-stream: 8位字节组成的通用二进制数据,59,例： From: Nathaniel Borenstein To: Ned Freed Subject: Sample message MIME-version:1.0 Content-type: multipart/mixed;boundary=“simple boundary” This is the preamble.It is to be ignored. -simple boundary