校园项目之电子邮件安全课件

1、校园项目之电子邮件安全1 网络安全基础 第七章 电子邮件安全 校园项目之电子邮件安全2 电子邮件概述 v电子邮件（E-mail）是Internet上应用最广同时也是最基本的 服务之一。电子邮件将邮件发送到收信人的邮箱中，收信人 可随时进行读取。 v不仅可传送文字信息，而且还可附上声音和图像等多媒体信 息文件。 v电子邮件不是一种“终端到终端”的服务，而是被称为“存 储转发式”服务 。 校园项目之电子邮件安全3 电子邮件的工作原理 v电子邮件是被称为“存储转发”（store and forwad）服务。 v一封电子邮件从发送端计算机发出，在网络传输的过程中， 经过多台计算机的中转，最后到达目的计

2、算机收信人的 电子邮件服务器，送到收信人的电子邮箱。收信人可以在方 便的时候上网查看，或者利用客户端软件把邮件下载到自己 的计算机上慢慢阅读。 v发送邮件意味着将邮件放到收件人信箱；接收邮件是从自己 的信箱读取邮件。 校园项目之电子邮件安全4 SMTP MUA MUA MTA MDA MTA MDA POP3 SMTP 发送方发送方 接收方接收方 SMTP MUAMUA MUA MTA MDA MTA MDA POP3 SMTP 发送方发送方 接收方接收方 MUA MTA MDA MTA MDA POP3 SMTP 发送方发送方 接收方接收方 首先，客户端利用客户端软件使用首先，客户端利用客户

3、端软件使用 SMTP协议协议将要发送邮件发送到本地的将要发送邮件发送到本地的 邮件服务器，邮件服务器， 然后本地服务器再查看接收来邮件的然后本地服务器再查看接收来邮件的 目标地址，如果目标地址在远端则本地目标地址，如果目标地址在远端则本地 邮件服务器就将该邮件发往下一个邮件邮件服务器就将该邮件发往下一个邮件 服务器或直接发往目标邮件服务器里。服务器或直接发往目标邮件服务器里。 如果客户端想要查看其邮件内容，则如果客户端想要查看其邮件内容，则 必须使用必须使用POP3协议协议来接收才可以看到。来接收才可以看到。 校园项目之电子邮件安全5 认识PGP vPGP是一个用来提供电子邮件安全的开放源代码

4、软件包，它通过数字签名提供 认证服务，通过对称加密提供保密性；利用ZIP算法压缩数据；用基于-64转换提 供电子邮件兼容性。 vPGP作为一个优秀的方法，它的出现很大程度上归功于一个人： PhilZimmermann vPGP特点 软件免费；版本众多，支持各种系统平台 采用一系列安全算法和机制，安全性已经得到了充分的论证 广泛的安全性 v邮件和文件存储 自由发放，包括文档、源代码等 v不是由政府或者标准化组织所控制 校园项目之电子邮件安全6 PGP所使用的符号约定 vKs：用于对称加密体制中的会话密钥 vPRa：用户A的私钥，用于私钥加密体制 vPUa：用户A的公钥，用于公钥加密体制 vEP：

5、公钥加密 vDP：公钥解密 vEC：对称加密 vDC：对称解密 vH: 散列函数 v|： 串接操作(并置) vZ： 使用ZIP算法进行压缩 vR64: 转换为基数为64的ASCII格式 校园项目之电子邮件安全7 PGP包括五种服务：认证,保密，压缩，电子邮件兼容 性和分段 功能使用的算法描述 认证(数字签名)DSS/SHA或 RSA/SHA 使用SHA-1创建的报文的散列编码。采用DSS或 RSA算法使用发送者的私有密钥对这个报文摘要 进行加密，并且包含在报文中 保密(报文加密)CAST或IDEA或3DES 结合Diffie-Hellman算 法或RSA 采用CAST-128或IDEA或3DE

6、S，使用发送者生成 的一次性会话密钥对报文进行加密，采用Diffie- Hellman或RSA，使用接收方的公开密钥对会话密 钥进行加密并包含在报文中 压缩ZIP报文可以使用ZIP进行压缩，用于存储或传输 电子邮件兼容性64基转换算法为了提供电子邮件应用的透明性，加密的报文可 以使用64基转换算法转换成ASCII字符串 分段-为了满足最大报文长度的限制，PGP完成报文的 分段和重新装配 校园项目之电子邮件安全8 EKUbKs M Z Ks EP EC M KRa M 比较 H Z-1 (a)只进行鉴别 源点 终点 | H M 比较 DP (b)只保证机密性 KRb EKRaH(M) Z DC

7、| EP DP KUb Z-1 EC Z-1 Ks | EKUbKs EP H KUa DP DC M KUa Z EP KRa (c)鉴别与机密性 | H M KUb KRb DP EKRaH(M) 认证（鉴别），保密（机密性），认证+保密 校园项目之电子邮件安全9 PGP的操作的操作压缩压缩 在默认情况下，在签名之后加密之前，PGP可以对报文进行压缩。这 有利于在电子邮件传输和文件存储时节省空间。压缩算法使用的是 ZIP。 在压缩之前生成签名有两个理由： v对没有经过压缩的报文进行签名更好，这样为了将来的验证只 需要存储没压缩的报文和签名。如果对压缩文档签名，那么为 了将来的验证就必须或者

8、存储压缩过的报文，或者在需要验证 时重新压缩报文。 v即使一个人愿意在验证时动态生成重新压缩的报文，PGP的压 缩算法也存在问题。算法不是固定的，算法的不同实现在运行 速度和压缩比上进行不同的折衷，因此产生了不同的压缩形式。 但是，这些不同的压缩算法是可以互操作的，因为任何版本的 算法都可以正确地解压其他版本的输出。在压缩之后应用散列 函数和签名，将约束所有的PGP实现都使用同样的压缩算法。 在压缩之后对报文加密可以加强加密的强度。因为压缩过的报文比 原始明文冗余更少，密码分析更加困难。 校园项目之电子邮件安全10 PGP的操作的操作电子邮件的兼容性电子邮件的兼容性 很多电子邮件系统只允许使用

9、由ASCII正文组成的块。为了满足这一约束， PGP提供了将原始8 bit二进制流转换成可打印ASCII字符的服务。为这一目 的采用的方案是radix-64转换。 内 容 操 作 会 话 密 钥 部 分 签 名 消 息 接 收 方 公 钥 (K Ub) 的 密 钥ID 会 话 密 钥 (Ks) 时 间 戳 消 息 摘 要 的 前 两 个8 位 字 节 发 送 者 公 钥 (K Ua) 的 密 钥ID 消 息 摘 要 文 件 名 时 间 戳 数 据 K Ub K Ra Z IP R 6 4 EK s 记 号 ： EK U b EK R a EK s Z IP R 6 4 = 用 用 户b 的 公

10、 钥 进 行 加 密 = 用 用 户a 的 私 钥 进 行 加 密 = 使 用 会 话 密 钥 加 密 = Z ip 压 缩 功 能 = R ad ix -6 4 转 换 校园项目之电子邮件安全11 PGP的操作的操作分段和重装分段和重装 电子邮件设施经常受限于最大的报文长度。例如， 很多Internet可以访问的设施都有最大50 000个 八位组的限制。任何长度超过这个数值的报文都 必须划分成更小的报文段，每个段单独发送。 为了满足这个约束，PGP自动将太长的报文划分成 可以使用电子邮件发送的足够小的报文段。分段 是在所有其他的处理（包括radix-64转换）完成 之后才进行的，因此会话密钥

11、部分和签名部分只 在第一个报文段的开始位置出现一次。 校园项目之电子邮件安全12 PGP加密密钥和密钥环加密密钥和密钥环 PGP使用四种类型的密钥：一次性会话密钥、公开密钥。 私有密钥和基于对称密钥口令。对于这些密钥存在三种 独立的需求： 需要产生不可预测的会话密钥。 希望能允许用户拥有多个公钥私钥对。 因为用户可 能希望能经常改变他（她）的密钥对。当发生了这种情 况时，信道中所有消息往往仍在使用过时的密钥。此外， 接收方在更新到达之前只知道旧的公钥。除了不时地改 变密钥的需要之外，用户希望在某一时刻拥有多对密钥 以与不同的人交互，或者只是为了增强安全性而限制密 钥能够加密的报文的数量。所有这

12、些情况都导致了用户 和公钥之间不是一对一的关系。因此，需要能鉴别不同 的密钥 每个PGP实体必须管理一个自己的公钥私钥对文件和 其他用户的公钥文件。 校园项目之电子邮件安全13 会话密钥的产生 v以CAST-128为例。 v128位的随机数是由CAST-128自己生成的。输入包括一个 128位的密钥和两个64位的数据块作为加密的输入。使用 CFB方式，CAST-128 产生两个64位的加密数据块，这两个 数据块的结合构成128位的会话密钥。（算法基于ANSI X12.17） v作为明文输入的两个64位数据块，是从一个128位的随机数 流中导出的。这些数是基于用户的键盘输入的。键盘输入时 间和内

13、容用来产生随机流。因此，如果用户以他通常的步调 敲击任意键，将会产生合理的随机性。 校园项目之电子邮件安全14 密钥标识符 v加密后的消息将与加密消息使用的会话密钥的密文一起传送。 会话密钥将使用接收方的公钥加密，而只有接收方可以恢复 会话密钥从而进一步恢复消息。如果每个用户只使用一个公 钥/私钥对，则接收方可以自动知道该用哪个密钥解密会话密 钥：即使用接收方唯一的私钥。然而，给定用户可以拥有多 个公钥/私钥对。 v但是一个用户有多个公钥/私钥对时，接收者如何知道发送者 是用了哪个公钥来加密会话密钥？ v方案1 ：将公钥和信息一起传递，但会浪费不必要的空间； 方案2 ：每个用户的不同公钥与唯一

14、的ID一一对应，则只需 传递较短的ID即可。但这个方案产生了管理和开销问题，密 钥ID必须确定和存储，发送方和接受方都知道ID与密钥之间 的映射关系 校园项目之电子邮件安全15 PGP采用的解决方案 v为每个公钥分配一个密钥ID，并在很大机率上与用户ID意义 对应，密钥ID至少为64比特， 公钥PUa 的密钥ID为PUa mod 264）。密钥ID足够长，重复的可能性非常小。 vPGP的数字签名也需要密钥ID。因为发送方需要使用私钥加 密消息摘要，接收者必须知道应该使用哪个公钥解密。相应 地，消息的数字签名部分必须包括公钥对应的64 bit密钥ID。 当消息被收到后，接收方验证密钥 ID用于发

15、送方所知的公钥， 然后继续验证签名。 v因此，消息分成了三部分：消息部分、签名部分、会话消息部分、签名部分、会话 密钥部分密钥部分 校园项目之电子邮件安全16 PGP消息的一般格式 校园项目之电子邮件安全17 v任何PGP消息包含两个密钥ID可以提供保密性和认 证功能。必须采用有效且系统的方式存储，组织， 以供各方使用。PGP为每一个节点提供一对数据结 构，一个用于存放本节点自身的公钥/私钥对，另一 个用于存放本节点知道的其他用户的公钥。这些数 据结构分别被称为私钥环和公钥环。 v每一对公钥/私钥存储结构信息： 时间戳：密钥对生成日期时间 密钥ID：公钥的低64位 公钥：密钥对的公钥部分 私钥

16、ID：密钥对的私钥部分，此部分加密，需要使 用口令才能访问。用户ID：电子邮件地址 等标识 校园项目之电子邮件安全18 时间戳密钥ID公开密钥加密的私有密钥用户ID TiKUi mod 264KUiEH(Pi)KRi用户i 时间戳：该密钥对生成的日期时间。 密钥ID：这个实体的公开密钥的低位64比特。 公开密钥：密钥对的公开密钥部分。 私有密钥：密钥对的私有密钥部分；这个字段是加密的。 用户ID：这个字段的典型值是用户的电子邮件地址（例如，stallings ）。然而，用户可以为每个密钥对选择不同的名字（例如， Stallings，Wstallings，Williamstalli

17、ngs等等），或者多次重用相同的用 户ID。 私钥环 校园项目之电子邮件安全19 vPGP对私有密钥的保护对私有密钥的保护 虽然私钥环只存储在创建和拥有密钥对的用户的机器上，并且只有 该用户可以访问私有密钥环，但确保私有密钥的值尽可能地安全仍 然很有意义。相应地，私有密钥本身并不存储在密钥环中，相反， 要使用CAST-128（或IDEA或3DES）加密后存储。其步骤如下： 用户选择加密私钥的口令。 当系统使用RSA生成新的公钥/私钥对时，向用户询问口令。使用 SHA-1为口令生成160 bit的散列码，然后该口令被丢弃。 系统使用CAST-128和作为密钥的128 bit散列码作为密钥来加密私

18、有 密钥。然后，散列码被丢弃，加密过的私有密钥被存储在私有密钥 环中。 当用户从私钥环中重新取得私钥时，他必须提供口令。PGP将生成 口令的散列码，并用CAST-128和散列码一起解密私钥。 这是一种非常紧凑和有效的模式。在任何基于口令的系统中，系统的安 全性依赖于口令安全。为避免将口令写下来，用户应使用不易猜测 但容易记忆的口令。 校园项目之电子邮件安全20 时间戳密钥ID公开密钥拥有者信任用户ID密钥合法性签名(S)签名信任(S) TiKUi mod 264 KUitrust_flagiUseritrust_flagi 公钥环 时间戳：这个实体生成的日期时间。 密钥ID：这个实体公开密钥的

19、低位64比特。 公开密钥：这个实体的公开密钥。 用户ID：这个密钥的拥有者。公开密钥可以与多个用户ID 相关联。 校园项目之电子邮件安全21 v现在讨论如何在消息传递和接收中使用密钥环。为简化论述， 忽略压缩和基-64转换。首先考虑消息传递，假设对消息进 行签名和加密，则发送的PGP实体执行下列步骤： v（1）签名消息 1.PGP以用户ID作为索引从发送方的私钥中取出选定的 私钥，如果在命令中不提供用户ID，则取出私钥环中的第一 个私钥； 2.PGP提示用户输入口令以恢复私钥； 3.创建消息签名。 v（2）加密消息 1.PGP生成会话密钥加密消息； 2.PGP用接收方的用户ID作为索引，从公钥

20、环中获得接 收方的公钥； 3.创建消息会话密钥。 校园项目之电子邮件安全22 PGP消息的生成消息的生成 校园项目之电子邮件安全23 v接收方PGP实体执行下列步骤 （1)解密消息： 1.PGP用消息的会话密钥的密钥ID域作为索引，从私钥 环中获得接收方的私钥； 2.PGP提示用户输入口令以恢复私钥； 3.PGP恢复会话密钥，解密消息。 （2）加密消息 1.PGP用消息的签名密钥中包含的密钥ID，从公钥环中 获取发送方的公钥； 2.PGP恢复消息摘要； 3.PGP计算接收方收到的消息的消息摘要，并将其与恢 复的消息摘要进行比较来认证。 校园项目之电子邮件安全24 密 钥ID H 密 钥ID R

21、 N G 公 钥 环 E C 消 息 消 息 摘 要 H E P H D C 私 钥 环 加 密 的 私 钥 E P 口 令 消 息 M 私 钥 K R a H 选 择 ID A 消 息 +签 名 会 话 密 钥 K s 选 择 ID B 输 出 加 密 后 的 签 名 +消 息 PGP消息的接收消息的接收 校园项目之电子邮件安全25 公钥管理的方法 v公钥管理的实质是：用户A为了与其他用户用PGP 互操作必须建立一个拥有其他用户公钥的公钥环， 假设A的公钥环中包含一个属于B的公钥，但该公钥 实际上是属于C的。例如，A从B发布的公告板 （BBS）上获得公钥，但该公钥却是C伪造的，则 此时A就会

22、以为该公钥属于B。这样，就存在如下两 种威胁：其一，C向A发送消息并伪造B的签名，这 样A就会以为该消息来源于B；其二。对任何由A发 送往B的加密消息，C均可以阅读。 校园项目之电子邮件安全26 PGP公开密钥管理的方法公开密钥管理的方法 确实地从B得到密钥。B可以将其公开密钥（KUb）存储在软盘上， 将软盘交给A。A可以从这个软盘上将密钥加载到他的系统中。这 是非常安全的方法，但实际运用具有明显的局限性。 通过电话验证密钥。如果A可以在电话上听出B的声音人可以给B打 电话，要求她在电话上以radix-64的形式口述密钥。更加实用的方 法是B可以将她的密钥通过电子邮件传递给A。然后，A可以让

23、PGP生成密钥的160 bit的SHA-l摘要，并且以十六进制的形式显示， 这个摘要被称为密钥的“指纹”。接下来人可以给B打电话，让她 在电话里口述指纹。如果两个指纹一致，那么密钥就验证过了。 从双方信任的人D那里获得B的公开密钥。介绍人D创建签名的证 书，证书包括B的公开密钥、创建密钥的时间和密钥的合法期限。 D生成这个证书的SHA-1摘要，使用她的私有密钥对其加密，并且 将签名附加在证书上。因为只有D能够创建这个签名，所以没有其 他人可以创建假的公开密钥，并且伪装成经过D的签名。签名的证 书可以直接由B或D发送给A，或者粘贴在公告牌上。 从可信任的认证中心获得B的公开密钥。再一次创建公开密

24、钥证书， 并经过认证中心的签名。A可以访问这个认证中心，提供用户名获 得签名的证书。 v对于第三第四种方案，A必须已经拥有第三方的公钥并相信密钥合法， 从根本上说，这取决于A对第三方的信任程度。 校园项目之电子邮件安全27 PGP信任的标注信任的标注 PGP使用与实体相联系的密钥合法性字段，用来指示 PGP信任“这是这个用户合法的公开密钥”的程度；信 任程度越高，这个用户ID与这个密钥的绑定越紧密。这 个字段是由PGP从这个实体的一组签名信任字段中推导 出来的。 与每个实体相联系的还有密钥环的拥有者收集的，对这 个证书签名的零个或多个签名。 每个签名都带有签名信任字段，用来指示该PGP用户信

25、任签名者对这个公开密钥证明的程度。 每个实体定义了与特定的拥有者相联系的公开密钥，包 括拥有者信任字段，用来指示这个公开密钥对其他公开 密钥证书进行签名的可信任程度，这个信任程度是由该 用户指派的。我们可以把签名信任字段看成是来自于其 他实体的拥有者信任字段的副本。 校园项目之电子邮件安全28 (a) 指派公开密钥拥有者的信 任 （出现在密钥分组之后，用户 定义的） (b) 指派公开密钥/用户ID对的 信任 （出现在用户ID分组之后，由 PGP计算） (c) 指派签名的信任 （出现在签名分组之后，该签 名者的OWNERTRUST的副本） OWNERTRUST字段字段 一未定义的信任 一不认识的

26、用户 一对其他密钥的签名通常不能 信任 一对其他密钥的签名通常可以 信任 一对其他密钥的签名总是可以 信任 一这个密钥出现在秘密密钥环 中（终极信任） BUCKSTOP比特比特 一如果这个密钥出现在秘密密 钥环中，置位 KEYLEGIT字段字段 一不认识或未定义的信任 一密钥的拥有权不可信任 一密钥的拥有权的少量信任 一密钥的拥有权的完全信任 WARNONLY比特比特 一如果用户想要系统只是在使 用没有经过完全验证的密钥来 加密时才告警，置位 SIGTRUST字段字段 一未定义的信任 一不认识的用户 一对其他密钥的签名通常不能 信任 一对其他密钥的签名通常可以 信任 一对其他密钥的签名总是可以

27、 信任 一这个密钥出现在秘密密钥环 中（终极信任） CONTIG比特比特 一如果签名导致了一条连续的 可信任的通向终极信任密钥环 的拥有者的路径时，置位 PGP信任标志字节的内容信任标志字节的内容 校园项目之电子邮件安全29 PGP信任的确定信任的确定 当A在公开密钥环中插入了新的公开密钥时，PGP必须为与这个公 开密钥拥有者相关联的信任标志赋值。如果拥有者是A，因此这个 公开密钥也出现在私有密钥环中，那么这个信任字段被自动指派终 极信任的值。否则，PGP询问A指派这个密钥拥有者的信任程度的 评定，A必须输入想要的级别。用户可以说明这个拥有者是未知的、 不可信任的、少量信任和完全可信的。 当新

28、的公开密钥输入之后，可以在它上面附加一个或多个签名，以 后还可以增加更多的签名。在实体中插入签名时， PGP在公开密 钥环中搜索，查看这个签名的作者是否属于已知的公开密钥拥有者。 如果是，为这个签名的SIGTRUST字段指派该拥有者的 OWNERTRUST值。否则，指派不认识的用户值。 密钥合法性字段的值是在这个实体的签名信任字段的基础上计算的。 如果至少有一个签名具有终极信任的值，那么密钥合法性字段的值 设置为完全；否则，PGP计算信任值的权重和。对于总是可信任 的签名指派1/X的权重，对于通常可信任的签名指派1/Y的权重，其 中X和Y都是用户可配置的参数。当介绍者的密钥用户ID绑定的 权重

29、总和达到1时，绑定被认为是值得信赖的，密钥合法性值被设 置为完全。因此，在没有终极信任的情况下，需要至少X个签名是 总是可信的，或者至少Y个签名是通常可信的，或者上述两种情况 的某种组合。 校园项目之电子邮件安全30 No Image PGP信任模型实例 校园项目之电子邮件安全31 PGP信任模型讨论信任模型讨论 注意到除了结点L以外，所有其拥有者被该用户完全信任或部分信 任的密钥都被该用户签了名。这样一个用户签名并不总是必要的， 如同结点L的存在所指示的，但是实际上大多数用户都想要给自己 信任的用户的密钥进行签名。因此，即使E的密钥已经被一个可信 任的介绍者F签了名，该用户还是选择直接对E的

30、密钥进行签名。 假设两个部分可信的签名足以证明一个密钥，因此用户H的密钥被 PGP认定为合法的，因为它被A和B签了名，后者都是部分可信的。 一个密钥可能由于它被一个完全可信的或两个部分可信的签名人签 了名而被认定为是合法的，但它的用户对其他密钥的签名不可信。 例如，N的密钥是合法的，因为它被E签了名，而E是用户可信任 的；但是N对其他密钥的签名不可信任，因为用户没有指派N信任 值。因此，尽管R的密钥被N签了名，PGP不认为R的密钥是合法 的。这种情况是非常有意义的。如果你想要给某个人发送私人报文， 并不需要你对这个人的各个方面都信任，惟一需要的是你要确认你 有了这个人的正确的公开密钥。 PGP

31、信任模型也显示了分离的“孤立”结点S的例子，该结点带有 两个未知的签名。这样的密钥可能是从密钥服务器上获得的。 PGP不能简单地认定这个密钥的合法性，因为它来自于知名的服 务器。用户必须通过签名来声明密钥的合法性，或者告诉PGP 密 钥的签名者是完全可信赖的。 校园项目之电子邮件安全32 PGP废除公开密钥废除公开密钥 废除公开密钥的常规方法是拥有者发出密钥废除证 书，该证书必须经过拥有者的签名。这个证书和 一般的签名证书的格式一样，但是包括了表示该 证书的目的是为了废除这个公开密钥使用的指示。 请注意必须使用对应的私有密钥对这个废除公开 密钥的证书签名。拥有者接着应该尽可能快和尽 可能广地散

32、布这个证书，使得潜在的对应方都能 够修改他们的公开密钥环。 请注意已经获得拥有者私有密钥的对手也可能发出 这样的证书。但是，这会使得这个对手和合法的 拥有者一样不能使用该公开密钥，因此，这看起 来比恶意使用被偷私有密钥的威胁要小得多。 校园项目之电子邮件安全33 S/MIME v安全/多用途网际邮件扩展是基于RSA数据安全性， 对互联网电子邮件格式标准MIME的安全性增强。 虽然PGP和S/MIME都基于IETF标准，但S/MIME侧 重于适合商业和团体使用的工业标准，而PGP则仍 然维持为许多用户提供个人电子邮件的安全性。 S/MIME被定义为许多文档，最重要的 RFC3370,3850,3

33、851和RFC3852 v多用途网际邮件扩展MIME是对RFC5322框架的扩 展，用于解决RFC821或其他邮件传输协议，以及 RFC5322中存在的问题和关于电子邮件简单邮件传 输协议SMTP的局限性。 校园项目之电子邮件安全34 S/MIME的功能的功能 封装数据（enveloped data）：它由各种类型的加密内 容和接收者用于加密内容的一个或多个密钥组成。 签名数据（signed data）：数字签名通过提取待签名内 容的数字摘要，并用签名者的私钥加密得到。然后，用 Base64编码方法重新对内容和签名编码，因此，经过 签名的数据消息只能被具有S/MIME能力的接收方处理。 透明签

34、名（Clear-signed）数据：和签名的数据一样， 形成内容的数字签名。但是，在这种情况下，只有数字 签名采用了Base64编码。因此，没有SMIME能力的 接收方虽然无法验证签名，但却可以看到消息内容。 签名并封装数据（signed and enveloped data）：仅签 名实体及仅加密实体可以嵌套，以便对加密后的数据进 行签名，以及对签名数据或透明签名数据进行加密。 校园项目之电子邮件安全35 功能需求 创建用于形成数字签名的报文摘要必须支持SHA-1和MD5 应该使用SHA-1 加密报文摘要以形成数字签名发送和接收代理必须支持DSS 发送代理应该支持RSA加密 接收代理应该支持

35、使用长度为512到1024比特的 密钥来验证RSA的签名 加密会话密钥和报文一起传输发送和接收代理必须支持Diffie-Hellman 发送代理应该支持使用长度为52比特到1024比特 的密钥的RSA加密 接收代理应该支持RSA解密 使用一次性会话密钥来加密传输的报文发送代理应该支持3DES和RC2/40的加密 接收代理应该支持3DES的解密，必须支持 RC2/40的解密 S/MIME中使用的加密算法 校园项目之电子邮件安全36 发送代理规则发送代理规则 如果发送代理从它想要的接收者那里获得了解密能力的列表，它应 该选择能使用的列表的第一个（最高优先级）能力。 如果发送代理没有它想要的接收者的

36、这样的能力清单，但曾经从接 收者那里收到过一个或多个报文，那么输出的报文应该使用和从那 个接收者那里接收的最后一个签名和加密报文所使用的同样的加密 算法。 如果发送者没有它想要的接收者解密能力的任何知识，并且愿意冒 着接收者可能不能解密报文的危险，那么发送代理应该使用3DES。 如果发送者没有它想要的接收者解密能力的任何知识，并且不愿意 冒着接收者可能不能解密报文的危险，那么发送代理必须使用RC2 40。 如果报文需要发送给多个接收者，但却不能选择共同的加密算法， 那么发送代理将需要发送两个报文。然而，需要注意的是在这种情 况下，报文的安全性依赖于低安全性的报文的一个副本的传输。 校园项目之电子邮件安全37 类型子类型S/MIME参数描述 MultipartSigned两部分的透明签名消息：一部分是 消息，另一部分是签名 Applicationpkcs7-mine签名数据签名的S/MIME实体 pkcs7-mine封装数据加密的S/MIME实体 pkcs7-mine退化的签名数 据 仅包含公钥证书的实体 pkcs7-mime压缩数据压缩的S/MIM实体 Pkcs7-signature签名数据签 名 子