本文深入探讨了邮件加密的四种主流技术:对称加密、非对称加密(PKI/CA)、链式加密和基于身份的密码技术。每种技术都有其独特的优势和局限,如对称加密的高效性,非对称加密的安全性,链式加密的高效率低成本,以及基于身份的密码技术在密钥管理方面的创新。基于身份的密码技术因其密钥安全性高且能有效解决密钥管理问题,被认为是当前邮件加密的理想选择。
早期邮件在互联网上都是以明文传输的,很容易就被窃取,后来邮件通讯使用了SSL通道才保证了邮件在链路上的安全,但是邮件在邮件服务器上的安全一直以来都很难解决,即使是今天依然有***可以将用户的邮件从服务器上窃取出来。所以邮件内容的安全目前是邮件安全的重点,既然是内容安全就要使用加密技术了,如果邮件再服务器上是密文存储的那么即使邮件被窃取下来也不用太担心,前提是你使用的加密技术够强。那么目前都有哪些常用的加密技术用于邮件中呢?
第一种:利用对称加密算法加密邮件
对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。利用对称密码算法对电子邮件进行加密,需要解决密码的传递,保存、交换。这种方式的邮件加密系统目前很少使用。
典型基于对称加密的邮件加密产品:Office口令加密,PDF口令加密、WinRAR口令加密、WinZip口令加密。(这种方式用于电子邮件加密上只能用于加密附件)。
第二种:利用传统非对称密钥体系(PKI/CA)加密电子邮件
电子邮件加密系统目前大部分产品都是基于这种加密方式。PKI(Public Key Infrastructure)指的是公钥基础设施, CA(Certificate Authority)指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍;CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“PKI/CA”。从总体构架来看,PKI/CA主要由最终用户、认证中心和注册机构来组成。 PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。
注册中心负责审核证书申请者的真实身份,在审核通过后,负责将用户信息通过网络上传到认证中心,由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说,认证中心是面向各注册中心的,而注册中心是面向最终用户的,注册机构是用户与认证中心的中间渠道。公钥证书的管理是个复杂的系统。一个典型、完整、有效的CA系统至少应具有以下部分:公钥密码证书管理;黑名单的发布和管理;密钥的备份和恢复;自动更新密钥;历史密钥管理;支持交叉认证,等等。PKI/CA认证体系相对成熟但应用于电子邮件加密系统时也存在着密匙管理复杂,需要先交换密匙才能进行加解密操作等,著名的电子邮件加密系统PGP就是采用这套加密流程进行加密。这种加密方法只适用于企业、单位和一些高端用户,由于CA证书获得麻烦,交换繁琐,因此这种电子邮件加密模式一直很难普及。
典型基于PKI/CA的邮件加密产品: 沃通电子邮件加密证书,超酷个人证书, 超真单位证书。
第三种:利用链式加密体系进行电子邮件加密
这种机制以一个随机生成的密钥(每次加密不一样),再用对称加密算法(如3DES、IDEA算法)对明文加密,然后用RSA非对称算法对该密钥加密。这样收件人同样是用RSA解出这个随机密钥,再用对称加密算法解密邮件本身。这样的链式加密就做到了既有RSA体系的保密性,又有对称加密算法的快捷性。此外,链式加密体系的密钥管理由用户自己管理,公钥的交换基于信任机制。如:假设A想要获得B的公开密钥,可以采取几种方法,包括拷贝给A、通过电话验证公开密钥是否正确、从双方都信任的人C那里获得、从认证中心获得等。这样,用户的电子邮件就是非常安全的。
典型基于链式加密体系邮件加密产品:PGP、MailCloak(电子邮封)
第四种:利用基于身份的密码技术进行电子邮件加密
为简化传统公钥密码系统的密钥管理问题,1984年,以色列科学家、著名的RSA体制的发明者之一A. Shamir提出基于身份密码的思想:将用户公开的身份信息(如e-mail地址,IP地址,名字……,等等)作为用户公钥,用户私钥由一个称为私钥生成者的可信中心生成。在随后的二十几年中,基于身份密码体制的设计成为密码学界的一个热门的研究领域。但是由于在此机制下,用户的密钥都是在服务器端托管,用户的信息安全安全性还要依赖于服务器安全及服务提供商的承诺
典型于身份的密码技术进行电子邮件加密产品:天御云安的隐秘邮,奥联信息安全
以上四种加密机制每一个都有其单独的优势和劣势,
第一种
优点:效率高
缺点:密钥安全难以保障,实际使用中很难保障密钥的安全性
第二种
优点:无论是加密内容的安全性还是密钥的安全性都很好
缺点:加解密效率低,用户规模庞大时维护成本太高,用户规模太小时使用成本太高。
第三种
优点:弥补了前面两种方法的不足,具有高效率和低成本的特性
缺点:目前市场上的产品或者软件,需要改造用户的邮件环境或者使用习惯,改造成本高,不易上手,主要是易用性差。
第四种
优点:弥补前面三种方法的不足,密钥安全性高。
缺点:加解密效率没有对称的快,目前很少有该类型的产品。
基于身份的密码技术进行电子邮件加密方法更适用一些,其实目前邮件的内容加密技术已经很成熟了,只不过由于邮件运营商和企业自搭建的邮箱系统要添加此功能都需要进行升级改造,大部分产品都是在邮件服务器或者客户端上做的邮件内容加解密处理,这样势必会造成升级维护成本高昂,对企业和邮件服务平台来说都是不小的成本。不过据我对多款产品的了解,隐密邮请添加链接描述是采用邮件网关的形式进行邮件安全处理的,这种方式可以在不改造现有邮件系统下嵌入邮件安全加密功能,其使用了基于身份的密码技术对随机生成对称密码进行保护,然后用对称密钥进行邮件内容的加密,这样就弥补了效率问题,也解决了密钥的安全问题。由于是网关形式,这样即使互联网个人用户也可以放心使用,它采用的是邮件透明加密机制,在隐秘邮平台上不会留存邮件内容,最重要现在是免费的,对邮件加密感兴趣的小伙伴可以了解下,
转载于:https://blog.51cto.com/14206878/2353102
扫一扫
13
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
