标识认证系统和新一代信息安全产品及解决方案提供商 | 热线:010-68873631 |
电子邮件是互联网最早的基础服务之一,业已成为人们在网络上互相联系的重要工具。据统计,每天上网浏览网页信息的网民不到30%,却有超过70%的网民在使用电子邮件。特别是随着电子商务的迅速发展,越来越多的人通过电子邮件发送重要的商务信息。由于电子邮件系统都是明文传输,因邮件被窃造成商业秘密和个人私隐外泄的时间频频发生,使正常的商务活动和个人私隐受到很大威胁,确保电子邮件文档不被除收件人以外的人截取和偷阅显得日趋重要。
为了提高邮件信息的安全性,最有效的方法是对邮件进行加密,只有指定的人才能阅读。目前常见的邮件加密方式有以下四种:
1. 利用对称加密算法加密邮件
对称加密是最早的加密方法。在对称加密中,发信方用加密密钥将明文数据(原始数据)通过特殊加密算法处理变成密文数据发送出去。收信方收到密文后,再用同一密钥和相同算法进行逆运算解密,将其恢复成可读明文。典型基于对称加密的产品如Office口令加密,PDF口令加密、WinRAR口令加密、WinZip口令加密等。对称加密的特点是算法公开、加密速度快、效率高,缺点是收发双方使用相同的密钥,密钥的安全传递、交换和保存问题难以解决。此外,对称加密只能针对邮件附件正文没法加密很不方便。
2. 利用PKI数字证书加密电子邮件
目前Foxmail、OutLook Express与Outlook等主流的电子邮件客户端软件都支持该种加密模式。其原理为:用户向PKI 认证中心(CA)申领数字证书,并获得用户私钥(一般存放在USB-key等硬件内)。数字证书内含用户公钥,当发件人A要给收件人B发送加密邮件时,需要先到CA中心获取B的数字证书,用证书中的公钥对邮件数据加密后发给B。B收到邮件后,再用自己的私钥对加密邮件数据进行解密。由于CA证书获得麻烦,交换繁琐,且需要交纳不菲的服务费用,因此一般只适用于企业、单位和一些高端用户。
3. 基于标识密码(IBE)的电子邮件加密
为简化密钥管理,解决密钥传递问题,2001年,D. Boneh和M. Franklin在美国国防部支持下研究提出了基于标识的密码体制(IBE)。IBE可以直接用标识如e-mail地址,IP地址,名字等作为公钥对数据进行加密,用户私钥由一个可信的私钥生成中心提供,从而解决了基于标识的密钥交换问题。国内赛曼邮件天使系统、奥联Omail即采用此机制。根据国外的分析数据,采用IBE方案比PKI方案在总体拥有成本上节省80%以上。
IBE模式也存在两个问题:一是不支持数字签名;二是用户的密钥都在服务器端托管, 用户的安全要依赖于服务器安全及服务提供商的承诺。
4. 基于组合公钥(CPK)的电子邮件加密
组合公钥(CPK)体制是我国的自主创新,也属于标识密码范畴。其通过一个以种子密钥为核心的科学架构,解决了基于标识的密钥生成和管理难题,支持端到端的数字签名和密钥交换。基本原理如下:
首先用若干个公私密钥对(如32×32=1024对)按公钥或私钥分别顺序排列生成种子公钥或种子私钥矩阵。将用户标识通过hash计算得到的hash值作为选取坐标,对种子密钥矩阵进行选取,将从私钥矩阵选取的数值进行模加计算得出用户的标识私钥;将从公钥矩阵选取的数值进行椭圆曲线(ECC)点加计算即得到用户的标识公钥,二者呈公私钥对关系。由于种子公钥矩阵可以公开,只要知道对方的标识就能直接计算出对方的标识公钥,以最简洁的方式解决了密钥交换难题。
在此基础上,北京联合智华微电子科技公司发明了匿名认证体系,(已申请发明专利)。通过赋予每个密钥产品(可以封装成USB-Key、TF卡等方便使用的形态)唯一可信标识(如12345、56789等,简称C号),并在产品内写入基于该可信标识生成的私钥。任何购买密钥产品的用户都可以通过交换C号,自行建立信任关系,实现相互间安全信息交互。C号采用批量预生产方式,用一个销毁一个,不做备份,从而确保用户的私隐和安全。同时为了防止因密钥装置丢失或锁死给用户造成数据损失,为每个用户同时配置两个具有相同C号的密钥装置,一旦一个被锁死,可用另一个解锁。
目前,北京易恒信和联合智华两家公司为用户提供了两种邮件加密模式:一是附件加密模式。用户可选用上述两家公司生产的文件保险箱系统对需要保护的文件用收件人的标识加密后以邮件附件的方式发给对方,并支持1000人以内的群发。另一种方式是采用联合智华开发并免费提供的加密邮件客户端插件。
该插件与上述两家公司生产的文件保险箱产品共用相同的密钥装置(CPK USB-key 或CPK TF卡)。将CPK TF卡卡插入智能手机,安装邮件插件,即可实现手机邮件加密;将CPK USB-key插入计算机,安装雷鸟邮件客户端软件(与Fox-mail齐名的最著名的开源邮件软件)和加密邮件插件,即可完成保密邮件收发,并支持手机和计算机间互通保密邮件。
CPK电子邮件加密采用当前世界最先的标识公钥技术,是实现“我的安全我做主”新安全理念的有机组成部分。采用CPK邮件加密有以下好处:
⑴ 采用成熟的通用邮件客户端系统,不需要建立和维护邮件服务器,系统兼容性强,升级更新方便;
⑵ 利用C号进行密钥交换,管理使用方便;
⑶ 采用先进的密钥交换技术,会话密钥动态随机生成,确保一次一密,安全性强;
⑷ 私钥安全保存在硬件密钥装置内,并受口令保护。5次输入错误自动锁死,即便密钥装置丢失也不会危及用户信息安全;
⑸ 所有安全应用基于同一密钥装置,一次购买终生受用,最大限度保护个人(单位)投资,实现信息安全一卡(key)通。