隨著計算機的發展,對電子郵件的保護也越來越全面。電子郵件加密的核心思想是加密處理電子郵件,通過此方法,允許特定的人對其閱讀,從而保證信息的安全性。
基本介紹
- 中文名:電子郵件加密
- 外文名:E-mail Encryption
- 核心思想:通過加密,允許特定的人對其閱讀
- 特點:安全性、可靠性
- 關鍵字:電子郵件加密、PKI/CA
- 套用領域:計算機技術
技術分類,技術比較,
技術分類
對稱加密技術
對稱加密算法,又稱為單密鑰算法或秘密密鑰算法,顧名思義,使用相同的密鑰進行加密和解密。這種算法中,傳送方使用加密密鑰對原始數據(稱之為明文)進行加密之後,把它變成第三方無法看懂的複雜信息(稱之為密文)傳送至接收方,接收方如果想看到原始數據,根據對稱加密技術的原理,他必須通過此加密算法的逆運算對密文進行解密運算,從而變成可讀的明文。這種算法是較早套用、技術非常成熟的一種加密算法,但是這種方法存在著嚴重的不足:
1、由於接收方和傳送方使用相同的密鑰,一旦密鑰泄漏,那么任何人都能夠輕而易舉地解密訊息;
2、為了保證安全性,每次使用對稱加密算法時,收發雙方都需要使用其他人不知道的唯一密鑰,這將造成雙方所持有密鑰的數量以幾何級數快速增長,使得密鑰管理極其複雜。
因此,針對對稱密鑰技術的這些不足之處,非對稱密鑰體系加密技術逐漸產生並成熟,大而積地取代了原來的對稱密鑰技術。
傳統非對稱密鑰體系(PKI / CA)加密技術
PKI ( Public Key Infrastructure)是指公鑰基礎設施,它從技術上解決了網路通信安全的種種障礙。CA(Certificate Authority)是指認證中心,它從法律規範、人力投入、管理運營等方面解決了網路信任的多種問題。因此,將二者統一稱為‘“PKI/CA" 。 PKI/CA主要組成機構:用戶、註冊機構和認證中心。其工作原理如圖所示。
如圖,註冊機構作為用戶與認證中心的中間通信,它的主要功能是審核申請者身份的真實性,通過此項審核後,它把用戶的信息上傳至認證中心,在此進行最後的制證操作。此外,註冊機構也會將證書的吊銷、更新等提交給認證中心進行處理。由此可見,認證中心可以看作一個可信任的第三方體系,他會為該信任體系中的所有用戶發放一張數字證書,以此證明他的身份己經通過鑑定。所以每次交易時,能夠方便快速地判定是否為此信任體系中用戶的最有效方法就是:對雙方的數字證書進行檢查。
這種PKI / CA技術以數字證書為核心,能夠對網路中傳輸的信息進行加密和解密、簽名和驗證,以此確保除了傳送方和接收方外,電子郵件無法被其他人獲得,在傳輸過程中郵件不被更改,通過數字證書,傳送方能夠確認接收方身份是否真實,對於自己發出的信息,傳送方無法抵賴。
PKI/CA體系加密技術較為成熟,但套用於電子郵件加密時仍然存在著一些不足,如:
1、管理密鑰不方便;
2、進行加解密操作的前提是:需要先交換密鑰,此過程繁瑣;
3、一個完整且有效的CA系統至少應具有以下部分:公鑰密碼證書、歷史密鑰、黑名單的管理,密鑰的備份與恢復,自動更新密鑰等。綜上,CA證書獲得比較麻煩,這種電子郵件加密技術一直很難普及。 這種傳統非對稱密鑰體系(PKI / CA)加密技術只適用於企業、單位、一些高端用戶和高端電子商務中。
鏈式加密技術
鏈式加密技術是一種新穎而又巧妙的郵件加密技術,這種技術將對稱密鑰算法和非對稱密鑰算法結合起來,這種加密技術的工作方式是(見圖2):發件人A選擇一個隨機生成的密鑰(稱之為會話密鑰,且每次加密都不同),然後使用對稱加密算法對明文進行第一次加密,再用非對稱算法RSA進行二次加密。對於收件人B,他首先用非對稱算法RSA解出這個會話密鑰,然後使用對稱加密算法二次解密,最後得到郵件明文。
由此可知,鏈式加密技術結合了兩種加密算法的優點,它既有對稱加密算法的快速性,又有RSA算法的認證性和強保密性。另外,在鏈式加密技術中,用戶自己管理密鑰,而公鑰的交換依賴於信任機制。因此,用戶的電子郵件是絕對安全的。目前著名的電子郵件加密軟體PCP就是採用這種技術進行加密的。
基於身份的密碼加密技術
1984年,以色列著名科學家、RSA體系的發明者之一A. Shamir提出了基於身份密碼的思想,大幅度地簡化了傳統公鑰密碼系統中密鑰管理問題。基於身份的加密(Identity Based Encryption , IBE)是一種新型的公鑰加密體制,加密用的公鑰不是從公鑰證書中獲得的,而是直接使用表示用戶身份的字元串作為公鑰,它的工作原理可通過傳送方A和接收方B之間的具體通信來體現,用戶公鑰使用傳送方A自己公開的身份信息(如姓名、身份證號、E-mail等),而用戶私鑰是由另外一個可信任的第三方(稱之為可信中心)生成。可信中心確認傳送者A身份準確無誤後,將生成的私鑰傳回給接收方B, B再利用此私鑰進行解密。這就是經典的基於身份密碼加密技術,如圖3所示。
由於基於身份加密不需要公鑰證書及相關操作,簡化了公鑰的使用與管理,所以這種加密技術提出後的二十餘年中,它就成為了密碼學中的研究熱點。作為一種新的公鑰密碼機制,基於身份加密技術在建設成本、管理效率和計算最佳化等方而較傳統PKI有很大提升,被看作是未來構建公鑰信任體系的一種有效手段。但是在此體系中,用戶的密鑰都是被託管在伺服器端,所以伺服器的安全性以及服務提供者的承諾[”〕對用戶信息保密性至關重要。目前典型的基於身份密碼的郵件加密產品是賽曼郵件天使系統。
技術比較
對稱加密技術的優點是算法公開、計算量小、機密速度快、加密效率高,缺點是使用相同密鑰、安全型較低、容易泄露;傳統非對稱密鑰體系(PCA/CA)加密技術的優點是能夠保證身份的真實性和不可抵賴性,缺點是密鑰管理複雜,CA證書獲得較麻煩;鏈路加密技術的優點是速度快、安全性高,缺點是證書維護、撤銷等操作需要的成本較高;基於身份的密碼加密技術的優點是不需要任何證書,接收方的公共密鑰自他的身份信息,密鑰設有使用期限,因此不需要予以撤銷,能夠抵禦垃圾郵件的攻擊,缺點是需要一個集中伺服器,增大了泄露的安全風險。
