电子邮件加密
计算机技术术语
随着计算机的发展,对电子邮件的保护也越来越全面。电子邮件加密的核心思想是加密处理电子邮件,通过此方法,允许特定的人对其阅读,从而保证信息的安全性。
技术分类
对称加密技术
对称加密算法,又称为单密钥算法或秘密密钥算法,顾名思义,使用相同的密钥进行加密和解密。这种算法中,发送方使用加密密钥对原始数据(称之为明文)进行加密之后,把它变成第三方无法看懂的复杂信息(称之为密文)发送至接收方,接收方如果想看到原始数据,根据对称加密技术的原理,他必须通过此加密算法的逆运算对密文进行解密运算,从而变成可读的明文。这种算法是较早应用、技术非常成熟的一种加密算法,但是这种方法存在着严重的不足:
1、由于接收方和发送方使用相同的密钥,一旦密钥泄漏,那么任何人都能够轻而易举地解密消息;
2、为了保证安全性,每次使用对称加密算法时,收发双方都需要使用其他人不知道的唯一密钥,这将造成双方所持有密钥的数量以几何级数快速增长,使得密钥管理极其复杂。
因此,针对对称密钥技术的这些不足之处,非对称密钥体系加密技术逐渐产生并成熟,大而积地取代了原来的对称密钥技术。
传统非对称密钥体系(PKI / CA)加密技术
PKI ( Public Key Infrastructure)是指公钥基础设施,它从技术上解决了网络通信安全的种种障碍。CA(Certificate Authority)是指认证中心,它从法律规范、人力投入、管理运营等方面解决了网络信任的多种问题。因此,将二者统一称为‘“PKI/CA
如图1,注册机构作为用户与认证中心的中间通信,它的主要功能是审核申请者身份的真实性,通过此项审核后,它把用户的信息上传至认证中心,在此进行最后的制证操作。此外,注册机构也会将证书的吊销、更新等提交给认证中心进行处理。由此可见,认证中心可以看作一个可信任的第三方体系,他会为该信任体系中的所有用户发放一张数字证书,以此证明他的身份己经通过鉴定。所以每次交易时,能够方便快速地判定是否为此信任体系中用户的最有效方法就是:对双方的数字证书进行检查。
这种PKI / CA技术以数字证书为核心,能够对网络中传输的信息进行加密和解密、签名和验证,以此确保除了发送方和接收方外,电子邮件无法被其他人获得,在传输过程中邮件不被更改,通过数字证书,发送方能够确认接收方身份是否真实,对于自己发出的信息,发送方无法抵赖。
PKI/CA体系加密技术较为成熟,但应用于电子邮件加密时仍然存在着一些不足,如:
1、管理密钥不方便;
2、进行加解密操作的前提是:需要先交换密钥,此过程繁琐;
3、一个完整且有效的CA系统至少应具有以下部分:公钥密码证书、历史密钥、黑名单的管理,密钥的备份与恢复,自动更新密钥等。综上,CA证书获得比较麻烦,这种电子邮件加密技术一直很难普及。 这种传统非对称密钥体系(PKI / CA)加密技术只适用于企业、单位、一些高端用户和高端电子商务中。
链式加密技术
链式加密技术是一种新颖而又巧妙的邮件加密技术,这种技术将对称密钥算法和非对称密钥算法结合起来,这种加密技术的工作方式是(见图2):发件人A选择一个随机生成的密钥(称之为会话密钥,且每次加密都不同),然后使用对称加密算法对明文进行第一次加密,再用非对称算法RSA进行二次加密。对于收件人B,他首先用非对称算法RSA解出这个会话密钥,然后使用对称加密算法二次解密,最后得到邮件明文。
由此可知,链式加密技术结合了两种加密算法的优点,它既有对称加密算法的快速性,又有RSA算法的认证性和强保密性。另外,在链式加密技术中,用户自己管理密钥,而公钥的交换依赖于信任机制。因此,用户的电子邮件是绝对安全的。著名的电子邮件加密软件PCP就是采用这种技术进行加密的。
基于身份的密码加密技术
1984年,以色列著名科学家、RSA体系的发明者之一A. Shamir提出了基于身份密码的思想,大幅度地简化了传统公钥密码系统中密钥管理问题。基于身份的加密(Identity Based Encryption , IBE)是一种新型的公钥加密体制,加密用的公钥不是从公钥证书中获得的,而是直接使用表示用户身份的字符串作为公钥,它的工作原理可通过发送方A和接收方B之间的具体通信来体现,用户公钥使用发送方A自己公开的身份信息(如姓名、身份证号、E-mail等),而用户私钥是由另外一个可信任的第三方(称之为可信中心)生成。可信中心确认发送者A身份准确无误后,将生成的私钥传回给接收方B, B再利用此私钥进行解密。这就是经典的基于身份密码加密技术,如图3所示。
由于基于身份加密不需要公钥证书及相关操作,简化了公钥的使用与管理,所以这种加密技术提出后的二十余年中,它就成为了密码学中的研究热点。作为一种新的公钥密码机制,基于身份加密技术在建设成本、管理效率和计算优化等方而较传统PKI有很大提升,被看作是未来构建公钥信任体系的一种有效手段。但是在此体系中,用户的密钥都是被托管在服务器端,所以服务器的安全性以及服务提供者的承诺[”〕对用户信息保密性至关重要。典型的基于身份密码的邮件加密产品是赛曼邮件天使系统。
技术比较
对称加密技术的优点是算法公开、计算量小、机密速度快、加密效率高,缺点是使用相同密钥、安全型较低、容易泄露;传统非对称密钥体系(PCA/CA)加密技术的优点是能够保证身份的真实性和不可抵赖性,缺点是密钥管理复杂,CA证书获得较麻烦;链路加密技术的优点是速度快、安全性高,缺点是证书维护、撤销等操作需要的成本较高;基于身份的密码加密技术的优点是不需要任何证书,接收方的公共密钥自他的身份信息,密钥设有使用期限,因此不需要予以撤销,能够抵御垃圾邮件的攻击,缺点是需要一个集中服务器,增大了泄露的安全风险。
最新修订时间:2022-08-25 12:06
目录
概述
技术分类
参考资料