《北京大学网络信息安全课件-电子邮件安全》由会员分享,可在线阅读,更多相关《北京大学网络信息安全课件-电子邮件安全(69页珍藏版)》请在金锄头文库上搜索。
1、 网络与信息安全网络与信息安全 第十讲第十讲 电子邮件的安全电子邮件的安全陈 钟 北京大学信息科学技术学院 软件研究所信息安全研究室 2003年春季北京大学硕士研究生课程讨论议题 PGP S/MIME互联网上电子邮件传递简图服 务 器终端用户终端用户用户 代理用户 代理待发函 件队列报文传 输代理客 户报文传 输代理用户 邮箱发送者接收者TCP连接TCP端口号25用户代理: UNIX MH, Berkeley Mail, Elm和Mush 报文传输代理(MTA):UNIX sendmail RFC 821定义了SMTP协议。 RFC 822定义了在两个MTA之间采用RFC821标准传输的 函件
2、报文格式电子邮件的收发方式 使用Browser来收发电子邮件 在Communicator 中以Messenger来收发邮件 在IE中使用outlook express来收发 Web Mail:直接使用Web服务器提供的服务MM安全电子邮件 E-mail 是Internet上最大的应用,也是唯一的广 泛跨平台、跨体系结构的分布式应用。 安全的电子邮件主要是解决身份鉴别和保密性 的安全问题。涉及到的问题: 安全算法的选择 系统邮件的信息格式 如何实现认证和信任管理 邮件服务器的可靠性 应用实际例子:PGP、S/MIME、PEM、 MOSS安全的算法 算法的安全 交互操作性PEMMOSSS/MIME
3、PGPRSA 、 DES MD5没有特 别要求RSA、DES、 RC2、RC3、 RC5、MD5、 SHA-1RSA、DSS和Diffie-Hellman IDEA、3DES、CAST128 SHA-1、MD5系统的邮件信息格式 ASCII 文本 Multipurpose Internet Mail Extensions (MIME)系统的信任管理 PGP密钥:公钥环、私钥环,简单的信 任模型,相当于把一个朋友介绍给另一 个朋友 X.509只能被签名者签名一次 PEM简单的而又严格的全球认证分级安全的邮件服务器 对邮件服务器的攻击由来已久,WORM病毒 网络入侵和拒绝服务 防范措施: 防止来自
4、外部的攻击:拒绝来自特定地址的连接 请求、限制单个IP的连接数量 防止来自内部的攻击:实现用户身份的鉴别PGP PGP - Pretty Good Privacy 作者:Phil Zimmermann 提供可用于电子邮件和文件存储应用的保 密与鉴别服务。PGP发展特点 选择最好的可用加密算法作为系统的构造模 块 将这些算法集成到一个通用的应用程序中, 该程序独立于操作系统和处理器,并且基于 一个使用方便的小命令集。 设计了程序、文档,并在Internet上公开 一个商业公司(Viacrypt 即Network Associates)提供全兼容、低成本的商业版本。PGP广泛应用的原因 免费、可用
5、于多平台。DOS/Windows 、Unix、Macintosh 选用算法的生命力和安全性公众认可。 具有广泛的可用性 不由政府或标准化组织控制。PGP安全业务 数字签名 DSS/SHA或RSA/SHA 完整性: RSA、MD5 消息加密 CAST-128或IDEA或3DES + Diffie-Hellman或 RSA 数据压缩 ZIP 邮件兼容 Radix 64 数据分段PGP密码功能概要(Fig12.1)记号说明: Ks: session key KRa: 用户A的私钥 KUa : 用户A的公钥 EP: 公钥加密 DP: 公钥解密 EC: 常规加密 DC: 常规加密 H: 散列函数 |:
6、连接 Z: 用ZIP算法数据压缩 R64: 用radix64转换到ASCII格式PGP 功能:身份鉴别 发送方 产生消息M 用SHA-1对M生成一个160位的散列码H 用发送者的私钥对H加密,并与M连接 接收方 用发送者的公钥解密并恢复散列码H 对消息M生成一个新的散列码,与H比较。如果一 致,则消息M被鉴别。PGP 身份鉴别说明 说明: 1. RSA的强度保证了发送方的身份 2. SHA-1的强度保证了签名的有效性 3. DSS/SHA-1可选替代方案。 签名与消息可以分离 对消息进行单独的日志记录 可执行程序的签名记录,检查病毒 文档多方签名,可以避免嵌套签名PGP 保密性 发送方 生成消
7、息M并为该消息生成一个随机数作为会话密钥。 用会话密钥加密M 用接收者的公钥加密会话密钥并与消息M结合 接收方 用自己的私钥解密恢复会话密钥 用会话密钥解密恢复消息MPGP 保密性说明采用CAST-128(或IDEA或3DES)、64位CFB方式。一次性密钥,单向分发,公钥算法保护。1) 对称加密算法和公钥加密算法的结合可以缩短加密时间 2) 用公钥算法解决了会话密钥的分配问题 不需要专门的会话密钥交换协议 由于邮件系统的存储-转发的特性,用握手方式交换密 钥不太可能 3) 每个消息都有自己的一次性密钥,进一步增强了保密强 度。所以,每个密钥只加密很小部分的明文内容 4) 公开密钥算法的长度决
8、定安全性RSA(7683072)、DSS (1024)保密与鉴别同时运用 两种服务都需要时,发送者先用自己的私 钥签名,然后用会话密钥加密,再用接收 者的公钥加密会话密钥。数据压缩 压缩的位置:发生在签名后、加密前。 压缩之前生成签名: (1)验证时无须压缩 (2)压缩算法的多样性 在加密前压缩:压缩的报文更难分析 对邮件传输或存储都有节省空间的好处 。LZ77的压缩过程E-mail兼容性 加密后是任意的8位字节,需要转换到 ASCII格式。 Radix64将3字节输入转换到4个ASCII 字符,并带CRC校验。 长度扩大33% 与压缩综合后,长度为: 1.33x0.5xM = 0.665xM
9、Radix-64变换分段与重组 Email常常受限制于最大消息长度(一 般限制在最大50000字节) 更长的消息要进行分段,每一段分别邮 寄。 PGP自动分段并在接收时自动恢复。 签名只需一次,在第一段中。PGP消息的传送与接收加密密钥和密钥环PGP使用四种类型的密钥:一次性会话常规密钥 ,公钥,私钥,基于口令短语的常规密钥。 需求: 1、需要一种生成不可预知的会话密钥的手段 2、需要某种手段来标识具体的密钥。 一个用户拥有多个公钥/私钥对。(更换,分组) 3、每个PGP实体需要维护一个文件保存其公钥私 钥对,和一个文件保存通信对方的公钥。会话密钥的生成 以CAST-128为例。 128位的随
10、机数是由CAST-128自己生成的。 输入包括一个128位的密钥和两个64位的数据 块作为加密的输入。使用CFB方式,CAST- 128产生两个64位的加密数据块,这两个数据 块的结合构成128位的会话密钥。(算法基于 ANSI X12.17) 作为明文输入的两个64位数据块,是从一个 128位的随机数流中导出的。这些数是基于用 户的键盘输入的。键盘输入时间和内容用来 产生随机流。因此,如果用户以他通常的步 调敲击任意键,将会产生合理的随机性。密钥标识符 一个用户有多个公钥/私钥对时,接收者如何知 道发送者是用了哪个公钥来加密会话密钥? 将公钥与消息一起传送。 将一个标识符与一个公钥关联。对一
11、个用户来说做 到一一对应。 定义KeyID 包括64个有效位:(KUa mod 264) KeyID同样也需要PGP数字签名。发送消息的格式 一个消息包含三部分成员: 报文message component 签名signature (optional) 会话密钥session key component (optional)PGP消息的一般 格式(A to B)密钥环 我们已经看到KeyID对于PGP是如何关键。 两个keyID包含在任何PGP消息中,提供保密与鉴 别功能。 需要一种系统化的方法存储和组织这些key以保证 使用。 PGP在每一个节点上提供一对数据结构: 存储该节点拥有的公钥/私
12、钥对; (私钥环) 存储本节点知道的其他用户的公钥;(公钥环)私钥环说明 UserID:通常是用户的邮件地址。也可以是一个 名字,或重用一个名字多次。 Private Key:使用CAST-128(或IDEA或3DES)加 密过程如下: 用户选择一个口令短语用于加密私钥; 当系统用RSA生成一个新的公钥/私钥对时,要求用户 输入口令短语。对该短语使用SHA-1生成一个160位的 散列码后,销毁该短语。 系统用其中128位作为密钥用CAST-128加密私钥,然 后销毁这个散列码,并将加密后的私钥存储到私钥环 中。 当用户要访问私钥环中的私钥时,必须提供口令短语 。PGP将检索出加密的私钥,生成散
13、列码,解密私钥 。公钥环说明 UserID:公钥的拥有者。多个UserID 可以对应一个公钥。 公钥环可以用UserID或KeyID索引。PGP报文的生成PGP 发送方处理消息的过程 签名: 从私钥环中得到私钥,利用userid作为索引 PGP提示输入口令短语,恢复私钥 构造签名部分 加密: PGP产生一个会话密钥,并加密消息 PGP用接收者userid从公钥环中获取其公钥 构造消息的会话密钥部分PGP报文的接收PGP 接收方处理消息的过程 解密消息 PGP用消息的会话密钥部分中的KeyID作为索引, 从私钥环中获取私钥 PGP提示输入口令短语,恢复私钥 PGP恢复会话密钥,并解密消息 验证消
14、息 PGP用消息的签名部分中的KeyID作为索引,从公 钥环中获取发送者的公钥 PGP恢复被传输过来的消息摘要 PGP对于接收到的消息作摘要,并与上一步的结果 作比较公钥管理问题 由于PGP重在广泛地在正式或非正式环境下 应用,没有建立严格的公钥管理模式。 如果A的公钥环上有一个从BBS上获得B发布 的公钥,但已被C替换,这是就存在两条通 道。C可以向A发信并冒充B的签名,A以为 是来自B;A与B的任何加密消息C都可以读 取。 为了防止A的公钥环上包含错误的公钥,有 若干种方法可用于降低这种风险。1、物理上得到B的公钥。 2、通过电话验证公钥。 B将其公钥email给A,A可以用PGP对该公钥
15、生成一 个160位的SHA-1摘要,并以16进制显示。这一特点 称作密钥的“指纹”。然后A打电话给B,让B在电话中 对证“指纹”。如果双方一致,则该公钥被认可。 3、从双方都信任的个体D处获得B的公钥。 D是介绍人,生成一个签名的证书。其中包含B的公 钥,密钥生成时间。D对该证书生成一个SHA-1摘要 ,用其私钥加密这个摘要,并将其附加在证书后。因 为只有D能够产生这个签名,没有人可以生成一个错 误的公钥并假装是D签名的。这个签名的证书可以由 B或D直接发给A,也可以贴到公告牌上。 4、从一个信任的CA中心得到B的公钥。信任关系的应用 尽管PGP没有包含任何建立认证权威机构或建立 信任体系的规格说明,但它提供了一个利用信任 关系的手段,将信任与公钥关联,利用信任信息 。 Key legitimacy field:表明PGP将信任这是一个对该用 户是合法的公钥;信任级别越高,这个userID对这个密 钥的绑定越强。这个字段是由PGP计算的。 每一个签名与一个signature trust field关联,表明这个 PGP用户对签名人对公钥签名的信任程度。Key legitimacy field
