文档介绍:2016-9-211电子邮件安全电子邮件安全广州大学华软软件学院软件工程系《网络信息安全》 PGP的安全性分析2016-9- 电子邮件的安全威胁1)电子邮件的内容是公开的和可获取的。2)邮件在网络上反复复制,传输路径不确定,易遭到窃取、篡改、假冒甚至破坏。电子邮件的安全需求:1)机密性——只有真正的接收方才能阅读邮件2)完整性——电子邮件在传输过程中不被修改3)认证性——信息的发送者不被假冒4)不可否认性——发信人无法否认发过电子邮件2016-9-213电子邮件的安全问题电子邮件的安全问题1)垃圾邮件——增加网络负荷,占用服务器空间2)诈骗邮件——能迅速让大量受害者上当3)邮件炸弹——短时间内向同一邮箱发送大量电子邮件4)通过电子邮件/附件传播网络蠕虫/病毒5)电子邮件欺骗、钓鱼式攻击邮件具有单向性和非实时性——不能通过建立隧道来保证安全,只能对邮件本身加密2016-9- 安全电子邮件标准1)PEM(privacy enhanced mail,增强型邮件保密)标准?在邮件标准格式上增加加密、认证和密钥管理?在MIME之前出现,所以不支持MIMEMIME(Multipurpose Mail Extensions)多用途互联网邮件扩展类型?依赖一个既存的、完全可操作的PKI,发展被限制? PEM像一个OSI标准,软件包2016-9-2152)PGP(pretty good privacy,高质量保密)标准2)PGP(pretty good privacy,高质量保密)标准?符合PEM的绝大多数规范,但不要求存在PKIPublic Key Infrastructure?创造性结合公钥加密的方便和对称加密的高速度?数字签名和密钥管理机制设计巧妙?不仅功能强大,速度快,而且源代码公开2016-9-2163)S/MIME(secure/multipurpose mail extensions,安全/多用途因特网邮件扩展)标准3)S/MIME(secure/multipurpose mail extensions,安全/多用途因特网邮件扩展)标准?并非只能用于邮件传输,任何支持MIME的传输机制都可使用,如HTTP?对电子邮件最有效,因为必须保证邮件本身安全?认证机制依赖于层次结构的CA(Tree of Trust)?,但支持的厂商比较少2016-9- PGP标准?Philip Zimmermann于1991年发布PGP ?可在各种平台(Windows、UNIX等)免费运行?还可用于普通文件加密及军事目的?所用算法被证实为非常安全:1)公钥加密算法RSA、DSS和Diffie-Hellman 2)对称加密算法IDEA、3DES和CAST-128 3)散列算法SHA-12016-9-218PGP的特点PGP的特点1)使用散列函数对邮件内容签名,保证信件内容不被篡改;2)使用公钥和对称加密保证邮件内容机密且不可否认;3)公钥的权威性由收发双方所信任的第三方签名认证;4)事先不需要任何保密信道来传递对称的会话密钥。2016-9-219PGP的Web of TrustPGP的Web of Trust?“信任”或是双方的直接关系,或是通过第三者、第四者的间接关系。?任意两方对等,整个信任关系构成网状结构。?PGP没有严格CA的约束,用户自行决定信任谁。?若把使用PGP的用户限制在一定范围,则PGP比PEM更安全,因为信任链由用户自己维护。2016-9-2110