信息安全原理和应用第十章 安全电子邮件.ppt

* * * * * * * * * * * * * * * * * * * * PGP消息的一般 格式 * 密钥环 我们已经看到KeyID对于PGP是如何关键。 两个keyID包含在任何PGP消息中，提供必威体育官网网址与鉴别功能。 需要一种系统化的方法存储和组织这些key以保证使用。 PGP在每一个节点上提供一对数据结构： 存储该节点拥有的公钥/私钥对； （私钥环） 存储本节点知道的其他用户的公钥；（公钥环） * * 私钥环说明 UserID：通常是用户的邮件地址。也可以是一个名字，或重用一个名字多次。 Private Key：使用CAST-128(或IDEA或3DES)加密过程如下： 用户选择一个口令短语用于加密私钥； 当系统用RSA生成一个新的公钥/私钥对时，要求用户输入口令短语。对该短语生成一散列码后，销毁该短语。 系统用其中128位作为密钥用CAST-128加密私钥，然后销毁这个散列码，并将加密后的私钥存储到私钥环中。 当用户要访问私钥环中的私钥时，必须提供口令短语。PGP将检索出加密的私钥，生成散列码，解密私钥。 * 公钥环说明 UserID：公钥的拥有者。多个UserID可以对应一个公钥。 公钥环可以用UserID或KeyID索引。 * 公钥管理问题 由于PGP重在广泛地在正式或非正式环境下应用，没有建立严格的公钥管理模式。 为了防止A的公钥环上包含错误的公钥，有若干种方法可用于降低这种风险。 物理上得到B的公钥。 通过电话验证公钥。 数字证书 PGP支持两种形式的证书 PGP证书 X.509证书 * PGP证书 PGP证书包括以下信息: PGP的版本号 证书持有者的公钥 证书持有者的信息:名字、用户标识、email地址、照片等 证书持有者的自签名 证书的有效期 倾向的对称加密算法 PGP证书可以有多个签名 * 信任关系的应用 尽管PGP没有包含任何建立认证权威机构或建立信任体系的规格说明，但它提供了一个利用信任关系的手段，将信任与公钥关联。 Key legitimacy field：表明PGP将信任这是一个对该用户是合法的公钥；信任级别越高，这个userID对这个密钥的绑定越强。这个字段是由PGP计算的。 每一个签名与一个signature trust field关联，表明这个PGP用户对签名人对公钥签名的信任程度。Key legitimacy field 是由多个signature trust field 导出的。 Owner trust field：表明该公钥被信任用于签名其它公钥证书的信任程度。这一级别的信任是由用户给出的。 * PGP用法 其他辅助功能 有关网络的功能 个人防火墙 VPN 网络传输 文件加解密、签名认证 当前窗口内容加解密、签名认证 剪贴板内容加解密、签名认证 * 参考文献 王昭，袁春编著，信息安全原理与应用，电子工业出版社，北京，2010，1 William Stallings, Cryptography and network security: principles and practice, Second Edition. 樊宬丰，林东编著，网络信息安全PGP加密，清华大学出版社，北京，1998 William Stallings，孟庆树等译，密码编码学与网络安全——原理与实践（第四版），电子工业出版社，北京，2007 …… * * * * * * * * * * * * * * * * * * * * * * 电子工业出版社，《信息安全原理与应用》 * 信息安全原理与应用 第十章 安全电子邮件 * 讨论议题 电子邮件原理 电子邮件的安全性 PGP * UNIX电子邮件系统 自从20世纪70年代以来，电子邮件是Internet上最广泛的应用之一。 邮件服务器通常被划分为三个模块： 邮件分发代理（Mail Delivery Agent, MDA) 邮件传送代理（Mail Transfer Agent, MTA) 邮件用户代理（Mail User Agent, MUA) 这三个部分之间的界限并不十分明确。有时一个程序模块可能既包含了MDA功能同时又能实现MTA功能，有时又是MTA与MUA功能组合在一起。 * 互联网上电子邮件传递简图 * 邮件用户代理MUA MUA程序是用来阅读和发送邮件的程序。 用户代理: 文本终端的binmail，存放在：/bin/mail. 同时是MDA 图形文本终端的pine X Windows 系统终端的kmail 程序 Rand公司的Mail Handler(MH) Netscape Messenger Microsoft Outlook Express * 邮件分发代理MDA 主要功能是在本地邮件服务器上将邮件分发给