邮件加密技术的发展

yudi669

我们知道，电子邮件在传输中使用的是SMTP协议，它不提供加密服务，攻击者可在邮件传输中截获数据。其中的文本格式、非文本格式的二进制数据（如：.exe文件）都可轻松地还原。你经常收到，好像是你的好友发来的邮件，但可能这是一封冒充的、带着bd或其他让你被欺骗的邮件。还有，电子邮件误发给陌生人或不希望发给的人，也是电子邮件的不加密性客观带来的信息泄露。

PGP和S/MIME是目前互联网上实现电子邮件端到端加密的安全技术。
S/MIME和PGP采用的都是公钥加密技术，总所周知，一个成熟的加密体系必然要有一个成熟的密匙管理机制配套。公匙体制的提出就是为了解决传统加密体系的密匙分配过程难以保密的缺点，但公匙的发布中仍然存在安全性问题，例如公匙的被篡改(Public Key Tampering)，这可能是公匙密码体系中最大的漏洞。必须有一种机制保证用户所得到的公钥是正确的，而不是别人伪造的。

S/MIME的公钥管理机制
S/MIME的公钥保存在数字证书中，并且有第三方公认的机构CA中心负责生成和签发，认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证，整个信任关系基本是树状的，这就是所谓的Tree of Trust。
PGP的公钥管理机制
与S/MIME的公钥管理机制不同，PGP发展了一种公钥介绍机制。举例来说，如果Mike和Alice有一个共同的朋友David，而David知道他手中的Alice的公匙是正确的。这样David可以用他自己的私匙在Alice的公匙上签名，表示他担保这个公匙属于Alice。当然Mike需要用David的公匙来校验他给出的Alice的公匙，同样David也可以向Alice认证Mike的公匙，这样David就成为Mike和Alice之间的“介绍人”。这样Alice或David就可以放心地把David签过字的Alice的公匙上载到BBS上让Mike去拿，没人可能去篡改它而不被发现，即使是BBS的管理员。这就是从公共渠道传递公匙的安全手段。
对于那些非常分散的人们，PGP更赞成使用私人方式的密匙转介方式，因为这样有机的非官方途径更能反映出人们自然的{**此为已被过滤词语**}交往，而且人们也能自由地选择信任的人来介绍。总之和不认识的人们之间的交往一样。
IBC的公钥管理机制
S/MIME技术虽然整体上设计严谨，安全程度高，技术成熟，但是也正是由于其复杂的公钥管理机制导致在公钥发布上需要巨大的使用和管理成本，对用户来说不得不承受高额的使用费和负责的操作。
PGP技术试图简化打破S/MIME技术的公钥树状认证结构，取而代之是更符合人类自然社交习惯的公钥介绍机制，PGP技术是对S/MIME技术的是一次不小的改进，它大副简化了公钥技术的复杂性。但是，公钥管理始终是使用公钥技术必须“额外”花费的一个巨大的成本。
IBC技术的提出是在密码学领域的一次重大突破，IBC突破性地解决了直接从用户的标识中计算出公钥，而不是像S/MIME和PGP采用的随即产生公钥的方式，从而彻底简化了公钥管理，使得各种使用公钥技术的通信非常容易实现和使用。
1984年，著名的RSA公钥系统发明者之一AdiShamir提出假设：直接使用用户标识作为公钥而不依赖于证书可能将会是一个简化公钥密钥技术的最好办法。在接下来的二十年里许多人试图提出一种基于标识的加密算法，但都没有找到切实可行的方案。
2000年，DanBoneh和MattFranklin博士取得了数学上的突破并发明了第一个实用的基于标识的密码系统，他们的设计使用了双线性映射（bilinearmapping）,也就是利用椭圆曲线上的Pairing算法从为人所知的简单标识计算出公私钥对，从这些强大的数学理论可以引出一个一流的机制用于保证邮件、文件、文档和数据库的安全，可以是在线也可以是离线，而不需要接收者事先注册。
“一个基于标识的设计类似一个完美的邮件系统：如果你知道某人的名字和地址你就能给他发送只有他才能阅读的邮件，你能够验证只有他才能生成的签名。这使得加密的通信对用户来说几乎是透明的，并且对私钥和协议毫无所知的门外汉也能有效的使用。”
----AdiShamir
奥联公司通过多年研究，在IBC核心技术上取得全面突破，并在加密邮件领域推出全球首款专业级加密邮件客户端软件OMail。
OMail利用邮件地址作为标识，实现了邮件的加密解密、签名验证和时间控制策略，是唯一一款通过国家密码管理局安全评审的标识安全电子邮件。加密强度达到3072位，强行解密需要花费全球十亿电脑一千万年的运算量。
用户在使用加密邮件功能时，不需要申请数字证书，不需要做复杂的设置，只需要简单的通过Internet访问www.myibc.com.cn申请一个用户加解密的私钥，在整个申请过程中，用户只需要提交一个E-Mail地址，就这么简单