首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 邮件安全与数字签名 > 邮件加密先锋 PGP Universal试用(四) > 正文

邮件加密先锋 PGP Universal试用(四)

出处:天极网 作者:棠棠 时间:2005-12-26 10:15:00

 在上文中,我们介绍了PGP Universal产品的设置和部分功能,本文介绍其它一些PGP Universal的功能。

  十、密钥管理

  一个成熟的加密体系必然要有一个成熟的密钥管理机制配套。公钥体制的提出就是为了解决传统加密体系的密钥分配过程保密的缺点。比如网络黑客们常用的手段之一就是“监听”,如果密钥是通过网络传送就太危险了。对PGP来说公钥本来就要公开,就没有防监听的问题。但公钥的发布中仍然存在安全性问题,例如公钥被篡改(public key tampering),这可能是公钥密码体系中最大漏洞 。用户必须确信用户的公钥属于需要收信的那个人。

  为了把这个问题说清楚,先举个例子进行说明,然后再说如何正确使用PGP堵住这个漏洞。

  以Alice和Bob通信为例,现假设Alice想给Bob发信,首先Alice就必需获取Bob的公钥,Alice从BBS上下载或其它途径得到了Bob的公钥,并用它加密了信件发给了Bob。不幸的是,Alice和Bob都不知道,另一个用户Charlie潜入BBS或网络中,侦听或截取到Bob的公钥,然后在自己的PGP系统中用Bob的名字生成密钥对中的公钥替换了Bob的公钥,并放在BBS上或直接以Bob的身份把更换后的Bob的“公钥”发给Alice。那Alice用来发信的公钥是已经是更改过的,实际上是Charlie伪装Bob生成的另一个公钥。这样谁都不会起疑心,但这样一来Bob收到Alice的来信后就不能用自己的私钥解密了,更可恶的是,Charlie还可伪造Bob的签名给Alice或其他人发信,因为Alice手中的公钥是伪造 ,Alice会以为真是Bob的来信。

  防止这种情况出现的最好办法是避免让任何其他人有机会篡改公钥,但能做到这一点的是非常困难的,一种方法是直接从Bob手中得到他的公钥,然而当他在远在他乡或在时间上根本不可达到时,这是不可办到的。

  但PGP发展了一种公钥介绍机制来解决这个问题,其思路是这样的:如果Alice和Bob有一个共同的朋友David,而David知道他手中的Bob的公钥是正确的。这样David就成为Alice和Bob之间的公证人,Bob为了防止别人篡改自己的公钥,就把经过David签名的自己的公钥上载到BBS上让用户去拿,Alice想要取得Bob的公钥就必需先获取David的公钥来解密BBS或网上经过David签名的Bob的公钥,这样就等于加了双重保险,一般没有可能去篡改它而不被用户发现,即使是BBS的管理员。这就是从公共渠道传递公钥的安全手段。

  说到这里也许有人会问想到,只通过一个签名公证力度是不是小了点,聪明的PGP当然会想到这一点,就是把不同签名的自己的公钥收集在一起,发送到公共场合,这样可以希望大部分人至少认识其中一个,从而间接认证了用户的公钥。同样用户签了朋友的公钥后应该寄回给他,这样就可以让他通过该用户被该用户的其他朋友所认证。有点意思吧,和现实社会中人们的交往一样。PGP会自动根据用户拿到的公钥中有哪些是朋友介绍来的,把它们分为不同的信任级别,供用户参考决定对它们的信任程度。也可指定某人有几层转介公钥的能力,这种能力是随着认证的传递而递减的。

  也许还有人会问:如何安全地得到David或其他签名朋友的公钥呢。确实有可能Alice拿到的David或其他签名的朋友的公钥也假的,但这就求这个Charlie必须对你们三人甚至很多人都很熟悉,这样的可能性不大,而且必需经过长时间的策划。当然,PGP对这种可能也预防的建议,那就是由一个大家普遍信任的机构担当这个角色,他被称为认证权威机构,每个由他签过字的公钥都被认为真的,这样大家只要有他的公钥就行了,认证这个人的公钥是方便的,因他广泛提供这个服务,假冒他的公钥是极困难的,因为他的公钥流传广泛。这样的"权威机构"适合由非个人控制组织或政府机构充当,现在已经有等级认证制度的机构存在,如广东省电子商务电子认证中心(www.cnca.net)就是一个权威的认证机构。

  对于那些非常分散的用户,PGP更赞成使用私人方式的密钥转介方式,因这样有的非官方途径更能反映出人们自然的社会交往,而且人们也能自由地选择信任的朋友来公证,总之和不认识的人们之间的交往一样,每个公钥至少有一个“用户名”(User ID),请尽量用自己的全名,最好再加上本人的email地址,以免混淆,这就是PGP推荐使用的电话密钥认证。

  PGP的每个密钥有它们自己的标识(keyID),keyID是一个8位十六进制数,两个密钥具有同keyID的可能性只有十亿分之一,而且PGP还提供了一种更可靠的标识密钥的方法:“密钥指纹”(keys fingrprint),每个密钥对应一串数字(16个2位十六进制数),这个指纹重复的可能就更微乎其微了。而且任何人无法指定生成一个具有某个指纹的密钥,密钥是随机生成的,从指纹也无法反推出密钥来。用户拿到某人密钥后就可以他在电话上核对这个指纹,从而认证他的公钥。

  和传统单密匙体系一样,私匙的保密也是决定性的。相对公匙而言,私匙不存在被篡改的问题,但存在泄露的问题。RSA的私匙是很长的一个数字,用户不可能将它记住,PGP的办法是让用户为随机生成的RSA私匙指定一个口令(passphase)。只有通过给出口令才能将私匙释放出来使用,用口令加密私匙的方法保密程度和PGP本身是一样的。所以私匙的安全性问题实际上首先是对用户口令的保密。当然私匙文件本身失密也很危险,因为破译者所需要的只是用穷举法试探出你的口令了,虽说很困难但毕竟是损失了一层安全性。在这里只用简单地记住一点,要像任何隐私一样保藏你的私匙,不要让任何人有机会接触到它。

  PGP在安全性问题上的精心考虑体现在PGP的各个环节。比如每次加密的实际密匙是个随机数,大家都知道计算机是无法产生真正的随机数的。PGP程序对随机数的产生是很审慎的,关键的随机数像RSA密匙的产生是从用户瞧键盘的时间间隔上取得随机数种子的。对于磁盘上的 randseed.bin 文件是采用和邮件同样强度的加密的。这有效地防止了他人从你的randseed.bin文件中分析出你的加密实际密匙的规律来。
 十一、PGP Desktop的集成化功能

  我所测试PGP Universal的最后一个功能是使用PGP Desktop的集成化功能。PGP Desktop(图14)是一个单机版的加密程序,它允许单独的个人用户或工作于野外环境下没有可靠的网络连接的那些用户在没有PGP Universal服务器的情况下,来加密他们自己的电子邮件或加密硬盘中的文件。不过这些功能也可被集成整合到PGP Universal Series 500系列中。


图14:PGP Desktop

  一个向导程序(图8所示)将会引导用户来完成设置PGP Desktop和为某个用户生成密钥的整个过程。在用户输入一个口令后,默认情况下是生成一个基本的2048 bit的RSA密钥对,但对生成的密钥对的任何一方面的内容(例如密钥的长度、类型、加密算法、HASH等等)都可通过单击“高级”(Advanced)按钮来改变这些值。


图15:PGP Desktop密钥的生成

  PGP Desktop作为PGP加密程序在单机方式下的应用,对PGP Universal作为很完美的补充与完善,因为它交由用户来完全控制加密过程的方方面面。它可与PGP Universal自动地进行同步,并可自动地下载其加密策略,或者是用户能够定义他们自己的加密策略。它也可让用户在把文件传输到网络上之前把整个文件都进行加密处理,这样在网络上传输文件的安全性就完全得到了保证。

  Desktop也可用来加密AOL Instant Messanger的即时通信讯息,不过用户如果要使用这一功能则需要与之通讯的另一端的用户也安装有PGP Desktop这个软件。相比于那些自由免费的IM加密信息解决方案,例如像Off the Record和Trillian,对于PGP Desktop也可提供如此功能强大的即时通讯加密手段,笔者倒是先前所没料到的。

  除了电子邮件加密功能之外,可能PGP Desktop最实用的功能就是它的安全删除文件的功能了,这在PGP Desktop中是被称之为“文件粉碎机”(PGP Shredder),PGP Shredder功能大量的伪随机无用信息字符和零数据来填充到所删除文件的数据区,重复复写次数可达28次之多,通过这种方法来保证用户删除的数据不能被那些数据恢复技术恢复过来,当然除了那些最顶尖的高手。


图16:PGP Shredder

  这样看来,PGP Universal是设计用来适合那些在办公室使用的公司员工,而PGP Desktop则好像更适合于那些经常出差在外的员工,或经常在野外工作的用户,作为他们的常备工具软件。来自于Desktop的加密文件可确保在网络上传送的过程中安全方面得到保证,比方说,即使是用户的网络连接是来自于一个并不可靠并不安全的无线网络。对整个硬盘内容和文件夹的加密也可使得移动用户来保证他们的数据安全,即使在他们的笔记本被偷也不会因数据泄漏而造成重大的损失。虽然所有的这些加密方法看上去似乎是有点过头了,好像仅仅只适合于那些非常敏感的人使用,可能有的人会想,我们的网络真的有这么不安全吗?这么让人不放心吗?但对那些长期在外的公司“旅途战士”(road warrior)而言,这种级别的保护措施在一个完全保密的商业交易与一个开放的公司信息之间就是其不同之处。
十二、写在最后

  在现如今的世上,还没有哪一款安全软件可敢妄称自己是“独步天下”的,它能够保证公司或个人的每一件事情都可百分之百的安全。甚至是PGP本身就有一个重大缺陷,它不能够阻挡来自于密码方面的攻击,如果在你的计算机上安装有keylogger或rootkit等软件的话,那窃取了用户的私钥则一切的加密形同虚设,或者是其他的方法如人为的因素导致信息的不安全,PGP也是毫无办法的。安全实质上整个就是一系统工程,在这个系统的每一个微小方面都必须要花费有相当的时间与精力,否则任何一个小小的失误就可影响到全局的安全,俗话说得好,千里之堤溃于蚁穴,就是说安全的防范在方方面面都是要仔细考虑的,不能有一点的马虎与疏忽。

  这也就是说,PGP Universal是解决了一个现实的安全问题――即企业级别的加密手段。它可允许那些没有什么加密方面专业知识的单个普通用户来发送安全的信息,不论是在他们的公司内部还是处于出差或旅行的途中。虽然现在也有许多其他的安全产品可供用户选择,它们一样可完成PGP Universal所能提供的全部功能中的某一些独立的功能与作用,例如加密磁盘中的数据或加密电子邮件,但现在市场上没有哪一款产品能够包括PGP Universal所具有的全部功能。此外,现在也没有哪一款同类的产品(如OpenPGP和S/MIME)能够像它一样经过了完全的测试、检验和工业标准的加密方案,从这些看来,我们可把PGP Universal与其他的那些加密解决方案完全独立开来看待。


图9:集成keyserver功能可使管理员工作更轻松

  单从价格上看来,25个用户,一年许可的PGP Universal Series 500标价高达2950美元,看上去似乎这个价格是有些不近情理,定价过高了一些,但如果比较一下购买所有相类似产品的全部成本的话(即选择能够完成PGP Universal所有功能的全部产品并也要能得到相应的服务支持年限),那它的这个价格看上去就不是那么昂贵了,从这一点来看倒是可让人接受。如果你不需要PGP Desktop,那25个用户,一年许可的PGP Universal Series 100仅仅只需要1475美元了,折合每用户只要59美元。

  虽然PGP Universal在用户界面上可能有一点点的让有些人不那么习惯,它在很多地方本可把用户界面做得更直观,不过从整体而言不论是对于普通用户还是管理员来说它还是表现得非常完美的。尽管它提供了足够的可操纵可管理功能来满足网络管理员的需求,但对普通用户的从事他们的日常活动而言,PGP Universal还是提供了足量的透明度保证最初级的用户也可轻松上手。使用PGP Universal,PGP公司表示除了可提供给用户完美的私密性能外,还能够给企业提供功能更强大的完美加密功能。

相关文章 热门文章
  • 邮件加密先锋 PGP Universal试用(三)
  • 邮件加密先锋 PGP Universal试用(二)
  • 邮件加密先锋 PGP Universal试用(一)
  • 邮箱密码破解EmailCrack使用
  • 电子邮件安全漏洞大曝光--流行客户端软件之痛
  • Webmail安全问题莫忽视
  • 破解电子邮件
  • 用MailSpy拦截局域网邮件
  • 您的电子邮件签名了吗?
  • 加密你的电子邮件系统
  • 建立高可扩展的web邮件系统
  • 偷窥Hotmail用户邮件三部
  • Webmail攻防实战
  • 电子邮箱及IE安全设置指南
  • 邮件存储备份五种考虑
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号