网络,信息,安全第十一章-电子邮件安全及PG
网络与信息安全网络与信息安全
2003-2004年度北京大学硕士研究生课程网络与信息安全第十一讲电子邮件的安全陈钟北京大学信息科学技术学院软件研究所-信息安全研究室chen@2004/4/23 NISC-11 ©PKU讨论议题•PGP (Pretty Good Privacy)•S/MIME (Secure/Multipurpose InternetMail Extensions)互联网上电子邮件传递简图服务器终端用户终端用户用户代理用户代理待发函件队列报文传输代理客户报文传输代理用户邮箱发送者接收者TCP 连接TCP 端口号25用户代理: UNIX MH, Berkeley Mail, Elm 和Mush 报文传输代理(MTA):UNIX sendmail RFC 821定义了SMTP 协议。
RFC 822定义了在两个MTA 之间采用RFC821标准传输的函件报文格式电子邮件的收发方式•使用Browser 来收发电子邮件–在Communicator 中以Messenger 来收发邮件–在IE 中使用outlook express 来收发–Web Mail:直接使用Web 服务器提供的服务Email Security Enhancements•confidentiality–protection from disclosure •authentication–of sender of message•message integrity–protection from modification•non-repudiation of origin–protection from denial by sender安全电子邮件•E-mail 是Internet上最大的应用,也是唯一的广泛跨平台、跨体系结构的分布式应用。
•安全的电子邮件主要是解决身份鉴别和保密性的安全问题。
涉及到的问题:–安全算法的选择–系统邮件的信息格式–如何实现认证和信任管理–邮件服务器的可靠性•应用实际例子:PGP、S/MIME、PEM、MOSS安全的算法•算法的安全•交互操作性RSA 、DSS 和Diffie-Hellman IDEA 、3DES 、CAST128SHA-1、MD5RSA 、DES 、RC2、RC3、RC5、MD5、SHA-1没有特别要求RSA 、DES MD5PGPS/MIME MOSS PEM 系统的邮件信息格式•ASCII 文本•Multipurpose Internet Mail Extensions (MIME)系统的信任管理•PGP密钥:公钥环、私钥环,简单的信任模型,相当于把一个朋友介绍给另一个朋友•X.509只能被签名者签名一次•PEM简单的而又严格的全球认证分级安全的邮件服务器•对邮件服务器的攻击由来已久,WORM病毒•网络入侵和拒绝服务•防范措施:–防止来自外部的攻击:拒绝来自特定地址的连接请求、限制单个IP的连接数量–防止来自内部的攻击:实现用户身份的鉴别PGP•PGP -Pretty Good Privacy–作者:Phil Zimmermann–提供可用于电子邮件和文件存储应用的保密与鉴别服务。
网络信息安全第11章 电子邮件安全
*
第11章 电子邮件安全
思政融入点
电子邮件的安全威胁——要有安全防范意识,防止成为受害者;同时要有法制观念,不能去攻击别人,要有社会责任感。 多种安全电子邮件的标准之争——标准之争就是利益之争,中国必须建设成为科技强国,才能有更多话语权。奋发图强,为祖国的腾飞,为实现中华民族伟大复兴的中国梦而努力学习。培养学生改革创新精神。 PGP信任网中信任是相互的——不管是在生活中还是在工作中只有相互信任,才能共同发展,信任是我们共同进步、发展的奠基石。培养社会责任感。
口令或私钥的泄密 公钥被篡改 删除的文件被恢复 病毒和特洛伊木马 物理安全受到侵犯 电磁泄露 暴露于多用户系统中 信息量分析 密码分析
PGP依赖于四个关键部分的安全性: ★对称加密算法IDEA ★公开加密算法RSA ★单向散列函数MD5 ★随机数产生器
• 并非只能用于邮件传输,任何支持MIME的传输机制都可使用,如HTTP • 对电子邮件最有效,因为必须保证邮件本身安全 • 认证机制依赖于层次结构的CA(Tree of Trust) • 证书格式采用X.509规范,但支持的厂商比较少
*
*
11.3 PGP标准
• Philip Zimmermann于1991年发布PGP 1.0 • 可在各种平台(Windows、UNIX等)免费运行 • 还可用于普通文件加密及军事目的 • 所用算法被证实为非常安全: 1)公钥加密算法RSA、DSS和Diffie-Hellman 2)对称加密算法IDEA、3DES和CAST-128 3)散列算法SHA-1
*
*
主要内容
11.1 电子邮件的安全威胁 11.2 安全电子邮件标准 11.3 PGP标准 11.3.1 PGP的功能 11.3.2 PGP消息格式及收发过程 11.3.3 PGP密钥的发布和管理 11.3.4 PGP的安全性分析
chap17 pgp
21
2013-12-31
PGP 的操作 – 电子邮件兼容性
•
•
PGP将会遇到发送二进制数据的问题 (例如加密的结 果)
但Email系统设计为仅支持可打印字符
•
•
因此PGP必须实现二进制流到ASCII字符的转换功能
采用基数-64转换算法
– –
maps 3 bytes to 4 printable chars also appends a CRC
服 务 器
用户代理: UNIX MH, Berkeley Mail, Elm和Mush 报文传输代理(MTA):UNIX sendmail RFC 821定义了SMTP协议。 RFC 822定义了在两个MTA之间采用RFC821标准传输的 函件报文格式
简单邮件传输协议
电子邮件的收取和发送过程(1)
简单邮件传输协议
电子邮件的收取和发送过程(3)
用 户 代 理 (发送邮件) SMTP (TCP 连接) 邮件 服务器
(发送邮件) SMTP (TCP 连接)
(发送邮件) SMTP
邮件 服务器
用 户 代 理
发送方 (发送邮件) SMTP 因特网
接收方
用户代理 用户代理 邮件缓存 发送端 邮件服务器 接收端 邮件服务器
(3)运行在发送端邮件服务器的 SMTP 客户进程,发现在邮件缓存中有 待发送的邮件,就向运行在接收端邮件服务器的 SMTP 服务器进程 发起 TCP 连接的建立。
简单邮件传输协议
电子邮件的收取和发送过程(4)
用 户 代 理
(发送邮件) SMTP 邮件 (TCP 连接) 服务器
(发送邮件) SMTP (TCP 连接) (发送邮件) SMTP
网络信息安全的电子邮件与通信保护
网络信息安全的电子邮件与通信保护在网络时代,电子邮件和通信成为人们日常生活中重要的沟通工具。
然而,随着互联网的普及,网络信息安全问题也日益凸显。
如何保护电子邮件和通信的安全,成为了用户和企业亟需解决的问题。
本文将从加密保护、账号安全和反网络钓鱼等方面,探讨网络信息安全的电子邮件与通信保护策略。
一、加密保护在网络信息传输过程中,保证数据的加密与解密是确保电子邮件与通信安全的重要环节。
加密技术可以将邮件和通信内容转化为不易被窃取或篡改的加密文本,防止第三方截取和获取敏感信息。
1. 对称加密算法对称加密算法是一种加密方式,它使用相同的密钥对数据进行加密和解密。
在电子邮件和通信过程中,使用对称加密算法可以确保信息的安全性。
常见的对称加密算法有DES、AES等。
2. 非对称加密算法非对称加密算法是通过同时使用公钥和私钥进行加密和解密的方式。
在电子邮件和通信保护中,发送方使用接收方的公钥进行加密,接收方使用自己的私钥进行解密。
非对称加密算法的常见代表是RSA算法。
3. 数字签名数字签名是一种验证信息完整性和真实性的加密技术。
发送方使用私钥对邮件或通信内容进行签名,接收方使用发送方的公钥对签名进行解密验证。
数字签名可以防止信息被篡改和伪造。
二、账号安全用户的账号是电子邮件和通信安全的第一道防线。
一个安全的账号可以有效预防恶意入侵和信息泄露。
1. 强密码设置强密码是保护账号安全的基本要求。
强密码应该包含字母、数字和特殊字符,长度应不少于8位。
此外,定期更换密码也是保护账号安全的重要措施。
2. 多因素身份验证多因素身份验证是通过结合两个或多个不同类型的身份验证方式,提高账号安全性。
常见的多因素身份验证方式包括短信验证码、指纹识别、面部识别等。
3. 防止钓鱼网站钓鱼网站是通过伪装成合法的网站进行信息收集和攻击的网络欺诈手段。
用户在登录和使用电子邮件和通信服务时,应警惕并防止点击垃圾邮件中的链接,避免进入钓鱼网站。
三、反网络钓鱼网络钓鱼是一种骗取用户信息的网络攻击手段。
《网络信息安全》12-电子邮件安全
《网络信息安全》12-电子邮件安全《网络信息安全——电子邮件安全》在当今数字化的时代,电子邮件已经成为人们日常沟通、工作交流以及信息传递的重要工具。
然而,很多人可能没有意识到,电子邮件在为我们带来便利的同时,也隐藏着诸多安全风险。
本文将深入探讨电子邮件安全的重要性以及我们应该如何保护自己的电子邮件免受威胁。
首先,我们来了解一下电子邮件可能面临的安全威胁有哪些。
最常见的一种就是垃圾邮件。
相信大家都不陌生,每天打开邮箱,总会有一堆不请自来的邮件,推销各种产品或服务,甚至包含一些欺诈信息。
这些垃圾邮件不仅烦人,还可能隐藏着恶意链接或附件,一旦不小心点击,就可能导致电脑中毒或者个人信息泄露。
其次是网络钓鱼邮件。
这类邮件通常伪装成来自合法机构,如银行、电商平台等,要求用户提供个人敏感信息,如用户名、密码、信用卡号等。
由于其伪装得十分逼真,很多人容易上当受骗。
还有一种威胁是病毒和恶意软件。
通过邮件附件传播的病毒和恶意软件可能会破坏您的计算机系统,窃取您的重要数据。
此外,电子邮件在传输过程中也可能被黑客截获和篡改。
如果邮件内容涉及重要的商业机密或个人隐私,那么后果不堪设想。
既然电子邮件面临这么多的安全威胁,我们应该如何加强电子邮件的安全性呢?第一步,选择一个可靠的电子邮件服务提供商至关重要。
知名的邮件服务提供商通常会有更强大的安全防护措施,如垃圾邮件过滤、病毒扫描等功能。
设置一个强密码是保护电子邮件安全的基础。
密码应该包含字母、数字和特殊字符,并且长度足够长。
同时,避免使用容易被猜到的生日、电话号码等作为密码。
启用双重身份验证能为电子邮件增加一道额外的安全防线。
除了输入密码,还需要通过手机验证码、指纹识别等方式进行二次验证,大大降低了账户被入侵的风险。
对于收到的邮件,要保持警惕。
不要轻易点击陌生邮件中的链接和下载附件。
如果邮件要求您提供个人敏感信息,一定要仔细核实发件人的身份。
定期清理您的电子邮箱,删除不必要的邮件,避免敏感信息的积累。
网络安全培训教程电子邮件安全篇
网络安全培训教程----电子邮件安全篇
2 S/MIME
MIME〔Multipurpose Internet Mail Extensions,多用途因特网邮件扩 展〕是一种因特网邮件标准化的格式,它允许以标准化的格式在电子邮件消 息中包含增强文本、音频、图形、视频和类似的信息。然而,MIME不提供 任何平安性元素—— S/MIME那么添加了这些元素。
2.电子邮件系统的组成
E-mail效劳是一种客户机/效劳器模式的应用, 一个电子邮件系统主要有以下两局部组成:
〔1〕客户机软件UA〔User Agent〕:用来处理 邮件,如邮件的编写、阅读和管理〔删除、排序 等〕;
〔2〕效劳器软件TA〔Transfer Agent〕:用来 传递邮件。
网络安全培训教程----电子邮件安全篇
要改变电子邮件身份,到电子邮件客户软件的邮件属性栏中,或者 Web页邮件账户页面上寻找“身份〞一栏,通常选择“回复地址〞。 回复地址的默认值正常来说,就是你的电子邮件地址和你的名字,但 在此,你可以任意更改。
网络安全培训教程----电子邮件安全篇
执行电子邮件欺骗常用的三种根本方法
〔1〕相似的电子邮件地址
〔2〕修改邮件客户
当用户发出一封电子邮件时,没有对发件人地址进展验证或者确认, 因此如果攻击者有一个像outlook的邮件客户,他能够进入并且指定 出现在发件人地址栏中的地址。
攻击者能够指定他想要的任何返回地址。因此当用户回信时,答复回 到真实的地址,而不是到被盗用了地址的人那里。
〔3〕远程联系,登录到端口25
另外还有MOSS、PEM等都是电子邮件的平安传输标准。
网络安全培训教程----PGP是一个基于公开密钥加密算法的应用 程序,该程序创造性在于把RSA公钥体系的 方便和传统加密体系的高速度结合起来, 并在数字签名和密钥认证管理机制上有巧 妙的设计。在此之后,PGP成为自由软件, 经过许多人的修改和完善逐渐成熟。
电子邮件安全
1、PGP操作描述
PGP提供五种服务:
认证 保密 压缩 电子邮件兼容性 分段
认证
1. 2. 3. 4. 5.
发送方创建消息; 用SHA-1生成消息的160比特散列码 ; 用发送方的私钥按RSA算法加密散列码,然后将结果附于 消息上; 接收方使用发送方的公钥按RSA解密,恢复散列码; 接收方从消息中生成新的散列码,并与得到的散列码进行 比较,匹配则认定接收到的消息真实,并来源于发送方。
PGP提供了将原始8比特二进制字节流转换为 ASCII码字符的功能。 基-64转换。
度,
PGP会自动将长消息分段,使之可以通过电子邮 件发送。 发送方分段在所有其他操作之后进行。 接收方重组在所有其他操作之前进行。
PGP操作总结
加密密钥和密钥环
随机数往往是用户击键产生,包括击键的时间和 击键值。
将旧的会话密钥和产生的随机数一起代入不规则 的算法得到不可预测的会话密钥。
密钥标识符
问题:
在用户拥有多个公钥/私钥对时,为了实现保密, 接收方怎么知道应该使用哪个私钥进行解密?为 了实现认证,接收方怎么知道应该使用发送方的 哪个公钥验证签名?
GPG公钥管理—信任的应用
例如正在处理用户A的公开密钥环,操作描述如下: (1)当A在公开密钥环中插入了新的公开密钥时,PGP为与这个 公开密钥拥有者相关联的信任标志赋值。插入KUa,则赋值=1终极信 任;否则,需说明这个拥有者是未知的、不可任信的、少量信任的和 完全可信的等。 (2)当新的公开密钥输入后,可以在它上面附加一个或多个签名,以后还 可以增加更多的签名。在实体中插入签名时,PGP在公开密钥环中搜 索,查看这个签名的作者是否属于已知的公开密钥拥有者。如果是, 为这个签名的SIGTRUST字段赋以该拥的者的OWNERTRUST值。否 则,赋以不认识的用户值。 (3)密钥合法性字段的值是在这个实体的签名信任字段的基础上计算的。 如果至少一个签名具有终极信任的值,那么密钥合法性字段的设置为 完全;否则,PGP计算信任值的权重和。对于总是可信任的签名赋以 1/x的权重,对于通常可信任的签名赋以权重1/y,其中x和y都是用户可 配置的参数。当介绍者的密钥/用户ID绑定的权重总达到1时,绑定被 认为是值得信任的,密钥合法性被设置为完全。因此,在没有终极信 任的情况下,需要至少x个签名总是可信的,或者至少y个签名是可信 的,或者上述两种情况的某种组合。
15电子邮件安全精品PPT课件
4、入侵检测:如果网络防线最终被攻破了, 需要及时发出被入侵的警报。
• 为了保证网络的安全,在软件方面可以有 两种选择:
– 一种是使用已经成熟的工具,比如抓数据包软 件Sniffer,网络扫描工具X-Scan等等;
– 另一种是自己编制程序,目前网络安全编程常 用的计算机语言为C、C++或者Perl语言。
• 电子邮件的安全需求:机密、完整、认证和不 可否认.
• 保证电子邮件的安全常用到两种端到端的安全 技术:
– PGP(Pretty Good Privacy)
– S/MIME(Secure Multi-Part Intermail Mail Extension)。
• 它们的主要功能就是身份的认证和传输数据的 加密。
功能
S/MIME的安全功能与PGP的安全功能相同,有加密和签 字,即:
(1)数据的封装:被封装的数据包括被加密的消息内容和 被加密的消息加密密钥。
(2)数据的签字:发方用自己的秘密钥对消息摘要的签字。 或者签字和消息内容一起经编码变换后,发给收方,仅当 收方也具有S/MIME的安全功能时,才能解读消息。
• 系统自动出现对话框,让用户选择要使用 的加密密钥,选中一个密钥,点击按钮 “OK” 。
• 目标文件被加密了,在当前目录下自动产 生一个新的文件。
• 打开加密后的文件时,程序自动要求输入 密码,输入建立该密钥时的密码。
使用PGP加密邮件
• PGP的主要功能是加密邮件,安装完毕后, PGP自动和Outlook或者Outlook Express关联。和Outlook Express关联。
这样的加密既有RSA算法的保密性(Privacy)和认证性 (Authentication),又保持了IDEA算法速度快的优势。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VBScript编写,且大多数采用附件的形式夹带在电 子邮件中。 4.邮件的安全问题:未加密的信息可能在传输中被 截获、偷看或篡改;如果邮件未经数字签名,用 户就无法肯定邮件是从哪里来的。
解决方法
• 要解决上述这些问题,可以从三个方面入手:
可操作性。使用PGP加密系统可以保证信息在计算机上的安全存储和在网络 上的安全传输。
内容
• 11.1 电子邮件安全概述 • 11.2 PGP • 11.3 PGP软件的使用 • 11.4 S/MIME • 11.5 垃圾邮件
• 电子邮件中主要存在的问题如下:
1.诈骗邮件:通常指那些带有恶意的欺诈性邮件。 2.邮件炸弹:指在短时间内向同一信箱发送大量电
消息
MD5函数
摘要
RSA签名
签名值
传输
PGP报文格式
11.2.7 PGP公开密钥所使用的认证方式
• 对于拟使用的任何公开密钥,原则上都应当进行鉴定。 • 人们之所以能够建立某种互相信任的关系,归纳起来,不外有三种方式:中心
控制式、金字塔式和网络式。目前切实可行的公开密钥认证方案,也不外乎有 以上几种。 • PGP在鉴别公开密钥真伪时,所使用的就是网络式。PGP一般使用私人方式的公 钥介绍机制,因为这样的非官方方式更能反映出人们自然的社会交往,而且人 们也能自由地选择信任的人来介绍。
第四部分 安全技术与产品
第11章 电子邮件安全及PGP
导读
• 信息加密是每一个普通用户都有权利和有能力使用的一种安全的通信技术。 • PGP(Pretty Good Privacy)是一个强有力的电子邮件加密系统。它是由许多
人开发,在国际互联网上广为传播的免费软件。 • 我们应该了解PGP系统的功能,研究它的可行性、方便性、安全性和认证的
• 1992年9月,PGP 2.0在欧洲发布。
11.2.2 PGP的功能
• PGP软件有3个主要功能:
(1)对存储在计算机上的文件加密。加密 的文件只能由知道密钥的人解密阅读。
(2)对电子邮件进行加密。经加密的电子 邮件只有收信人本人才能解密阅读。
(3)对文件或电子邮件作数字签名。收件 人可以用签名人的公开密钥签别真伪。
• 此外,为了方便使用,PGP软件还可以:
(1)对文件或电子邮件既加密又签名,这是PGP提供的 最安全的通信方式。
(2)为用户生成公/私钥对。 (3)为用户管理密钥。用户可以把通信人的公开密钥穿
在自己的公钥环上,取用时提供通信人地址即可。 (4)允许用户把所知的公开密钥签名并发给朋友。 (5)在得知密钥失效或泄密后,能够对该密钥取消或停
用。为了防止遗忘或意外,用户还可以对密钥做备 份。 (6)允许用户根据个人喜好和使用环境设置PGP。 (7)允许用户与国际互联网上的公开密钥服务器打交道。
11.2.3 PGP的算法
• PGP采用RSA算法和对称加密算法相混合的方法。 • PGP实际上并不用RSA来加密邮件内容,而是采用IDEA对称加密算法来对邮件内
端到端的安全电子邮件技术 传输层的安全电子邮件技术 保证邮件服务器的安全与可靠。
内容
• 11.1 电子邮件安全概述 • 11.2 PGP • 11.3 PGP软件的使用 • 11.4 S/MIME • 11.5 垃圾邮件
11.2.1 PGP的历史及概述
• PGP是Pretty Good Privacy的缩写,是一种长期在学 术界和技术界都得到广泛使用的安全邮件标准。
• 一个成熟的加密体系必然要有一个配套的成熟的密钥管理机制。
– 防止冒充公钥情况出现的最好办法是避免让 任何其他人有篡改公钥的机会,例如,直接 从小王手中得到他的公钥。然而当他在千里 之外或无法见到时,这是很难做到的。
– PGP采用了一种公钥介绍机制来解决这个问 题。
11.2.4 PGP对文件加解密的过程
11.2.8 PGP的安全性
• 从加密的理论基础和实际运用的可靠性分析来看,PGP加密系统属于较强的 加密系统。
• PGP公/私钥对的生成过程
用户标识信息
密钥长度 随机数
RSA密钥生成器
RSA公钥 RSA私钥
IDEA加密
用户口令
MD5函数
128位密钥
IDEA加密
公钥文件 私钥文件 随机数文件
11.2.6 PGP的数字签名技术
• PGP签名过程
用户口令
MD5函数
128位密钥
加密的RSA私钥
IDEA解密
RSA私钥
• PGP文件加密过程
用户口令
MD5函数
128位密钥
明文文件
IDEA加密
密文文件
• PGP文件解密过程
用户口令Βιβλιοθήκη MD5函数128位密钥
密文文件
IDEA解密
明文文件
11.2.5 PGP公/私钥对生成过程
生成公/私钥对时,用户要经过如下四个步骤: 1.密钥长度的选择:首先考虑的是安全因素,其次是
速度。选1024位的密钥应该是足够安全的,密钥的 长度并不影响加密和解密邮件或文件内容的速度, 只影响加密和解密128位会话密钥的速度以及签名 的速度。 2.提供用户标识信息:纯粹是为了标识生成的公开密 钥。 3.确定口令:是用户保护私钥和向PGP系统证明自己 是私钥主人的唯一依据。 4.做些随机的击键动作:是为了生成一个536位的伪 随机数发生器种子,它与PGP加密系统的安全性有 关。将每个人完成随机击键的时间差异放大来产生 随机数种子,比其它很多方式都安全有效。
容加密。 • 由于IDEA的加(解)密速度比RSA快得多,所以实际上PGP是用一个随机生成的密
钥(每个邮件均不相同)及IDEA算法对明文加密,然后再用RSA算法对该随机密钥 加密。收信人同样是用RSA解密出这个随机密钥,再用IDEA解密得到邮件明文。 ✓ PGP的创意有一半就在这一点上,另一半则在PGP的密钥管理上。
• PGP的特点是使用单向散列算法和公开密钥技术对 邮件内容进行签名,以保证信件内容无法被篡改且 不可否认;使用对称和非对称加密技术保证邮件内 容保密。
• 在PGP体系中,“信任”或是双方之间的直接关系, 或是通过第三者、第四者的间接关系。但无论哪种, 任意两方之间都是对等的,整个信任关系构成网状 结构,这就是所谓的信任网(Web of Trust)。