信息安全導(dǎo)論課程-ch-電子郵件安全

密碼編碼學(xué)與網(wǎng)絡(luò)安全

電子工業(yè)出版社2006-2007第15章電子郵件安全* 15.aSMTP/POP3 ↓15.1PGP ↓15.2S/MIME ↓* 15.b文件加密 ↓郵件安全電子郵件是最普及最重要，同時(shí)也最受安全問題困擾的互聯(lián)網(wǎng)應(yīng)用之一。電子郵件的特點(diǎn)是離線方式(非交互)，因此解決其安全問題的方法是靜態(tài)的，便于學(xué)習(xí)、分析和借鑒。15.aSMTP/POP3SMTP制做假冒郵件POP3IMAP,X.400,…E-Mail:@SMTPRFC821SMTP-SimpleMailTransferProtocolPOP3RFC1939POP3-PostOfficeProtocol–V3IMAPRFC2060InternetMessageAccessProtocolallowsaclienttoaccessandmanipulateelectronicmailmessagesonaserverX400X400isawholeofprotocolsadaptedtoEDIE-Mailsoftware*Client:Outlook/Exp,Foxmail,Eudora*Server:Sendmail,Exchange,Exim,Qmail,PostfixSMTPServerSurvey//958All401UNIXSendmail176WindowsMicrosoftExchangeorIISSMTP167UNIXqmail57WindowsIpswitchIMail23UNIXsmap15UNIXIBMPostfix,formerlyVMailer14UNIXExim12WindowsGordanoNTMailSMTPHELO<SP><domain><CRLF>MAIL<SP>FROM:<reverse-path><CRLF>RCPT<SP>TO:<forward-path><CRLF>DATA<CRLF>RSET<CRLF>SEND<SP>FROM:<reverse-path><CRLF>SOML<SP>FROM:<reverse-path><CRLF>SAML<SP>FROM:<reverse-path><CRLF>VRFY<SP><string><CRLF>EXPN<SP><string><CRLF>HELP[<SP><string>]<CRLF>NOOP<CRLF>QUIT<CRLF>TURN<CRLF>SMTPmodel+----------++----------++------+|||||User|<-->||SMTP||+------+|Sender-|Commands/Replies|Receiver-|+------+|SMTP|<-------------->|SMTP|+------+|File|<-->||andMail||<-->|File||System||||||System|+------++----------++----------++------+

Sender-SMTPReceiver-SMTPModelforSMTPUseExtendedSMTPrfc1869-

SMTPServiceExtensionsEHLO(ExtendedHELLO)ratherthanHELOSMTP會(huì)話話SMTPSessionHELO\015\012MAILFROM:abc@none\015\012RCPTTO:xyz@where\015\012DATA\015\012Subject:test-sub\015\012\015\012the_msg_body\015\012\056\015\012QUIT\015\012*以TCP連接SMTPserver的25號(hào)端口，發(fā)送送此序列即可可發(fā)出簡單的的郵件SMTP試驗(yàn)驗(yàn)用telnet發(fā)信找個(gè)不要口令令即可發(fā)信的的SMTP服務(wù)器openrelay步驟見備注行行編程MAILAPIinWindows在CGI/網(wǎng)頁中發(fā)送郵郵件在VBS腳本中發(fā)送OpenRelay準(zhǔn)備自己的SMTP服務(wù)器POP3Version3ofthePostOfficeProtocol.POP3isdefinedinRFC1081.POP3allowsaclientcomputertoretrieveelectronicmailfromaPOP3serverviaaTCP/IPorotherconnection.Itdoesnotprovideforsendingmail,whichisassumedtobedoneviaSMTPorsomeothermethod.POP3POP3Server試驗(yàn)（inw2k3）測試帳號(hào)：test@口令是”passwd”或者”test””SMTP:POP3:需要域名(免費(fèi))3322.orgIMAPIMAPwasdesignedasamodernalternativetothewidelyusedPOP3emailretrievalprotocolWhetherusingPOP3orIMAP4toretrievemessages,clientsusetheSMTPprotocoltosendmessagesIMAP4worksoveraTCP/IPconnectionusingnetworkport143IMAP4nativelysupportsencryptedloginmechanismsItisalsopossibletoencryptIMAP4trafficusingSSL,eitherbytunnelingIMAP4communicationsoverSSLonport993,orbyissuing"STARTTLS"withinanestablishedIMAP4sessionImportantcapabilitiesinIMAPbutnotPOP3include:…X.400ThesetofITU-Tcommunicationsstandardscoveringelectronicmailservicesprovidedbydatanetworks.X.400waswidelyusedinEuropeandCanada.X.400addressestendtobemuchlongerthanRFC822ones.Theyconsistofasetofbindingsforcountry(c),administrativedomain(a),primarymanagementdomain(p),surname(s),givenname(g).Forexample,theX.400addressc=gb;a=attmail;p=UniversalExport;s=Bond;g=JamesmightbeequivalenttoRFC822James.Bond@UniversalExport.co.ukSMTP/POP3安全全問題竊聽sniffer偽造發(fā)信的隨意性性抵賴郵件傳播病毒毒垃圾郵件EMAIL安安全增強(qiáng)PGPS/MIME15.1PGP-PrettyGoodPrivacyPRZcasedroppedPGP使用了高強(qiáng)度度的算法、適適應(yīng)性強(qiáng)、源源碼公開CaseReadingPhilipR.Zimmermann是PrettyGoodPrivacy,一個(gè)郵件加密密軟件的開創(chuàng)創(chuàng)者.PGP于1991年在Internet上免費(fèi)的發(fā)布布,它的最初設(shè)計(jì)計(jì)目標(biāo)是一個(gè)個(gè)保護(hù)人權(quán)的的工具.由于PGP在世界范圍的的傳播違反了了美國政府關(guān)關(guān)于加密軟件件的出口限制制,Zimmermann受到了為期三三年刑事調(diào)查查.盡管缺少資金金,缺少任何付酬酬員工,缺少在后面支支持的一個(gè)公公司,還有著政府的的煩擾,PGP仍然成為了世世界上使用最最為廣泛的郵郵件加密軟件件.1996年初,在政府撤手這這個(gè)案子之后后,Zimmermann創(chuàng)立了PGP公司.1997年12月,公司被NetworkAssociatesInc(NAI)收購,在那里他做了了三年的高級(jí)級(jí)職員.2002年8月,PGP被一家名叫PGP有限公司的新新公司從NAI購得,Zimmermann在那里擔(dān)任特特殊顧問和咨咨詢.獲得PGP使用PGP(注冊)產(chǎn)生私鑰名字、email帳號(hào)、RSA/1024、有效期口令保護(hù)導(dǎo)入/導(dǎo)出公鑰/私鑰加密/簽名郵件文件(+自解密exe文件)剪貼板虛擬磁盤分區(qū)區(qū)為了交換：用用自己的私鑰鑰簽名，用別人的公鑰鑰加密為了存儲(chǔ)：用用自己的公鑰鑰加密（此時(shí)接收者者是未來的自自己）PGP課堂堂演示$推薦版本PGP6.5.8(PGP8.02需注冊!)練習(xí)：請課課后使用PGP并給出試用用報(bào)告郵件的認(rèn)證證-簽簽名發(fā)送方創(chuàng)建建郵件報(bào)文文產(chǎn)生SHA-1值160比特用RSA私鑰簽名，，簽名值放放在報(bào)文前前面接收方鑒別別來源人用發(fā)送者的的公鑰解密密簽名，獲獲得160比特SHA-1值該值于明文文的SHA-1值比較郵件的保密密性-加加密發(fā)送產(chǎn)生(128b)隨機(jī)數(shù)作為為會(huì)話密鑰鑰選擇合適的的算法(DES)加密報(bào)文用RSA算法/接收者的公公鑰加密會(huì)會(huì)話密鑰，，放在報(bào)文文前面接收用自己的RSA私鑰解密獲獲得會(huì)話密密鑰用會(huì)話密鑰鑰解密獲得得明文其他加密和簽名名結(jié)合先簽名,后對稱加密密,再把會(huì)話密密鑰用公鑰鑰保護(hù)壓縮簽名之后,加密之前節(jié)省帶寬、、增強(qiáng)安全全強(qiáng)度（減減少了冗余余信息）編碼BASE64BASE64EncodeRadix-64每6bits編碼為A…Z,a…z,0…9,+,/=(padding)每3bytes(24bits)編碼為4ASCs若余1字節(jié),則補(bǔ)2個(gè)=若余2字節(jié),則補(bǔ)1個(gè)=概括為編碼碼為4的倍數(shù)見備注行LZ77壓壓縮吃葡萄不吐吐葡萄皮不不吃葡萄倒倒吐葡萄皮皮吃葡萄不吐吐□□皮□□□□倒□□□□PGP中對對報(bào)文的操操作PGP報(bào)文文格式PGP中的的報(bào)文傳輸輸PGP密鑰鑰管理私鑰產(chǎn)生，需要要隨機(jī)數(shù)種種子用口令保護(hù)護(hù)口令的SHA1值做為key加密保護(hù)之之會(huì)話密鑰產(chǎn)生用來加密報(bào)報(bào)文主體被公鑰保護(hù)護(hù)密鑰標(biāo)識(shí)符符用來區(qū)分一一個(gè)用戶的的多個(gè)公鑰鑰取公鑰的低低64bits為標(biāo)識(shí)密鑰環(huán)，就就是表私鑰環(huán)，是是自己所擁擁有的私鑰鑰的表公鑰環(huán)，是是自己所知知道的別人人的公鑰的的表公鑰信任管管理直接索要交流公鑰環(huán)信任能夠傳傳遞(嗎?)查目錄證書CA公鑰的廢止止簽名聲明學(xué)習(xí)分析PGP源程程序關(guān)心其主要要技術(shù)的方方法和思路路加密算法相相關(guān)部分編碼相關(guān)其他PGPDisk有由文件虛虛擬一個(gè)磁磁盤時(shí)用到到的驅(qū)動(dòng)的的源代碼(?)需要DDKPGPVPNPGPFone(phone)磁盤擦除功功能(wipe)GPGPGP相關(guān)關(guān)規(guī)范15.2S/MIMERFC821/2MIMES/MIMES/MIME術(shù)語RFC822Date:Mon,19May200323:0:33+0800From:“someone”<someone@>To:““someother”<someother@>Subject:helloHowareyouRFC822-StandardForTheFormatOfARPAInternetTextMessagesSMTP/822局局限SMTP不能傳輸二二進(jìn)制數(shù)據(jù)據(jù)只能傳輸7b字符SMTP和X400的兼容問題題X.400isaseriesofrecommendationswhichdefinethebasicinfrastructureofamessagingsystem.inElectronicbusinessDataInterchangeRFC1327-MappingbetweenX.400(1988)/ISO10021andRFC822MIMEMIMEaspecificationfortheformatofnon-texte-mailattachmentsthatallowstheattachmenttobesentovertheInternet.MIMEallowsyourmailclientorWebbrowsertosendandreceivethingslikespreadsheetsandaudio,videoandgraphicsfilesviaInternetmail.例子在OE中另存為.eml文件，則內(nèi)內(nèi)容如下MIMESpecificationMIME概概述新的報(bào)文頭頭字段MIME-VersionContent-TypeContent-Transfer-EncodingContend-ID*Contend-Description*定義了內(nèi)容容格式定義了傳送送編碼MIMEContentTypeTextPlainEnrichedMultipartMixedParallelDigestMessagerfc822PartialExternal-bodyImagejpeggifVideompegAudioBasicApplicationPostScriptOctet-streamMIMEencoding7bit8bitbinaryquoted-printablebase64x-tokenMIME例例子LOOKMIMEinHTTP閱讀材料（佚名）S/MIME安全簽名和/或加密類似PGPclear-signed明文||b64編碼的簽名名優(yōu)點(diǎn)是不能能驗(yàn)證時(shí)也也能看明文文算法DSS/DSA、RSA、ElGamal*optRC2(40export)、3DESSHA1、MD5S/MIME報(bào)文內(nèi)容類型MultipartSigned(clear)Applicationpkcs7-mime signed-datapkcs7-mimeenveloped-datapkcs7-mimedegeneratedsigned-datapkcs7-signaturepkcs10-mimeS/MIME操作方方法封裝生成偽隨機(jī)機(jī)數(shù)做為會(huì)會(huì)話密鑰用對方公鑰鑰加密會(huì)話話密鑰自己的證書書、對方的的鑰標(biāo)識(shí)ID用對稱算法法加密數(shù)據(jù)據(jù)簽名擇散列算法法并計(jì)算散散列值用自己的私私鑰簽名自己的證書書、摘要算算法標(biāo)識(shí)、、對方的鑰鑰IDClear-signedS/MIME證書/公鑰內(nèi)容類型注冊請求證書報(bào)文SMIME用戶代理生成密鑰，，保護(hù)申請證書存管VeriSignX509v3證書分類：class1、2、3參見IE’內(nèi)容－證書書S/MIME試驗(yàn)OutlookExp發(fā)送安全郵郵件需要證書/私鑰建議的方法法用sniffer查看用另存為.eml格式文件查查看報(bào)告實(shí)驗(yàn)過過程Refer15.b文文件加密密PGP的文文件加密EFS(NTFS)inWindows學(xué)習(xí)某案例例推薦題目文件加密程程序用口令衍生生密鑰的對對稱加密校驗(yàn)可選對稱算算法用公鑰的加加密用偽隨機(jī)數(shù)數(shù)做為密鑰鑰用公鑰加密密保護(hù)數(shù)據(jù)據(jù)可以使用自自己的公鑰鑰(為存儲(chǔ))磁盤分區(qū)加加密直接的硬件件支持大文件模擬擬硬盤(此時(shí)退化為為文件加密密)