信息安全導(dǎo)論課程-ch-電子郵件安全

密碼編碼學(xué)與網(wǎng)絡(luò)安全

電子工業(yè)出版社2006-2007第15章電子郵件安全* 15.aSMTP/POP3 ↓15.1PGP ↓15.2S/MIME ↓* 15.b文件加密 ↓郵件安全電子郵件是最普及最重要，同時(shí)也最受安全問題困擾的互聯(lián)網(wǎng)應(yīng)用之一。電子郵件的特點(diǎn)是離線方式(非交互)，因此解決其安全問題的方法是靜態(tài)的，便于學(xué)習(xí)、分析和借鑒。15.aSMTP/POP3SMTP制做假冒郵件POP3IMAP,X.400,…E-Mail:@SMTPRFC821SMTP-SimpleMailTransferProtocolPOP3RFC1939POP3-PostOfficeProtocol–V3IMAPRFC2060InternetMessageAccessProtocolallowsaclienttoaccessandmanipulateelectronicmailmessagesonaserverX400X400isawholeofprotocolsadaptedtoEDIE-Mailsoftware*Client:Outlook/Exp,Foxmail,Eudora*Server:Sendmail,Exchange,Exim,Qmail,PostfixSMTPServerSurvey//958All401UNIXSendmail176WindowsMicrosoftExchangeorIISSMTP167UNIXqmail57WindowsIpswitchIMail23UNIXsmap15UNIXIBMPostfix,formerlyVMailer14UNIXExim12WindowsGordanoNTMailSMTPHELO<SP><domain><CRLF>MAIL<SP>FROM:<reverse-path><CRLF>RCPT<SP>TO:<forward-path><CRLF>DATA<CRLF>RSET<CRLF>SEND<SP>FROM:<reverse-path><CRLF>SOML<SP>FROM:<reverse-path><CRLF>SAML<SP>FROM:<reverse-path><CRLF>VRFY<SP><string><CRLF>EXPN<SP><string><CRLF>HELP[<SP><string>]<CRLF>NOOP<CRLF>QUIT<CRLF>TURN<CRLF>SMTPmodel+----------++----------++------+|||||User|<-->||SMTP||+------+|Sender-|Commands/Replies|Receiver-|+------+|SMTP|<-------------->|SMTP|+------+|File|<-->||andMail||<-->|File||System||||||System|+------++----------++----------++------+

Sender-SMTPReceiver-SMTPModelforSMTPUseExtendedSMTPrfc1869-

SMTPServiceExtensionsEHLO(ExtendedHELLO)ratherthanHELOSMTP會話SMTP

Session HELO\015\012 MAILFROM:abc@none\015\012 RCPTTO:xyz@where\015\012 DATA\015\012 Subject:test-sub\015\012\015\012 the_msg_body\015\012\056\015\012 QUIT\015\012*以TCP連接SMTPserver的25號端口，發(fā)送此序列即可發(fā)出簡單的郵件SMTP試驗(yàn)用telnet發(fā)信找個(gè)不要口令即可發(fā)信的SMTP服務(wù)器openrelay步驟見備注行編程MAILAPIinWindows在CGI/網(wǎng)頁中發(fā)送郵件在VBS腳本中發(fā)送OpenRelay準(zhǔn)備自己的SMTP服務(wù)器POP3Version3ofthePostOfficeProtocol.POP3isdefinedinRFC1081.POP3allowsaclientcomputertoretrieveelectronicmailfromaPOP3serverviaaTCP/IPorotherconnection.Itdoesnotprovideforsendingmail,whichisassumedtobedoneviaSMTPorsomeothermethod.

POP3POP3Server試驗(yàn)（inw2k3）測試帳號：口令是”passwd”或者”test”需要域名(免費(fèi))3322.org

IMAPIMAPwasdesignedasamodernalternativetothewidelyusedPOP3emailretrievalprotocolWhetherusingPOP3orIMAP4toretrievemessages,clientsusetheSMTPprotocoltosendmessagesIMAP4worksoveraTCP/IPconnectionusingnetworkport143IMAP4nativelysupportsencryptedloginmechanismsItisalsopossibletoencryptIMAP4trafficusingSSL,eitherbytunnelingIMAP4communicationsoverSSLonport993,orbyissuing"STARTTLS"withinanestablishedIMAP4sessionImportantcapabilitiesinIMAPbutnotPOP3include:…X.400ThesetofITU-Tcommunicationsstandardscoveringelectronicmailservicesprovidedbydatanetworks.X.400waswidelyusedinEuropeandCanada.X.400addressestendtobemuchlongerthanRFC822ones.Theyconsistofasetofbindingsforcountry(c),administrativedomain(a),primarymanagementdomain(p),surname(s),givenname(g).Forexample,theX.400addressc=gb;a=attmail;p=UniversalExport;s=Bond;g=James mightbeequivalenttoRFC822

SMTP/POP3安全問題竊聽sniffer偽造發(fā)信的隨意性抵賴郵件傳播病毒垃圾郵件EMA探IL安扶全增強(qiáng)PGPS/M租IME15.1螺PGP-Pret鋒tyG步ood亦Priv李acyPRZ牽case名dro效ppedPGP使用了張高強(qiáng)度主的算法密、適應(yīng)絹性強(qiáng)、偏源碼公允開Cas蛛eR孔ead釘ingPhil碌ipR忌.Zi斤mmer第mann是Pre信tty焰Go徑od畜Pri朝vac荷y,一個(gè)郵件糾加密軟件百的開創(chuàng)者.PG捧P于199眾1年在Int北ern昌et上免費(fèi)的騾發(fā)布,它的最達(dá)初設(shè)計(jì)凍目標(biāo)是云一個(gè)保交護(hù)人權(quán)撤的工具.由于PGP在世界四范圍的熔傳播違謝反了美重國政府秩關(guān)于加載密軟件巷的出口杜限制,Zi組mmer扭mann受到了為渣期三年刑毛事調(diào)查.盡管缺少慎資金,缺少任墻何付酬愁員工,缺少在寨后面支廳持的一費(fèi)個(gè)公司,還有著濟(jì)政府的點(diǎn)煩擾,P竹GP仍然成灰為了世積界上使蹤蝶用最為繡廣泛的福郵件加倘密軟件.1逐996年初,在政府撤溝手這個(gè)案踏子之后,Zi嶄mmer嗓mann創(chuàng)立了PGP公司.19戰(zhàn)97年12月,公司被Net拍wor恰kA美sso概cia頑tes我In斃c(N徑AI)收購,在那里資他做了刺三年的偏高級職奔員.2樂002年8月,P東GP被一家名餡叫PGP有限公制司的新班公司從NAI購得,Zi具mmer鴨mann在那里例擔(dān)任特場殊顧問禾和咨詢.獲得P虹GP使用PGP(注冊)產(chǎn)生私鑰名字、ema快il帳號、RSA/漂1024、有效期口令保護(hù)導(dǎo)入/導(dǎo)出公鑰/私鑰加密/簽名郵件文件(+自解密exe文件)剪貼板虛擬磁遍盤分區(qū)為了交換陰：用自己震的私鑰簽瓦名，用別人的腐公鑰加密為了存嚴(yán)儲：用開自己的臥公鑰加隱密（此時(shí)拌接收者讓是未來衛(wèi)的自己鋼）PGP課跨堂演示$推薦版楚本PGP避6.摘5.8(PG質(zhì)P8艦.02需注冊!)練習(xí)：府請課后綢使用PGP并給出鋸試用報(bào)控告郵件的搶認(rèn)證欲-簽均名發(fā)送方拘創(chuàng)建郵千件報(bào)文產(chǎn)生SHA-曲1值160比特用RSA私鑰簽名怨，簽名值旗放在報(bào)文上前面接收方鑒叨別來源人用發(fā)送者非的公鑰解鍵密簽名，訓(xùn)獲得160比特SHA-竭1值該值于姻明文的SHA-跑1值比較郵件的保歷密性-觀加密發(fā)送產(chǎn)生(12喂8b)隨機(jī)數(shù)管作為會哪話密鑰選擇合適配的算法(DES棉)加密報(bào)敲文用RSA算法/接收者的混公鑰加密將會話密鑰蔑，放在報(bào)悉文前面接收用自己的RSA私鑰解謠密獲得賣會話密螞鑰用會話密充鑰解密獲正得明文其他加密和簽源名結(jié)合先簽名,后對稱灣加密,再把會越話密鑰廈用公鑰濃保護(hù)壓縮簽名之后,加密之前節(jié)省帶寬微、增強(qiáng)安墾全強(qiáng)度（殲減少了冗牧余信息）編碼BAS煌E64BAS裝E64牽En賄cod晉eRad溜ix-雖64每6bi說ts編碼為A…Z,莖a…z飯,0…誓9,+義,/=(p味addi奮ng)每3by住tes奮(24專bit下s)編碼為4ASC雀s若余1字節(jié),則補(bǔ)2個(gè)=若余2字節(jié),則補(bǔ)1個(gè)=概括為編貫碼為4的倍數(shù)見備注行LZ7霜7壓縮吃葡萄不班吐葡萄皮嗚不吃葡萄問倒吐葡萄償皮吃葡萄不感吐□□皮□□□□倒□□□□PGP中胸對報(bào)文的館操作PGP徹報(bào)文格左式PGP中敲的報(bào)文傳揪輸PGP蓄密鑰管端理私鑰產(chǎn)生，未需要隨詞機(jī)數(shù)種湖子用口令保您護(hù)口令的SHA惹1值做為key加密保南護(hù)之會話密鑰產(chǎn)生用來加密務(wù)報(bào)文主體被公鑰保冷護(hù)密鑰標(biāo)識榨符用來區(qū)銳分一個(gè)排用戶的拖多個(gè)公擊鑰取公鑰的舟低64b伙its為標(biāo)識密鑰環(huán)，炒就是表私鑰環(huán)，舒是自己所潛擁有的私櫻鑰的表公鑰環(huán)致，是自蝦己所知這道的別止人的公臥鑰的表公鑰信幅任管理直接索要交流公鑰環(huán)信任能夠齡傳遞(嗎?)查目錄證書CA公鑰的廢麥止簽名聲磚明學(xué)習(xí)分趴析PG今P源程日序關(guān)心其闖主要技趣術(shù)的方妹法和思繳路加密算法馳相關(guān)部分編碼相關(guān)其他PGP繞Di冶sk有由文件狐虛擬一個(gè)催磁盤時(shí)用霉到的驅(qū)動(dòng)饒的源代碼(?)需要DDKPGP起VP勵(lì)NPGP悲Fo性ne多(ph予one晌)磁盤擦除亦功能(wi頂pe)GPGPGP相陣關(guān)規(guī)范15.徒2S濾/MI艷MERFC親82亦1/2MIMES/MI抱MES/M當(dāng)IME顏術(shù)語RFC點(diǎn)82搖2Date猜:Mo故n,1映9Ma沖y20馳032駕3:0:危33+捕0800Fro鑰m:買“so妻meo沫ne”搞<so連meo錄ne@靈non祝e.c之om>To:勞“som幫eoth伐er”<鑄some栽othe辱r@no峽ne.c牙om>Subj苦ect:互hel抗loHow閱are狐youRFC徒82繁2-妖St膀and努ard刻Fo旱rT箭he燙For鼠mat愿Of裂AR趁PA報(bào)Int爭ern字et城Tex撿tM折ess庭age天sSMTP劍/822許局限SMT莫P不能傳擁輸二進(jìn)櫻制數(shù)據(jù)只能傳輸7b字符SMT威P和X400的兼容問會題X.4網(wǎng)00洪is班as伙eri敬es抽of彈rec育omm沖end滲ati寄ons汽wh夸ich慌de進(jìn)fin機(jī)et熄he趴bas簡ic寨inf跌ras涂tru踩ctu莖re對of版am務(wù)ess憲agi碎ng診sys秘tem爭.in齡Ele品ctr糕oni鑰cb襖usi狐nes趟sD與ata揪In饅ter茫cha旦ngeRFC曉13向27邪-M沒app疫ing迅be撇twe裳en止X.4婆00(證198米8)歉/I攻SO塊100吳21殼and溜RF湖C8跑22MIM千EMIMEasp塘ecif不icat沾ion紗forthe吹fo斥rma鞏to像fn織on-蓮tex巧te期-ma擋il膽att播ach森men吊tsthat鮮all筍ows隔the混atta征chme郊ntt踐obe趁sen狹tov科ert果heI鍬nter王net.MIM緩Ea隸llo社ws俗you健rm腎ail遵cl視ien己to粒rW氧eb匙bro偷wse獎(jiǎng)rt交os鐵end辭an刪dr摟ece艇ive瞎th飼ing巖sl繞ike綱sp佛rea嗓dsh撥eet帖sa潤nd字aud末io,確vi衡deo色an揀dg灰rap漂hic陪sf或ile憤sv哄ia互Int斃ern泛et恭mai適l.例子在OE中另存為.em迅l文件，倦則內(nèi)容床如下MIME濤Spe我cifi桂cati受onMIME螞概述新的報(bào)文劉頭字段MIM謙E-V喚ers趁ionCont值ent-餡TypeCon駐ten鍛t-T也ran忽sfe游r-E治nco框din滑gCont娃end-吹ID*Cont歇end-詢Desc姨ript央ion*定義了內(nèi)機(jī)容格式定義了輛傳送編溫碼MIME甘Con殘tent踐Typ地eTex櫻tPlai割nEnr談ich置edMult否ipar夾tMix雨edPar唱all療elDige遲stMes扛sag套erfc8艙22Par鴨tia捎lExte乘rnal集-bod償yIma鈔gejpe嘆ggifVide遞ompe潤gAudi虧oBas菌icAppl眼icat芳ionPos御tSc童rip洪tOcte鏟t-st勿reamMIME莫enc懇odin扶g7bi項(xiàng)t8bi膀tbina松ryquo考ted津-pr胖int灑abl堵ebase碑64x-t下oke氏nMIM醒E例子LOOKMIME廚in怠HTTP閱讀材照料（佚名嗓）S/M衫IME脹安全簽名和/或加密類似PGPclea鍵r-si匆gned明文||b偉64編碼的頂簽名優(yōu)點(diǎn)是不城能驗(yàn)證時(shí)卡也能看明澇文算法DSS/臥DSA、RSA、ElGa金mal疫*op征tRC2站(40痰ex表por恐t)、3DE從SSHA暗1、MD5S/M敞IME偶報(bào)文內(nèi)容類群型Mult單ipar愚tSign秋ed(雜clea猛r)Appl蹈icat警ionpkc青s7-扯mim復(fù)e s煩ign刷ed-奮dat滴apkcs移7-mi冤mee宅nvel障oped劫-dat稿apkc足s7-刷mim眠ed懂ege扭ner諸ate爹ds哲ign中ed-附dat悅apkc則s7-長sig龍nat粘urepkc殼s10渴-mi沖meS/MI冰ME操作施方法封裝生成偽隨賄機(jī)數(shù)做為疼會話密鑰用對方漸公鑰加車密會話盯密鑰自己的證頁書、對方仙的鑰標(biāo)識ID用對稱軟算法加堪密數(shù)據(jù)簽名擇散列蜻算法并獄計(jì)算散對列值用自己什的私鑰本簽名自己的證童書、摘要工算法標(biāo)識腔、對方的婆鑰IDClea慢r-si削gnedS/MI振ME證書午/公鑰內(nèi)容類型注冊請求證書報(bào)文SMI捷ME用戶代理生成密鑰高，保護(hù)申請證書存管Veri延SignX509崇v3證書分類：cla別ss稈1、2、3參見IE’內(nèi)容－歪證書S/M蝦IME數(shù)試驗(yàn)Out鞭loo悲kE塌xp發(fā)送安全顏郵件需要證書/私鑰建議的勸方法用sni男ffe漲r查看用另存為.em垮l格式文乘件查看報(bào)告實(shí)逢驗(yàn)過程Ref錯(cuò)er15.b分文件加鐵密PGP的摸文件加密EFS外(NT蟲FS)賢in防Wi善ndo好ws學(xué)習(xí)某腫案例推薦題目文件加密泰程序用口令衍祖生密鑰的墊對稱加密校驗(yàn)可選對兆稱算法用公鑰的嫌加密用偽隨泥機(jī)數(shù)做斤為密鑰用公鑰羅加密保蛾護(hù)數(shù)據(jù)可以使用集自己的公傘鑰(為存儲)磁盤分者區(qū)加密直接的擁硬件支航持大文件炕模擬硬全盤(此時(shí)退化約為文件加可密)EFSWind壺ows里的文腎件加密EFS猜(須NTF滲S)試驗(yàn)這個(gè)慕功能先以一強(qiáng)個(gè)一般址用戶的洲身份加吊密，再稻試圖用碧管理員罵權(quán)限讀一般不同盒用戶的文角件的互訪鋪問可能(?)關(guān)于備稍份員案例分析先看一呆個(gè)短文Goog遙le