計算機(jī)網(wǎng)絡(luò)安全原理（第2版）課件 第10章 電子郵件安全

第十章電子郵件安全內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問題1電子郵件安全需求電子郵件安全基于SMTP、POP3/IMAP等協(xié)議的電子郵件系統(tǒng)沒有采取必要的安全防護(hù)措施，導(dǎo)致：郵件內(nèi)容被竊聽垃圾郵件（Spam）郵件炸彈傳播惡意代碼（釣魚郵件）電子郵件欺騙電子郵件安全安全措施：端到端的安全電子郵件技術(shù)，保證郵件從發(fā)出到接收的整個過程中，內(nèi)容保密、無法修改且不可否認(rèn)傳輸安全增強(qiáng)技術(shù)，在網(wǎng)絡(luò)層或傳輸層使用安全協(xié)議（IPsec,SSL/TLS）來保證應(yīng)用層的電子郵件在安全的傳輸通道上進(jìn)行傳輸郵件服務(wù)器安全增強(qiáng)電子郵件安全安全措施：郵件發(fā)送方身份驗證：發(fā)件人策略框架SPF協(xié)議（RFC7208,…），用于查詢發(fā)送域經(jīng)過的SMTP服務(wù)器是否在發(fā)送域指定允許的IP段內(nèi)；2004年起草并于2011年標(biāo)準(zhǔn)化了DKIM協(xié)議（RFC6376,…），不僅可以檢查發(fā)件人身份信息，還能檢測發(fā)件內(nèi)容是否被篡改；2015年頒布了為SPF和DKIM協(xié)議提供反饋機(jī)制的DMARC協(xié)議（RFC7489,…）電子郵件安全安全措施：SPF、DKIM與DMARC電子郵件安全內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問題1端到端的安全電子郵件標(biāo)準(zhǔn)和協(xié)議主要有三種PEM(PrivacyEnhancedMail，隱私增強(qiáng)電子郵件)：S/MIME(Secure/MultipurposeInternetMailExtensions，安全/多用途因特網(wǎng)郵件擴(kuò)展)PGP(PrettyGoodPrivacy，優(yōu)良隱私保護(hù))安全電子郵件標(biāo)準(zhǔn)由美國RSA實驗室基于RSA和DES算法開發(fā)的安全電子郵件方案。它在電子郵件標(biāo)準(zhǔn)格式上增加了加密、認(rèn)證、消息完整性保護(hù)和密鑰管理功能。由于PEM在MIME之前提出的，因此它并不支持MIME，只支持文本信息。PEM依賴于PKI并遵循X.509認(rèn)證協(xié)議，而當(dāng)時要建立一個可用的PKI并不是一件容易的事PEMS/MIME基于PEM，使用RSA提出的PKCS和MIME來增強(qiáng)Email的安全（對郵件主體進(jìn)行消息完整性保護(hù)、簽名和加密后作為附件發(fā)送）S/MIMEv1是1995年完成的（MIME是1992年推出的），v2在IETF的RFC2311和RFC2312中定義，v3在RFC3850和RFC3851中定義（這些RFC是信息文件，而不是標(biāo)準(zhǔn)或建議的標(biāo)準(zhǔn)）S/MIME不僅用于實現(xiàn)安全電子郵件傳輸，任何支持MIME格式的數(shù)據(jù)傳輸機(jī)制或協(xié)議（如HTTP）均可用S/MIMES/MIMES/MIMEPGP由美國人菲利普·齊默爾曼于1991年開發(fā)出來的。PGP既是一個特定的安全電子郵件應(yīng)用軟件，也是一個安全電子郵件標(biāo)準(zhǔn)。1997年7月，PGPInc.與齊默爾曼同意由IETF制定一項公開的互聯(lián)網(wǎng)安全電子郵件標(biāo)準(zhǔn)，稱作OpenPGP，RFC2440,3156,4880,5581,6637等OSF開發(fā)了“GnuPG”（GPG）：Gpg4win,KGPG,Seahorse,MacGPG,iPGMail,OpenKeychain等OpenPGP聯(lián)盟（）PGP

PGP最常用于安全電子郵件傳輸，但它也可以用于任何需要保證傳輸機(jī)密性、完整性和認(rèn)證的應(yīng)用中。齊默曼開發(fā)PGP的故事PGPPGP功能一、PGP基本原理問題：電子郵件傳輸安全PGP發(fā)送和接收郵件過程PGP這種加密方法（對稱加密和公開加密結(jié)合）名稱是什么？PGP加密過程用偽隨機(jī)數(shù)生成器生成會話密鑰。用公鑰密碼加密會話密鑰。壓縮消息。使用對稱密碼對壓縮的消息進(jìn)行加密，這里使用的密鑰是步驟1中生成的會話密鑰。將加密的會話密鑰（步驟2）與加密的消息（步驟4）拼合起來。將步驟5的結(jié)果轉(zhuǎn)換為文本數(shù)據(jù)，轉(zhuǎn)換后的結(jié)果就是報文數(shù)據(jù)。PGP解密過程接收者輸入解密的口令。求口令的散列值，生成用于解密私鑰的密鑰。將鑰匙串中經(jīng)過加密的私鑰進(jìn)行解密，得到接收者的私鑰。將報文數(shù)據(jù)（文本數(shù)據(jù)）轉(zhuǎn)換成二進(jìn)制數(shù)據(jù)。將二進(jìn)制數(shù)據(jù)分解成兩部分：加密的會話密鑰、經(jīng)過壓縮和加密的消息。用公鑰密碼解密會話密鑰，這里使用步驟3中生成的接收者的私鑰。對步驟5中得到的經(jīng)過壓縮和加密的消息用對稱密碼進(jìn)行解密，這里使用了步驟6中生成的會話密鑰。對步驟7中得到的經(jīng)過壓縮的消息進(jìn)行解壓縮。得到原始消息。加密和解密的過程中，會話密鑰和消息的變化情況PGP加解密發(fā)送者輸入簽名用的口令。求口令的散列值，生成用于解密私鑰的密鑰。將鑰匙串中經(jīng)過加密的私鑰進(jìn)行解密。用單向散列函數(shù)計算消息的散列值對步驟4中得到的散列值進(jìn)行簽名。這一步相對于使用步驟3中得到的私鑰進(jìn)行加密。將步驟5中生成的數(shù)字簽名與消息進(jìn)行拼合。將步驟6中的結(jié)果進(jìn)行壓縮。將步驟7的結(jié)果轉(zhuǎn)換為文本數(shù)據(jù)步驟8的結(jié)果就是報文數(shù)據(jù)。生成簽名將報文數(shù)據(jù)（文本數(shù)據(jù)）轉(zhuǎn)換為二進(jìn)制數(shù)據(jù)。將經(jīng)過壓縮的數(shù)據(jù)進(jìn)行解壓縮。將解壓縮后的數(shù)據(jù)分解成經(jīng)過簽名的散列值和消息兩部分。將經(jīng)過簽名的散列值（經(jīng)過加密的散列值）用發(fā)送者的公鑰進(jìn)行解密，恢復(fù)出發(fā)送者發(fā)送的散列值。將步驟3中分解出的消息輸入單向散列函數(shù)計算散列值。將步驟4中得到的散列值與步驟5中得到的散列值進(jìn)行對比。如果步驟6的結(jié)果相等則數(shù)字簽名驗證成功，不相等則驗證失敗。步驟3中分解出的消息就是發(fā)送者發(fā)送的消息。驗證簽名生成和驗證數(shù)字簽名的過程中，散列值和消息的變化情況簽名過程壓縮、加密并簽名解壓、解密并驗證簽名壓縮、加密并簽名過程“生成數(shù)據(jù)簽名并加密”和“解密并驗證數(shù)字簽名”的步驟中，散列值、會話密鑰和消息的變化情況討論：簽名、加密、壓縮的順序問題PGP發(fā)送和接收郵件過程討論：兼容性考慮（Base64編碼）為什么要進(jìn)行Base64編碼？對性能的影響如何？PGP發(fā)送和接收郵件過程討論：分段與重裝為什么要分段？如果分段，會話密鑰部分和簽名部分在第幾個報文段？PGP發(fā)送和接收郵件過程PGP消息格式接收者的公鑰標(biāo)識（KIDB）發(fā)送者的公鑰標(biāo)識（KIDA）消息摘要的頭兩個字節(jié)時間戳內(nèi)容消息摘要文件名ZIP會話密鑰（Ks）時間戳數(shù)據(jù)

會話密鑰簽名報文用PUB加密用PRA加密（簽名）用會話密鑰Ks加密Base64編碼操作二、PGP密鑰管理會話密鑰生成與管理會話密鑰Ks是由基于美國國家標(biāo)準(zhǔn)“金融機(jī)構(gòu)密鑰管理（大規(guī)模）”（ANSIX9.17）中定義的隨機(jī)數(shù)生成方法的偽隨機(jī)數(shù)產(chǎn)生器（PseudorandomnumberGenerator,PRG）產(chǎn)生的128位隨機(jī)數(shù)，只用于一條消息的一次加解密過程Ks使用接收方的公鑰加密后發(fā)送給接收方。這種會話密鑰的安全交換方法稱為“數(shù)字信封”PGP密鑰管理公開密碼算法密鑰管理，用戶A獲取用戶B的公鑰主要方式包括：物理交付電話驗證通過可信的第三方通過可信的認(rèn)證中心（CA）PGP密鑰管理公開密碼算法密鑰管理每個用戶都有一個公鑰環(huán)（PublicKeyRing）和私鑰環(huán)（PrivateKeyRing），均用表型數(shù)據(jù)結(jié)構(gòu)存儲公鑰環(huán)存儲該用戶知道的其他用戶的公鑰，私鑰環(huán)存儲用戶自己的所有公鑰/私鑰對。PGP允許一個用戶同時擁有多個公鑰/私鑰對，主要目的有兩個：一是經(jīng)常變換密鑰，以增強(qiáng)安全性；二是多個密鑰對可以支持同一時刻與多個用戶進(jìn)行通信PGP密鑰管理公開密碼算法密鑰管理PGP采用密鑰標(biāo)識符（密鑰ID，KeyID）來表示密鑰，并建立密鑰標(biāo)識和對應(yīng)公鑰/私鑰間的映射關(guān)系私鑰存儲方法：加密私鑰的口令短語（passphrase）p，加密后存儲在私鑰環(huán)中PGP密鑰管理PGP信任模型：以用戶為中心的信任模型（信任網(wǎng)模型，WebofTrust）沒有一個統(tǒng)一的認(rèn)證中心來管理用戶公鑰，每個人都可以作為一個CA對某個用戶的公鑰簽名，以此來說明這個公鑰是否有效（可信）當(dāng)用戶接收到新的公鑰時，首先要檢查公鑰證書的簽名者，然后根據(jù)這個簽名者的信任程度計算出該公鑰的合法性，如果合法才能把它插入到自己的公鑰環(huán)中PGP信任關(guān)系公鑰加密體制基礎(chǔ)——用戶必須確信他所拿到的公鑰屬于它看上去屬于的那個人（公鑰的真實性）PGP信任關(guān)系用戶要得到介紹人真實公鑰并信任介紹人（相對比較容易，而黑客想假冒很困難）公鑰環(huán)中每一個公鑰項都有表示信任度的字段，包括：密鑰合法性字段：合法和不合法簽名可信性字段：不信任、部分信任、一直信任和絕對信任擁有者可信性字段：不信任、部分信任、一直信任和絕對信任，由用戶自己指定。PGP信任關(guān)系簽名可信性字段的賦值方法：一個公鑰可能有一個或多個簽名證書，當(dāng)為該公鑰插入一個簽名到公鑰環(huán)中時，PGP首先搜索公鑰環(huán)，查找簽名者是否是已知公鑰的擁有者。如果是，則將擁有者可信性字段中的標(biāo)志賦給簽名可信性字段；否則，將簽名可信性字段賦值為不信任。PGP信任關(guān)系密鑰合法性字段的取值：由此公鑰的所有簽名的簽名可信性字段的取值計算得到。計算方法：如果該公鑰的簽名可信性字段中至少有一個標(biāo)志為絕對信任，則此公鑰的密鑰合法性字段標(biāo)志為合法；否則，PGP計算所有簽名信任值的加權(quán)和，即簽名可信性字段標(biāo)志為一直信任的權(quán)重為1/X，標(biāo)志為部分信任的權(quán)重為1/Y。PGP信任關(guān)系擁有者可信性字段取值：當(dāng)用戶A往公鑰環(huán)中插入一個新的公鑰時，PGP必須為該公鑰的擁有者可信性字段設(shè)定一個標(biāo)志。如果用戶A插入的新公鑰是自已的，則它也將被插入到用戶A的私鑰環(huán)中，PGP自動指定其密鑰合法性字段標(biāo)志為密鑰合法，擁有者可信性字段標(biāo)志為絕對信任；否則，PGP將詢問用戶A，讓用戶給定信任級別。PGP信任關(guān)系信任場景1信任場景2信任場景3所有者信任級別是因人而異的Alice所使用的PGP會認(rèn)為Alice、Bob、Trent、Dava、Fred、Carrol和George的公鑰是合法的，而不會認(rèn)為Harrold和Inge的公鑰是合法的信任網(wǎng)（WebofTrust）主頁上公布自己的公鑰公鑰合法性與所有者信任之間的關(guān)系：公鑰合法是否一定可信？“公鑰是否合法”與“所有者是否可信”是兩個不同的問題，因為盡管公鑰合法，其所有者也可以是不可信的“對哪個密鑰的所有者進(jìn)行哪種級別的信任”是因人而異的討論口令或私鑰的泄密口令泄露或被破解私鑰文件的保護(hù)PGP缺少PKI體系那樣嚴(yán)格的證書撤銷機(jī)制，很難確保沒有人使用一個已不安全的密鑰，是PGP安全體系中比較薄弱的環(huán)節(jié)PGP安全性PGP使用的公開密碼算法、對稱密碼算法、安全散列函數(shù)的安全性問題2019.10，密碼學(xué)家Ga?tanLeurent和ThomasPeyrin宣布對SHA-1計算出第一個選擇前綴沖突，并選擇PGP/GnuPG信任網(wǎng)絡(luò)來演示SHA-1的前綴沖突攻擊GnuPG2.2.18（2019.11.25發(fā)布）：對2019-01-19之后基于SHA-1創(chuàng)建的身份簽名視為無效PGP安全性現(xiàn)有的加密電子郵件解決方案，如PEM，S/MIME,PGP等，大都是對郵件正文進(jìn)行安全處理。為什么？討論內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問題1WebMail不需借助專門的郵件客戶端，只要能用瀏覽器上網(wǎng)就能收發(fā)郵件，極大地方便了用戶。但是，WebMail的使用也帶來的新的安全威脅，前面介紹的Web應(yīng)用所面臨的很多安全問題同樣在WebMail中存在WebMailWebMailWebMail暴力破解防范：禁用賬戶、禁止IP地址、登錄檢驗惡意HTML郵件利用HTML郵件，攻擊者能進(jìn)行電子郵件欺騙，甚至欺騙用戶更改自己的郵箱密碼在HTML郵件中嵌入惡性腳本程序，攻擊者還能進(jìn)行很多破壞攻擊，如修改注冊表、非法操作文件、格式化硬盤、耗盡系統(tǒng)資源、修改“開始”菜單等，甚至能刪除和發(fā)送用戶的郵件、訪問用戶的地址簿、修改郵箱帳戶密碼等WebMail安全問題2016年，希拉里競選團(tuán)隊主席收到的偽裝成Google的警告郵件的釣魚郵件惡意郵件示例假冒網(wǎng)易郵箱管理員的身份給用戶發(fā)送的安全告警郵件惡意郵件示例假冒網(wǎng)易郵箱管理員的身份給用戶發(fā)送的安全告警郵件惡意郵件示例惡意郵件示例清華段海新老師分享的一個案例惡意郵件示例Cookie會話攻擊攻擊者獲取用戶WebMail的Cookie信息后，就能很容易地侵入用戶的WebMail。攻擊者獲取用戶WebMail的Cookie信息的方法主要有內(nèi)網(wǎng)監(jiān)聽和XSS攻擊含有惡性腳本程序的HTML郵件能使攻擊者獲取WebMail的Cookie信息WebMail系統(tǒng)應(yīng)該避免使用持久型Cookie會話跟蹤，使攻擊者在Cookie會話攻擊上不能輕易得逞WebMail安全問題內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問題1從用戶的角度看，正常郵件與垃圾郵件的主要區(qū)別是該郵件是否是用戶所希望收到的郵件。用戶查看郵件內(nèi)容后，很容易判斷出一封郵件是不是自己想要的郵件。但是，郵件服務(wù)器要判斷一封郵件是不是垃圾郵件則要困難得多垃圾郵件（Spam）基本特征如下：內(nèi)容的重復(fù)性：內(nèi)容的大量重復(fù)信息的合法性：查不到發(fā)件人信息時間的有效性：不正常的發(fā)送時間地址的有效性：無效的發(fā)送源地址郵箱名的有效性：名稱由無意義字符串組成HTML的合法性：不合法的HTMLtag，大量圖片發(fā)送行為特征：大批量、時間短、發(fā)送源變換垃圾郵件特征反垃圾郵件方法基于地址的垃圾郵件檢測：黑白名單檢測、反向域名驗證技術(shù)基于內(nèi)容的垃圾郵件檢測：分布式協(xié)作法、規(guī)則過濾法、統(tǒng)計過濾法、關(guān)鍵詞過濾法基于行為的垃圾郵件檢測：基于郵件通信拓?fù)湎嗨菩缘睦]件檢測、基于郵件用戶社交關(guān)系的垃圾郵件檢測、基于SMTP連接行為的垃圾郵件反垃圾郵件網(wǎng)易郵箱的反垃圾郵件系統(tǒng)反垃圾郵件網(wǎng)易郵箱的反垃圾郵件系統(tǒng)反垃圾郵件本章小結(jié)作業(yè)參考內(nèi)容一、SHA-1沖突對PGP安全的影響PGP使用的公開密碼算法、對稱密碼算法、安全散列函數(shù)的安全性問題2019.10，密碼學(xué)家Ga?tanLeurent和ThomasPeyrin宣布對SHA-1計算出第一個選擇前綴沖突，并選擇PGP/GnuPG信任網(wǎng)絡(luò)來演示SHA-1的前綴沖突攻擊GnuPG2.2.18（2019.11.25發(fā)布）：對2019-01-19之后基于SHA-1創(chuàng)建的身份簽名視為無效PGP安全性利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書二、郵件偽造攻擊分析眼見不一定為實：對電子郵件偽造攻擊的大規(guī)模分析（USENIXSecurity21）拓展：郵件偽造攻擊分析拓展：郵件偽造攻擊分析目前，最流行的郵件安全擴(kuò)展協(xié)議主要有SPF、DKIM與DMARC拓展：郵件偽造攻擊分析三種攻擊模型拓展：郵件偽造攻擊分析14種攻擊方法拓展：郵件偽造攻擊分析拓展：郵件偽造攻擊分析拓展：郵件偽造攻擊分析對30個流行電子郵件服務(wù)的測量結(jié)果拓展：郵件偽造攻擊分析對23個流行電子郵件客戶端的測量結(jié)果拓展：郵件偽造攻擊分析原因分析