廣東 2013-04-09(中國(guó)商業(yè)電訊)－－央視3.15晚會(huì)曾曝光163 郵箱追蹤用戶上網(wǎng)行為，這也證明了電子郵件已成為泄露隱私的途徑。作為互聯(lián)網(wǎng)上最廣泛的應(yīng)用之一，為什么電子郵件安全事故頻發(fā)？帶著這個(gè)問(wèn)題小編專訪了深 圳市奧聯(lián)科技副總經(jīng)理蔡先勇先生，對(duì)電子郵件安全的市場(chǎng)和產(chǎn)品做了一次全面的了解和分析。

    電子郵件由于其技術(shù)和協(xié)議原因，傳輸和存儲(chǔ)過(guò)程均是明文，用戶很可能遭到內(nèi)容被截獲甚至篡改、郵箱被炸毀等多種攻擊。一般郵件泄密的途徑有：

    1、 傳輸過(guò)程泄密：普通郵件傳輸?shù)倪^(guò)程是明文的，可被很多技術(shù)手段攔截郵件的內(nèi)容，如部署了上網(wǎng)行為管理網(wǎng)絡(luò)監(jiān)控設(shè)備就可以攔截內(nèi)部收發(fā)的郵件；

【圖1為蔡先勇先生展示公司行為管理攔截的郵件，正文、附件一覽無(wú)遺】

    2、 存儲(chǔ)泄密：由于郵件在服務(wù)器上明文存儲(chǔ)，所以黑客一旦攻破服務(wù)器，可獲得所有郵件內(nèi)容。

    3、 用戶名和密碼泄密：由于大多數(shù)郵件服務(wù)器都采用用戶名和密碼方式登錄，存在被口令猜測(cè)、字典攻擊、密碼截獲等風(fēng)險(xiǎn)。

    這 些過(guò)程引發(fā)的泄密事件層出不窮。如2009年聯(lián)合國(guó)氣候大會(huì)前IPCC郵件泄密、2010年Stratfor郵箱泄密、2011年新聞集團(tuán)郵箱泄密、 2011年HBGary Federal企業(yè)郵箱泄密、2012年敘利亞總統(tǒng)郵箱泄密以及國(guó)內(nèi)的若干郵件泄密等，社會(huì)影響惡劣，給用戶帶來(lái)巨大的經(jīng)濟(jì)損失或造成了無(wú)法挽回的政治影 響。而很多的郵件泄密事件被黑客曝光后才引起用戶的注意，用戶基本上是處于一種后知后覺(jué)的狀態(tài)。

    針對(duì)電子郵件的安全問(wèn)題，市場(chǎng)上有多種解決方案，簡(jiǎn)單分析如下。

    1. 基于口令保護(hù)方式：

    這類產(chǎn)品使用方式簡(jiǎn)單易用，但使用的加密方式比較原始，僅是將郵件打包為一個(gè)壓縮附件，使用口令來(lái)保護(hù)此附件，存在安全隱患：

    1) 安全性不高：此方式過(guò)于簡(jiǎn)單，很容易受到攻擊破解；

    2) 口令的傳遞過(guò)程不便：發(fā)送郵件之后還需想法通知對(duì)方解密文件的口令；

    3) 不符合密碼安全規(guī)范：無(wú)密鑰產(chǎn)生、分發(fā)過(guò)程；沒(méi)有相應(yīng)的安全密碼算法。

    2. 基于SSL方式：

    此方式通過(guò)web收發(fā)郵件時(shí)候使用https協(xié)議；通過(guò)客戶端收發(fā)時(shí)使用SMTPS/POPS/IMAPS等協(xié)議。這雖然進(jìn)行了一定保護(hù)，但仍然存在安全問(wèn)題：

    1) 可能被攻擊：由于兼顧用戶習(xí)慣，SSL收發(fā)基本都不驗(yàn)證客戶端身份。這樣黑客可以通過(guò)SSL代理方式進(jìn)行攻擊。如攔截SSL連接上數(shù)據(jù)進(jìn)行篡改后中繼發(fā) 送，以錯(cuò)誤的次序發(fā)送甚至丟棄。這就是所謂的中間人攻擊(man in the middle attack)；

    2) 無(wú)法保證郵件存儲(chǔ)安全：郵件存儲(chǔ)在服務(wù)器或客戶端都是明文，一旦黑客攻破服務(wù)器，就可拿走所有郵件內(nèi)容；

    3) 弱身份認(rèn)證：大多數(shù)采用口令密碼登錄，其登錄過(guò)程極易受到口令猜測(cè)等攻擊。

    3. 基于PKI非對(duì)稱密鑰方式

    PKI證書體系是應(yīng)用比較廣泛的密碼體系，基于該體系實(shí)現(xiàn)加密郵件的產(chǎn)品較多。主要有：

    1) 以O(shè)penPGP、GnuPG為標(biāo)準(zhǔn)的基于RSA算法實(shí)現(xiàn)的電子郵件加密，這類產(chǎn)品典型的有：GnuPG、MailCloak以及PGP(Pretty Good Privacy)商用郵件加密軟件和FireGPG等；

    2) 以CA加證書方式的各種安全郵件系統(tǒng)。主要有以S/MIME為依據(jù)的各種產(chǎn)品（如outlook內(nèi)置S/MIME支持）和國(guó)內(nèi)基于類似思路開(kāi)發(fā)的各種定制產(chǎn)品（如“縣鄉(xiāng)通”安全電子郵件、各研究所開(kāi)發(fā)的類似產(chǎn)品）。

    此方式的原理是使用對(duì)稱算法加密郵件內(nèi)容，再使用對(duì)方的公鑰或證書來(lái)保證對(duì)稱算法的密鑰。安全性得到了很好的保證，但也存在以下問(wèn)題：

    1) 使用繁瑣：由于要求必須事先獲得對(duì)方的證書或公鑰，操作不便。如PGP必須是生成RSA密鑰對(duì)并把其中的公鑰發(fā)給對(duì)方之后，對(duì)方才能發(fā)加密郵件過(guò)來(lái)；證書 也需先向CA中心申請(qǐng)后發(fā)給對(duì)方，對(duì)方還要驗(yàn)證。而一旦證書過(guò)期，這個(gè)過(guò)程又要重復(fù)操作一遍，這在實(shí)際應(yīng)用中是一個(gè)非常大的障礙；

    2) 無(wú)法很好的支持云計(jì)算模式：隨著云計(jì)算技術(shù)的成熟，各種基于云端的應(yīng)用越來(lái)越多。大多數(shù)郵件系統(tǒng)都轉(zhuǎn)向了基于Web操作的模式。而使用此方案用戶必須使用 本地私鑰，所以難以徹底的“虛擬化”，尤其是在各種移動(dòng)智能終端日益豐富的時(shí)代，此模式已經(jīng)顯示應(yīng)用瓶頸。

    4. 基于IBC標(biāo)識(shí)密碼方式

    對(duì)以上方式進(jìn)行總結(jié)分析之后，蔡先勇先生還介紹和演示了奧聯(lián)科技基于IBC技術(shù)的安全電子郵件完整解決方案。

    IBC(Identity-Based Cryptography標(biāo)識(shí)密碼算法)是現(xiàn)在最適合郵件安全的密碼技術(shù)。在標(biāo)識(shí)的密碼系統(tǒng)中，每個(gè)實(shí)體具有一個(gè)有意義的標(biāo)識(shí)，這個(gè)標(biāo)識(shí)本身就是實(shí)體的公 鑰。在IBC來(lái)實(shí)現(xiàn)的郵件安全方案中，用戶直接使用接收人郵件地址作為對(duì)方公鑰，無(wú)需預(yù)先協(xié)商密碼或者交換證書。從而實(shí)現(xiàn)了易用和安全的融合：

    1) 安全易用：同樣使用隨機(jī)的對(duì)稱密鑰來(lái)保護(hù)郵件內(nèi)容，再使用非對(duì)稱算法來(lái)保護(hù)對(duì)稱密鑰。但由于接收人電子郵件即為公鑰，減少了繁瑣的交換證書/公鑰的環(huán)節(jié)和 驗(yàn)證環(huán)節(jié)，可大大提升用戶體驗(yàn)。如在對(duì)方還沒(méi)有注冊(cè)的情況下也可發(fā)送加密郵件、用戶通過(guò)瀏覽器方式即可實(shí)現(xiàn)郵件的加密解密，十分方便；

【圖2：IBC加密郵件使用瀏覽器可實(shí)現(xiàn)郵件加密、解密、簽名等功能】 

    2) 完善的解決方案：奧聯(lián)科技十年來(lái)專注于密碼應(yīng)用研發(fā)，在IBC安全郵件上已形成了透明模式的安全郵件網(wǎng)關(guān)、零客戶端WEB解密、專用客戶端或插件、 USBKey登陸等豐富的產(chǎn)品。并和國(guó)內(nèi)知名的郵件廠商coremail、億郵、安寧等形成了安全郵件一體化產(chǎn)品。小編現(xiàn)場(chǎng)就體驗(yàn)了蔡先勇先生發(fā)到126 郵箱的加密郵件，收到是一個(gè)圖片形式的信封。通過(guò)點(diǎn)擊其鏈接可以在瀏覽器里實(shí)現(xiàn)解密查看。

    【圖3：收到的IBC加密郵件所顯示的信封】

    3) 通過(guò)國(guó)家密碼管理局安審：早在2008年，奧聯(lián)科技開(kāi)發(fā)的基于標(biāo)識(shí)密碼算法的電子郵件系統(tǒng)通過(guò)了國(guó)家密碼管理局的安全鑒定（型號(hào)SJY137）。所使用的IBC算法已獲得國(guó)家密碼管理局頒發(fā)的商密算法型號(hào)：SM9(商密九號(hào)算法)。

    據(jù) 介紹，IBC技術(shù)目前在國(guó)外使用也很普遍。如美國(guó)一公司的IBC加密電子郵件的企業(yè)用戶已近千家，涉及銀行、能源、醫(yī)療和政府等行業(yè)，用戶數(shù)量已近 5000萬(wàn), 其云端系統(tǒng)年處理超過(guò)12億封郵件的加解密；近30%的“財(cái)富2000”企業(yè)都使用其IBC技術(shù)來(lái)實(shí)現(xiàn)郵件加密；美國(guó)微軟、臺(tái)灣趨勢(shì)科技、 SendMail、Proofpoint等均提供基于IBC的安全郵件產(chǎn)品。