密信電子郵件全自動加密和簽名解決方案

1、密信電子郵件全自動加密和簽名解決方徹底解決電子郵件機密信息安全問題!現(xiàn)狀分析從1971第一封用符號標記的電子郵件誕生，到現(xiàn)在已經(jīng)有 49年歷史的電子郵件是互聯(lián) 網(wǎng)的第一個最廣泛的應用，據(jù)統(tǒng)計全球有37億個電子郵件賬戶，每天發(fā)送的電子郵件數(shù)量高達2690億封（當然有不少是垃圾郵件）。也就是說：電子郵件是工作和生活的必須。蘋 果公司一位技術專家在一個電子郵件安全的郵件討論組中寫道："Email as a tool for thebetterment of humankind has proven so effective as to be arguably invaluable; imp

2、roving the security, privacy, and safety of using email is a very worthwhile goal.（電子郵件作為改善人類生活的工具已被證明是非常高效的，同時可以說是無價的。提高使用電子郵件的安 全性、隱私性和安全感是一個非常有價值的目標?！边@句話說得非常好，有兩個重點：一是高度肯定了電子郵件對改善人類生活所作的貢獻，并且肯定了這種通信方式是高效的；二 是指出了電子郵件的安全性還需要改進和提高。我們先來看看電子郵件的發(fā)送機制，分析清楚為何電子郵件的安全性還需要改進。電子郵 件每天都在交換大量的個人和商業(yè)機密信息，但是絕大多數(shù)郵件都

3、是通過明文傳輸?shù)洁]件 服務器，并以明文形式儲存在云端服務器中，收件人再明文收到郵件。如下圖所示，這是 一個巨大的云端大數(shù)據(jù)安全隱患！發(fā)杵人這個巨大的數(shù)據(jù)安全隱患主要是因為電子郵件在設計時就是采用明文傳輸機制，雖然后來有些改進，如下圖所示，采用在郵件服務器上部署SSL證書實現(xiàn)SSL/TLS SMTP 加密傳輸，但是這也只能保證用戶郵件從郵件客戶端發(fā)出到郵件服務器鏈路上是加密的，郵件到了郵件服務器仍然是明文存儲。郵件服務器在收到待發(fā)送郵件后會聯(lián)系收件人郵件服務器收件，如 果收件服務器沒有部署 SSL證書，則郵件只能明文從發(fā)件人郵件服務器發(fā)送到收件人郵件服務器上，明文郵件又在收件人郵件服務器明文保存

4、了 一份，收件人也是明文從郵件服務器下載到自己的郵件客戶端中。所以，如果郵件服務提供商告訴其用戶郵件已經(jīng)采用了TLS/SSL傳輸加密，那只能是安慰用戶，實際上郵件離開發(fā)件人郵件服務器就不是自己所在的郵件服務商所能控制的了！明文吐®且SMTP發(fā)起入這些安全問題并不是沒有人去想辦法解決,明文IMAP收件人1995年RSA等公司提出了 S/MIME（安全/多用途互聯(lián)網(wǎng)郵件擴展）協(xié)議V1版本，對郵件安全方面的功能進行了改進,1998年和1999年相繼出臺V2/V3版本并提交IETF形成系列RFC國際標準。如下圖所示， S/MIME國際標準就是用數(shù)字證書對郵件進行加密，即用收件人的公鑰把明文郵

5、件加密成密文,以密文方式由發(fā)件人郵件服務器發(fā)送到收件人郵件服務器，收件人收到密文后用自己的私鑰解密得到郵件明文。這個全程加密過程實現(xiàn)了即使郵件服務器沒有采用了SSL/TLS傳輸加密，也能保證郵件的安全加密傳輸，因為郵件本身是密文。當然，強烈推薦郵件服務器部署SSL證書來保證用戶郵箱的口令安全。密文曹文SMTPX餐相R窩色的餐 地理匕明只相何TL8 SMTPDcbDFiqfxjjFr-tnmdFgJS kn."di kvegM和4人互聯(lián)網(wǎng)從發(fā)布S/MIME郵件簽名和加密標準至今又過去了25年,微軟Outlook、Mozilla雷鳥和蘋果iMail等也都已經(jīng)全面支持宏文陽門匚- bnV)

6、9lf Dc&a 口g5=inmdFg$5 knvMdV收件人密文收件用文 INAPPOP3A*私銅大家常用的郵件客戶端軟件如:S/MIME國際標準實現(xiàn)電子郵件簽名和加密，但是S/MIME郵件加密技術為何并沒有得到普及應用？這是因為業(yè)界始終沒有解決其易用性問題，而其中一個最重要的原因是密鑰管理太復雜。用戶不僅需要從CA申請到郵件證書，還需要用戶把郵件證書安裝到各種設備的各種郵件客戶端軟件中,并且能正確配置使用，好不容易把證書搞定了， 還需要先同對方交換公鑰才能發(fā)加密郵件,這絕對是一項普通用戶根本無法完成的事情。英國國家網(wǎng)絡安全中心網(wǎng)站這樣寫道“Although it is possib

7、le to encrypt individual emailsusing protocols like PGP or S/MIME , this requires the sender and recipient to have the necessary trust infrastructure in place. This is not likely to be possible for all theparties you communicate with. ” " You should only use messag-based encryption like PGPor S

8、/MIME occasionally for transfer of sensitive information as it inefficient ' and provides a poor user experience.簡單翻譯一下大意是：用S/MIME加密需要發(fā)送者和接收者都具有可信的加密基礎設施，這是不可能要求所有郵件用戶都具備的。”如果要用電子郵件發(fā)送敏感機密信息就應該使用S/MIME加密，但是它效率太低而且用戶體驗很差?！痹偻ㄋc講就是：雖然S/MIME郵件加密技術很好，但是要想讓人人都能用上，并且做到很好用，那是不可能的！解決方案早在2015年我們公司就組建研發(fā)團隊研究

9、如何解決S/MIME的易用性難題。為了保證用戶能像發(fā)送明文郵件一樣發(fā)送加密郵件，同時還要方便用戶能隨時隨地使用任何設備能解密閱讀已加密郵件，而無需費時費力去交換公鑰來加密和導入證書來解密，必須解決密鑰管理太復雜的問題。在研究了多家國際國內(nèi)領先的云服務提供商提供的云密鑰管理服務（KMS）后,決定采用云密鑰管理技術方案來解決密鑰管理難題和實現(xiàn)按需分發(fā)密鑰。最完美的解決方案是把傳統(tǒng)的一張郵件證書拆分為兩張證書（一張簽名證書和一張加密證書），加密證書密鑰在云端生成并安全加密托管在云端，用戶在完成郵箱控制權驗證后就可 以自動從云端取到加密證書密鑰來自動解密已加密郵件，使得用戶無需費時費力申請和導入郵件證

10、書，完美實現(xiàn)全自動郵件加解密。而用戶發(fā)送加密郵件時密信 APP會自動到云端公 鑰庫去獲取收件人的加密證書公鑰實現(xiàn)全自動發(fā)送加密郵件，使得用戶無需事先交換公鑰， 真正實現(xiàn)無感全自動郵件加密和解密。而簽名證書由于有用戶的身份信息，用戶的簽名行為具有法律效力，所以，Mesign把簽名證書設計為用戶在本地設備上生成密鑰，并在本地設備上加密保存密鑰。這就是為何用戶看到密信APP在不同設備上的簽名證書的序列號是不一樣的原因。把傳統(tǒng)的一張郵件證書拆分成兩張證書并根據(jù)簽名和加密的兩個不同用途采用 不同的密鑰管理方式，完美地解決了S/MIME郵件加密服務的易用性問題，同時繼承了S/MIME郵件簽名的不可假冒、

11、不可偽造和不可抵賴的特點，使得S/MIME郵件加密技術真正能實現(xiàn)零門檻無縫使用，用戶無需關心證書在哪，只需像平常一樣寫好郵件點擊發(fā)送即可 自動發(fā)送加密郵件和自動接收和解密已加密郵件。歷時4年多終于全部解決了郵件加密的各種難題，建設了安全可靠的加密基礎設施，并把這些設施普惠共享給全球所有密信用戶使用，讓大家都可以不用投資建設這些設施一樣可以實 現(xiàn)S/MIME郵件加密和數(shù)字簽名，滿足各種合規(guī)要求。如下圖所示，密信密碼基礎設施包括證書簽發(fā)系統(tǒng)（MCA）、密鑰管理系統(tǒng)（MKM ）、加密證書 公鑰庫系統(tǒng)（CerDB卜證書吊銷查詢系統(tǒng)（MCRS ）、身份認證系統(tǒng)（MVS）、時間戳服務系統(tǒng) （MTS）、電子

12、簽名服務系統(tǒng)（MSS）等七大密碼服務基礎設施系統(tǒng)，這些云端服務系統(tǒng)加上密信APP （郵件客戶端軟件）構成了去端”和客戶端'兩端一體的數(shù)字簽名和加密服務系統(tǒng)，安全可靠地為全球用戶提供全自動電子郵件加密服務和全自動電子文檔簽名服務。也就是說，密信APP不是傳統(tǒng)意義上的獨立的郵件客戶端軟件和簽名工具軟件，它是一個面向用戶端的服務代理，既能滿足用戶在本地操作數(shù)據(jù)的隱私保護需要，又能借助功能強大的云端服務系統(tǒng)，云地兩端一體協(xié)同服務使得密信APP能全球率先實現(xiàn)全自動郵件加密、全自動文檔簽名和全自動電子合同簽署。身份認證系統(tǒng)®<SAPPSfSAPP密值 APP密值 APP也就是說，我

13、司之所以能做到全自動郵件加密，核心就是徹底解決了繁瑣的密鑰管理問題，使得用戶能隨時隨地使用任何設備獲取加密密鑰用于解密已加密郵件和自動獲取收件人的公鑰用于加密郵件。結合其他配套的幾大服務系統(tǒng)，徹底解決上面所說的效率太低"用戶體驗很差”的難題，并且 讓人人用得起”和很好用”,把不可能”變成用T能”！而我司建設的密碼基礎設施徹底解決了S/MIME郵件加密的易用性難題，讓用戶可以使用密信APP輕松發(fā)送加密郵件和數(shù)字簽名郵件，現(xiàn)已經(jīng)成功實現(xiàn)了商業(yè)化實施與應用，用戶 已經(jīng)覆蓋全球163個國家和地區(qū)，讓每一封郵件都有數(shù)字簽名可信身份，徹底杜絕郵件欺 詐！讓每一封郵件都用證書加密成密文，徹底杜絕郵件泄密！為了滿足政府機關、金融機構和大企業(yè)等單位希望自己掌控加密證書密鑰的更高安全需求，也支持用戶在本地部署企業(yè)級密鑰管理系統(tǒng)的解決方案。用戶只需選購密信