返回
使用数字证书保护电子邮件的安全

使用数字证书保护电子邮件的安全

ID:21791507

大小:60.00 KB

页数:6页

时间:2018-10-24

使用数字证书保护电子邮件的安全_第1页
使用数字证书保护电子邮件的安全_第2页
使用数字证书保护电子邮件的安全_第3页
使用数字证书保护电子邮件的安全_第4页
使用数字证书保护电子邮件的安全_第5页
资源描述:

《使用数字证书保护电子邮件的安全》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、使用数字证书保护电子邮件的安全~教育资源库  S/MIME是一套使用加密和数字签名安全发送电子邮件的系统。目前的加密(隐藏)技术分为两大类:对称(秘密)密钥算法,如数据加密标准(DES)或高级加密标准(AES);以及非对称(公开/私密)密钥算法,如RSA或椭圆曲线加密(ECC)。现代的发件人验证工具是单向的算术函数,称为哈希,它可以生成唯一的签名。消息摘要MD5和安全哈希算法(SHA)是两种常用的哈希方法。计算机可以使用这些算法来生成与单个源文本对应的唯一哈希或数字(相同的源文本会哈希成相同的值)。运用和结合这些简单的工具可以构建公共密钥基础结构(PKI)

2、系统。  可验证的身份  PKI系统中的身份通过数字证书进行管理,这跟大多数人跨国界时携带的政府身份识别护照并没有什么不同。数字证书世界的护照标准是X.509格式,这种格式广泛用于各种技术中的签名和加密操作,例如S/MIME、Inter协议安全性(IPsec)、安全外壳(SSH)、无线网络安全性、虚拟专用网(VPN),甚至安全服务器通信(例如SSL网站)也包括在内。  证书是以非对称加密和哈希为基础构建而成。若要创建证书,请求者(等候一些较高颁发机构签署的密钥的实体)会生成一个私钥。该密钥会被锁定起来,这样一来它的真实性永远不会受到质疑。生成私钥的同时还会

3、生成一个对应的公钥。顾名思义,这个密钥对的公开部分并不是秘密,而且会公开发布,但在某种程度上还是会确保它的真实性。  这个密钥对允许进行两项基本的操作。首先,任何人都可以使用公钥来加密只有私钥可以解密的内容,其次,公钥可用来解密以私钥加密的内容。这对于验证只有私钥可能创建的签名很重要。  对证书颁发机构提出的请求包括各种详细信息,例如密钥的目标人员或计算机的身份、算法类型和强度,以及密钥对的公开部分。证书颁发机构(CA)会接收请求中的信息并对其进行验证,并使用哈希算法创建与该信息相对应的唯一标识符。  CA会使用它的私钥加密信息的哈希,并把它组合成标准格式

4、(例如X.509),然后创建与原始要求相对应的证书。X.509证书将包含声明列表,包括证书(主体)的身份、有效期限、公钥,以及可使用证书进行的操作等。然后将证书返回给请求者,证书事实上是个令牌,表明:我,CA,担保这个公钥,以及与之对应的私密部分,仅作为此处所描述的这些用途。  对于根CA(位于信任链最高级别),证书是自签名的。大部分可接受的根CA都会预安装在基本操作系统或应用程序中,但可通过程序包或企业配置进行更新或更改。在根CA和叶节点(通常是指个体或系统)之间,可以有一或多个中间CA。  信任链包括所有节点以及其中先前内嵌的所有证书,由CA在该级别签

5、名。尝试验证证书的第三方可以检查本地计算的哈希,并将其与从证书解密(使用该特定CA或个体的相应公钥)的哈希进行比较。就是这么一回事从叶到根经过完整验证的信任链当然前提是假设根是受信任的。  更新证书状态  每个良好的CA都有方法可以分发不应该再受信任的证书清单。这份证书吊销列表(CRL)说明CA特别取消了哪些已颁发的证书。方便的是,CRL的位置通常是CA证书的属性。  CA会基于以下两项不断颁发CRL:计划(也许是每两个星期)或事件(表明颁发的证书不应该再受信任的一些情况)。CA会在发布颁发的CRL时对其进行签署。当接收系统评估信任链的有效性时,它通常会尝

6、试取得信任链中每个颁发CA的CRL(通过证书本身内嵌的详细信息,或是通过一些预先定义的受信任分发机制)。如果存在无法获取的CRL,客户端可能会改用最近成功缓存的副本,只要此副本没有超过指定的CRL更新期限。不过,如果连这样都办不到的话,客户端系统通常会显示某种错误,指明证书看似有效但无法确认吊销状态。  许多应用程序如果无法验证信任链,或信任链中每个节点的CRL,则需要花费很长一段时间加载证书。视证书所保护的内容而定,用户不一定会需要信任它。每个CA必须要有定期更新、广泛可用的CRL发布点,尤其是对那些公共根CA来说更是如此。  根CA是证书链的基础,而链

7、结是所有证书层次结构的基石。大部分客户端系统或应用程序只会在叶节点链结回信任的根CA时,才认为叶节点证书有效。这可以是企业CA,由特定公司所拥有或经营的CA,也可以是公共根CA(例如VeriSign)。  对于公共根CA,为了确保完整性,必须具备丰富的操作专业知识。企业对于内部运营也应该努力达成相同的等级,因为根CA的安全性在那样的环境下也同样重要。为了获得最好的保护,根CA实际上应该保持脱机状态,而且只用于颁发证书和更新CRL。有关CA操作最佳实践的详细信息,请参阅证书颁发机构资源侧栏中所列文章。  密钥恢复是需要考虑的一个重要方面。为了方便调查,并确保

8、数据不会被用户锁定而无法恢复,企业应该将所有用户发布的密钥进行备份

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。