使用数字证书保护电子邮件的安全-宜昌电脑耗材网

使用数字证书保护电子邮件的安全

S/MIME是一套使用加密和数字签名安全发送电子邮件的系统。目前的加密（隐藏）技术分为两大类：对称（秘密）密钥算法，如数据加密标准（DES）或高级加密标准（AES）；以及非对称（公开/私密）密钥算法，如 RSA 或椭圆曲线加密（ECC）。现代的发件人验证工具是单向的算术函数，称为哈希，它可以生成唯一的签名。消息摘要MD5和安全哈希算法（SHA）是两种常用的哈希方法。计算机可以使用这些算法来生成与单个源文本对应的唯一哈希或数字（相同的源文本会哈希成相同的值）。运用和结合这些简单的工具可以构建公共密钥基础结构（PKI）系统。 可验证的身份
PKI系统中的身份通过数字证书进行管理，这跟大多数人跨国界时携带的政府身份识别 — 护照 — 并没有什么不同。数字证书世界的护照标准是 X.509 格式，这种格式广泛用于各种技术中的签名和加密操作，例如S/MIME、Internet 协议安全性（IPsec）、安全外壳（SSH）、无线网络安全性、虚拟专用网（VPN），甚至安全服务器通信（例如SSL网站）也包括在内。
证书是以非对称加密和哈希为基础构建而成。若要创建证书，请求者（等候一些较高颁发机构签署的密钥的实体）会生成一个私钥。该密钥会被锁定起来，这样一来它的真实性永远不会受到质疑。生成私钥的同时还会生成一个对应的公钥。顾名思义，这个密钥对的公开部分并不是秘密，而且会公开发布，但在某种程度上还是会确保它的真实性。
这个密钥对允许进行两项基本的操作。首先，任何人都可以使用公钥来加密只有私钥可以解密的内容，其次，公钥可用来解密以私钥加密的内容。这对于验证只有私钥可能创建的签名很重要。
对证书颁发机构提出的请求包括各种详细信息，例如密钥的目标人员或计算机的身份、算法类型和强度，以及密钥对的公开部分。证书颁发机构（CA）会接收请求中的信息并对其进行验证，并使用哈希算法创建与该信息相对应的唯一标识符。
CA 会使用它的私钥加密信息的哈希，并把它组合成标准格式（例如 X.509），然后创建与原始要求相对应的证书。X.509 证书将包含声明列表，包括证书（主体）的身份、有效期限、公钥，以及可使用证书进行的操作等。然后将证书返回给请求者，证书事实上是个令牌，表明：“我，CA，担保这个公钥，以及与之对应的私密部分，仅作为此处所描述的这些用途”。
对于根CA（位于信任链最高级别），证书是自签名的。大部分可接受的根CA 都会预安装在基本操作系统或应用程序中，但可通过程序包或企业配置进行更新或更改。在根CA和叶节点（通常是指个体或系统）之间，可以有一或多个中间CA.
信任链包括所有节点以及其中先前内嵌的所有证书，由CA在该级别签名。尝试验证证书的第三方可以检查本地计算的哈希，并将其与从证书解密（使用该特定CA或个体的相应公钥）的哈希进行比较。就是这么一回事 — 从叶到根经过完整验证的信任链 — 当然前提是假设根是受信任的。
更新证书状态
每个良好的CA 都有方法可以分发不应该再受信任的证书清单。这份证书吊销列表（CRL）说明CA特别取消了哪些已颁发的证书。方便的是，CRL的位置通常是CA证书的属性。
CA会基于以下两项不断颁发CRL：计划（也许是每两个星期）或事件（表明颁发的证书不应该再受信任的一些情况）。CA 会在发布颁发的CRL时对其进行签署。当接收系统评估信任链的有效性时，它通常会尝试取得信任链中每个颁发CA的CRL（通过证书本身内嵌的详细信息，或是通过一些预先定义的受信任分发机制）。如果存在无法获取的CRL，客户端可能会改用最近成功缓存的副本，只要此副本没有超过指定的CRL 更新期限。不过，如果连这样都办不到的话，客户端系统通常会显示某种错误，指明证书看似有效但无法确认吊销状态。
许多应用程序如果无法验证信任链，或信任链中每个节点的CRL，则需要花费很长一段时间加载证书。视证书所保护的内容而定，用户不一定会需要信任它。每个CA必须要有定期更新、广泛可用的CRL发布点，尤其是对那些公共根CA来说更是如此。
根CA是证书链的基础，而链结是所有证书层次结构的基石。大部分客户端系统或应用程序只会在叶节点链结回信任的根CA 时，才认为叶节点证书有效。这可以是企业CA，由特定公司所拥有或经营的CA，也可以是公共根CA（例如VeriSign）。
对于公共根CA，为了确保完整性，必须具备丰富的操作专业知识。企业对于内部运营也应该努力达成相同的等级，因为根CA 的安全性在那样的环境下也同样重要。为了获得最好的保护，根CA实际上应该保持脱机状态，而且只用于颁发证书和更新CRL.有关 CA 操作最佳实践的详细信息，请参阅“证书颁发机构资源”侧栏中所列文章。
密钥恢复是需要考虑的一个重要方面。为了方便调查，并确保数据不会被用户锁定而无法恢复，企业应该将所有用户发布的密钥进行备份。而且这些备份副本应该保存在安全的存储库中。这样一来，即使用户的密钥不见了，类似于智能卡被丢在出租车里，该用户仍然可以访问密钥保护的所有内容。
最后，每个良好的加密系统中都有生命周期管理的概念。随着计算机的速度越来越快，算法也变得越来越薄弱。每个良好的加密系统都必须能够自行更新，并随着时间转换到新算法和密钥大小。在识别出加密弱点，以及逐步采用或停止特定功能时，应该相应更新CA.

发布日期：2019/11/23

宜昌打印机维修复印机一体机上门维修热线：13677173728 邢师傅 0717-6736581


宜昌电脑耗材网版权所有 Copyright©2014-2020 Www.Ycoaw.Com ALL Rights Resrved ;商务QQ：7533615 产品信息 - 资料 - 上传 - 新品牌报价 - 行业新闻投信箱sysharp@126.com 0717-6736581 宜昌市福瑞电脑科技有限公司鄂ICP备18013266号鄂公网安备:42050202000383号文章版权归原作者所有如有侵权请立即与我们联系,我们将及时处理