要闻：IBC，真正实现安全邮件

本篇文章2622字，读完约7分钟

央视3.15晚会曝光163个邮箱跟踪顾客的网络行为，这表明电子邮件已成为泄露隐私的途径。 作为互联网上应用最广泛的应用之一，为什么经常发生电子邮件安全事故？ 带着这个问题，小编采访了深圳市奥联科技副总经理蔡先勇，对电子邮件的安全市场和产品进行了全面的了解和分解。

由于其技术和协议原因，电子邮件的传输和保存流程很明确，客户很可能会被拦截、篡改或炸毁邮箱 常规邮件泄露的途径有:

1、传输过程泄露:常规邮件传输的过程是明确的，可以通过许多技术手段拦截邮件的副本。 例如，如果引入互联网行为管理互联网监视装置，则可以监听内部发送接收的邮件

【图1是蔡先勇展示企业行为管理监听的邮件，从中可以窥见正文、附件】

/ br/

2、存储泄漏:由于服务器上的邮件是明文存储的，所以黑客攻破服务器后，所有的邮件副本都会被检索出来

3、客户名称和密码泄露:大部分邮件服务器都是用客户名称和密码的方法登录的，因此密码猜测、词典攻击、密码拦截等风险较大 / br// h///br// h /由这些过程引起的泄漏层出不穷。 例如2009年联合国气候大会前的ipcc邮箱泄露、年stratfor邮箱泄露、年信息组邮箱泄露、年hbgary federal公司邮箱泄露、年叙利亚总统邮箱泄露、国内几个邮箱泄露等。 许多邮件泄露事件在被黑客曝光后引起客户的观察，客户基本处于后觉状态。

在比较电子邮件的安全性问题时，市场上有多种解决方法，可以简单地分解如下。 / br// h// br// h// S2/1 .密码保护方法:像/ S2// BR /这样的产品很容易使用。

2)密码传播不便:发送邮件后，还需要通知对方解密文件的密码的方法。

3)不符合密码规范:没有密钥生成，一个发送过程没有合适的安全密码算法。 / br// h// br// h// S2/2基于ssl方法:/br// h// S2 /来发送和接收此网络邮件。 顾客侧收发的情况下采用smtps/pops/imaps等协议。 虽然它进行了一定的保护，但仍然存在安全问题:

1)由于考虑到客户的习性，ssl收发几乎没有验证客户的身份。 黑客可以通过ssl代理方式进行攻击。 拦截和篡改ssl连接上的数据后进行中继发送，或者按照错误的顺序发送和销毁。 这就是所谓的中间人攻击( man in the middle attack )；

2)不能保证邮件存储的安全性。 邮件存储在服务器端和客户端都是明文的。 如果黑客破坏了服务器，你就可以拿走所有的邮件副本。

3)弱身份认证:大多使用密码登录，登录过程容易受到密码推测等攻击。 / br// h// br// h// S2/3 .基于PKI非对称密钥方法/ br// h// br///h/PKI证书的系统第一，包括 此类产品的典型示例是gnupg、mailcloak和预填充( PGP )

2)使用ca附加证书的方法的各种邮件系统 主要有基于s/mime的各种产品( outlook嵌入式s/mime支持等)和国内基于同样想法开发的各种定制产品(县乡通安全电子邮件、各研究所开发的类似产品等)。

此方法的原理是使用对称算法加密邮件副本，并使用对方的公钥或证书保证对称算法的密钥。 虽然安全性得到了很好的保证，但是

1)采用起来很麻烦。 操作不便，因为需要事先获得对方的证书和公钥。 如果pgp不生成rsa密钥对并将其中的公钥发送给对方，对方就不能发送加密邮件。 证书也在向ca中心申请后发送给对方，对方需要验证。 证书过期后，该过程将再次被重复操作。 这在实用上是一个非常大的障碍。 / br// h///br// h/2 )不能很好地支持云计算模型。 随着云计算技术的成熟，各种基于云计算的应用程序越来越多。 大部分邮件系统转移到了基于web操作的模式。 采用该方案的客户需要使用本地私钥，因此难以进行完全虚拟化。 特别是在各种移动智能终端日益丰富的时代，该模型呈现出应用瓶颈。

.基于IBC标识密码编码方法

根据上述方法进行总结分解 / br// h///br// h/IBC (身份-基本加密算法)是当前邮件的最佳密码技术。 在所标识的加密系统中，每个实体具有有意义的标识信息，该标识信息本身是实体的公钥。 在ibc实现的邮件安全解决方案中，客户直接采用收件人的邮件地址作为对方的公钥，无需事先协商密码或交换证书。 实现易用性和安全性的融合:

1)易用性:同样使用随机对称密钥保护邮件副本，使用不对称算法保护对称密钥。 但是，由于收件人的电子邮件是公钥，减少了繁琐的证书/公钥交换和验证环节，大大提高了顾客满意度。 即使对方未注册，也可以发送加密邮件，客户端可以通过浏览器方式实现邮件的加密、解密，非常方便。 / br// h /

/ br/ 【图2:ibc加密邮件可以使用浏览器实现邮件的加密、解密、签名等功能】

2 )完整的处理方案:奥联科技十年来专注于密码应用的研发，在ibc安全邮件中形成了透明模式的安全邮件网关、零客户端网络解密、专用客户端或插件、usbkey注册等丰富的产品。 形成了国内知名邮件制造商coremail、亿邮、安宁等和安全邮件一体化产品。 在现场体验了蔡先勇给126个邮箱的加密邮件，结果收到了图像形式的信封。 点击那个链接可以在浏览器中解读、阅览。 / br// h /

/ br// h /图3 :收到的ibc加密邮件中显示的信封

3)由国家密码管理局进行安审: 2008年，奥联科技开发的基于身份密码算法的电子邮件系统通过了国家密码管理局的安全认证(模型sjy137 )。 采用的ibc算法取得了国家密码管理局发行的商密算法模型: sm9 (商密9号算法)。 据/ br// h///br// h /介绍，ibc技术目前在国外也普遍采用。 例如，美国一家企业ibc加密电子邮件公司的客户已近千家，涉及银行、能源、医疗和政府等领域，客户数已近5000万人，其云系统每年解决12亿通以上的邮件加密。 约30%的财富2000强企业使用ibc技术实现邮件加密。美国微软、台湾趋势技术、sendmail、proofpoint等提供基于ibc的安全邮件产品。

IBC和安全邮件的介绍现在可以访问奥联官网olymtech了。 欢迎来到奥联weibo/szolymtech。 可以免费获得ibc加密邮箱的体验。 / br// h /