密碼編碼學與網絡安全

電子工業(yè)出版社2006-2007第15章電子郵件安全* 15.aSMTP/POP3 ↓15.1PGP ↓15.2S/MIME ↓* 15.b文件加密 ↓郵件安全電子郵件是最普及最重要，同時也最受安全問題困擾的互聯網應用之一。電子郵件的特點是離線方式(非交互)，因此解決其安全問題的方法是靜態(tài)的，便于學習、分析和借鑒。15.aSMTP/POP3SMTP制做假冒郵件POP3IMAP,X.400,…E-Mail:@SMTPRFC821SMTP-SimpleMailTransferProtocolPOP3RFC1939POP3-PostOfficeProtocol–V3IMAPRFC2060InternetMessageAccessProtocolallowsaclienttoaccessandmanipulateelectronicmailmessagesonaserverX400X400isawholeofprotocolsadaptedtoEDIE-Mailsoftware*Client:Outlook/Exp,Foxmail,Eudora*Server:Sendmail,Exchange,Exim,Qmail,PostfixSMTPServerSurvey//958All401UNIXSendmail176WindowsMicrosoftExchangeorIISSMTP167UNIXqmail57WindowsIpswitchIMail23UNIXsmap15UNIXIBMPostfix,formerlyVMailer14UNIXExim12WindowsGordanoNTMailSMTPHELO<SP><domain><CRLF>MAIL<SP>FROM:<reverse-path><CRLF>RCPT<SP>TO:<forward-path><CRLF>DATA<CRLF>RSET<CRLF>SEND<SP>FROM:<reverse-path><CRLF>SOML<SP>FROM:<reverse-path><CRLF>SAML<SP>FROM:<reverse-path><CRLF>VRFY<SP><string><CRLF>EXPN<SP><string><CRLF>HELP[<SP><string>]<CRLF>NOOP<CRLF>QUIT<CRLF>TURN<CRLF>SMTPmodel+----------++----------++------+|||||User|<-->||SMTP||+------+|Sender-|Commands/Replies|Receiver-|+------+|SMTP|<-------------->|SMTP|+------+|File|<-->||andMail||<-->|File||System||||||System|+------++----------++----------++------+

Sender-SMTPReceiver-SMTPModelforSMTPUseExtendedSMTPrfc1869-

SMTPServiceExtensionsEHLO(ExtendedHELLO)ratherthanHELOSMTP會話話SMTPSessionHELO\015\012MAILFROM:abc@none\015\012RCPTTO:xyz@where\015\012DATA\015\012Subject:test-sub\015\012\015\012the_msg_body\015\012\056\015\012QUIT\015\012*以TCP連接SMTPserver的25號端口，發(fā)送送此序列即可可發(fā)出簡單的的郵件SMTP試驗驗用telnet發(fā)信找個不要口令令即可發(fā)信的的SMTP服務器openrelay步驟見備注行行編程MAILAPIinWindows在CGI/網頁中發(fā)送郵郵件在VBS腳本中發(fā)送OpenRelay準備自己的SMTP服務器POP3Version3ofthePostOfficeProtocol.POP3isdefinedinRFC1081.POP3allowsaclientcomputertoretrieveelectronicmailfromaPOP3serverviaaTCP/IPorotherconnection.Itdoesnotprovideforsendingmail,whichisassumedtobedoneviaSMTPorsomeothermethod.POP3POP3Server試驗（inw2k3）測試帳號：test@口令是”passwd”或者”test””SMTP:POP3:需要域名(免費)3322.orgIMAPIMAPwasdesignedasamodernalternativetothewidelyusedPOP3emailretrievalprotocolWhetherusingPOP3orIMAP4toretrievemessages,clientsusetheSMTPprotocoltosendmessagesIMAP4worksoveraTCP/IPconnectionusingnetworkport143IMAP4nativelysupportsencryptedloginmechanismsItisalsopossibletoencryptIMAP4trafficusingSSL,eitherbytunnelingIMAP4communicationsoverSSLonport993,orbyissuing"STARTTLS"withinanestablishedIMAP4sessionImportantcapabilitiesinIMAPbutnotPOP3include:…X.400ThesetofITU-Tcommunicationsstandardscoveringelectronicmailservicesprovidedbydatanetworks.X.400waswidelyusedinEuropeandCanada.X.400addressestendtobemuchlongerthanRFC822ones.Theyconsistofasetofbindingsforcountry(c),administrativedomain(a),primarymanagementdomain(p),surname(s),givenname(g).Forexample,theX.400addressc=gb;a=attmail;p=UniversalExport;s=Bond;g=JamesmightbeequivalenttoRFC822James.Bond@UniversalExport.co.ukSMTP/POP3安全全問題竊聽sniffer偽造發(fā)信的隨意性性抵賴郵件傳播病毒毒垃圾郵件EMAIL安安全增強PGPS/MIME15.1PGP-PrettyGoodPrivacyPRZcasedroppedPGP使用了高強度度的算法、適適應性強、源源碼公開CaseReadingPhilipR.Zimmermann是PrettyGoodPrivacy,一個郵件加密密軟件的開創(chuàng)創(chuàng)者.PGP于1991年在Internet上免費的發(fā)布布,它的最初設計計目標是一個個保護人權的的工具.由于PGP在世界范圍的的傳播違反了了美國政府關關于加密軟件件的出口限制制,Zimmermann受到了為期三三年刑事調查查.盡管缺少資金金,缺少任何付酬酬員工,缺少在后面支支持的一個公公司,還有著政府的的煩擾,PGP仍然成為了世世界上使用最最為廣泛的郵郵件加密軟件件.1996年初,在政府撤手這這個案子之后后,Zimmermann創(chuàng)立了PGP公司.1997年12月,公司被NetworkAssociatesInc(NAI)收購,在那里他做了了三年的高級級職員.2002年8月,PGP被一家名叫PGP有限公司的新新公司從NAI購得,Zimmermann在那里擔任特特殊顧問和咨咨詢.獲得PGP使用PGP(注冊)產生私鑰名字、email帳號、RSA/1024、有效期口令保護導入/導出公鑰/私鑰加密/簽名郵件文件(+自解密exe文件)剪貼板虛擬磁盤分區(qū)區(qū)為了交換：用用自己的私鑰鑰簽名，用別人的公鑰鑰加密為了存儲：用用自己的公鑰鑰加密（此時接收者者是未來的自自己）PGP課堂堂演示$推薦版本PGP6.5.8(PGP8.02需注冊!)練習：請課課后使用PGP并給出試用用報告郵件的認證證-簽簽名發(fā)送方創(chuàng)建建郵件報文文產生SHA-1值160比特用RSA私鑰簽名，，簽名值放放在報文前前面接收方鑒別別來源人用發(fā)送者的的公鑰解密密簽名，獲獲得160比特SHA-1值該值于明文文的SHA-1值比較郵件的保密密性-加加密發(fā)送產生(128b)隨機數作為為會話密鑰鑰選擇合適的的算法(DES)加密報文用RSA算法/接收者的公公鑰加密會會話密鑰，，放在報文文前面接收用自己的RSA私鑰解密獲獲得會話密密鑰用會話密鑰鑰解密獲得得明文其他加密和簽名名結合先簽名,后對稱加密密,再把會話密密鑰用公鑰鑰保護壓縮簽名之后,加密之前節(jié)省帶寬、、增強安全全強度（減減少了冗余余信息）編碼BASE64BASE64EncodeRadix-64每6bits編碼為A…Z,a…z,0…9,+,/=(padding)每3bytes(24bits)編碼為4ASCs若余1字節(jié),則補2個=若余2字節(jié),則補1個=概括為編碼碼為4的倍數見備注行LZ77壓壓縮吃葡萄不吐吐葡萄皮不不吃葡萄倒倒吐葡萄皮皮吃葡萄不吐吐□□皮□□□□倒□□□□PGP中對對報文的操操作PGP報文文格式PGP中的的報文傳輸輸PGP密鑰鑰管理私鑰產生，需要要隨機數種種子用口令保護護口令的SHA1值做為key加密保護之之會話密鑰產生用來加密報報文主體被公鑰保護護密鑰標識符符用來區(qū)分一一個用戶的的多個公鑰鑰取公鑰的低低64bits為標識密鑰環(huán)，就就是表私鑰環(huán)，是是自己所擁擁有的私鑰鑰的表公鑰環(huán)，是是自己所知知道的別人人的公鑰的的表公鑰信任管管理直接索要交流公鑰環(huán)信任能夠傳傳遞(嗎?)查目錄證書CA公鑰的廢止止簽名聲明學習分析PGP源程程序關心其主要要技術的方方法和思路路加密算法相相關部分編碼相關其他PGPDisk有由文件虛虛擬一個磁磁盤時用到到的驅動的的源代碼(?)需要DDKPGPVPNPGPFone(phone)磁盤擦除功功能(wipe)GPGPGP相關關規(guī)范15.2S/MIMERFC821/2MIMES/MIMES/MIME術語RFC822Date:Mon,19May200323:0:33+0800From:“someone”<someone@>To:““someother”<someother@>Subject:helloHowareyouRFC822-StandardForTheFormatOfARPAInternetTextMessagesSMTP/822局局限SMTP不能傳輸二二進制數據據只能傳輸7b字符SMTP和X400的兼容問題題X.400isaseriesofrecommendationswhichdefinethebasicinfrastructureofamessagingsystem.inElectronicbusinessDataInterchangeRFC1327-MappingbetweenX.400(1988)/ISO10021andRFC822MIMEMIMEaspecificationfortheformatofnon-texte-mailattachmentsthatallowstheattachmenttobesentovertheInternet.MIMEallowsyourmailclientorWebbrowsertosendandreceivethingslikespreadsheetsandaudio,videoandgraphicsfilesviaInternetmail.例子在OE中另存為.eml文件，則內內容如下MIMESpecificationMIME概概述新的報文頭頭字段MIME-VersionContent-TypeContent-Transfer-EncodingContend-ID*Contend-Description*定義了內容容格式定義了傳送送編碼MIMEContentTypeTextPlainEnrichedMultipartMixedParallelDigestMessagerfc822PartialExternal-bodyImagejpeggifVideompegAudioBasicApplicationPostScriptOctet-streamMIMEencoding7bit8bitbinaryquoted-printablebase64x-tokenMIME例例子LOOKMIMEinHTTP閱讀材料（佚名）S/MIME安全簽名和/或加密類似PGPclear-signed明文||b64編碼的簽名名優(yōu)點是不能能驗證時也也能看明文文算法DSS/DSA、RSA、ElGamal*optRC2(40export)、3DESSHA1、MD5S/MIME報文內容類型MultipartSigned(clear)Applicationpkcs7-mime signed-datapkcs7-mimeenveloped-datapkcs7-mimedegeneratedsigned-datapkcs7-signaturepkcs10-mimeS/MIME操作方方法封裝生成偽隨機機數做為會會話密鑰用對方公鑰鑰加密會話話密鑰自己的證書書、對方的的鑰標識ID用對稱算法法加密數據據簽名擇散列算法法并計算散散列值用自己的私私鑰簽名自己的證書書、摘要算算法標識、、對方的鑰鑰IDClear-signedS/MIME證書/公鑰內容類型注冊請求證書報文SMIME用戶代理生成密鑰，，保護申請證書存管VeriSignX509v3證書分類：class1、2、3參見IE’內容－證書書S/MIME試驗OutlookExp發(fā)送安全郵郵件需要證書/私鑰建議的方法法用sniffer查看用另存為.eml格式文件查查看報告實驗過過程Refer15.b文文件加密密PGP的文文件加密EFS(NTFS)inWindows學習某案例例推薦題目文件加密程程序用口令衍生生密鑰的對對稱加密校驗可選對稱算算法用公鑰的加加密用偽隨機數數做為密鑰鑰用公鑰加密密保護數據據可以使用自自己的公鑰鑰(為存儲)磁盤分區(qū)加加密直接的硬件件支持大文件模擬擬硬盤(此時退化為為文件加密密)