目前互联网上应用最多的服务是电子邮件,保证电子邮件的安全常用到两种端到端的安全技术:PGP(Pretty Good Privacy)和S/MIME(Secure Multi-Part Intermail Mail Extension)。它们的主要功能就是身份的认证和传输数据的加密。
PGP/MIME和OpenPGP都是基于PGP的,已经得到许多重要的邮箱提供商支持,PGP的通信和认证的格式是随机生成的、使用简单的二进制代码。PGP的主要提供商是美国NAI的子公司PGP,在中国,由于PGP的加密超过128位,受到美国出口限制,所以商用的比较少。
图中为安全电子邮件的逻辑图,发送者使用自己的证书对邮件进行数字签名,同时将自己的证书传给接收者。对加密邮件来说,发送者需要使用接收者证书中的公钥对邮件进行加密,对无证书的接收者,则不能加密。
了解数字签名首先要了解“邮件文摘”(messagedigest)。简单地讲,“邮件文摘”就是对一封邮件用某种算法算出一个能体现这封邮件的“精华”数来,一旦邮件有任何改变,这个数都会变化,这个数加上作者的名字(实际上在作者的密钥里)和日期等等,就可以作为一个签名了。
甲用自己的私钥将上述的“精华”加密,附在邮件上,再用乙的公钥将整个邮件加密。这样这份密文被乙收到以后,乙用自己的私钥将邮件解密,得到甲的原文和签名,乙自身的验证系统也从原文计算出一个“精华”来,再用甲的公钥解密签名得到的数进行比较,如果符合就说明这份邮件确实是甲寄来的。这一点在商业领域有很大应用前途,可以防止发信人抵赖和信件被途中篡改。
