巧用“数字签名”提高邮件安全

网络安全

阿楠 · 2006年12月18日

你收到过XX公司发送的中奖信息的电子邮件吗?看到这封邮件后,你是不是怦然心跳呢?曾几何时,这封中奖信件传遍了祖国的大江南北,从东海之滨到雪域高原,都有人收到过。哼哼,不要高兴得太早了,因为十有八九这封信是别有用心的人伪造的——不要总以为自己是一个幸运儿!假借XX公司发送的中奖信息的电子邮件不知道害了多少人。哎,阿楠曾经就是受害人之一……

其实这种情况并不是SMTP协议本身引起的,而是邮件服务器的管理者安全意识不强,不合理的配置邮件服务器引起的!国内的免费邮件原来基本都不需要发信认证,也就是说,别人可以随便以你的邮件地址作为发信地址而不需要口令之类的认证措施,这样冒名顶替简直是轻而易举!但是随着冒名顶替事件的屡屡发生,国内的免费邮件系统做了大规模的升级,现在很多免费邮件系统为了提高邮件安全性,都提供了发信认证,像263.net、etang.com等;但仍有一些免费邮件发信时不需要认证。你在使用这些邮件系统时应该有清醒的认识,以免自己的邮件被不法之徒伪造。

另外数字签名技术也是一个防止邮件被伪造的好办法,如果有必要,可以参考Outlook的帮助文件去申请;或者到263.net去申请数字签名。

下面阿楠主要来给大家讲一下“数字签名”吧。由于很多人会从事电子商务活动,所以有很多机密信息需要通过邮件来传输,这些机密信息需要通过电子邮件传输,信息内容可能包括你的信用卡号、密码等,因而确保电子邮件的安全性和保密性的呼声越来越高,现在已经开发了好几种用于电子邮件的加密技术,其中一种技术就是数字签名。

数字签名允许你签发邮件,使收信人可以确认经数字签名的邮件确实是由你发送的,并且未被窜改。同时数字签名可以允许他人向你发送加密邮件。

你可以从证书的授权发行机构来获得数字标志,其实过程就像从公安机关获得身份证一样。然后就可以将数字签名发送给需要向你发送加密邮件的人。

下面我们来讲讲怎么获取数字签名。使用数字签名之前需要先获取签名许可。有很多的商业发证机构专门从事这类业务,打开Outlook 的帮助页,上面列举了好多家数字签名的发行机构,你可以选择你所信任的公司来获取数字签名。例如你选择了Verisign公司,就可以通过下一步骤获得你的数字签名。

首先访问Http://www.verisign.com站点,按提示填入你的个人信息及电子邮件地址,确认无误后提交,片刻之后邮箱会收到一封Verisign公司发来的电子邮件,其中就包含了你的Digital ID PIN(数字身份个人识别号)。接下来根据刚收到的电子邮件的提示访问http://digitalid.verisign.com/mspickup.htm,然后根据提示输入你的Digital ID PIN并递交,成功后,你即可获得你的数字签名了,如图1。

50-7-1.jpg
图1

获取数字签名之后,就需要对其进行配置。或许你并不想让你发送的所有邮件都变成签名邮件,所以你可以选择需要数字签名的邮件。在Outlook中单击“工具”菜单并单击“账号”,选择你想使用数字标志的账号,单击“属性”,然后单击“安全”选项,再单击“签名标志”栏的“选择”按钮,选择使用该账号签署邮件时将使用何种数字签名;选择“加密首选项”栏,其中的加密信息和算法将包含在你的数字签名的邮件中,这样阅读到你的电子邮件的人就可以用同样的设置向你发送加密邮件了。

你获取的数字签名存储在你的计算机上,是不能替换的非公开的信息。如果该数字签名丢失,你将无法再发送已签名的邮件或读取具有该数字签名的加密邮件。所以,你需要对该数字签名做一个备份。过程十分简单,只要进入“证书管理器”选择需要备份的证书(数字签名),按“导出”即可完成备份(如图2)。

50-7-3.jpg
图2

利用数字签名收发安全电子邮件

一切准备工作完成以后,就可以正式使用数字签名了。

发送带数字签名的邮件,经过签名的电子邮件允许收件人验证你的身份。要对某邮件进行数字签名,先要单击“工具”菜单,然后选择“数字签名”来签名要发送的邮件。带有数字签名的邮件是允许你验证发件人的身份的,并且带有特定的已签名的图标。如果接受到的已签名邮件出现问题,则说明该邮件已被更改或来自其他发送人。

将某电子邮件加密会防止传输过程中有他人阅读邮件。单击“工具”菜单,然后选择“加密”。在加密过程中你需要有收件人的数字签名。当接收到加密的邮件时,Outlook将自动解密电子邮件,但前提条件是你已经在计算机上正确安装了发件人的数字签名。这个过程很简单,只要发送一封带有你的数字签名的电子邮件即可,接收者的Outlook会自动存储你的数字签名,如图3。

50-7-5.jpg
图3

有时候联系人多了查找起来也比较困难,我们可以在“编辑”当中提供的“查找用户”里选择带有数字标志的服务目录,从结果中选择列表然后单击“添加到通讯簿”就可以了。在通讯簿中导入数字签名的时候,与之关联的有一种“信任状态”,它表明你是否相信发行证书的个人、群体或企业。Outlook中的默认信任状态是“从发行者继承信任关系”,也就是说,由于发行人是可信的,因此数字签名也是可信的。

然而,并非授权机构的所有数字签名都可信。如果是个人创建的数字签名,你可能就不会相信;或者,如果数字签名的所有者警告你,他怀疑数字签名的个人密钥已被人修改,这时你可能就要将信任状态改为“明确不信任”了。我们可以通过“数字标志”的“属性”来选择“编辑信任关系”(如图4)。

50-7-7.jpg
图4

小结

随着邮件的普遍应用,越来越多的黑手伸向这个人们日益依赖的网上信息大道,只要我们从整体、全程打造安全的邮件系统,就可以很有效的保护我们电子邮件中的信息、资料、隐私等。综上所述,在现代社会里,电子邮件和网络上的文件传输已经成为生活的一部分,因而邮件的安全问题也就日益显得突出。而数字签名可以很有效的保护我们邮件的安全,希望本文对正在被邮件安全问题困扰的朋友提供帮助。