首页>解决方案>电子邮件全自动加密和签名解决方案

电子邮件全自动加密和签名解决方案彻底解决电子邮件机密信息安全问题!

一、现状分析

从1971第一封用@符号标记的电子邮件诞生,到2020年已经有49年历史的电子邮件是互联网的第一个最广泛的应用,据统计全球有37亿个电子邮件账户,每天发送的电子邮件数量高达2690亿封(当然有不少是垃圾邮件)。也就是说:电子邮件是工作和生活的必须。

苹果公司一位技术专家在一个电子邮件安全的邮件讨论组中写道:“Email as a tool for the betterment of humankind has proven so effective as to be arguably invaluable; improving the security, privacy, and safety of using email is a very worthwhile goal.(电子邮件作为改善人类生活的工具已被证明是非常高效的,同时可以说是无价的。提高使用电子邮件的安全性、隐私性和安全感是一个非常有价值的目标。”这句话说得非常好,有两个重点:一是高度肯定了电子邮件对改善人类生活所作的贡献,并且肯定了这种通信方式是高效的;二是指出了电子邮件的安全性还需要改进和提高。那么,如何改进和提高电子邮件的安全性,密信技术给出了完美的答卷。

我们先来看看电子邮件的发送机制,分析清楚为何电子邮件的安全性还需要改进。电子邮件每天都在交换大量的个人和商业机密信息,但是绝大多数邮件都是通过明文传输到邮件服务器,并以明文形式储存在云端服务器中,收件人再明文收到邮件。如下图所示,这是一个巨大的云端大数据安全隐患!

这个巨大的数据安全隐患主要是因为电子邮件在设计时就是采用明文传输机制,虽然后来有些改进,如下图所示,采用在邮件服务器上部署SSL证书实现SSL/TLS SMTP加密传输,但是这也只能保证用户邮件从邮件客户端发出到邮件服务器链路上是加密的,邮件到了邮件服务器仍然是明文存储。邮件服务器在收到待发送邮件后会联系收件人邮件服务器收件,如果收件服务器没有部署SSL证书,则邮件只能明文从发件人邮件服务器发送到收件人邮件服务器上,明文邮件又在收件人邮件服务器明文保存了一份,收件人也是明文从邮件服务器下载到自己的邮件客户端中。所以,如果邮件服务提供商告诉其用户邮件已经采用了TLS/SSL传输加密,那只能是安慰用户,实际上邮件离开发件人邮件服务器就不是自己所在的邮件服务商所能控制的了!

这些安全问题并不是没有人去想办法解决,1995年RSA等公司提出了S/MIME(安全/多用途互联网邮件扩展)协议V1版本,对邮件安全方面的功能进行了改进,1998年和1999年相继出台V2/V3版本并提交IETF形成系列RFC国际标准。如下图所示,S/MIME国际标准就是用数字证书对邮件进行加密,即用收件人的公钥把明文邮件加密成密文,以密文方式由发件人邮件服务器发送到收件人邮件服务器,收件人收到密文后用自己的私钥解密得到邮件明文。这个全程加密过程实现了即使邮件服务器没有采用了SSL/TLS传输加密,也能保证邮件的安全加密传输,因为邮件本身是密文。当然,强烈推荐邮件服务器部署SSL证书来保证用户邮箱的口令安全。

从发布S/MIME邮件签名和加密标准至今又过去了25年,大家常用的邮件客户端软件如:微软Outlook、Mozilla雷鸟和苹果iMail等也都已经全面支持S/MIME国际标准实现电子邮件签名和加密,但是S/MIME邮件加密技术为何并没有得到普及应用?这是因为业界始终没有解决其易用性问题,而其中一个最重要的原因是密钥管理太复杂。用户不仅需要从CA申请到邮件证书,还需要用户把邮件证书安装到各种设备的各种邮件客户端软件中,并且能正确配置使用,好不容易把证书搞定了,还需要先同对方交换公钥才能发加密邮件,这绝对是一项普通用户根本无法完成的事情。

英国国家网络安全中心网站这样写道 “Although it is possible to encrypt individual emails using protocols like PGP or S/MIME, this requires the sender and recipient to have the necessary trust infrastructure in place. This is not likely to be possible for all the parties you communicate with.”“You should only use message-based encryption like PGP or S/MIME occasionally for transfer of sensitive information as it’s inefficient and provides a poor user experience.”简单翻译一下大意是:“用S/MIME加密需要发送者和接收者都具有可信的加密基础设施,这是不可能要求所有邮件用户都具备的。”“如果要用电子邮件发送敏感机密信息就应该使用S/MIME加密,但是它效率太低而且用户体验很差。” 再通俗点讲就是:虽然S/MIME邮件加密技术很好,但是要想让人人都能用上,并且做到很好用,那是不可能的!

二、解决方案

密信技术早在2015年就组建研发团队研究如何解决S/MIME的易用性难题。为了保证用户能像发送明文邮件一样发送加密邮件,同时还要方便用户能随时随地使用任何设备能解密阅读已加密邮件,而无需费时费力去交换公钥来加密和导入证书来解密,必须解决密钥管理太复杂的问题。密信研发团队在研究了多家国际国内领先的云服务提供商提供的云密钥管理服务(KMS)后,决定采用云密钥管理技术方案来解决密钥管理难题和实现按需分发密钥。

密信技术的解决方案是把传统的一张邮件证书拆分为两张证书(一张签名证书和一张加密证书),加密证书密钥在云端生成并安全加密托管在云端,用户在完成邮箱控制权验证后就可以自动从云端取到加密证书密钥来自动解密已加密邮件,使得用户无需费时费力申请和导入邮件证书,完美实现全自动邮件加解密。而用户发送加密邮件时密信APP会自动到云端公钥库去获取收件人的加密证书公钥实现全自动发送加密邮件,使得用户无需事先交换公钥,真正实现无感全自动邮件加密和解密。而签名证书由于有用户的身份信息,用户的签名行为具有法律效力,所以,密信把签名证书设计为用户在本地设备上生成密钥,并在本地设备上加密保存密钥。这就是为何用户看到密信APP在不同设备上的签名证书的序列号是不一样的原因。

密信技术把传统的一张邮件证书拆分成两张证书并根据签名和加密的两个不同用途采用不同的密钥管理方式,完美地解决了S/MIME邮件加密服务的易用性问题,同时继承了S/MIME邮件签名的不可假冒、不可伪造和不可抵赖的特点,使得S/MIME邮件加密技术真正能实现零门槛无缝使用,用户无需关心证书在哪,只需像平常一样写好邮件点击发送即可自动发送加密邮件和自动接收和解密已加密邮件。

密信技术历时4年多终于全部解决了邮件加密的各种难题,建设了安全可靠的加密基础设施,并把这些设施普惠共享给全球所有密信用户使用,让大家都可以不用投资建设这些设施一样可以实现S/MIME邮件加密和数字签名,满足各种合规要求。

如下图所示,密信密码基础设施包括证书签发系统(MCA)、密钥管理系统(MKM)、加密证书公钥库系统(CerDB)、证书吊销查询系统(MCRS)、身份认证系统(MVS)、时间戳服务系统(MTS)、电子签名服务系统(MSS)等七大密码服务基础设施系统,这些云端服务系统加上 密信APP (邮件客户端软件) 构成了“云端”和“客户端”两端一体的数字签名和加密服务系统,安全可靠地为全球用户提供全自动电子邮件加密服务和全自动电子文档签名服务。也就是说,密信APP不是传统意义上的独立的邮件客户端软件和签名工具软件,它是一个面向用户端的服务代理,既能满足用户在本地操作数据的隐私保护需要,又能借助功能强大的云端服务系统,云地两端一体协同服务使得密信APP能全球率先实现全自动邮件加密、全自动文档签名和全自动电子合同签署。

也就是说,密信APP之所以能做到全自动邮件加密,核心就是彻底解决了繁琐的密钥管理问题,使得用户能随时随地使用任何设备获取加密密钥用于解密已加密邮件和自动获取收件人的公钥用于加密邮件。结合其他配套的几大服务系统,彻底解决上面所说的“效率太低”“用户体验很差”的难题,并且“让人人用得起”和“很好用”,把“不可能”变成”可能”!

密信技术建设的密码基础设施彻底解决了S/MIME邮件加密的易用性难题,让用户可以使用密信APP轻松发送加密邮件和数字签名邮件,现已经成功实现了商业化实施与应用,用户已经覆盖全球163个国家和地区。密信技术,让每一封邮件都有数字签名可信身份,彻底杜绝邮件欺诈!让每一封邮件都用证书加密成密文,彻底杜绝邮件泄密!

为了满足政府机关、金融机构和大企业等单位希望自己掌控加密证书密钥的更高安全需求,密信技术提出了支持用户在本地部署企业级密钥管理系统的解决方案。用户只需选购密信企业密钥管理系统(企业KM),并把企业KM系统连接到单位内网即可,所有员工电脑和移动设备都必须能连接到企业KM,以便获取加密证书私钥,成功拿到加密证书后就可以正常使用密信APP的邮件加密功能了。企业KM系统不能访问互联网,仅限于员工电脑和移动设备在单位内网访问,以确保密钥管理系统的安全。而对于不能连接互联网的用户,则只需再选购密信企业CA系统,部署在企业内网为用户提供邮件证书和提供加密公钥获取服务即可。

三、优势分析

密信全自动电子邮件加密和签名解决方案的核心产品是密信APP(加密电子邮件客户端软件)和配套的加密基础设施系统所提供的邮件数字签名和加密服务,彻底实现了电子邮件加密和数字签名的全自动、无门槛和无感。具有如下八大特别优势:

  1. 全自动配置证书:密信研发团队具有CA基因,密信APP实现了电子邮件数字签名和加密证书的全自动配置,实现了让用户像发送明文一样的轻松发送加密邮件,彻底解决了“用户体验差”的难题。
  2. 高效率无感加密:密信建立了加密证书公钥库系统、证书签发系统、密钥管理系统等多个后台支撑基础设施系统,实现了用户无需事先交换加密证书公钥就可以直接发送加密邮件,彻底解决了“效率太低”的难题。
  3. 可信加密基础设施:密信建设的“可信加密基础设施”通过云服务方式实现了对全球所有邮件用户的免费共享使用,使得“不可能要求所有邮件用户都具备的”加密基础设施人人都可以免费使用,不仅密信APP用户可以免费使用,而且自动配置的V1签名证书和加密证书也完全免费!密信技术让电子邮件S/MIME加密“人人都用得起”,让“不可能”变成“能”!
  4. 加密设施开放共赢:密信建设的“可信加密基础设施”不仅免费开放给所有密信APP用户使用,也同时免费开放其他邮件客户端使用,希望和鼓励其他邮件客户端软件也能像密信APP一样采用S/MIME国际标准和国家标准用数字证书实现全自动无感加密,共同为普及全自动全加密电子邮件做贡献。
  5. 加密设施共享使用:不仅如此,这些“加密基础设施”还免费开放给政府机构、公共服务机构、金融机构和各大企业用于免费获取用户的加密证书公钥,方便各种政务系统和各种管理系统都能把现在的自动发送明文邮件给用户改造成自动发送加密邮件给用户,确保这些重要信息系统发出的电子邮件机密信息安全。
  6. 独创邮件盖戳服务:不仅如此,密信技术全球独家专利技术实现了为每一封发出的电子邮件盖上密信时间戳,确保电子邮件发送时间是可信时间,而不是用户电脑或用户邮件服务器的不可信时间,这非常适用于类似于传统信件盖上邮戳来证明信件发出时间的应用场景。
  7. 独创国密邮件加密:不仅如此,密信技术全球独家实现了符合国家标准GB/T 35275-2017用国密算法(SM2/SM3/SM4)和国密证书加密和数字签名每一封电子邮件。全球用户都可以在设置中自由选择加密算法为RSA算法或国密算法,中文版用户默认用国密算法,其他语言版本用户默认用RSA算法,用户选定加密算法后则自动配置使用此算法签发的签名证书和加密证书。同样,配套的时间戳服务也将根据用户的算法自动配置相应算法的时间戳签名。密信APP对国密算法的全面支持,解决了政务邮件加密的国密合规问题,让国密算法能真正用于保障政务邮件的全程安全。同时,这也是密信技术为全球互联网用户贡献了电子邮件加密的中国智慧和中国解决方案。
  8. 邮件附件云端查杀:不仅如此,密信APP还集成了360安全大脑提供的云查杀功能,无需上传邮件附件,只需提交附件摘要就能快速查验邮件附件是否是恶意文件和邮件中外部链接是否是恶意网址。这不仅能有效地保护用户免收恶意邮件附件和恶意网址的攻击,而且能可靠地保护用户邮件附件的隐私信息安全。此服务是专为密信APP用户免费提供的增值服务。

四、增值服务

密信技术不仅为全球用户免费提供基础版电子邮件加密和数字签名服务,而且不断创新地为用户提供各种可选的收费的增值服务,满足全球用户的不同应用需求,欢迎广大用户选用。

1.邮件签名服务专业版

密信免费服务包括密信APP免费使用,并免费自动配置只验证用户邮箱控制权的V1邮件签名证书和加密证书,证书主题只显示Email地址,无个人和单位身份信息,为全球用户免费提供基础版电子邮件数字签名服务和证书加密服务。

如果用户希望收件人能确信自己的身份,则需要选购密信邮件签名服务专业版。专业版用户需要完成身份认证,个人用户可以选购个人专业版并提交V2个人认证材料,通过认证后,不限制个人邮箱数量地免费自动配置V2邮件签名证书,证书主题显示个人姓名、所在省市及国家,方便用户发送电子邮件时展示用户已认证的可信身份信息给收件人,增强收件人的信任,防止邮件身份假冒。

而单位用户可以选购单位专业版并提交V3单位认证材料,通过认证后,不限制员工邮箱数量的为每位员工免费自动配置V3邮件签名证书,证书主题显示单位名称、单位所在省市及国家,方便单位员工发送电子邮件时展示单位已认证的可信身份信息给收件人,增强收件人的信任,防止邮件身份假冒。

单位用户在完成V3单位认证后,还可以为其员工购买V4单位员工认证服务,认证费用为一次收费,不按年收费。员工通过身份认证后将自动为员工配置V4邮件签名证书,证书主题显示员工姓名、职位、单位名称、单位所在省市及国家,方便单位员工发送电子邮件时展示员工姓名、职位及单位名称等已认证的可信身份信息给收件人,增强收件人的信任,防止邮件身份假冒。

2.全球信任Vp邮件证书

密信APP默认免费自动配置的V1/V2/V3/V4签名证书和加密证书仅密信APP信任,如果用此证书发送签名邮件给使用其他邮件客户端软件的用户,其他邮件客户端软件会显示“该签名有问题,数字签名无效”等类似提示。如果用户不希望有此类提示信息,可以付费申请全球信任的Vp邮件证书,密信APP将默认用此证书数字签名邮件,其他邮件客户端软件都会正常显示签名者的证书签名信息,并显示“该数字签名是可信的”。

密信技术独创双证书签名技术,自动把全球信任的Vp邮件证书签名和密信信任的邮件证书签名服务紧密结合起来使用。同一份已签名邮件,用Outlook等邮件客户端查看显示全球信任的签名信息,而用密信APP查看则显示用户已验证可信身份的签名信息,让收件人能非常容易地识别发件人的可信身份,彻底解决邮件欺诈问题。

用户可以在密信APP中直接申请Vp邮件证书,也可以在密信官网上申请,一旦完成付费申请成功,则全球信任的Vp邮件证书会自动安装到密信APP中,自动配置为默认签名证书用于邮件签名。用户还可以手动导出此证书到其他邮件客户端软件使用(Outlook用户则无需导入,已经自动配置可使用)。

五、小结

总之,密信技术历时多年技术攻关,彻底解决了电子邮件全自动加密的世纪难题,使得全球互联网用户都可以免费全自动加密每一封电子邮件,全自动为每一封电子邮件有身份,全自动让每一封邮件的发送时间可信。同时率先让国密算法也能像RSA算法一样全自动实现电子邮件S/MIME数字签名和加密,让密码算法中国方案也能为全球互联网用户的电子邮件安全保驾护航。密信技术让邮件加密和签名成为默认选项,从而真正保护每一封电子邮件的隐私信息安全。

密信技术让“古老”的电子邮件获得新生并焕发新的活力,明文电子邮件(“明信”)将全部变成了全加密的“密信”!在人们日益重视隐私保护的今天,那些预言电子邮件即将成为历史的人们会惊讶地发现:全加密后电子邮件非但没有成为历史反而继续再创新辉煌的历史新篇章,加密电子邮件是最安全高效的工作通信方式,没有之一!