先說加密證書,為了保證用戶在各種終端設備上登錄郵箱後都能自動解密以前加密的郵件,給用戶最好的使用體驗,經研究和借鑒各大雲服務提供者提供的雲公鑰管理服務,密信也採用雲公鑰管理方式來管理加密證書公鑰,加密證書私密公鑰由雲端系統自動生成後下發到用戶端。
首先,加密證書私密公鑰是在符合國際標準FIPS 140-2 Level 3的硬體加密機(HSM)上產生,符合WebTrust國際標準對私密公鑰生成和保護的要求。而國密演算法SM2加密證書證書私密公鑰則是在取得商用密碼產品認證證書的密碼機上產生,並符合相關國家標準對私密公鑰的生成和保護的要求。使用者私密公鑰會分割成兩部分分別加密保存在不同的公鑰管理資料庫中。其次,用戶必須是成功登錄郵箱並完成郵箱控制權驗證後才能取到綁定此郵箱的私密公鑰和公鑰,並安全地存放在用戶終端設備上。
密信公鑰管理系統(KM)採取了多種安全保護措施來保證公鑰的安全,這些保護措施通過了協力廠商代碼安全測試公司安全審計和通了權威的WebTrust國際標準審計和國密局的相關審查和驗收,多方安全認證,請放心使用。
密信加密證書私密公鑰的安全有四個不同的保護級別,滿足不同用戶對公鑰安全的不同需求:
(1) 默認保護級別
這是依賴於郵箱密碼驗證通過(成功登錄郵箱)才下發加密證書(無需設置證書保護密碼,由系統自動設置),只要使用者郵箱密碼是安全的,則用戶證書私密公鑰也是安全的。此基礎保護措施是為了方便了用戶的證書使用,用戶只需像使用其他郵件用戶端軟體一樣正確設置好郵箱後登錄郵箱就可以發送加密郵件,無需關心證書是如何申請到的,無需額外記住證書保護密碼和無需關心證書如何安裝。
(2) 增強保護級別
為了加增強式加密證書私密公鑰的安全,強烈建議用戶登錄密信官網設置證書私密公鑰保護密碼(設置一個不同於郵箱密碼的密碼),這樣,密信App下發加密公鑰和加密證書時不僅要驗證郵箱控制權,同時還要驗證使用者設置的證書保護密碼,雙重保障私密公鑰安全和加密的郵件安全。
其優點是:即使郵箱密碼被盜,盜賊也由於不知道證書保護密碼而拿不到加密證書,從而確保了加密郵件不會被非法破解;其缺點是使用者不僅要記住郵箱密碼,而且還需要記住證書保護密碼,多記一個密碼,請牢記。
請注意:如果你的郵箱已經用於綁定其他服務系統帳戶,強烈建議您採用增強保護級別,設置並牢記證書保護密碼。
(3) 高級保護級別
目前密信郵件證書私密公鑰是軟證書模式,對於有更高要求的用戶,我們計畫將來支持用USB Key、藍牙Key或SIM卡Key來保護用戶的私密公鑰安全。
(4) 部署企業公鑰管理系統
以上保護措施都是基於使用密信公共公鑰管理系統的使用者端保護措施,而對於對加密證書公鑰有更高的安全可控要求的單位使用者(如:政府機構、金融機構和大企業),可以選購密信企業公鑰管理系統(企業 KM)在單位內網本地部署使用。這是一個隨插即用的系統,只需接入單位內網並配置好相關單位郵箱功能變數名稱資訊即可。本單位員工只能從單位企業KM獲取加密證書公鑰,從而實現加密公鑰的自己管控,滿足有關安全可控要求。
對於簽章憑證,由於簽章憑證含有身份資訊,其數位簽章具有等同於手寫簽名的法律效力,所以,密信不在雲端生成和保存用戶簽章憑證私密公鑰,私密公鑰在使用者本地設備生成並安全保存,不上傳到雲端。使用者每次在新設備上使用密信App時系統都會簽發一張新的簽章憑證給使用者,兩個設備上的簽章憑證是兩張不同的證書,當然證書中的身份資訊是一致的。
簽章憑證除了本地生成公鑰不同外,私密公鑰的保護也是同加密證書採用三個不同的安全保護級別,滿足不同用戶的安全需求。一旦使用者設置了證書保護密碼,則簽章憑證和加密證書都是採用這個密碼,無需分開單獨設置。
總結一下:為了妥善處理公鑰安全與易用性的矛盾,密信採用了雲公鑰管理服務模式,並採用了雙證書,把加密證書與簽章憑證分離為兩張獨立的證書。而為了方便用戶在不同終端設備上都能解密加密郵件,在所有密信App中預設配置的加密證書是同一張證書,是第一次使用密信App在密信雲端伺服器生成並安全存儲的。而對於部署了企業KM的用戶,則加密證書公鑰安全地存放在企業KM中,密信不會上傳備份企業KM用戶的加密公鑰。加密證書的公鑰使用期為3年,一旦加密證書過期,則會自動生成新的加密公鑰和加密證書,舊的加密證書也會保存下發使用,用於解密以前用此證書加密的郵件,但是在密信App的證書管理功能表中不可見。這樣就完美地解決了用戶頭疼的管理過期證書的難題。
而簽章憑證是在使用者設備端生成公鑰並只保存在使用者本地設備上,這樣不同的設備就會是不同的簽章憑證,不會是同一張證書,但是身份資訊是一樣,一樣都可以用於數位簽章。免費版服務自動配置的簽章憑證有效期為一年,到期後重新在本地設備生成新的公鑰和自動配置新的簽章憑證,舊的簽章憑證將不再使用和不在密信App證書管理中顯示。而收費版服務的簽章憑證,使用者可選1-3年有效期,到期後使用者需要續費才能重新生成和自動配置新的含有可信身份資訊的簽章憑證,如果使用者不再續費,則自動降級為免費版和自動配置免費版簽章憑證。
匯出密信證書到其他郵件用戶端上去使用不是一件容易的事情,建議您還是直接用密信App即可,無需費力匯出證書到其他郵件用戶端上去使用。如果您需要的功能密信App沒有,請告訴我們,我們將盡力在後續版本提供。密信App Windows版會自動把密信預設配置的加密證書、簽章憑證安全地保存在Windows憑證存放區庫,是不能匯出的。
密信App Windows版會自動安裝密信根證書到“受信任的根憑證授權”中,用戶證書也是自動安裝在Windows用戶證書庫中,方便Outlook用戶無需任何設置就可以直接自動使用密信系統簽發的加密證書和簽章憑證,只需在用Outlook發送郵件時選擇“簽署”和/或“加密”即可。
密信App移動版也不提供密信證書匯出功能,我們認為匯出證書到其他郵件用戶端上使用是一件費時費力的事情,完全沒有任何必要,建議您不要浪費精力,直接用密信App。
如果用戶選購了全球信任的Vp郵件證書,則此證書也是不可匯出的。
郵箱設置成功後,密信App會自動向默認CA申請證書並自動配置好一張加密證書和一張簽章憑證。請在“證書管理”中查看您的默認兩張證書是否已經安裝好。
如果您的密信App在運行狀態,一般情況下一分鐘之內都是可以自動拿到證書的。如果一直沒有拿到證書,請點擊“意見回饋”,詳細告知您的設備型號、證書管理頁面截圖等資訊,以便我們排查故障原因。
可以。只需把PFX格式證書作為郵件附件發郵件到自己郵箱即可,密信收到後點擊附件證書就可以安裝此證書,安裝成功後,就可以用此證書解密以前用此證書加密的郵件了。也可以設置導入的證書為默認加密證書和簽章憑證。
不可以。您的電子郵件帳戶一旦設置成功,系統會自動配置一張加密證書和簽章憑證,此證書為帳戶證書,將提供基礎通信安全加密服務,在您沒有導入其他證書之前也是默認簽章憑證和加密證書,如果您導入了其他證書和申請了其他級別的身份認證,您可以把您導入的證書或其他級別的身份證書設置為預設證書,但是系統自動配置的帳戶證書是不能刪除的。
是的,為了您的機密資訊高度安全,我們計畫支援USB Key、藍牙Key或SIM卡Key,您可以把證書導入到硬體Key中,只有您的手機連接上硬體Key後才能解密加密的郵件,一旦斷開與手機的連接,則密信App無法解密加密郵件。
密信默認加密證書有效期為39個月,默認簽章憑證有效期為13個月,密信App會自動為您的快要過期的證書自動重新簽發新的證書,並自動配置和啟用新證書。已經過期的加密證書將繼續保留在您的帳戶中用於解密以前的加密郵件。而過期的簽章憑證將被移除。
您可以訪問密信官網用密信App掃碼登錄您的帳戶後申請吊銷帳戶證書,如果您已經設置證書保護密碼,則還需要輸入證書保護密碼。請注意:一旦證書吊銷成功,用此證書加密的郵件將不能解密除非您能通過驗證拿到新的加密證書。
同時,請注意:如果您把密信用於非法用途,密信保留吊銷您的加密證書和簽章憑證的權利,一旦您的證書由於非法使用密信而被吊銷,則此郵箱將不能再申請證書,也無法用已經簽發的證書來解密以前已經加密的郵件。請參考相關 法律條款。
如果您的手機掉了,強烈建議您馬上登錄密信官網帳戶,找到設備清單,設置在丟失設備上禁用密信App,同時馬上申請吊銷加密證書和簽章憑證,這樣撿到手機的人即使能打開你的手機,但由於解密證書已經吊銷也就無法查看您的加密郵件。如果您設置了證書保護密碼,強烈建議您馬上修改證書保護密碼。如果您沒有設置證書保護密碼,強烈建議您馬上設置一個不同於郵箱密碼的證書保護密碼。