計(jì)算機(jī)網(wǎng)絡(luò)安全原理（第2版）課件 第10章 電子郵件安全

第十章電子郵件安全內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問(wèn)題1電子郵件安全需求電子郵件安全基于SMTP、POP3/IMAP等協(xié)議的電子郵件系統(tǒng)沒(méi)有采取必要的安全防護(hù)措施，導(dǎo)致：郵件內(nèi)容被竊聽垃圾郵件（Spam）郵件炸彈傳播惡意代碼（釣魚郵件）電子郵件欺騙電子郵件安全安全措施：端到端的安全電子郵件技術(shù)，保證郵件從發(fā)出到接收的整個(gè)過(guò)程中，內(nèi)容保密、無(wú)法修改且不可否認(rèn)傳輸安全增強(qiáng)技術(shù)，在網(wǎng)絡(luò)層或傳輸層使用安全協(xié)議（IPsec,SSL/TLS）來(lái)保證應(yīng)用層的電子郵件在安全的傳輸通道上進(jìn)行傳輸郵件服務(wù)器安全增強(qiáng)電子郵件安全安全措施：郵件發(fā)送方身份驗(yàn)證：發(fā)件人策略框架SPF協(xié)議（RFC7208,…），用于查詢發(fā)送域經(jīng)過(guò)的SMTP服務(wù)器是否在發(fā)送域指定允許的IP段內(nèi)；2004年起草并于2011年標(biāo)準(zhǔn)化了DKIM協(xié)議（RFC6376,…），不僅可以檢查發(fā)件人身份信息，還能檢測(cè)發(fā)件內(nèi)容是否被篡改；2015年頒布了為SPF和DKIM協(xié)議提供反饋機(jī)制的DMARC協(xié)議（RFC7489,…）電子郵件安全安全措施：SPF、DKIM與DMARC電子郵件安全內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問(wèn)題1端到端的安全電子郵件標(biāo)準(zhǔn)和協(xié)議主要有三種PEM(PrivacyEnhancedMail，隱私增強(qiáng)電子郵件)：S/MIME(Secure/MultipurposeInternetMailExtensions，安全/多用途因特網(wǎng)郵件擴(kuò)展)PGP(PrettyGoodPrivacy，優(yōu)良隱私保護(hù))安全電子郵件標(biāo)準(zhǔn)由美國(guó)RSA實(shí)驗(yàn)室基于RSA和DES算法開發(fā)的安全電子郵件方案。它在電子郵件標(biāo)準(zhǔn)格式上增加了加密、認(rèn)證、消息完整性保護(hù)和密鑰管理功能。由于PEM在MIME之前提出的，因此它并不支持MIME，只支持文本信息。PEM依賴于PKI并遵循X.509認(rèn)證協(xié)議，而當(dāng)時(shí)要建立一個(gè)可用的PKI并不是一件容易的事PEMS/MIME基于PEM，使用RSA提出的PKCS和MIME來(lái)增強(qiáng)Email的安全（對(duì)郵件主體進(jìn)行消息完整性保護(hù)、簽名和加密后作為附件發(fā)送）S/MIMEv1是1995年完成的（MIME是1992年推出的），v2在IETF的RFC2311和RFC2312中定義，v3在RFC3850和RFC3851中定義（這些RFC是信息文件，而不是標(biāo)準(zhǔn)或建議的標(biāo)準(zhǔn)）S/MIME不僅用于實(shí)現(xiàn)安全電子郵件傳輸，任何支持MIME格式的數(shù)據(jù)傳輸機(jī)制或協(xié)議（如HTTP）均可用S/MIMES/MIMES/MIMEPGP由美國(guó)人菲利普·齊默爾曼于1991年開發(fā)出來(lái)的。PGP既是一個(gè)特定的安全電子郵件應(yīng)用軟件，也是一個(gè)安全電子郵件標(biāo)準(zhǔn)。1997年7月，PGPInc.與齊默爾曼同意由IETF制定一項(xiàng)公開的互聯(lián)網(wǎng)安全電子郵件標(biāo)準(zhǔn)，稱作OpenPGP，RFC2440,3156,4880,5581,6637等OSF開發(fā)了“GnuPG”（GPG）：Gpg4win,KGPG,Seahorse,MacGPG,iPGMail,OpenKeychain等OpenPGP聯(lián)盟（）PGP

PGP最常用于安全電子郵件傳輸，但它也可以用于任何需要保證傳輸機(jī)密性、完整性和認(rèn)證的應(yīng)用中。齊默曼開發(fā)PGP的故事PGPPGP功能一、PGP基本原理問(wèn)題：電子郵件傳輸安全PGP發(fā)送和接收郵件過(guò)程PGP這種加密方法（對(duì)稱加密和公開加密結(jié)合）名稱是什么？PGP加密過(guò)程用偽隨機(jī)數(shù)生成器生成會(huì)話密鑰。用公鑰密碼加密會(huì)話密鑰。壓縮消息。使用對(duì)稱密碼對(duì)壓縮的消息進(jìn)行加密，這里使用的密鑰是步驟1中生成的會(huì)話密鑰。將加密的會(huì)話密鑰（步驟2）與加密的消息（步驟4）拼合起來(lái)。將步驟5的結(jié)果轉(zhuǎn)換為文本數(shù)據(jù)，轉(zhuǎn)換后的結(jié)果就是報(bào)文數(shù)據(jù)。PGP解密過(guò)程接收者輸入解密的口令。求口令的散列值，生成用于解密私鑰的密鑰。將鑰匙串中經(jīng)過(guò)加密的私鑰進(jìn)行解密，得到接收者的私鑰。將報(bào)文數(shù)據(jù)（文本數(shù)據(jù)）轉(zhuǎn)換成二進(jìn)制數(shù)據(jù)。將二進(jìn)制數(shù)據(jù)分解成兩部分：加密的會(huì)話密鑰、經(jīng)過(guò)壓縮和加密的消息。用公鑰密碼解密會(huì)話密鑰，這里使用步驟3中生成的接收者的私鑰。對(duì)步驟5中得到的經(jīng)過(guò)壓縮和加密的消息用對(duì)稱密碼進(jìn)行解密，這里使用了步驟6中生成的會(huì)話密鑰。對(duì)步驟7中得到的經(jīng)過(guò)壓縮的消息進(jìn)行解壓縮。得到原始消息。加密和解密的過(guò)程中，會(huì)話密鑰和消息的變化情況PGP加解密發(fā)送者輸入簽名用的口令。求口令的散列值，生成用于解密私鑰的密鑰。將鑰匙串中經(jīng)過(guò)加密的私鑰進(jìn)行解密。用單向散列函數(shù)計(jì)算消息的散列值對(duì)步驟4中得到的散列值進(jìn)行簽名。這一步相對(duì)于使用步驟3中得到的私鑰進(jìn)行加密。將步驟5中生成的數(shù)字簽名與消息進(jìn)行拼合。將步驟6中的結(jié)果進(jìn)行壓縮。將步驟7的結(jié)果轉(zhuǎn)換為文本數(shù)據(jù)步驟8的結(jié)果就是報(bào)文數(shù)據(jù)。生成簽名將報(bào)文數(shù)據(jù)（文本數(shù)據(jù)）轉(zhuǎn)換為二進(jìn)制數(shù)據(jù)。將經(jīng)過(guò)壓縮的數(shù)據(jù)進(jìn)行解壓縮。將解壓縮后的數(shù)據(jù)分解成經(jīng)過(guò)簽名的散列值和消息兩部分。將經(jīng)過(guò)簽名的散列值（經(jīng)過(guò)加密的散列值）用發(fā)送者的公鑰進(jìn)行解密，恢復(fù)出發(fā)送者發(fā)送的散列值。將步驟3中分解出的消息輸入單向散列函數(shù)計(jì)算散列值。將步驟4中得到的散列值與步驟5中得到的散列值進(jìn)行對(duì)比。如果步驟6的結(jié)果相等則數(shù)字簽名驗(yàn)證成功，不相等則驗(yàn)證失敗。步驟3中分解出的消息就是發(fā)送者發(fā)送的消息。驗(yàn)證簽名生成和驗(yàn)證數(shù)字簽名的過(guò)程中，散列值和消息的變化情況簽名過(guò)程壓縮、加密并簽名解壓、解密并驗(yàn)證簽名壓縮、加密并簽名過(guò)程“生成數(shù)據(jù)簽名并加密”和“解密并驗(yàn)證數(shù)字簽名”的步驟中，散列值、會(huì)話密鑰和消息的變化情況討論：簽名、加密、壓縮的順序問(wèn)題PGP發(fā)送和接收郵件過(guò)程討論：兼容性考慮（Base64編碼）為什么要進(jìn)行Base64編碼？對(duì)性能的影響如何？PGP發(fā)送和接收郵件過(guò)程討論：分段與重裝為什么要分段？如果分段，會(huì)話密鑰部分和簽名部分在第幾個(gè)報(bào)文段？PGP發(fā)送和接收郵件過(guò)程PGP消息格式接收者的公鑰標(biāo)識(shí)（KIDB）發(fā)送者的公鑰標(biāo)識(shí)（KIDA）消息摘要的頭兩個(gè)字節(jié)時(shí)間戳內(nèi)容消息摘要文件名ZIP會(huì)話密鑰（Ks）時(shí)間戳數(shù)據(jù)

會(huì)話密鑰簽名報(bào)文用PUB加密用PRA加密（簽名）用會(huì)話密鑰Ks加密Base64編碼操作二、PGP密鑰管理會(huì)話密鑰生成與管理會(huì)話密鑰Ks是由基于美國(guó)國(guó)家標(biāo)準(zhǔn)“金融機(jī)構(gòu)密鑰管理（大規(guī)模）”（ANSIX9.17）中定義的隨機(jī)數(shù)生成方法的偽隨機(jī)數(shù)產(chǎn)生器（PseudorandomnumberGenerator,PRG）產(chǎn)生的128位隨機(jī)數(shù)，只用于一條消息的一次加解密過(guò)程Ks使用接收方的公鑰加密后發(fā)送給接收方。這種會(huì)話密鑰的安全交換方法稱為“數(shù)字信封”PGP密鑰管理公開密碼算法密鑰管理，用戶A獲取用戶B的公鑰主要方式包括：物理交付電話驗(yàn)證通過(guò)可信的第三方通過(guò)可信的認(rèn)證中心（CA）PGP密鑰管理公開密碼算法密鑰管理每個(gè)用戶都有一個(gè)公鑰環(huán)（PublicKeyRing）和私鑰環(huán)（PrivateKeyRing），均用表型數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)公鑰環(huán)存儲(chǔ)該用戶知道的其他用戶的公鑰，私鑰環(huán)存儲(chǔ)用戶自己的所有公鑰/私鑰對(duì)。PGP允許一個(gè)用戶同時(shí)擁有多個(gè)公鑰/私鑰對(duì)，主要目的有兩個(gè)：一是經(jīng)常變換密鑰，以增強(qiáng)安全性；二是多個(gè)密鑰對(duì)可以支持同一時(shí)刻與多個(gè)用戶進(jìn)行通信PGP密鑰管理公開密碼算法密鑰管理PGP采用密鑰標(biāo)識(shí)符（密鑰ID，KeyID）來(lái)表示密鑰，并建立密鑰標(biāo)識(shí)和對(duì)應(yīng)公鑰/私鑰間的映射關(guān)系私鑰存儲(chǔ)方法：加密私鑰的口令短語(yǔ)（passphrase）p，加密后存儲(chǔ)在私鑰環(huán)中PGP密鑰管理PGP信任模型：以用戶為中心的信任模型（信任網(wǎng)模型，WebofTrust）沒(méi)有一個(gè)統(tǒng)一的認(rèn)證中心來(lái)管理用戶公鑰，每個(gè)人都可以作為一個(gè)CA對(duì)某個(gè)用戶的公鑰簽名，以此來(lái)說(shuō)明這個(gè)公鑰是否有效（可信）當(dāng)用戶接收到新的公鑰時(shí)，首先要檢查公鑰證書的簽名者，然后根據(jù)這個(gè)簽名者的信任程度計(jì)算出該公鑰的合法性，如果合法才能把它插入到自己的公鑰環(huán)中PGP信任關(guān)系公鑰加密體制基礎(chǔ)——用戶必須確信他所拿到的公鑰屬于它看上去屬于的那個(gè)人（公鑰的真實(shí)性）PGP信任關(guān)系用戶要得到介紹人真實(shí)公鑰并信任介紹人（相對(duì)比較容易，而黑客想假冒很困難）公鑰環(huán)中每一個(gè)公鑰項(xiàng)都有表示信任度的字段，包括：密鑰合法性字段：合法和不合法簽名可信性字段：不信任、部分信任、一直信任和絕對(duì)信任擁有者可信性字段：不信任、部分信任、一直信任和絕對(duì)信任，由用戶自己指定。PGP信任關(guān)系簽名可信性字段的賦值方法：一個(gè)公鑰可能有一個(gè)或多個(gè)簽名證書，當(dāng)為該公鑰插入一個(gè)簽名到公鑰環(huán)中時(shí)，PGP首先搜索公鑰環(huán)，查找簽名者是否是已知公鑰的擁有者。如果是，則將擁有者可信性字段中的標(biāo)志賦給簽名可信性字段；否則，將簽名可信性字段賦值為不信任。PGP信任關(guān)系密鑰合法性字段的取值：由此公鑰的所有簽名的簽名可信性字段的取值計(jì)算得到。計(jì)算方法：如果該公鑰的簽名可信性字段中至少有一個(gè)標(biāo)志為絕對(duì)信任，則此公鑰的密鑰合法性字段標(biāo)志為合法；否則，PGP計(jì)算所有簽名信任值的加權(quán)和，即簽名可信性字段標(biāo)志為一直信任的權(quán)重為1/X，標(biāo)志為部分信任的權(quán)重為1/Y。PGP信任關(guān)系擁有者可信性字段取值：當(dāng)用戶A往公鑰環(huán)中插入一個(gè)新的公鑰時(shí)，PGP必須為該公鑰的擁有者可信性字段設(shè)定一個(gè)標(biāo)志。如果用戶A插入的新公鑰是自已的，則它也將被插入到用戶A的私鑰環(huán)中，PGP自動(dòng)指定其密鑰合法性字段標(biāo)志為密鑰合法，擁有者可信性字段標(biāo)志為絕對(duì)信任；否則，PGP將詢問(wèn)用戶A，讓用戶給定信任級(jí)別。PGP信任關(guān)系信任場(chǎng)景1信任場(chǎng)景2信任場(chǎng)景3所有者信任級(jí)別是因人而異的Alice所使用的PGP會(huì)認(rèn)為Alice、Bob、Trent、Dava、Fred、Carrol和George的公鑰是合法的，而不會(huì)認(rèn)為Harrold和Inge的公鑰是合法的信任網(wǎng)（WebofTrust）主頁(yè)上公布自己的公鑰公鑰合法性與所有者信任之間的關(guān)系：公鑰合法是否一定可信？“公鑰是否合法”與“所有者是否可信”是兩個(gè)不同的問(wèn)題，因?yàn)楸M管公鑰合法，其所有者也可以是不可信的“對(duì)哪個(gè)密鑰的所有者進(jìn)行哪種級(jí)別的信任”是因人而異的討論口令或私鑰的泄密口令泄露或被破解私鑰文件的保護(hù)PGP缺少PKI體系那樣嚴(yán)格的證書撤銷機(jī)制，很難確保沒(méi)有人使用一個(gè)已不安全的密鑰，是PGP安全體系中比較薄弱的環(huán)節(jié)PGP安全性PGP使用的公開密碼算法、對(duì)稱密碼算法、安全散列函數(shù)的安全性問(wèn)題2019.10，密碼學(xué)家Ga?tanLeurent和ThomasPeyrin宣布對(duì)SHA-1計(jì)算出第一個(gè)選擇前綴沖突，并選擇PGP/GnuPG信任網(wǎng)絡(luò)來(lái)演示SHA-1的前綴沖突攻擊GnuPG2.2.18（2019.11.25發(fā)布）：對(duì)2019-01-19之后基于SHA-1創(chuàng)建的身份簽名視為無(wú)效PGP安全性現(xiàn)有的加密電子郵件解決方案，如PEM，S/MIME,PGP等，大都是對(duì)郵件正文進(jìn)行安全處理。為什么？討論內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問(wèn)題1WebMail不需借助專門的郵件客戶端，只要能用瀏覽器上網(wǎng)就能收發(fā)郵件，極大地方便了用戶。但是，WebMail的使用也帶來(lái)的新的安全威脅，前面介紹的Web應(yīng)用所面臨的很多安全問(wèn)題同樣在WebMail中存在WebMailWebMailWebMail暴力破解防范：禁用賬戶、禁止IP地址、登錄檢驗(yàn)惡意HTML郵件利用HTML郵件，攻擊者能進(jìn)行電子郵件欺騙，甚至欺騙用戶更改自己的郵箱密碼在HTML郵件中嵌入惡性腳本程序，攻擊者還能進(jìn)行很多破壞攻擊，如修改注冊(cè)表、非法操作文件、格式化硬盤、耗盡系統(tǒng)資源、修改“開始”菜單等，甚至能刪除和發(fā)送用戶的郵件、訪問(wèn)用戶的地址簿、修改郵箱帳戶密碼等WebMail安全問(wèn)題2016年，希拉里競(jìng)選團(tuán)隊(duì)主席收到的偽裝成Google的警告郵件的釣魚郵件惡意郵件示例假冒網(wǎng)易郵箱管理員的身份給用戶發(fā)送的安全告警郵件惡意郵件示例假冒網(wǎng)易郵箱管理員的身份給用戶發(fā)送的安全告警郵件惡意郵件示例惡意郵件示例清華段海新老師分享的一個(gè)案例惡意郵件示例Cookie會(huì)話攻擊攻擊者獲取用戶WebMail的Cookie信息后，就能很容易地侵入用戶的WebMail。攻擊者獲取用戶WebMail的Cookie信息的方法主要有內(nèi)網(wǎng)監(jiān)聽和XSS攻擊含有惡性腳本程序的HTML郵件能使攻擊者獲取WebMail的Cookie信息WebMail系統(tǒng)應(yīng)該避免使用持久型Cookie會(huì)話跟蹤，使攻擊者在Cookie會(huì)話攻擊上不能輕易得逞WebMail安全問(wèn)題內(nèi)容提綱安全電子郵件標(biāo)準(zhǔn)PGP2WebMail安全威脅及防范3垃圾郵件防范4電子郵件安全問(wèn)題1從用戶的角度看，正常郵件與垃圾郵件的主要區(qū)別是該郵件是否是用戶所希望收到的郵件。用戶查看郵件內(nèi)容后，很容易判斷出一封郵件是不是自己想要的郵件。但是，郵件服務(wù)器要判斷一封郵件是不是垃圾郵件則要困難得多垃圾郵件（Spam）基本特征如下：內(nèi)容的重復(fù)性：內(nèi)容的大量重復(fù)信息的合法性：查不到發(fā)件人信息時(shí)間的有效性：不正常的發(fā)送時(shí)間地址的有效性：無(wú)效的發(fā)送源地址郵箱名的有效性：名稱由無(wú)意義字符串組成HTML的合法性：不合法的HTMLtag，大量圖片發(fā)送行為特征：大批量、時(shí)間短、發(fā)送源變換垃圾郵件特征反垃圾郵件方法基于地址的垃圾郵件檢測(cè)：黑白名單檢測(cè)、反向域名驗(yàn)證技術(shù)基于內(nèi)容的垃圾郵件檢測(cè)：分布式協(xié)作法、規(guī)則過(guò)濾法、統(tǒng)計(jì)過(guò)濾法、關(guān)鍵詞過(guò)濾法基于行為的垃圾郵件檢測(cè)：基于郵件通信拓?fù)湎嗨菩缘睦]件檢測(cè)、基于郵件用戶社交關(guān)系的垃圾郵件檢測(cè)、基于SMTP連接行為的垃圾郵件反垃圾郵件網(wǎng)易郵箱的反垃圾郵件系統(tǒng)反垃圾郵件網(wǎng)易郵箱的反垃圾郵件系統(tǒng)反垃圾郵件本章小結(jié)作業(yè)參考內(nèi)容一、SHA-1沖突對(duì)PGP安全的影響PGP使用的公開密碼算法、對(duì)稱密碼算法、安全散列函數(shù)的安全性問(wèn)題2019.10，密碼學(xué)家Ga?tanLeurent和ThomasPeyrin宣布對(duì)SHA-1計(jì)算出第一個(gè)選擇前綴沖突，并選擇PGP/GnuPG信任網(wǎng)絡(luò)來(lái)演示SHA-1的前綴沖突攻擊GnuPG2.2.18（2019.11.25發(fā)布）：對(duì)2019-01-19之后基于SHA-1創(chuàng)建的身份簽名視為無(wú)效PGP安全性利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書利用SHA-1沖突偽造證書二、郵件偽造攻擊分析眼見不一定為實(shí)：對(duì)電子郵件偽造攻擊的大規(guī)模分析（USENIXSecurity21）拓展：郵件偽造攻擊分析拓展：郵件偽造攻擊分析目前，最流行的郵件安全擴(kuò)展協(xié)議主要有SPF、DKIM與DMARC拓展：郵件偽造攻擊分析三種攻擊模型拓展：郵件偽造攻擊分析14種攻擊方法拓展：郵件偽造攻擊分析拓展：郵件偽造攻擊分析拓展：郵件偽造攻擊分析對(duì)30個(gè)流行電子郵件服務(wù)的測(cè)量結(jié)果拓展：郵件偽造攻擊分析對(duì)23個(gè)流行電子郵件客戶端的測(cè)量結(jié)果拓展：郵件偽造攻擊分析原因分析