電子簽名技術采用多種加密方法,但可以通過易於理解的RSA(Rivest Shamir Adleman)公鑰體系為例簡述其原理。RSA加密基於壹個無法對大數進行分解質因子的數學假設,使用2 個大素數的函數,壹個作為公***密鑰,另壹個作為私人密鑰,由於這2 個密鑰是互補的,公***密鑰加密的密文可以用私人密鑰解密,反之亦然。因而郵件發送者只需要使用收件人的公***密鑰加密郵件,加密後的郵件只有擁有私人密鑰的收件人才可能有辦法解密閱讀,也就實現了郵件的加密,從而保證了郵件不會被任何第三者所閱讀,即使在傳輸的過程中被第三者截取仍然不至於泄密。
當用戶使用自己的電子證書在發出的郵件上簽名時,郵件將被按照郵件的內容通過摘要函數運算取得壹個可以用以檢驗郵件完整性的值,並將該值使用電子證書中的私人密鑰加密,然後與公***密鑰和郵件內容壹起發送出去。由於私人密鑰加密的內容只有對應的公***密鑰可以解密,並且摘要函數可以在任意大小的數據中采集壹個固定長度的摘要,供采集的數據源即使有壹位數據改變取得的結果也不同,郵件的內容有任何改變都無法與原來檢驗郵件完整性的值相匹配,當收件人收到郵件時即可知道郵件的內容是否被篡改,同時也知道該郵件發送者使用的是哪壹個電子證書。而由於第三方的權威證書發行機構在發出電子證書時,將驗證申請者是否擁有所申請電子郵箱的使用權,收件人也就能夠通過證書發行機構驗證發件人所使用的電子證書(見圖1),確認所收到的郵件的確來自擁有這個郵箱地址的用戶,從而實現對發件人的真實性與郵件內容是否完整的鑒別。
電子簽名技術非常復雜,但使用起來非常方便,不論是簽名還是加密、解密,具體的步驟都將由電子郵件客戶端軟件實施。目前FoxMail、 Outlook Express與Outlook等主流的電子郵件客戶端軟件都能夠支持。您需要做的只是申請電子證書,並在電子郵件客戶端軟件上指定每個電子郵件地址將使用哪種電子證書。在需要為發送的電子郵件簽名或加密時單擊相應的按鈕即可完成。而當收到使用電子簽名的郵件時,驗證郵件是否完整和解密的工作也將由電子郵件客戶端軟件自動完成。
使用實例
首次使用郵件安全技術時,必須花費壹些時間申請和安裝電子證書,並對電子郵件客戶端軟件進行配置,這壹過程或許有些繁瑣,但與您的電子郵件通信安全相比,花費這些時間是非常值得的,下面以Thawte為例,介紹使用的全過程。
註冊Thawte
在Thawte(www.thawte.com)進行註冊後,便可以使用該網站提供的免費電子簽名服務
首先請使用瀏覽器打開進入Thawte的首頁,將鼠標指向中間導航欄上的“Products”,並在彈出的快捷菜單上單擊“Free Personal E-mail certificates”(如圖2),進入個人郵件證書頁面單擊頁面上方的紅色“join”打開註冊頁面。在註冊之前需要註意,Thawte 上幾乎所有的Web 程序都采用“.exe”擴展名,因此如果您的系統上安裝了FlashGet 之類根據文件擴展名自動下載的工具軟件,需要暫時設置下載軟件不監視瀏覽器上的單擊動作。
Thawte 提供壹個向導式的註冊頁面,其中有壹些需要特別註意的地方:首先第二步註冊向導將要求您在“Charset ForText Input”下拉菜單上選擇您將以哪種語言輸入個人信息,建議以英文輸入個人信息,避免在未來證書處理時出現錯誤;接下來在第四步也不選擇中文選項,直接單擊“Next”進入下壹步使用默認的“Use mybrowser settings”即可;其次在註冊向導的第六步,向導將要求您輸入自己的電話號碼,並設定多個問答以用於忘記密碼時驗證身份,您可以在網站設定的問題中選擇回答也可以自己設定問題,但註意總數不少於5 個,否則無法進入下壹步。
所有的註冊選項設置完畢後,註冊向導將提示“E-Mail Message Sent”,並告知您需要接收網站的驗證郵件並按郵件中的提示進行操作,證明您的確擁有該電子郵箱的使用權。請檢查您的郵箱找到來自Thawte 的驗證郵件,使用瀏覽器打開郵件中指定的鏈接“/cgi/enroll/personal/step8.exe”並在頁面上“Probe”和“Ping”兩個輸入框中輸入郵件中對應的內容,然後單擊“Next”進入下壹步完成註冊步驟。
申請電子證書
註冊完成後,接著需要申請電子證書,對於電子簽名來說,最重要的是要有壹個電子證書,以證明簽名的真實性
您必須在完成註冊的頁面上單擊“Next”,或者回到網站的首頁再次進入個人郵件證書頁面單擊“login”,然後在網站的登錄窗口(見圖3)中使用自己剛才註冊的賬戶登錄申請電子證書。初次登錄網站將自動定位到證書申請頁面,在申請證書的頁面上單擊“request”將打開證書申請向導,證書申請向導的步驟很多,只需壹直單擊“Next”采用默認選項即可,惟壹需要註意的是:到達“configure X.509v3 certificate extensions”配置證書的這壹步時,將有2 個按鈕,您可以單擊“Accept Default Extensions”中的“Accept”按鈕選擇默認配置。在最後完成申請向導時系統將彈出壹個對話框,要求您確認是否在當前網站上申請電子證書。
在申請證書的過程中,網站會要求我們自己選擇要包括在其中的電子郵件地址。由於您是第壹次申請,網站默認只為您註冊時填寫的電子郵件地址生成證書,但實際上您可以將多個電子郵件地址包括在壹個電子證書中。
安裝電子證書
在申請到電子證書之後,需要在您的電腦上也安裝壹份,這樣電子簽名系統才能正常工作。
申請證書後回到剛才登錄時的操作界面,單擊“c e r t i f i c a t e s ”* “viewcertificate status”,單擊顯示的證書中狀態(Status)欄顯示為“pending”的未安裝證書,在查看證書詳細信息的頁面下方單擊“F e t c h ”,網站將轉到“Install Your MSIE Certificate”頁面,單擊“Install Your Cert”將開始把剛才申請的證書安裝到您的系統上。在安裝的過程中系統將顯示壹個“正在創建RSA 交換密鑰”的對話框,要求您確認保護私人密鑰的安全級別。該選項系統默認為中級保護,代表電子郵件客戶端軟件在調用電子證書的私人密鑰時將需要您確認同意才進行操作,如果需要您可以單擊對話框上的“設置安全級別”,將保護級別改為每次調用需要輸入密碼的高級保護。另外,在安裝證書的過程中系統將2次彈出對話框,要求確認在當前系統上安裝證書。
設置郵件客戶軟件
獲得電子證書後,需要在自己使用的電子郵件客戶端軟件設置相關的選項,然後才可以使用電子證書簽名或加密郵件,下面將分別介紹在FoxMail、Outlook Express 與Outlook 上的設置和使用方法。
(1)FoxMail
在FoxMail 中只需要選擇“賬戶”*“賬戶屬性”*“安全”*“選擇”,在彈出的“選擇證書”對話框中選中Thawte證書名稱前的復選框並單擊“確定”,返回“賬戶屬性”對話框中您將發現右側將顯示出證書的相關信息(見圖4)。單擊“確定”關閉“賬戶屬性”存儲設置,以後在使用FoxMail 編輯郵件時,您就可以通過郵件編輯窗口工具欄上的“簽名”和“加密”按鈕,使用自己的電子證書簽名或使用收件人的證書加密郵件。
(2)Outlook
在Outlook 中選擇“工具”*“選項”*“安全”,切換到“安全”選項卡,在“安全”選項卡上方的“加密郵件”壹欄中,您可以通過復選框選擇是否需要加密所有發出的郵件,或者為所有發出的郵件簽名。單擊“默認設置”旁邊的“設置”按鈕,您將可以在彈出的“更改安全設置”對話框上(見圖5),單擊“選擇”指定用於加密和簽名的電子證書,更改加密算法以及選擇是否在發送簽名郵件時將電子證書壹同發出。設置完畢後,在使用Outlook編輯郵件時,您將可以通過郵件編輯窗口工具欄上的“簽名”和“加密”,使用自己的電子證書簽名或使用收件人的證書加密郵件
(3)Outlook Express
在Outlook Express 中選擇“工具”*“選項”*“安全”,切換到“安全”選項卡,在“安全”選項卡下方的“安全郵件”壹欄中,您可以通過復選框選擇是否需要加密所有發出的郵件,或者為所有發出的郵件簽名。單擊旁邊的“設置”,您將可以在彈出的“高級安全設置”對話框上(見圖6)作更細致的設置,選擇在收到使用電子簽名的郵件時是否自動驗證證書的可靠性,以及是否將對方的電子證書添加到地址本,以便未來用於給對方發送加密郵件。設置完畢後,在使用OutlookExpress 編輯郵件時,可以通過郵件編輯窗口工具欄上的“簽名”和“加密”按鈕,使用自己的電子證書簽名或使用收件人的證書加密郵件。
收發安全郵件
在完成上述操作之後,您已經大功告成,可以使用電子簽名應用了。這樣,您的郵件系統又多了壹分安全。
在發出的郵件上簽名的方法非常簡單,在設置郵件客戶端軟件的過程中,可以選擇對所有發出的郵件簽名,也可以設置證書後在編輯郵件時單擊“簽名”即可簽名。當收件方接到壹封已簽名或加密的安全郵件時,將分別以不同的圖標在“收件箱”中顯示使用了電子簽名的郵件與加密郵件。在閱讀郵件時,軟件將首先顯示安全郵件幫助頁面,郵件可能出現的任何問題都將在該頁面上做出詳細描述(見圖7),如果該安全郵件存在問題,信息之中可能出現“安全警告”之類的描述,告知用戶該郵件已被篡改或並非來自所謂的發件人。而單擊郵件查看窗口的“文件”*“屬性”,在郵件的屬性窗口中,“安全”選項卡,將可以查看發件人簽署電子簽名時所使用的電子證書所對應的電子郵件地址,以及證書的狀態、加密時所使用的電子證書、加密的算法等等相關信息。
在收件人收到使用電子證書簽名的郵件後,可以通過電子郵件客戶端軟件自動收集您的證書,也可以在查看簽名證書時單擊電子證書下方的“安裝證書”,將您的證書安裝到自己的系統上,以後就可以使用該電子證書加密郵件發送給您。同樣,您也需要有收件人的電子證書才可以給對方發送加密郵件,因此壹般情況下在設置電子郵件客戶端時,應盡量選中相關的項目,讓軟件能夠在收到有電子證書簽名的郵件時自動將證書安裝到系統上。而在收到加密郵件時操作非常簡單,軟件將自動要求您確認允許使用私人密鑰進行解密,只需要點擊“確認”即可閱讀郵件。
證書管理
您已經在自己的電腦安裝了電子證書,它是您隱私的壹部分,壹定要保護和管理好,否則安全措施形同虛設。
在接收加密郵件時只需壹個單擊即可解密證書,但前提條件是包含私人密鑰的電子證書已經安裝在系統上。因此,如果您使用多部電腦,那麽您將需要按照下面的方法將電子證書安裝到多部電腦上:在Outlook Express 的設置過程中,選擇“選項”*“安全”*“數字標識”;或者在Outlook的設置過程中,當單擊“選擇”指定用於加密和簽名的證書時,都將運行證書管理器打開“證書”窗口(見圖8)。在“證書”窗口中,除了可以查看和選擇證書,還可以對證書進行管理。在“證書”窗口中單擊“個人”壹欄中Thawte的電子證書名稱,然後單擊“導出”,就可以把電子證書導出為壹個文件,然後在其他電腦上通過證書管理器的“導入”將證書導入,就可以在其他電腦上使用該電子證書了。對於聯系人的電子證書也可以通過同樣的方法導入和導出,以便在不同的電腦上仍然可以給對方發送加密郵件。
另外,也可以登錄Thawte 個人郵件證書頁面,選擇“certificates”*“viewcertificate status”,單擊選擇目前自己使用的電子證書,重復壹次安裝證書的步驟來將證書安裝到新的電腦上。但必須註意,壹定要小心保護好自己的電子證書,盡可能只在自己個人使用的電腦上使用它。如果的確需要將電子證書安裝到其他人可能接觸的電腦上,應該改變私人密鑰的保護級別到高級,使每次調用私人密鑰都需要輸入密碼以增強安全性,並在自己使用完後通過證書管理器刪除證書。
萬壹不幸,證書落入別人手裏,您也可以考慮將該證書廢除,重新申請壹個證書。