保障电子邮件通信安全是一个永恒的主题,各大安全厂商都在为邮件安全提供各种解决方案,这些解决方案正在持续保障全球邮件通信安全。据第三方分析报告,目前全球邮件安全的最大威胁是欺诈邮件。要想彻底解决邮件欺诈难题,唯一的解决方案只有邮件加密。邮件加密就解决了邮件泄密的问题,解决了邮件内容被篡改的问题,解决了邮件身份假冒的问题,也就彻底解决了欺诈邮件难题。所以,邮件安全的核心是邮件加密。
1. 实现邮件加密的三大难题
实现邮件加密有很多种技术解决方案,常用的邮件加密技术是采用密码技术来实现,目前成熟的技术有S/MIME和PGP/IBC两种,其中PGP/IBC只重视邮件加密而不重视邮件发送者的可信身份,这只解决了问题的一半,所以,零信技术选择了S/MIME技术来实现邮件加密,常用的邮件客户端都支持S/MIME邮件证书加密,国际标准组织-CA/浏览器论坛也制定了S/MIME邮件证书的签发标准。但是,要实现S/MIME邮件加密,有三大难题必须解决。
-
难题一人工手动申请和使用邮件证书
要想实现S/MIME邮件加密,用户必须向CA申请S/MIME邮件证书,完成邮箱控制权验证和身份认证才能拿到证书,拿到证书后必须配置到邮件客户端中去实现。并且各种邮件客户端软件的配置方法都不一样,非常繁琐,需要在各种设备和各个邮件客户端软件中来回导出和导入邮件证书,并配置用于邮件加密和数字签名。
这个过程至少每两年需要折腾一次,因为目前国际标准仅允许签发两年前邮件证书。这就不难理解在S/MIME加密技术问世三十年的今天还没有普及应用这项技术实现邮件加密。并且由于太难,市场上才出现了五花八门的各种其他邮件加密解决方案,试图在尽量简化邮件加密的难度和解决这个难题。
-
难题二人工事先交换公钥和管理收件人公钥证书
用户在很费力的拿到邮件证书后,要想给收件人发送加密邮件,还得同收件人交换加密证书公钥,而如果收件人没有邮件证书,也得向CA申请一张邮件证书,也得经历难题一的痛苦。双方都有邮件证书后必须给对方发送一封数字签名邮件,收到签名邮件后必须保存这个发件人的公钥证书才能用于给发件人发送加密邮件。
这个公钥交换和管理公钥证书的过程也是非常繁琐的,并且一旦证书过期还得重新交换公钥证书,更新管理收件人的公钥证书,至少每两年又要折腾一次。这是邮件加密的难题之二。
-
难题三人工管理加密证书密钥
用户在很费力的拿到邮件证书后,必须自己导出证书私钥妥善保管,不仅需要导入到其他设备或其他邮件客户端软件中使用,而且必须牢记证书私钥保护口令,下次导入证书时必须输入正确的证书保护口令,如果忘了保护口令则无法使用此证书。
由于证书有效期最多为两年,所以需要管理多张证书密钥,以便能解密以前加密的邮件,不仅需要保管证书文件(.pfx/.p12),而且还要保证保护口令不会忘记,这也是一项很痛苦的工作,特别是由于年度久远极大概率会忘了证书保护口令而导致证书无法再用于解密以前的加密邮件。
2. 零信邮件加密自动化管理的两大解决方案,彻底完美解决邮件加密三大难题
邮件加密存在的证书申请、交换公钥和密钥管理三大难题成为了普及邮件加密的三大拦路虎,要向普及邮件加密,必须解决这三大难题。唯一正确的解决思路是自动化证书管理,这已经在SSL证书自动化管理中得到了成功验证。
零信技术邮件加密自动化管理解决方案也是一个端云一体的解决方案,端可选零信浏览器或零信邮件加密网关,由端自动对接零信云密码基础设施实现邮件证书的自动化申请、签发和部署使用,其中零信证书自动化服务系统负责为零信浏览器和零信邮件加密网关提供证书自动化管理服务,零信云CA服务系统负责为用户签发双算法邮件证书,零信公钥交换系统负责为用户提供加密证书公钥交换服务。
-
解决方案一
使用零信浏览器零信浏览器内置邮件客户端,用户只需设置好邮箱账户即可登录邮箱发送加密邮件,无需事先向CA申请邮件证书,无需实现同收件人交换公钥,无需自己管理密钥,实现全自动化收发加密邮件和电子邮件数字签名。这是一个真正端到端的电子邮件加密,确保了电子邮件在途和在云安全,不依赖于邮件服务器是否支持TLS传输加密,并且电子邮件内容是以密文方式保存在邮件服务器中。
用户唯一需要的做的是下载安装零信浏览器,一个完全免费的、干净无广告的、基于谷歌Chromium内核的高性能通用浏览器,支持国密算法和国密SSL证书实现国密HTTPS加密,支持国密算法和国密邮件证书实现国密邮件加密。并且集成PDF阅读器,不仅能流畅阅读PDF文档,而且全球独家实时验证文档数字签名和在文档签名栏展示签名者可信身份。
用户安装零信浏览器启用邮件加密自动化服务后,由零信浏览器自动对接零信证书自动化服务系统获取邮件证书,并自动化配置使用,这些对于用户来讲都是无感的。其自动化配置的邮件证书也会自动配置到Windows证书存储区,自动用于Outlook实现自动化解密已加密邮件,也可以用于Outlook发送加密邮件。兼容所有支持S/MIME标准的邮件客户端软件。
-
解决方案二
部署零信邮件加密网关对于无法大规模安装零信浏览器、需要集中管理员工加密密钥的大中型企业用户,可选零信邮件加密网关,所有员工无需安装零信浏览器,仍然使用现有的邮件客户端软件,只需修改IMAP/SMTP服务器为零信邮件加密网关的网址即可自动化实现电子邮件加密和数字签名。
该解决方案的优点是员工使用习惯零改动,也无需安装零信浏览器,由零信邮件加密网关自动对接零信证书自动化服务系统获取员工OV/SV邮件证书,并自动化配置使用,自动化实现电子邮件加密和数字签名。第二个优点是加密密钥可以集中管理,方便对员工邮件内容的防泄露管控。
此方案一样可以保证电子邮件已密文方式传输和以密文方式存储在云端邮件服务器中,一样是端到端加密,而且所有员工无需任何改动,是大中型企业邮件加密自动化的首选方案。其内置的企业密钥管理系统所管理的密钥还可以用于文档加密和其他各种数据加密应用。
用户可以根据自己的管理需要选择合适解决方案,两大解决方案的主要指标对比表如下表。
使用零信浏览器
部署零信邮件加密网关
3. 零信邮件加密自动化管理的四大配套服务,为两大解决方案提供超值支持
零信邮件加密自动化管理解决方案完美解决了证书申请、交换公钥和密钥管理三大难题,实现了电子邮件的无感加密。为了实现这个完美的目标,零信技术免费提供了四大配套超值服务。
-
配套服务一免费自动配置6张数字证书
参考ACME国际标准和遵循《证书自动化管理规范》国密标准草案,免费为每个邮箱自动化配置6张证书,RSA和SM2算法各3张,包括:1张MV邮件签名证、1张MV邮件加密证书和1张MV电子邮戳证书。
这些免费配置的电子邮件证书和电子邮戳证书仅零信浏览器信任,用户可选收费服务,自动化配置全球信任的RSA算法MV邮件证书和零信浏览器信任的IV/OV/SV邮件证书。
-
配套服务二免费提供密钥管理服务
为了切实保障用户密钥安全,零信技术不采用云密钥管理模式,直接把用户证书密钥以邮件格式作为一封电子邮件保存在用户邮箱中,实现自动化的自我保管证书密钥。零信浏览器在重装或在其他设备登录邮箱时会自动从用户邮箱中获取已签发的邮件证书(密钥)用于电子邮件的加解密。无需用户自己手动管理密钥和证书,也无需用户记住密钥保护口令。
-
配套服务三免费提供公钥交换服务
零信公钥交换系统不仅保存了所有零信浏览器用户的邮件证书公钥,而且还会通过零信浏览器和零信邮件加密网关自动收集用户收到的有数字签名的邮件的公钥,使得零信浏览器用户无需同非零信浏览器用户事先交换公钥也能自动发送加密邮件。这是一个完全免费的配套服务,彻底解决邮件加密的密钥交换难题。
-
配套服务四免费提供电子邮戳服务
零信浏览器为每个用户免费配套时间戳证书,以便能为用户提供本地电子邮戳服务,保证了用户从零信浏览器发出的每一封电子邮件的发送时间是可信的。电子邮戳服务的可信时间源来自多个可信的网络时间服务器,此免费配套服务非常适用于需要证明电子邮件发送时间的各种互联网应用。
