密钥

央视3.15晚会曾曝光网易邮箱追踪用户上网行为，这也证明了电子邮件已成为泄露隐私的途径。作为互联网上最广泛的应用之一，为什么电子邮件安全事故频发？带着这个问题小编专访了深圳市奥联科技副总经理蔡先勇先生，对电子邮件安全的市场和产品做了一次全面的了解和分析。

电子邮件由于其技术和协议原因，传输和存储过程均是明文，用户很可能遭到内容被截获甚至篡改、邮箱被炸毁等多种攻击。一般邮件泄密的途径有：

1、传输过程泄密：普通邮件传输的过程是明文的，可被很多技术手段拦截邮件的内容，如部署了上网行为管理网络监控设备就可以拦截内部收发的邮件；

【图1为蔡先勇先生展示公司行为管理拦截的邮件，正文、附件一览无遗】

2、存储泄密：由于邮件在服务器上明文存储，所以黑客一旦攻破服务器，可获得所有邮件内容。

3、用户名和密码泄密：由于大多数邮件服务器都采用用户名和密码方式登录，存在被口令猜测、字典攻击、密码截获等风险。

这些过程引发的泄密事件层出不穷。如2009年联合国气候大会前IPCC邮件泄密、2010年Stratfor邮箱泄密、2011年新闻集团邮箱泄密、2011年HBGaryFederal企业邮箱泄密、2012年叙利亚总统邮箱泄密以及国内的若干邮件泄密等，社会影响恶劣，给用户带来巨大的经济损失或造成了无法挽回的政治影响。而很多的邮件泄密事件被黑客曝光后才引起用户的注意，用户基本上是处于一种后知后觉的状态。

针对电子邮件的安全问题，市场上有多种解决方案，简单分析如下。

1.基于口令保护方式：

这类产品使用方式简单易用，但使用的加密方式比较原始，仅是将邮件打包为一个压缩附件，使用口令来保护此附件，存在安全隐患：

1)安全性不高：此方式过于简单，很容易受到攻击破解；

2)口令的传递过程不便：发送邮件之后还需想法通知对方解密文件的口令；

3)不符合密码安全规范：无密钥产生、分发过程；没有相应的安全密码算法。

2.基于SSL方式：

此方式通过web收发邮件时候使用https协议；通过客户端收发时使用SMTPS/POPS/IMAPS等协议。这虽然进行了一定保护，但仍然存在安全问题：

1)可能被攻击：由于兼顾用户习惯，SSL收发基本都不验证客户端身份。这样黑客可以通过SSL代理方式进行攻击。如拦截SSL连接上数据进行篡改后中继发送，以错误的次序发送甚至丢弃。这就是所谓的中间人攻击(maninthemiddleattack)；

2)无法保证邮件存储安全：邮件存储在服务器或客户端都是明文，一旦黑客攻破服务器，就可拿走所有邮件内容；

3)弱身份认证：大多数采用口令密码登录，其登录过程极易受到口令猜测等攻击。

3.基于PKI非对称密钥方式

PKI证书体系是应用比较广泛的密码体系，基于该体系实现加密邮件的产品较多。主要有：

1)以OpenPGP、GnuPG为标准的基于RSA算法实现的电子邮件加密，这类产品典型的有：GnuPG、MailCloak以及PGP(PrettyGoodPrivacy)商用邮件加密软件和FireGPG等；

2)以CA加证书方式的各种安全邮件系统。主要有以S/MIME为依据的各种产品（如outlook内置S/MIME支持）和国内基于类似思路开发的各种定制产品（如“县乡通”安全电子邮件、各研究所开发的类似产品）。

此方式的原理是使用对称算法加密邮件内容，再使用对方的公钥或证书来保证对称算法的密钥。安全性得到了很好的保证，但也存在以下问题：

1)使用繁琐：由于要求必须事先获得对方的证书或公钥，操作不便。如PGP必须是生成RSA密钥对并把其中的公钥发给对方之后，对方才能发加密邮件过来；证书也需先向CA中心申请后发给对方，对方还要验证。而一旦证书过期，这个过程又要重复操作一遍，这在实际应用中是一个非常大的障碍；

2)无法很好的支持云计算模式：随着云计算技术的成熟，各种基于云端的应用越来越多。大多数邮件系统都转向了基于Web操作的模式。而使用此方案用户必须使用本地私钥，所以难以彻底的“虚拟化”，尤其是在各种移动智能终端日益丰富的时代，此模式已经显示应用瓶颈。

4.基于IBC标识密码方式

对以上方式进行总结分析之后，蔡先勇先生还介绍和演示了奥联科技基于IBC技术的安全电子邮件完整解决方案。

IBC(Identity-BasedCryptography标识密码算法)是现在最适合邮件安全的密码技术。在标识的密码系统中，每个实体具有一个有意义的标识，这个标识本身就是实体的公钥。在IBC来实现的邮件安全方案中，用户直接使用接收人邮件地址作为对方公钥，无需预先协商密码或者交换证书。从而实现了易用和安全的融合：

1)安全易用：同样使用随机的对称密钥来保护邮件内容，再使用非对称算法来保护对称密钥。但由于接收人电子邮件即为公钥，减少了繁琐的交换证书/公钥的环节和验证环节，可大大提升用户体验。如在对方还没有注册的情况下也可发送加密邮件、用户通过浏览器方式即可实现邮件的加密解密，十分方便；

【图2：IBC加密邮件使用浏览器可实现邮件加密、解密、签名等功能】

2)完善的解决方案：奥联科技十年来专注于密码应用研发，在IBC安全邮件上已形成了透明模式的安全邮件网关、零客户端WEB解密、专用客户端或插件、USBKey登陆等丰富的产品。并和国内知名的邮件厂商coremail、亿邮、安宁等形成了安全邮件一体化产品。小编现场就体验了蔡先勇先生发到126邮箱的加密邮件，收到是一个图片形式的信封。通过点击其链接可以在浏览器里实现解密查看。

【图3：收到的IBC加密邮件所显示的信封】

3)通过国家密码管理局安审：早在2008年，奥联科技开发的基于标识密码算法的电子邮件系统通过了国家密码管理局的安全鉴定（型号SJY137）。所使用的IBC算法已获得国家密码管理局颁发的商密算法型号：SM9(商密九号算法)。

据介绍，IBC技术目前在国外使用也很普遍。如美国一公司的IBC加密电子邮件的企业用户已近千家，涉及银行、能源、医疗和政府等行业，用户数量已近5000万,其云端系统年处理超过12亿封邮件的加解密；近30%的“财富2000”企业都使用其IBC技术来实现邮件加密；美国微软、台湾趋势科技、SendMail、Proofpoint等均提供基于IBC的安全邮件产品。

更多关于IBC和安全邮件的介绍，可访问奥联官网www.olymtech.net。欢迎关注奥联官方微博http://weibo.com/szolymtech，免费获得IBC加密邮箱体验。

每天都有数以万计的恶意软件在互联网上传播，这些病毒要么窃取隐私牟取利益，要么破坏文件毁坏系统。然而，也有例外。昨天，金山毒霸安全实验室就截获了史上最令人无语的病毒：该病毒会卸载Windows激活密钥，在桌面弹出提示：“我们注意到你的Windows操作系统不是正版！请务必到微软官方网站购买正版Windows许可”。

图1中毒后会提示“你使用的Windows操作系统不是正版！”

重启电脑后，Windows也会引导用户进行激活操作。

图2开机后会被引导至Windows激活向导

而此时，中招网友会手忙脚乱到处找激活码，估计很多已经找不到了吧。众多网友调侃这个病毒是不是微软派来的。

金山毒霸安全专家提醒网友，如果运行一个普通软件，系统提示需要管理员权限，表示执行这个程序有高度危险，除非你十分清楚可能的后果。否则，建议不要运行。如果运行时，杀毒软件报警，那就更不能运行。

DoNews8月13日消息（记者安宏）据美媒ZDNET报道，微软在Win10发布后对其激活规则进行了调整，新方法可以将激活状态存储在云端，用户在重装系统时无需手动输入产品密钥，而是由系统自动完成激活流程。

用户重新安装系统时，仍会收到两次询问是否输入产品密钥弹窗，但用户可以直接跳过这一步骤。系统联网并确认已在同一硬件上安装激活后会被自动激活。

由于操作系统的授权、正版验证以及激活属于敏感话题，微软因担心被盗版组织所利用很少进行公开披露。

此前，用户需要在每次重装完成后重复手动激活的过程，除非你拥有一个基于UEFI的笔记本电脑，并且预装了Win8.1操作系统。

实际上，自Win8.1发布以来，用户操作系统的激活状态就可以保留在微软服务器内并被记住，安装系统的硬件设备未来进行系统重装或升级系统均无需再提供过去的操作系统软件产品密钥。（完）