概述
在能够发送带有数字签名的邮件之前,您必须获得数字标识(也称为数字证书)。获得数字标识的方法请参考申请数字证书。
所谓数字标识是指由独立的授权机构发放的,证明您在Internet上身份的证件,是您在因特网上的身份证,是用户收发电子邮件时采用证书机制保证安全所必须具备的证书。
电子邮件数字签名、加密遵循S/MIME协议实现,S/MIME全称“安全的多功能互联网邮件扩展”(Secure/Multipurpose Internet Mail Extensions),是通过在RFCl847中定义的多部件媒体类型在MIME中打包安全服务的一个技术。它提供验证、信件完整性、数字签名和加密。
数字标识包括“私人密钥”(简称“私钥”)和“公用密钥”(简称“公钥”)。私钥是保密的,由证书申请人独自掌握,需要妥善保管。私钥一旦泄漏,应当尽快注销该证书,以免被他人冒用您的身份;公钥是公开的,您可以把它发送给别人,别人也可以从证书 颁发机构处获得。
数字签名
申请到数字证书之后,使用证书的私钥,可以向任何邮件地址送数字签名邮件。通过数字签名,收件人可以验证您的身份,确认邮件是由您发出的,并且中途没有被篡改过。从而防止他人冒用您的身份发送邮件,或者中途篡改邮件。
加密
要向收件人发送加密邮件 ,并且对方可以正确解密,首先必须获得该收件人的公钥。发送邮件时,使用公钥对邮件进行加密。当收件人收到加密邮件后,使用对应的私钥才能对邮件进行解密,阅读邮件。其他人即使 窃取到邮件,由于没有对应的私钥,也无法解读。
数字签名原理
通过使用数字签名,可以确认以下两点:
1、信息是由签名者发送的。
2、信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止冒用别人名义发送信息;或者发出信件后又加以否认等情况发生。
如图所示,签名的工作原理是:
报文的发送方从报文文本中生成一个散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。
报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的并且报文在传送的过程中没有被改动。
通过数字签名能够实现对原始报文的鉴别,并具有不可抵赖性。
加密原理
加密技术是使数据不可读的处理过程。现时,有许多不同的(和复杂的)对信息进行加密和恢复的方法。
在互联网上,加密技术主要有两种用途。一种是访问使用了服务器证书的安全Web站点(例如在线购物),故称之为服务器端加密技术。我们现在要讨论的是另一种,用于接收和发送加密电子邮件。这两种用途中的加密处理方法都包含了交换公钥过程。
在加密过程中,使用公钥或私钥来加密信息,反之使用与之匹配的私钥或公钥来解密信息。这看起来像是用一把钥匙上锁而用另一把钥匙开锁。其工作原理如下图所示:
发件人使用收件人的公钥,使用一定的加密算法对邮件进行加密,然后把邮件发送出去。当收件人收到邮件后,使用对应的私钥对邮件进行解密,阅读邮件。经过加密,可以有效防止邮件在传输过程中被截取并阅读邮件内容。
原文链接:S/MIME邮件证书的数字签名和加密原理,转载请注明来源!