灵活易用的新一代邮件加密系统

电子邮件是目前互联网中使用最广的交流工具和服务，通过它，用户可以以非常低廉的价格快速与世界上任何一个角落的网络用户联系。电子邮件的存在极大地方便了人与人之间的沟通与交流，促进了社会的发展。

在用户享受电子邮件快捷便利服务的同时，近年来由电子邮件引发的安全事件也日趋增加，受到了国家、社会和个人的广泛关注。以美国总统候选人希拉里的“邮件门”事件为例，由于她在担任国务卿期间没有按照规定使用政府的邮件系统，而使用私人基金的邮件系统，可能对国家安全构成威胁，从而被调查。“邮件门”爆发后，希拉里表示接受独立委员会的调查，把自己私人邮箱里的邮件筛选后提供给联邦政府备案，并为“ 邮件门”事件进行了道歉。

▼

“邮件门”事件引起广泛重视的原因在于，目前互联网中使用的电子邮件协议包括：简单邮件传输协议（SMTP）、邮局协议（POP3）和因特网邮件访问协议（IMAP），但基于这些协议的邮件系统并不安全，有可能导致邮件泄密而危害国家安全和个人隐私；其次，从监管角度而言，涉及国家安全的文档需要备份、存档，以备监督。

电子邮件加密技术就是一种可防范上述风险的邮件安全增强方法，其主要功能是对接收方身份的认证和传输数据的加密。然而，并不是简单采用加密算法就可以构建安全邮件系统，原因很简单：邮件系统是一个开放的“社会网络”，它由一系列相互联通的邮件服务器构成，加密邮件必须能够保证在这个社会网络范围内的加密邮件到达正确的接收者并被解密。各种邮件系统采用的标准和规范不一，无疑增加了不同加密系统互通的难度。除了广度和标准之外，邮件加密系统的安全考量还包括加密方式、接收方公钥获取、密钥交换、传输安全、存储安全、发送者身份确认、接收者已收到确认、标识管理等。

▼

自从邮件加密被提出以来，已经建立起了S/MIME和PGP两个标准来规范加密形式和接收者公钥的可信获取方法。S/MIME是多用途网际邮件扩充协议，它被构建在公钥基础设施（PKI）之上，其信任机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证，整个信任关系是树状的，这就是所谓的信任树。与S/MIME的官方化管理和商业化运作不同，PGP采用了自发式管理和互联网的“六度分隔理论”，完全不依赖于权威认证机构，而是将公钥发布在公开的地方，如Web或FTP站点。

公钥本身的可信性由第三方，特别是接收者所熟悉或信任的朋友，进行签名认证，但它没有集中统一的机构进行公钥的签发。总的来说，PGP采用的是去中心化信任模型，但S/MIME则为中心化模型。然而，上述两个模型并没有实质性地解决互联网的信任问题（公钥认证问题）和电子邮件加密问题，因此都没有获得广泛的应用。

▼

最近，在国家自然科学基金和国家973计划的资助下，北京科技大学的朱岩研究团队提出了一种新的大规模群组加密方案和电子邮件加密架构，它采用了客户端和服务器端混合的加密模式，并在以下两方面进行了大胆尝试：

（1）在加密算法方面，改良密码算法是提升性能和简化管理的关键。

传统的公钥加密算法是建立在“个体公钥密码体制”基础上的，即每个用户拥有一个1：1的公/私密钥对，如果需要将邮件发送给该用户，无论是否与该用户在同一个邮箱系统，都需要获取该用户的公钥，再用它实现邮件加密。这种体制与邮件服务器无关，由用户完成对接收者的公钥获取与认证，且不支持邮件系统下的密钥管理与监管、以及面向群组的加解密功能。

与此不同的是采用具有集合关系和1：n结构的“群组公钥密码体制”，整个邮件加密系统只需要公布和维护一个群组公钥，但可保证每名用户拥有各自不同的私钥，这些私钥也被称为“密钥指纹”。这种体制的优点是邮件服务器负责群组公钥的发布与认证、支持邮件系统下的用户密钥管理与监管，并提供了面向群组的加解密功能。对于同一邮件系统中的通信，这种体制无须用户获取接收者公钥；对于不同邮件系统间的通信，由邮件服务器完成接收者所属服务器的群组公钥获取与认证，从而简化了密钥获取和认证过程。

北京科技大学的朱岩研究团队开发出一种被称为“基于标识集合的加密”（identity-Set-Based Encryption，SBE）的群组密码系统，给定任意的接收者标识（如电子邮件地址）集合，可生成一个固定长度的短密文（密文长度与接收者数目无关），并保证只有该集合内的用户能够解密该密文。根据实际需要，具体的加密模式可分为3种：选择加密模式（只有指定集合中的用户能够解密密文）、广播加密模式（所有合法用户均可解密密文）、排除加密模式（指定集合之外的合法用户才能解密密文）。

选择加密模式是最常见的邮件加密方式；但邮件系统有时需将信息广播到系统内的所有合法用户，这种情况下可采用广播加密模式；排除加密模式则适用于临时撤销某些用户权限的情况，可保证全体成员中除去指定的一部分用户外都可以进行消息解密。

该SBE系统建立在具有双线性对的椭圆曲线密码基础上，通过实现标识集上元素“属于/不属于”关系的密码学判定，可支持无限多用户的邮件加密系统，每次加密中指定集合的接收者数目也不受限制，密文长度固定且与接收者数目无关。每个用户私钥的长度仅为一个椭圆曲线点（最短可为160比特）；对于指定的任何大小标识集和工作模式，加密后的密文长度仅为两个椭圆曲线点（320比特）。

总之，群组密码的优势是在同一服务器内所有用户共享同一个公钥证书，而不需要用户管理自己的证书，并可将邮件地址（标识）作为用户公钥完成加密。

▼

（2）在密钥管理方面，建立互联网可信体系是公钥认证的关键。

鉴于邮件加密系统采用了前述1:n结构的群组密码体制，它依赖于群组公钥而没有用户公钥的概念，因此不同邮件服务器之间通信只需要解决群组公钥的交换与认证问题。与基于S/MIME和PGP的邮件系统相比，群组密码体制不仅大幅度地降低了证书数目，免去了用户PKI证书申请的成本，而且管理难度也大大降低。

服务器间群组公钥证书交换架构图

研究团队研制了一种全新的服务器间群组公钥证书交换架构（Public-Key Exchange Infrastructure among Servers, PKEIS），该架构建立在区块链（BlockChain）系统之上，可实现邮件服务器之间的群组公钥证书管理与安全交换。区块链是一种分布式、去中心化的公共数据库系统，它采用记账本式的存储模式并依靠密码学技术（哈希函数、拜占庭一致协议等）保证存储数据的完整性、一致性和不可否认性。

▼

PKEIS架构由用户层、管理层和信任层构成，用户层和管理层之间通过SBE实现安全通信，由区块链构成的信任层通过存储群组公钥证书为管理层提供认证服务。采用区块链的PKEIS架构不仅能将邮件服务器的群组公钥证书加以安全存储和共享，而且能够按照时间顺序记录公钥的变更情况。

PKEIS架构使用的信任模型是在区块链提供的信任机制上衍生的，更接近于PGP所采用的自发式信任网络模型。构成信任层的区块链是互联网中所有邮件服务器自发形成的认证网络，邮件服务器加入到区块链中只需要“自认证签名”并加以邮件认证或第三方证实。公钥证书的维护是由证书拥有者自行在区块链内完成的，并通过区块链特有的完整性、一致性功能维持公钥证书的有效性。与PGP和S/MIME标准相比较，PKEIS在易用性、可信性、运行成本等方面都有显著的提升。

随着社会、企业、个人对互联网隐私的日益重视，邮件系统的安全已成为互联网安全需迫切解决的问题之一。新一代基于标识集合群组密码体制与PKEIS的群组密码系统将有助于这一问题的解决。