iT邦幫忙

21

郵件加密安全與便利無交集?金鑰分享是關鍵也是致命點

電子郵件無疑是當前企業運用在商務溝通上,最重要、也最頻繁的工具之一,因而成為駭客藉機施展病毒、垃圾郵件、網路釣魚等各類惡意攻擊的重要管道,這類威脅往往讓企業遭致網路壅塞、郵件伺服器停擺,抑或機密資料外洩等損失與傷害。
在企業所面對的各類電子郵件攻擊當中,機密性資料外洩可說是企業與惡意攻擊者雙方皆極為關注的議題,現今最普遍的因應措施,莫過於採行郵件加密機制,不過,各品牌方案的加密等級與安全性,有著相當大的差異,且往往難以在安全性與可用性之間取得較佳的平衡點。

如果郵件加密機制的加密等級、嚴謹性與安全性不足,如此一來,便失去了加密及安全的意義;但是倘若該機制過分強調安全,卻建置部署與實際運行上的可用性不佳,那麼,也可能阻礙公司最重要商務溝通工具之正常運作。

就一般企業建置而言,最簡單又普遍的郵件加密機制,多屬對稱式加密方案,也就是加解密皆使用同一金鑰來處理,在安全設計上顯露出不甚嚴謹的先天缺失,因為寄件與收件密碼相同,密碼遭竊的風險也相對較高;再者,寄件者每次寄給不同使用者的重要郵件,必須透過不同金鑰來加密,否則各收件者彼此間即可利用相同的金鑰解開信件,因此使用程序變得相當繁雜。

不僅如此,該機制還存在另一施行上最大、也最困難的問題,那就是寄件者該如何安全地將加密金鑰傳送或告知收件對方。一般常見的作法是在加密信件之外,另附1封內含解密金鑰的郵件,但是由於該信件採用明碼方式寄送,所以金鑰極有可能在傳輸過程中,遭到駭客攔截,進而導致公司機密外洩,由此可見,該類型架構絕對存在另人擔憂的安全漏洞。

為了加強金鑰傳送過程的安全性,當前的對稱式郵件加密機制並衍生出其他解決之道,也就是另外透過手機簡訊、IM或實體電話來傳送金鑰,由此避開透過郵件寄送明碼金鑰的不安全方式。上述管道看來似乎比較安全可靠些,然而實際運作上卻可能出現許多不便之處。

首先就手機簡訊而言,必須確定對方隨身攜帶電話,否則一些緊急的加密郵件可能因而遭到延誤;此外,若需要加密的郵件數量甚多,企業可能需要負擔額外的簡訊發送費用。再以IM傳送金鑰來說,此方式僅適用於郵件收發雙方都准許使用IM的企業,而且還要等待對方上線時,才可成功傳送金鑰。

或許在寄送加密郵件後,直接打電話告知對方該加密郵件的解密金鑰為何,是最安全的作法,但這也可能是最不方便、甚至引發額外工作負擔的方法,畢竟,接收者可能不在座位上,也可能因為開會、忘了帶手機等種種原因,而無法接聽電話,這時,發信者必須一直不斷地打電話給收信者,直到對方確定無誤地記下金鑰為止;再者,若發信者同時發了許多封採用不同加密金鑰的加密郵件,上述的情況就會變得更加複雜。不僅如此,無論是打市話或手機,長期下來,對企業而言都是一筆額外的通信成本。

當然,收信方為了解開加密郵件,也可能主動打電話給發信者,但無不論如何,也可能面臨與發信方同樣的問題,也就是發信方一時無法接聽電話,以致必須不斷聯繫。因此,理論上只要能立即打通電話,那麼,透過電話傳送金鑰的管道,算是最安全又便捷的作法,但如果運氣不佳,也可能會增加額外的工作負擔。

相較於對稱式加密系統,透過不同公鑰與私鑰進行加解密程序的非對稱式加密系統,可說是目前公認最安全可行的加密機制,為了避免資料外洩,使用者可以用收信對方的公鑰來加密郵件,該郵件唯有對方獨一無二的私鑰才能解密,所以,其安全性無庸置疑。除此之外,使用者亦可透過私鑰(或其產生的數位簽章)加密愈寄送的郵件,以證明其確實為該發信者所發出,任何收信者只要透過發信者的公鑰,即可解開該信件。

雖然就安全性來看,上述機制似乎完美無缺,但實際施行上卻極其困難。首先,企業面臨的最大問題,莫過於公鑰的分享與再利用,目前最常見的解決方案是公開金鑰基礎設施(Public Key Infrastructure;PKI),唯有如此,企業才可在兼顧安全性與便利性的前提下,打造1個快速分享彼此公鑰的基礎平台。

但是理論歸理論,實際上,企業有意願或成功建置的案例仍不多,原因在於PKI基礎架構的導入門檻與難度相對較高,同時,後續還要面對數位憑證期限到期更換等,較複雜的管理維護作業,以致整體導入時間長且成本高。

對多數企業來說,當前導入PKI機制仍有極大的難度,因而缺乏1個良好的公鑰分享基礎平台,進而使非對稱式郵件加密機制的推展困難重重;反觀對稱式加密機制,雖然建置難度及成本相對較低,但是安全強度與PKI機制有一定程度的差距,同時現有的金鑰分享方式,仍然難以同時兼顧安全與便利性。以上種種問題,反應出當下郵件加密機制在實際推展上的缺失及難處,這也是今後企業在資料外洩整體防護線上,必須再接再厲的重點項目。


0
jerry640
iT邦新手 1 級 ‧ 2008-05-26 10:16:10

謝謝分享

0
john651216
iT邦研究生 1 級 ‧ 2008-05-26 16:40:19

謝謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-05-27 19:34:21

謝謝分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-05-27 22:47:00

感謝提供此資訊

0
gkkangel
iT邦好手 1 級 ‧ 2008-09-11 08:42:35

謝謝分享

0
蟹老闆
iT邦大師 1 級 ‧ 2009-05-19 00:09:46

謝謝分享

我要留言

立即登入留言