一、現(xiàn)狀分析

從1971年第一封用@符號標記的電子郵件誕生，到2021年已經(jīng)有50年歷史的電子郵件是互聯(lián)網(wǎng)的第一個最廣泛的應(yīng)用，據(jù)統(tǒng)計全球有37億個電子郵件賬戶，每天發(fā)送的電子郵件數(shù)量高達2690億封(當(dāng)然有不少是垃圾郵件)。也就是說：電子郵件是工作和生活的必須。

蘋果公司一位技術(shù)專家在一個電子郵件安全的郵件討論組中寫道：“Email as a tool for the betterment of humankind has proven so effective as to be arguably invaluable; improving the security, privacy, and safety of using email is a very worthwhile goal.(電子郵件作為改善人類生活的工具已被證明是非常高效的，同時可以說是無價的。提高使用電子郵件的安全性、隱私性和安全感是一個非常有價值的目標。”這句話說得非常好，有兩個重點：一是高度肯定了電子郵件對改善人類生活所作的貢獻，并且肯定了這種通信方式是高效的；二是指出了電子郵件的安全性還需要改進和提高。那么，如何改進和提高電子郵件的安全性，密信技術(shù)給出了完美的答卷。

我們先來看看電子郵件的發(fā)送機制，分析清楚為何電子郵件的安全性還需要改進。電子郵件每天都在交換大量的個人和商業(yè)機密信息，但是絕大多數(shù)郵件都是通過明文傳輸?shù)洁]件服務(wù)器，并以明文形式儲存在云端服務(wù)器中，收件人再明文收到郵件。如下圖所示，這是一個巨大的云端大數(shù)據(jù)安全隱患！

這個巨大的數(shù)據(jù)安全隱患主要是因為電子郵件在設(shè)計時就是采用明文傳輸機制，雖然后來有些改進，如下圖所示，采用在郵件服務(wù)器上部署SSL證書實現(xiàn)SSL/TLS

SMTP加密傳輸，但是這也只能保證用戶郵件從郵件客戶端發(fā)出到郵件服務(wù)器鏈路上是加密的，郵件到了郵件服務(wù)器仍然是明文存儲。郵件服務(wù)器在收到待發(fā)送郵件后會聯(lián)系收件人郵件服務(wù)器收件，如果收件服務(wù)器沒有部署SSL證書，則郵件只能明文從發(fā)件人郵件服務(wù)器發(fā)送到收件人郵件服務(wù)器上，明文郵件又在收件人郵件服務(wù)器明文保存了一份，收件人也是明文從郵件服務(wù)器下載到自己的郵件客戶端中。所以，如果郵件服務(wù)提供商告訴其用戶郵件已經(jīng)采用了TLS/SSL傳輸加密，那只能是安慰用戶，實際上郵件離開發(fā)件人郵件服務(wù)器就不是自己所在的郵件服務(wù)商所能控制的了！

這些安全問題并不是沒有人去想辦法解決，1995年RSA等公司提出了S/MIME(安全/多用途互聯(lián)網(wǎng)郵件擴展)協(xié)議V1版本，對郵件安全方面的功能進行了改進，1998年和1999年相繼出臺V2/V3版本并提交IETF形成系列RFC國際標準。如下圖所示，S/MIME國際標準就是用數(shù)字證書對郵件進行加密，即用收件人的公鑰把明文郵件加密成密文，以密文方式由發(fā)件人郵件服務(wù)器發(fā)送到收件人郵件服務(wù)器，收件人收到密文后用自己的私鑰解密得到郵件明文。這個全程加密過程實現(xiàn)了即使郵件服務(wù)器沒有采用了SSL/TLS傳輸加密，也能保證郵件的安全加密傳輸，因為郵件本身是密文。當(dāng)然，強烈推薦郵件服務(wù)器部署SSL證書來保證用戶郵箱的口令安全。

從發(fā)布S/MIME郵件簽名和加密標準至今又過去了25年，大家常用的郵件客戶端軟件如：微軟Outlook、Mozilla雷鳥和蘋果iMail等也都已經(jīng)全面支持S/MIME國際標準實現(xiàn)電子郵件簽名和加密，但是S/MIME郵件加密技術(shù)為何并沒有得到普及應(yīng)用？這是因為業(yè)界始終沒有解決其易用性問題，而其中一個最重要的原因是密鑰管理太復(fù)雜。用戶不僅需要從CA申請到郵件證書，還需要用戶把郵件證書安裝到各種設(shè)備的各種郵件客戶端軟件中，并且能正確配置使用，好不容易把證書搞定了，還需要先同對方交換公鑰才能發(fā)加密郵件，這絕對是一項普通用戶根本無法完成的事情。

英國國家網(wǎng)絡(luò)安全中心網(wǎng)站這樣寫道 “Although it is possible to encrypt individual emails using protocols like PGP orS/MIME, this requiresthe sender and recipient to have the necessary trust infrastructure in place. This isnot likely to be possible for all the partiesyou communicate with.”“You should only use message-based encryption like PGP orS/MIMEoccasionally for transfer of sensitive information as it’sinefficientand provides apoor user experience.”簡單翻譯一下大意是：“用S/MIME加密需要發(fā)送者和接收者都具有可信的加密基礎(chǔ)設(shè)施，這是不可能要求所有郵件用戶都具備的?！薄叭绻秒娮余]件發(fā)送敏感機密信息就應(yīng)該使用S/MIME加密，但是它效率太低而且用戶體驗很差?！?再通俗點講就是：雖然S/MIME郵件加密技術(shù)很好，但是要想讓人人都能用上，并且做到很好用，那是不可能的！

二、解決方案

密信技術(shù)早在2015年就組建研發(fā)團隊研究如何解決S/MIME的易用性難題。為了保證用戶能像發(fā)送明文郵件一樣發(fā)送加密郵件，同時還要方便用戶能隨時隨地使用任何設(shè)備能解密閱讀已加密郵件，而無需費時費力去交換公鑰來加密和導(dǎo)入證書來解密，必須解決密鑰管理太復(fù)雜的問題。密信研發(fā)團隊在研究了多家國際國內(nèi)領(lǐng)先的云服務(wù)提供商提供的云密鑰管理服務(wù)(KMS)后，決定采用云密鑰管理技術(shù)方案來解決密鑰管理難題和實現(xiàn)按需分發(fā)密鑰。

密信技術(shù)的解決方案是把傳統(tǒng)的一張郵件證書拆分為兩張證書(一張簽名證書和一張加密證書)，加密證書密鑰在云端生成并安全加密托管在云端，用戶在完成郵箱控制權(quán)驗證后就可以自動從云端取到加密證書密鑰來自動解密已加密郵件，使得用戶無需費時費力申請和導(dǎo)入郵件證書，完美實現(xiàn)全自動郵件加解密。而用戶發(fā)送加密郵件時密信App會自動到云端公鑰庫去獲取收件人的加密證書公鑰實現(xiàn)全自動發(fā)送加密郵件，使得用戶無需事先交換公鑰，真正實現(xiàn)無感全自動郵件加密和解密。而簽名證書由于有用戶的身份信息，用戶的簽名行為具有法律效力，所以，密信把簽名證書設(shè)計為用戶在本地設(shè)備上生成密鑰，并在本地設(shè)備上加密保存密鑰。這就是為何用戶看到密信App在不同設(shè)備上的簽名證書的序列號是不一樣的原因。

密信技術(shù)把傳統(tǒng)的一張郵件證書拆分成兩張證書并根據(jù)簽名和加密的兩個不同用途采用不同的密鑰管理方式，完美地解決了S/MIME郵件加密服務(wù)的易用性問題，同時繼承了S/MIME郵件簽名的不可假冒、不可偽造和不可抵賴的特點，使得S/MIME郵件加密技術(shù)真正能實現(xiàn)零門檻無縫使用，用戶無需關(guān)心證書在哪，只需像平常一樣寫好郵件點擊發(fā)送即可自動發(fā)送加密郵件和自動接收和解密已加密郵件。

密信技術(shù)歷時4年多終于全部解決了郵件加密的各種難題，建設(shè)了安全可靠的加密基礎(chǔ)設(shè)施，并把這些設(shè)施普惠共享給全球所有密信用戶使用，讓大家都可以不用投資建設(shè)這些設(shè)施一樣可以實現(xiàn)S/MIME郵件加密和數(shù)字簽名，滿足各種合規(guī)要求。

如下圖所示，密信密碼基礎(chǔ)設(shè)施包括證書簽發(fā)系統(tǒng)(MCA)、密鑰管理系統(tǒng)(MKM)、加密證書公鑰庫系統(tǒng)(CDB)、證書吊銷查詢系統(tǒng)(MCR)、身份認證系統(tǒng)(MVS)、時間戳服務(wù)系統(tǒng)(MTS)、電子簽名服務(wù)系統(tǒng)(MSS)等七大密碼服務(wù)基礎(chǔ)設(shè)施系統(tǒng)，這些云端服務(wù)系統(tǒng)加上密信App(郵件客戶端軟件) 構(gòu)成了“云端”和“客戶端”兩端一體的數(shù)字簽名和加密服務(wù)系統(tǒng)，安全可靠地為全球用戶提供全自動電子郵件加密和數(shù)字簽名服務(wù)。也就是說，密信App不是傳統(tǒng)意義上的獨立的郵件客戶端軟件，它是一個面向用戶端的服務(wù)代理，既能滿足用戶在本地操作數(shù)據(jù)的隱私保護需要，又能借助功能強大的云端服務(wù)系統(tǒng)，云地兩端一體協(xié)同服務(wù)使得密信App能全球率先實現(xiàn)全自動郵件加密和數(shù)字簽名。

也就是說，密信App之所以能做到全自動郵件加密，核心就是徹底解決了繁瑣的密鑰管理問題，使得用戶能隨時隨地使用任何設(shè)備獲取加密密鑰用于解密已加密郵件和自動獲取收件人的公鑰用于加密郵件。結(jié)合其他配套的幾大服務(wù)系統(tǒng)，徹底解決上面所說的“效率太低”“用戶體驗很差”的難題，并且“讓人人用得起”和“很好用”，把“不可能”變成”可能”！

密信技術(shù)建設(shè)的密碼基礎(chǔ)設(shè)施徹底解決了S/MIME郵件加密的易用性難題，讓用戶可以使用密信App輕松發(fā)送加密郵件和數(shù)字簽名郵件，現(xiàn)已經(jīng)成功實現(xiàn)了商業(yè)化實施與應(yīng)用，用戶已經(jīng)覆蓋全球171個國家和地區(qū)。密信技術(shù)，讓每一封郵件都有數(shù)字簽名可信身份，徹底杜絕郵件欺詐！讓每一封郵件都用證書加密成密文，徹底杜絕郵件泄密！

為了滿足政府機關(guān)、金融機構(gòu)和大企業(yè)等單位希望自己掌控加密證書密鑰的更高安全需求，密信技術(shù)提出了支持用戶在本地部署企業(yè)級密鑰管理系統(tǒng)的解決方案。用戶只需選購密信企業(yè)密鑰管理系統(tǒng)(企業(yè)KM)，并把企業(yè)KM系統(tǒng)連接到單位內(nèi)網(wǎng)即可，所有員工電腦和移動設(shè)備都必須能連接到企業(yè)KM，以便獲取加密私鑰，成功拿到加密證書后就可以正常使用密信App的郵件加密功能了。企業(yè)KM系統(tǒng)不能訪問互聯(lián)網(wǎng)，僅限于員工電腦和移動設(shè)備在單位內(nèi)網(wǎng)訪問，以確保密鑰管理系統(tǒng)的安全。而對于不能連接互聯(lián)網(wǎng)的用戶，則只需再選購密信企業(yè)CA系統(tǒng)，部署在企業(yè)內(nèi)網(wǎng)為用戶提供郵件證書和提供加密公鑰獲取服務(wù)即可。

三、優(yōu)勢分析

密信全自動電子郵件加密和數(shù)字簽名解決方案的核心產(chǎn)品是密信App(加密電子郵件客戶端軟件)和配套的加密基礎(chǔ)設(shè)施系統(tǒng)所提供的郵件數(shù)字簽名和加密服務(wù)，徹底實現(xiàn)了電子郵件加密和數(shù)字簽名的全自動、無門檻和無感。具有如下八大特別優(yōu)勢：

全自動配置證書：

密信研發(fā)團隊具有CA基因，密信App實現(xiàn)了電子郵件數(shù)字簽名和加密證書的全自動配置，實現(xiàn)了讓用戶像發(fā)送明文一樣的輕松發(fā)送加密郵件，徹底解決了“用戶體驗差”的難題。

高效率無感加密：

密信建立了加密證書公鑰庫系統(tǒng)、證書簽發(fā)系統(tǒng)、密鑰管理系統(tǒng)等多個后臺支撐基礎(chǔ)設(shè)施系統(tǒng)，實現(xiàn)了用戶無需事先交換加密證書公鑰就可以直接發(fā)送加密郵件，徹底解決了“效率太低”的難題。

可信加密基礎(chǔ)設(shè)施：

密信建設(shè)的“可信加密基礎(chǔ)設(shè)施”通過云服務(wù)方式實現(xiàn)了對全球所有郵件用戶的免費共享使用，使得“不可能要求所有郵件用戶都具備的”加密基礎(chǔ)設(shè)施人人都可以免費使用，不僅密信App用戶可以免費使用，而且自動配置的簽名證書和加密證書也完全免費！密信技術(shù)讓電子郵件S/MIME加密“人人都用得起”，讓“不可能”變成“能”！

加密設(shè)施開放共贏：

密信建設(shè)的“可信加密基礎(chǔ)設(shè)施”不僅免費開放給所有密信App用戶使用，也同時免費開放全球公鑰庫給其他郵件客戶端使用，希望和鼓勵其他郵件客戶端軟件也能像密信App一樣采用S/MIME國際標準和國家標準用數(shù)字證書實現(xiàn)全自動無感加密，共同為普及全自動全加密電子郵件做貢獻。

加密設(shè)施共享使用：

密信建設(shè)的“加密基礎(chǔ)設(shè)施”免費開放給政府機構(gòu)、公共服務(wù)機構(gòu)、金融機構(gòu)和各大企業(yè)用于免費獲取用戶的加密證書公鑰，方便各種政務(wù)系統(tǒng)和各種管理系統(tǒng)都能把現(xiàn)在的自動發(fā)送明文郵件給用戶改造成自動發(fā)送加密郵件給用戶，確保這些重要信息系統(tǒng)發(fā)出的電子郵件機密信息安全。

獨創(chuàng)郵件蓋戳服務(wù)：

密信技術(shù)全球獨家專利技術(shù)實現(xiàn)了為每一封發(fā)出的電子郵件蓋上密信時間戳，確保電子郵件發(fā)送時間是可信時間，而不是用戶電腦或用戶郵件服務(wù)器的不可信時間，這非常適用于類似于傳統(tǒng)信件蓋上郵戳來證明信件發(fā)出時間的應(yīng)用場景。

郵件附件云端查殺：

密信App還集成了360安全大腦提供的云查殺功能，無需上傳郵件附件，只需提交附件摘要就能快速查驗郵件附件是否是惡意文件和郵件中外部鏈接是否是惡意網(wǎng)址。這不僅能有效地保護用戶免收惡意郵件附件和惡意網(wǎng)址的攻擊，而且能可靠地保護用戶郵件附件的隱私信息安全。此服務(wù)是專為密信App用戶免費提供的增值服務(wù)。

獨創(chuàng)國密郵件加密：

密信技術(shù)全球獨家實現(xiàn)了符合國家標準GB/T? ? ? ? ? ? ? ? ? ? ? ? 35275-2017用國密算法(SM2/SM3/SM4)和國密證書加密和數(shù)字簽名每一封電子郵件。全球用戶都可以在設(shè)置中自由選擇加密算法為RSA算法或國密算法，信創(chuàng)版用戶默認用國密算法，其他版本用戶默認用RSA算法，用戶選定加密算法后則自動配置使用此算法簽發(fā)的簽名證書和加密證書。同樣，配套的時間戳服務(wù)也將根據(jù)用戶的算法自動配置相應(yīng)算法的時間戳簽名。密信App對國密算法的全面支持，解決了政務(wù)郵件加密的國密合規(guī)問題，讓國密算法能真正用于保障政務(wù)郵件的全程安全。同時，這也是密信技術(shù)為全球互聯(lián)網(wǎng)用戶貢獻了電子郵件加密的中國智慧和中國解決方案。

四、增值服務(wù)

密信技術(shù)不僅為全球用戶提供了免費的基礎(chǔ)級的電子郵件加密和數(shù)字簽名服務(wù)-免費版，而且不斷創(chuàng)新地為用戶提供可選的收費的增值服務(wù)-入門版、專業(yè)版和信創(chuàng)版，滿足全球用戶的不同應(yīng)用需求，歡迎廣大用戶選用。

1.入門版

免費版為用戶自動配置的是密信信任的加密證書和簽名證書，而收費的入門版則是為用戶自動配置全球信任的Vp郵件證書，使得密信App發(fā)出的簽名郵件在其他郵件客戶端都會正常解析用戶的證書簽名信息，并顯示“該數(shù)字簽名是可信的”。入門版服務(wù)實現(xiàn)全自動全球信任的郵件數(shù)字簽名和加密，仍然只是驗證郵箱控制權(quán)。用戶付費購買后密信App自動配置Vp郵件證書，用戶無需費心去申請證書、配置使用和導(dǎo)入導(dǎo)出備份等等，全部由密信App自動完成，讓用戶無需關(guān)心郵件證書，只需像平時發(fā)送明文郵件那樣在密信App直接寫完郵件點擊發(fā)送即可自動發(fā)送加密郵件。

2.專業(yè)版

專業(yè)版也是收費服務(wù)，在入門版基礎(chǔ)上增加了實名認證。個人用戶完成個人實名認證后，密信App自動配置含有個人身份信息的密信信任的個人身份證書和全球信任的Vp郵件證書，密信App默認使用個人身份證書和Vp郵件證書實現(xiàn)電子郵件雙簽名和加密，使得密信App在收到簽名郵件后顯示個人姓名和“身份真實可信，數(shù)字簽名全球信任”，而其他郵件客戶端顯示“該數(shù)字簽名是可信的”，從而實現(xiàn)數(shù)字簽名全球信任和用戶身份全球可信。

而單位用戶完成身份認證后，密信App為每個單位員工自動配置含有單位名稱的單位郵件證書(不限員工數(shù)量)，為已經(jīng)完成單位員工身份認證的員工自動配置含有單位名稱和員工姓名的單位員工證書及全球信任的Vp郵件證書。密信App默認使用單位員工證書或單位郵件證書和Vp郵件證書實現(xiàn)電子郵件雙簽名和加密，實現(xiàn)數(shù)字簽名全球信任和用戶身份全球可信。

3.信創(chuàng)版

信信創(chuàng)版也是收費服務(wù)，在免費版基礎(chǔ)上增加了實名認證。單位用戶完成實名認證后，密信App為每個單位員工自動配置含有單位身份認證信息的密信信任的國密算法單位郵件證書(不限員工數(shù)量)，為已經(jīng)完成單位員工身份認證的員工自動配置含有單位名稱和員工姓名的單位員工證書。密信App默認使用國密算法SM2和SM2單位員工證書實現(xiàn)電子郵件數(shù)字簽名和加密，滿足政務(wù)郵件用戶的國密合規(guī)應(yīng)用需求。

五、小結(jié)

總之，密信技術(shù)歷時多年技術(shù)攻關(guān)，徹底解決了電子郵件全自動加密的世紀難題，使得全球互聯(lián)網(wǎng)用戶都可以免費全自動加密每一封電子郵件，全自動為每一封電子郵件有身份，全自動讓每一封郵件的發(fā)送時間可信。同時率先讓國密算法也能像RSA算法一樣全自動實現(xiàn)電子郵件S/MIME數(shù)字簽名和加密，讓密碼算法中國方案也能為全球互聯(lián)網(wǎng)用戶的電子郵件安全保駕護航。密信技術(shù)讓郵件加密和簽名成為默認選項，從而真正保護每一封電子郵件的隱私信息安全。

密信技術(shù)讓“古老”的電子郵件獲得新生并煥發(fā)新的活力，明文電子郵件(“明信”)將全部變成了全加密的“密信”！在人們?nèi)找嬷匾曤[私保護的今天，那些預(yù)言電子郵件即將成為歷史的人們會驚訝地發(fā)現(xiàn)：全加密后電子郵件非但沒有成為歷史反而繼續(xù)再創(chuàng)新輝煌的歷史新篇章，加密電子郵件是最安全高效的工作通信方式，沒有之一！