安全電子郵件介紹 -...
TRANSCRIPT
1
安全電子郵件介紹
中華電信股份有限公司
95年6月
政府資通安全防護巡迴研討會-電子郵件及個人資料安全防護
2
一、為何要使用安全電子郵件
二、安全電子郵件準備工作
三、安全電子郵件設定說明(一)-以outlook Express為例
四、安全電子郵件設定說明(二)-以Outlook 2003為例
五、Q & A附件一、ThunderBird安全電子郵件使用方法附件二、Notes Mail 安全電子郵件使用方法
報告大綱報告大綱
3
一、為何要使用安全電子郵件
4
使用電子郵件所遭遇問題使用電子郵件所遭遇問題
F冒名郵件
F垃圾郵件
F黑函(詐騙)郵件
F病毒(木馬)郵件F釣魚郵件
5
釣魚郵件釣魚郵件
<a href="http://www.alm.assoo.org/activites/.acc/secure/cgi-bin/webscrcmd_login.php">https://www.paypal.com/cgi-bin/webscr?cmd=_login-run</a></font></p>
6
安全電子郵件簡介安全電子郵件簡介
數位簽章與加密是兩項獨立的功能,一個郵件可以只加數位簽章但不加密,但是此種郵件只能做為確認寄件者的身分,郵件內容仍以明文形式傳送,無法保持機密;另一方面,一個郵件也可以不加數位簽章而只加密,此種郵件雖然將內容編碼成密文而能夠保持機密,但卻無
法確認寄件者身分。
傳送電子郵件時可以使用兩項安全功能:1.數位簽章:傳送郵件時加入數位簽章可以確保郵件的完整性、身份鑑別以及不可否認性2.加密:傳送郵件時可以將郵件和附件加密,以確保郵件的機密性
7
安全電子郵件可使用憑證安全電子郵件可使用憑證
FMOICA自然人憑證FGCA政府機關(單位)憑證F其他CA憑證(金融憑證、電子商務憑證等)
8
二、安全電子郵件準備工作二、安全電子郵件準備工作
F正確安裝讀卡機(請參考讀卡機安裝手冊)
F安裝IC卡驅動程式及匯入使用者憑證(以自然人憑證為例)F匯入CA憑證(以內政部憑證管理中心MOICA為例)
9
F安裝IC卡驅動程式F內政部憑證管理中心網站(http://moica.nat.govtw)->檔案下載所附之 SafeSign CSP (如果已經申請機關單位憑證IC卡並於讀卡機所連接之電腦安裝SafeSign CSP可不必再安裝)
安裝安裝ICIC卡驅動程式及匯入自然人憑證卡驅動程式及匯入自然人憑證(1)(1)
10
F下載安裝完成後,會在電腦工作列產生Certificate Registration Utility圖示常駐
F將IC卡片插入讀卡機(請確定讀卡機已安裝成功)F點選此工具,選擇Token 後出現兩個選項F選擇Register All Certificates ,將IC卡內之憑證註冊至電腦
安裝安裝ICIC卡驅動程式及匯入自然人憑證卡驅動程式及匯入自然人憑證(2)(2)
11
匯入匯入MOICA MOICA 憑證憑證(1)(1)(1)請連線至http://moica.nat.gov.tw並選擇畫面上方的「儲存庫」,請用滑鼠點選「MOICA 憑證下載」
12
(2)請按「儲存檔案」將MOICA 憑證先儲存至您的電腦
匯入匯入MOICA MOICA 憑證憑證(2)(2)
13
(3)請選擇檔案儲存的路徑按「存檔」,將MOICA 憑證先儲存至您的電腦
匯入匯入MOICA MOICA 憑證憑證(3)(3)
14
(4)請點選已儲存的MOICA 憑證,即可看到右圖,請點選「安裝憑證」
匯入匯入MOICA MOICA 憑證憑證(4)(4)
15
(5)請按「下一步」將憑證匯入您的電腦
匯入匯入MOICA MOICA 憑證憑證(5)(5)
16
(6)請按「下一步」將憑證匯入您的電腦
匯入匯入MOICA MOICA 憑證憑證(6)(6)
17
(7)請按「完成」您已匯入MOICA 憑證,出現匯入執行成功請按「確定」
匯入匯入MOICAMOICA憑證憑證(7)(7)
18
三、安全電子郵件設定說明(一)
以outlook Express 為例
19
(1)啟動 “Outlook Express”,點選工具下的「帳戶」按鈕
安全電子郵件設定安全電子郵件設定(1)(1)
20
(2)進入帳號選項後,選擇「新增」、「郵件」按鈕,進行新增郵件的工作
郵件新聞目錄服務
安全電子郵件設定安全電子郵件設定(2)(2)
21
(3)進入新增郵件畫面後,如圖所示,可選擇您的名稱,設定完之後,點選「下一步」按鈕
安全電子郵件設定安全電子郵件設定(3)(3)
22
(4)在設定電子郵件地址畫面中,請在電子郵件地址欄位中填入申請自然人憑證時填寫的電子郵件地址,如此才能正確使用安全電子郵件功能。電子郵件地址設定完成後,點選「下一步」按鈕
安全電子郵件設定安全電子郵件設定(4)(4)
23
(5)在電子郵件伺服器畫面中,分別填入內收郵件及外送郵件的伺服器,伺服器名稱填寫完畢之後,點選「下一步」按鈕
安全電子郵件設定安全電子郵件設定(5)(5)
24
(6)在Internet Mail登入畫面中,填入電子郵件帳號以及存取此帳號之密碼,設定完成之後點選「下一步」按鈕
安全電子郵件設定安全電子郵件設定(6)(6)
25
(7)點選「完成」按鈕,即可完成安全電子郵件之電子郵件帳號系統設定
安全電子郵件設定安全電子郵件設定(7)(7)
26
(8) 新增電子郵件帳號後,選擇該帳號,再點選「內容」按鈕,以進行進一步之系統設定
安全電子郵件設定安全電子郵件設定(8)(8)
27
(9)進入電子郵件帳號內容設定畫面之後,選擇「安全性」,可看到「憑證簽章」及「加密選項設定」兩種設定,在「憑證簽章」方面可點選「選擇」按鈕,系統將會選擇可供此電子郵件地址所使用之所有憑證
安全電子郵件設定安全電子郵件設定(9)(9)
28
(10)請選擇用來做數位簽章之憑證,選擇完所想要使用的憑證之後,點選「確定」按鈕,即可回到前一個畫面繼續進行設定。如果在此畫面無法看到可選取的憑證,請確定您已使用CSP程式匯入IC卡內的憑證與MOICA憑證
安全電子郵件設定安全電子郵件設定(10)(10)
29
(11)使用者若想要檢視所選擇憑證之內容以確定憑證正確性,可點選「檢視憑證」按鈕來檢視所選擇憑證之內容,選擇「檢視憑證」
安全電子郵件設定安全電子郵件設定(11)(11)
30
(12)在「加密選項設定」的部分,使用者加密用憑證來做加密,選擇的方式與步驟九相同。設定完所使用的憑證之後,便可以下拉式選單選擇加密所用之演算法。點選「確定」按鈕,即可完成安全電子郵件的系統設定
安全電子郵件設定安全電子郵件設定(12)(12)
31
建立安全電子郵件管道建立安全電子郵件管道(1)(1)(1)“王上安“想要建立安全電子郵件管道給”李逸洋”部長時,首先需以他所設定好之電子郵件地址發送一封加上數位簽章的電子郵件給想建立安全電子郵件管道之使用者(2)信件編寫完畢之後,點選下方功能欄中之「簽章」按鈕,即可為信件加入數位簽章之功能,寄件者欄位右方將會出現簽章之符號,接著點選「傳送」按鈕,輸入IC卡片PIN碼,即可送出首封安全電子郵件。
李逸洋
32
(3)收到對方傳送來,含有數位簽章之電子郵件之後,將之開啟。
(4)收到含有數位簽章之電子郵件時,郵件中將會包含此數位簽章郵件之安全性說明。點選「繼續」按鈕,即可檢視此電子郵件之原始內容。
建立安全電子郵件管道建立安全電子郵件管道(2)(2)
33
(5)下圖為電子郵件之原始內容,使用者可點選信件標頭右側之數位簽章圖示(像徽章),以檢視此數位簽章之內容
建立安全電子郵件管道建立安全電子郵件管道(3)(3)
34
(6)在數位簽章內容中之「安全性」分項,可看出此數位簽章簽名者之電子郵件位址及其他關於此憑證的安全資訊,點選「檢視憑證」按鈕,即可檢視更詳細的憑證資訊。
建立安全電子郵件管道建立安全電子郵件管道(4)(4)
35
(7)在此畫面中,可點選「簽章憑證」、「寄件者的憑證」按鈕來檢視寄件者所使用的簽章用及加密憑證。 也可將寄件者之加密用憑證存入通訊錄
建立安全電子郵件管道建立安全電子郵件管道(5)(5)
36
(8)憑證檢視畫面如圖所示
建立安全電子郵件管道建立安全電子郵件管道(6)(6)
37
四、安全電子郵件設定說明(二)
以Outlook 2003為例
38
(1)啟動 “Outlook 2003”,點選工具下的「電子郵件帳號組態」按鈕
安全電子郵件設定安全電子郵件設定(1)(1)
39
(2) 出現「電子郵件帳號」精靈,進行新增或變更電子郵件帳號的功能(以下以「新增電子郵件帳號」為例)
安全電子郵件設定安全電子郵件設定(2)(2)
40
(3)進入電子郵件帳號選項後,選擇電子郵件伺服器的類型(以下以連接POP3郵件伺服器為例)
安全電子郵件設定安全電子郵件設定(3)(3)
41
(4) 在「使用者資訊」,輸入您的名字,於「電子郵件地址」欄位中填入申請自然人憑證時填寫的電子郵件地址,如此才能正確使用安全電子郵件功能。於「登入資訊」輸入「使用者名稱」與「密碼」, 於「伺服器資訊」 填入「內送郵件伺服器(POP3)」以及「外寄郵件伺服器(SMTP)」,若有連接網路可測試帳號設定,再點選「下一步」按鈕
安全電子郵件設定安全電子郵件設定(4)(4)
42
(5)點選「完成」按鈕,即可完成安全電子郵件之電子郵件帳號系統設定
安全電子郵件設定安全電子郵件設定(5)(5)
43
(6)
安全電子郵件設定安全電子郵件設定(6)(6)從選單之[工具]->[選項]->選擇[安全性] ->[設定]
44
(7) 按[選擇]將此電子郵件帳號之簽章及加密憑證匯入,於[雜湊演算法]選擇SHA1,於[加密演算法]選擇3DES,按[確定]
安全電子郵件設定安全電子郵件設定(7)(7)
45
(8) 數位簽章用的雜湊函數演算法有SHA1與MD5兩種,請記得要選擇SHA1,加密所用之演算法包含RC2(40bits)、DES 、RC2(64bits)、RC2(128bits) 與3DES下拉式選單選擇強度最強之3DES。
安全電子郵件設定安全電子郵件設定(8)(8)
46
(9)選擇用來做數位簽章之憑證時,如果在此畫面無法看到可選取的憑證,請確定您已使用CSP程式匯入IC卡內的憑證與MOICA憑證
安全電子郵件設定安全電子郵件設定(9)(9)
47
(10) 在選擇憑證時您可檢視您的憑證資訊如本頁及下兩頁圖
安全電子郵件設定安全電子郵件設定(10)(10)
48
(11)
安全電子郵件設定安全電子郵件設定(11)(11)
49
(12)
安全電子郵件設定安全電子郵件設定(12)(12)
F數位簽章用憑證其金鑰使用方式為數位簽章(Digital Signature)
50
(13)加密用之憑證可與前述類推,檢視憑證欄位時其金鑰使用方式為金鑰加密(key encipherment)、資料加密(data
encipherment)。至於憑證主體別名不論簽章用或加密用憑證上面都記載了用戶之電子郵件地址
安全電子郵件設定安全電子郵件設定(13)(13)
51
建立安全電子郵件管道建立安全電子郵件管道(1)(1)(1)“王上安“想要建立安全電子郵件管道給”李秘書”時,首先需以他所設定好之電子郵件地址發送一封加上數位簽章的電子郵件給”李秘書” 。(2)信件編寫完畢之後,點選上方功能欄中之「簽章」圖示按鈕 ,即可為信件加入數位簽章之功能,寄件者欄位右方將會出現簽章之符號,接著點選「傳送」按鈕,輸入IC卡片PIN碼,即可送出首封安全電子郵件。附件檔案也可經數位簽章傳送。
52
(3)收到對方傳送來,含有數位簽章之電子郵件之後,將之開啟。
(4) 點選「數位簽章」圖示(像徽章) ,即可檢視此包含數位簽章
電子郵件之憑證內容。再按[詳細資料],可看到下頁圖示。
建立安全電子郵件管道建立安全電子郵件管道(2)(2)
53
(5)收件者可藉由[郵件安全性內容]確認電子文件之完整
性以及簽名者之身分。
建立安全電子郵件管道建立安全電子郵件管道(3)(3)
54
(6)選取寄件者之電子郵件帳號,按滑鼠右鍵,選擇[新增到聯絡人],將寄件者之憑證存入通訊錄。將寄件者加入通訊錄之後,便可正式開始建立安全電子郵件的通道。
建立安全電子郵件管道建立安全電子郵件管道(4)(4)
55
建立安全電子郵件管道建立安全電子郵件管道(5)(5)F(7)從[工具]à[通訊錄]下可找尋[王上安]的基本資料
56
(8)選取[憑證]可檢視畫面如圖所示,按[內容]可檢視憑證資訊
建立安全電子郵件管道建立安全電子郵件管道(6)(6)
57
(9)”李秘書”回覆之前寄件者”王上安”所寄送包含數位簽章之電子郵件,並為信件加入數位簽章 和加密 的功能,再按[傳送]。
建立安全電子郵件管道建立安全電子郵件管道(7)(7)
當按下簽章或加密圖示時,圖形旁邊會顯示框線
58
(10) 若能成功讀取回函原始郵件內容,即表示安全電子郵件通道已經成功建立,往後便可利用之前所設定的簽名及加密功能進行安全電子郵件的通信。
建立安全電子郵件管道建立安全電子郵件管道(8)(8)
59
1.如何查詢及下載憑證?moica.nat.gov.tw-à[儲存庫] à查詢憑證簽發情形,可憑“自然人姓名”或“自然人電子郵件信箱”或“憑證IC卡號”或“憑證序號”或是自然人身分證字號後四碼+申請憑證之年月“五種關鍵詞之一種進行查詢一般建議選擇電子郵件信箱查尋您所要找尋的憑證。
2.何謂 CSP?CSP(Cryptographic Service Provider) 是一個動態連結資料庫(Dynamic Link Library, DLL檔),你使用的應用程式透過CryptoAPI 呼叫 CSP 提供的函式。利用這些功能,應用程式可以輕易的達到資料加解密、認証的功能,而不需要知道這些密碼功能的演算法。由於應用程式和 CSP 是分別獨立的個體,當密碼演算法更新時,只需要以新的 CSP 替換,而不用重新改寫或編譯應用程式,減少開發程式的成本。
五、五、Q & AQ & A
60
3. 所選擇的加密方法有哪些?Outlook Express 與 S/MIME 版本 2 與 3 的規格相容。Outlook Express 支援以下的加密演算法:RC2 (40-bit 與 128-bit)、DES (56-bit) 及 3DES (168-bit)。RC2 40-bit 和 DES 加密演算法只有非美國/加拿大版的 Outlook Express 才可使用。Outlook Express 能解密 RC2 (64-bit) 所加密的郵件,但無法使用此演算法傳送郵件。強烈建議選擇3DES (168-bit)之演算法。
4.如何強制每封信都產生簽章與加密,副本寄給自己的信件能否也加密?於outlook express下, <工具>-à<選項>-à<安全性>
Q & AQ & A
61
Q & AQ & A
62
Q & AQ & A
5.為什麼電子郵件地址要記載於憑證內?不記載會有什麼影響?若憑證中沒有記載用戶的Email Address,則用戶所申請的IC卡將無法用來收發加密或簽章的安全電子郵件(Secure Email),也就是說用戶所申請的IC卡將無法與Outlook或Outlook Express等支援安全電子郵件的軟體來搭配使用。所以申請人在勾選Email要不要記載在憑證中時,主要的考慮因素是申請人要不要使用安全電子郵件,如果申請人覺得自己並不需要安全電子郵件的功能則可以勾選不要將E-mail記載在憑證中。但是除了考量安全電子郵件的功能,個人隱私的保護也是需要考量的重要因素。Email Address的洩露對於不同的人可能造成不同的影響,對於那些原本就將Email Address公佈在網路上(例如其個人網頁)的人,其Email Address本來就是網路上公開的資料,沒有洩不洩漏的疑慮。但對於某些人而言,Email Address是屬於個人隱私資料的,只跟親朋好友秘密通信,或是怕收到廣告信,因此希望盡量不要在網路上任意流傳,但是安全電子郵件的國際標準為提高電子郵件的安全度,規定憑證中必須記載E-mail Address以便確認電子郵件發文者及收文者的身分,這當中當然是有所衝突的。
MOICA所提供的折衷做法是讓申請者在戶政事務所進行憑證IC卡接受確認階段,選擇是否公佈憑證。
63
Q & AQ & A6.申請憑證時選擇不將Email Address記載在憑證中,但是現在想要收發安全電子郵件卻無法使用,請問該怎麼辦呢?申請人本人可以到戶政事務所(不必是原申請憑證IC卡的戶政事務所,且目前全國374個戶所都已經連線),臨櫃辦理憑證內容變更,並於辦理時告知承辦人員要更改Email Address。其程序如下:(1)請攜帶身分證正本、IC卡至戶政事務所。(2)由承辦人員交付憑證IC卡內容更改申請書,申請人填妥後繳回。(3)完成作業後申請人取回證件、憑證IC卡、收執聯。目前因辦理更改Email Address憑證內容變更免收費用。
7.MOICA憑證還可至那邊下載?
也可至政府憑證總管理中心(http://grca.nat.gov.tw.)之[儲存庫]超連結找尋[MOICA憑證下載]超連結。
64
8.無法使用安全性電子郵件原因分析
1.憑證中SubjectDirectoryAttribute中並沒有放置email位址。
2. 憑證中email位址和收發信的mail帳號不一致。3.未安裝SafeSign CSP,或安裝後被移除。
Q & AQ & A
65
Q & AQ & A9.請問在Outlook 或 Outlook Express如何設定目錄服務以下載其他人之自然人憑證發安全電子郵件?
Lightweight Directory Access Protocol (LDAP) 輕量目錄服務協定可讓任何人找到網路中的組織、個人、檔案或裝置等資源。MOICA目錄服務儲存每個自然人DN與憑證,以供他人使用LDAP協定來查詢自然人憑證。(1) Outlook 2003步驟如下:先從[工具]選擇[電子郵件帳號],出現以下畫面:
勾選[目錄]下之[新增目錄或通訊錄]
66
Q & AQ & A
F勾選 [網際網路目錄服務(LDAP)]
67
Q & AQ & A
F請於 [伺服器資訊]之[伺服器名稱]輸入moica.nat.gov.tw
68
Q & AQ & AF出現左下畫面,請按[搜尋],在[搜尋選項]之[搜尋基礎]輸入c=TW,即完成設定
69
Q & A Q & A F(2)Outlook Express之步驟如下:「工具」==>「帳號」
70
Q & AQ & AF點選下圖右邊的「新增」==>「目錄服務」
71
Q & AQ & AF於「網際網路目錄伺服器」輸入LDAP Server IP address或者Host Name,然後點選「下一步」
72
Q & AQ & AF再點選[完成],這還沒有完成,還有其他設定,請繼續瀏覽。
73
Q & AQ & AF開啟Outlook Express「工具」==>「帳號」==>「全部」書籤==>點選「moica.nat.gov.tw」這個目錄服務==>再點選「內容」
74
Q & AQ & AF點選「進階」
75
Q & AQ & AF於「搜尋依據」填入「c=TW」,再點選「確定」,即完成就可以藉由Outlook來查詢自然人憑證
77
設定設定ICIC卡卡(1/2)(1/2)
從 [Tool] ([工具])的[Account Settings]([帳號管理員)]中進入[Security]([安全])設定畫面
78
設定設定ICIC卡卡(2/2)(2/2)
12:輸入GD
3:指到C:\Windows\System32\aetpkss1.dll
選擇[Device Manager]([管理安全裝置]),出現左邊之畫面,1.按[Load]([載入])
79
匯入信任根憑證匯入信任根憑證(1/2)(1/2)F從 [Tool] ([工具])的[Account Settings]([帳號管理員)]中,選擇[Certificates](管理憑證)下的[View Certificate](管理憑證)
80
匯入信任根憑證匯入信任根憑證(2/2)(2/2)
1
3:指到政府憑證總管理中心的自簽憑證
GRCA.cer
4:勾選為信任email發行者
5:重覆2~4,並匯入內政部憑證管理中心的自身憑證
MOICA.cer
2
81
設定簽章及加密憑證設定簽章及加密憑證
1:選取簽章憑證並在詢問是否設為加密憑證時回答否
1:選取加密憑證並在詢問是否設為加密憑證時回答否
82
匯入其他收件人憑證匯入其他收件人憑證
83
撰寫安全電子郵件撰寫安全電子郵件
加入安全性
加密郵件
在郵件中加入簽章
84
附件二Notes Mail 安全電子郵件使用方法
85
進入設定畫面進入設定畫面
86
選擇選擇 Internet Internet 憑證憑證
87
選擇要匯入的憑證選擇要匯入的憑證
88
憑證裝好後,點選下圖之郵件選項憑證裝好後,點選下圖之郵件選項
89
選擇憑證配置選擇憑證配置
90
若憑證裝已裝好,可在下圖框中看到,並可設定成預設憑證。若憑證裝已裝好,可在下圖框中看到,並可設定成預設憑證。
設定完成後,便可用此憑證加密及簽認設定完成後,便可用此憑證加密及簽認
報告完畢敬請指教
希望各位以後能多利用安全電子郵件,以確認郵件之寄件者,內容之完整性及資料之機密性
政府資通安全防護巡迴研討會-電子郵件及個人資料安全防護