安全電子郵件介紹 -...
TRANSCRIPT
2
一、為何要使用安全電子郵件
二、安全電子郵件準備工作
三、安全電子郵件設定說明(一)-以outlook Express為例
四、安全電子郵件設定說明(二)-以Outlook 2003為例
五、Q & A附件一、ThunderBird安全電子郵件使用方法附件二、Notes Mail 安全電子郵件使用方法
報告大綱報告大綱
5
釣魚郵件釣魚郵件
<a href="http://www.alm.assoo.org/activites/.acc/secure/cgi-bin/webscrcmd_login.php">https://www.paypal.com/cgi-bin/webscr?cmd=_login-run</a></font></p>
6
安全電子郵件簡介安全電子郵件簡介
數位簽章與加密是兩項獨立的功能,一個郵件可以只加數位簽章但不加密,但是此種郵件只能做為確認寄件者的身分,郵件內容仍以明文形式傳送,無法保持機密;另一方面,一個郵件也可以不加數位簽章而只加密,此種郵件雖然將內容編碼成密文而能夠保持機密,但卻無
法確認寄件者身分。
傳送電子郵件時可以使用兩項安全功能:1.數位簽章:傳送郵件時加入數位簽章可以確保郵件的完整性、身份鑑別以及不可否認性2.加密:傳送郵件時可以將郵件和附件加密,以確保郵件的機密性
8
二、安全電子郵件準備工作二、安全電子郵件準備工作
F正確安裝讀卡機(請參考讀卡機安裝手冊)
F安裝IC卡驅動程式及匯入使用者憑證(以自然人憑證為例)F匯入CA憑證(以內政部憑證管理中心MOICA為例)
9
F安裝IC卡驅動程式F內政部憑證管理中心網站(http://moica.nat.govtw)->檔案下載所附之 SafeSign CSP (如果已經申請機關單位憑證IC卡並於讀卡機所連接之電腦安裝SafeSign CSP可不必再安裝)
安裝安裝ICIC卡驅動程式及匯入自然人憑證卡驅動程式及匯入自然人憑證(1)(1)
10
F下載安裝完成後,會在電腦工作列產生Certificate Registration Utility圖示常駐
F將IC卡片插入讀卡機(請確定讀卡機已安裝成功)F點選此工具,選擇Token 後出現兩個選項F選擇Register All Certificates ,將IC卡內之憑證註冊至電腦
安裝安裝ICIC卡驅動程式及匯入自然人憑證卡驅動程式及匯入自然人憑證(2)(2)
11
匯入匯入MOICA MOICA 憑證憑證(1)(1)(1)請連線至http://moica.nat.gov.tw並選擇畫面上方的「儲存庫」,請用滑鼠點選「MOICA 憑證下載」
22
(4)在設定電子郵件地址畫面中,請在電子郵件地址欄位中填入申請自然人憑證時填寫的電子郵件地址,如此才能正確使用安全電子郵件功能。電子郵件地址設定完成後,點選「下一步」按鈕
安全電子郵件設定安全電子郵件設定(4)(4)
27
(9)進入電子郵件帳號內容設定畫面之後,選擇「安全性」,可看到「憑證簽章」及「加密選項設定」兩種設定,在「憑證簽章」方面可點選「選擇」按鈕,系統將會選擇可供此電子郵件地址所使用之所有憑證
安全電子郵件設定安全電子郵件設定(9)(9)
28
(10)請選擇用來做數位簽章之憑證,選擇完所想要使用的憑證之後,點選「確定」按鈕,即可回到前一個畫面繼續進行設定。如果在此畫面無法看到可選取的憑證,請確定您已使用CSP程式匯入IC卡內的憑證與MOICA憑證
安全電子郵件設定安全電子郵件設定(10)(10)
30
(12)在「加密選項設定」的部分,使用者加密用憑證來做加密,選擇的方式與步驟九相同。設定完所使用的憑證之後,便可以下拉式選單選擇加密所用之演算法。點選「確定」按鈕,即可完成安全電子郵件的系統設定
安全電子郵件設定安全電子郵件設定(12)(12)
31
建立安全電子郵件管道建立安全電子郵件管道(1)(1)(1)“王上安“想要建立安全電子郵件管道給”李逸洋”部長時,首先需以他所設定好之電子郵件地址發送一封加上數位簽章的電子郵件給想建立安全電子郵件管道之使用者(2)信件編寫完畢之後,點選下方功能欄中之「簽章」按鈕,即可為信件加入數位簽章之功能,寄件者欄位右方將會出現簽章之符號,接著點選「傳送」按鈕,輸入IC卡片PIN碼,即可送出首封安全電子郵件。
李逸洋
32
(3)收到對方傳送來,含有數位簽章之電子郵件之後,將之開啟。
(4)收到含有數位簽章之電子郵件時,郵件中將會包含此數位簽章郵件之安全性說明。點選「繼續」按鈕,即可檢視此電子郵件之原始內容。
建立安全電子郵件管道建立安全電子郵件管道(2)(2)
34
(6)在數位簽章內容中之「安全性」分項,可看出此數位簽章簽名者之電子郵件位址及其他關於此憑證的安全資訊,點選「檢視憑證」按鈕,即可檢視更詳細的憑證資訊。
建立安全電子郵件管道建立安全電子郵件管道(4)(4)
41
(4) 在「使用者資訊」,輸入您的名字,於「電子郵件地址」欄位中填入申請自然人憑證時填寫的電子郵件地址,如此才能正確使用安全電子郵件功能。於「登入資訊」輸入「使用者名稱」與「密碼」, 於「伺服器資訊」 填入「內送郵件伺服器(POP3)」以及「外寄郵件伺服器(SMTP)」,若有連接網路可測試帳號設定,再點選「下一步」按鈕
安全電子郵件設定安全電子郵件設定(4)(4)
45
(8) 數位簽章用的雜湊函數演算法有SHA1與MD5兩種,請記得要選擇SHA1,加密所用之演算法包含RC2(40bits)、DES 、RC2(64bits)、RC2(128bits) 與3DES下拉式選單選擇強度最強之3DES。
安全電子郵件設定安全電子郵件設定(8)(8)
50
(13)加密用之憑證可與前述類推,檢視憑證欄位時其金鑰使用方式為金鑰加密(key encipherment)、資料加密(data
encipherment)。至於憑證主體別名不論簽章用或加密用憑證上面都記載了用戶之電子郵件地址
安全電子郵件設定安全電子郵件設定(13)(13)
51
建立安全電子郵件管道建立安全電子郵件管道(1)(1)(1)“王上安“想要建立安全電子郵件管道給”李秘書”時,首先需以他所設定好之電子郵件地址發送一封加上數位簽章的電子郵件給”李秘書” 。(2)信件編寫完畢之後,點選上方功能欄中之「簽章」圖示按鈕 ,即可為信件加入數位簽章之功能,寄件者欄位右方將會出現簽章之符號,接著點選「傳送」按鈕,輸入IC卡片PIN碼,即可送出首封安全電子郵件。附件檔案也可經數位簽章傳送。
52
(3)收到對方傳送來,含有數位簽章之電子郵件之後,將之開啟。
(4) 點選「數位簽章」圖示(像徽章) ,即可檢視此包含數位簽章
電子郵件之憑證內容。再按[詳細資料],可看到下頁圖示。
建立安全電子郵件管道建立安全電子郵件管道(2)(2)
54
(6)選取寄件者之電子郵件帳號,按滑鼠右鍵,選擇[新增到聯絡人],將寄件者之憑證存入通訊錄。將寄件者加入通訊錄之後,便可正式開始建立安全電子郵件的通道。
建立安全電子郵件管道建立安全電子郵件管道(4)(4)
57
(9)”李秘書”回覆之前寄件者”王上安”所寄送包含數位簽章之電子郵件,並為信件加入數位簽章 和加密 的功能,再按[傳送]。
建立安全電子郵件管道建立安全電子郵件管道(7)(7)
當按下簽章或加密圖示時,圖形旁邊會顯示框線
59
1.如何查詢及下載憑證?moica.nat.gov.tw-à[儲存庫] à查詢憑證簽發情形,可憑“自然人姓名”或“自然人電子郵件信箱”或“憑證IC卡號”或“憑證序號”或是自然人身分證字號後四碼+申請憑證之年月“五種關鍵詞之一種進行查詢一般建議選擇電子郵件信箱查尋您所要找尋的憑證。
2.何謂 CSP?CSP(Cryptographic Service Provider) 是一個動態連結資料庫(Dynamic Link Library, DLL檔),你使用的應用程式透過CryptoAPI 呼叫 CSP 提供的函式。利用這些功能,應用程式可以輕易的達到資料加解密、認証的功能,而不需要知道這些密碼功能的演算法。由於應用程式和 CSP 是分別獨立的個體,當密碼演算法更新時,只需要以新的 CSP 替換,而不用重新改寫或編譯應用程式,減少開發程式的成本。
五、五、Q & AQ & A
60
3. 所選擇的加密方法有哪些?Outlook Express 與 S/MIME 版本 2 與 3 的規格相容。Outlook Express 支援以下的加密演算法:RC2 (40-bit 與 128-bit)、DES (56-bit) 及 3DES (168-bit)。RC2 40-bit 和 DES 加密演算法只有非美國/加拿大版的 Outlook Express 才可使用。Outlook Express 能解密 RC2 (64-bit) 所加密的郵件,但無法使用此演算法傳送郵件。強烈建議選擇3DES (168-bit)之演算法。
4.如何強制每封信都產生簽章與加密,副本寄給自己的信件能否也加密?於outlook express下, <工具>-à<選項>-à<安全性>
Q & AQ & A
62
Q & AQ & A
5.為什麼電子郵件地址要記載於憑證內?不記載會有什麼影響?若憑證中沒有記載用戶的Email Address,則用戶所申請的IC卡將無法用來收發加密或簽章的安全電子郵件(Secure Email),也就是說用戶所申請的IC卡將無法與Outlook或Outlook Express等支援安全電子郵件的軟體來搭配使用。所以申請人在勾選Email要不要記載在憑證中時,主要的考慮因素是申請人要不要使用安全電子郵件,如果申請人覺得自己並不需要安全電子郵件的功能則可以勾選不要將E-mail記載在憑證中。但是除了考量安全電子郵件的功能,個人隱私的保護也是需要考量的重要因素。Email Address的洩露對於不同的人可能造成不同的影響,對於那些原本就將Email Address公佈在網路上(例如其個人網頁)的人,其Email Address本來就是網路上公開的資料,沒有洩不洩漏的疑慮。但對於某些人而言,Email Address是屬於個人隱私資料的,只跟親朋好友秘密通信,或是怕收到廣告信,因此希望盡量不要在網路上任意流傳,但是安全電子郵件的國際標準為提高電子郵件的安全度,規定憑證中必須記載E-mail Address以便確認電子郵件發文者及收文者的身分,這當中當然是有所衝突的。
MOICA所提供的折衷做法是讓申請者在戶政事務所進行憑證IC卡接受確認階段,選擇是否公佈憑證。
63
Q & AQ & A6.申請憑證時選擇不將Email Address記載在憑證中,但是現在想要收發安全電子郵件卻無法使用,請問該怎麼辦呢?申請人本人可以到戶政事務所(不必是原申請憑證IC卡的戶政事務所,且目前全國374個戶所都已經連線),臨櫃辦理憑證內容變更,並於辦理時告知承辦人員要更改Email Address。其程序如下:(1)請攜帶身分證正本、IC卡至戶政事務所。(2)由承辦人員交付憑證IC卡內容更改申請書,申請人填妥後繳回。(3)完成作業後申請人取回證件、憑證IC卡、收執聯。目前因辦理更改Email Address憑證內容變更免收費用。
7.MOICA憑證還可至那邊下載?
也可至政府憑證總管理中心(http://grca.nat.gov.tw.)之[儲存庫]超連結找尋[MOICA憑證下載]超連結。
64
8.無法使用安全性電子郵件原因分析
1.憑證中SubjectDirectoryAttribute中並沒有放置email位址。
2. 憑證中email位址和收發信的mail帳號不一致。3.未安裝SafeSign CSP,或安裝後被移除。
Q & AQ & A
65
Q & AQ & A9.請問在Outlook 或 Outlook Express如何設定目錄服務以下載其他人之自然人憑證發安全電子郵件?
Lightweight Directory Access Protocol (LDAP) 輕量目錄服務協定可讓任何人找到網路中的組織、個人、檔案或裝置等資源。MOICA目錄服務儲存每個自然人DN與憑證,以供他人使用LDAP協定來查詢自然人憑證。(1) Outlook 2003步驟如下:先從[工具]選擇[電子郵件帳號],出現以下畫面:
勾選[目錄]下之[新增目錄或通訊錄]
78
設定設定ICIC卡卡(2/2)(2/2)
12:輸入GD
3:指到C:\Windows\System32\aetpkss1.dll
選擇[Device Manager]([管理安全裝置]),出現左邊之畫面,1.按[Load]([載入])
79
匯入信任根憑證匯入信任根憑證(1/2)(1/2)F從 [Tool] ([工具])的[Account Settings]([帳號管理員)]中,選擇[Certificates](管理憑證)下的[View Certificate](管理憑證)
80
匯入信任根憑證匯入信任根憑證(2/2)(2/2)
1
3:指到政府憑證總管理中心的自簽憑證
GRCA.cer
4:勾選為信任email發行者
5:重覆2~4,並匯入內政部憑證管理中心的自身憑證
MOICA.cer
2