首页>常见问题问答>电子邮件加密和数字签名服务FAQ

电子邮件加密和数字签名服务FAQ

  • 1. 电子邮件加密和数字签名服务有4种不同的版本,各有什么不同?

    +

    电子邮件加密和数字签名服务为用户提供4种不同的服务版本:免费版、入门版、专业版和信创版,同时又根据用户类型不同分为个人用户和单位用户,有免费服务和收费服务。具体不同点有:

    1. 免费版:
      为用户提供电子邮件加密和数字签名基础级服务,完全永久免费,免费自动配置仅显示邮箱的密信信任的签名证书和加密证书。
    2. 入门版:
      在免费版基础上增加了一张全球信任的Vp邮件证书,密信App将默认用此证书数字签名邮件,这样其他邮件客户端会显示“此数字签名是可信的”。
    3. 专业版:
      在入门版基础上增加了用户的实名认证,完成认证后免费自动配置相应认证级别的含有用户身份信息的密信信任的签名证书和全球信任的Vp邮件证书。
    4. 信创版:
      在免费版基础上增加了用户的实名认证,完成认证后免费自动配置采用国密算法的国密SM2签名和加密证书,密信App将默认用国密加密证书和签名证书实现邮件加密和数字签名,满足用户《密码法》合规应用需求。
  • 2. 电子邮件为何需要加密?为何需要数字签名?为何需要时间戳?

    +

    第一封电子邮件始于1965年左右,电子邮件从诞生到现在已经有了55年的历史,而电子邮件的普及应用是在1997年微软收购了首家免费电子邮件服务提供商Hotmail之后,到现在也有23年历史了。电子邮件曾经是互联网上最大的流量和最常用应用,同目前的最大流量http一样,电子邮件的传输也都是明文传输,每一封邮件都是“明信片”,人们绝对不会在明信片上写什么机密信息,但是却在电子邮件中发送各种工作和生活中的几乎所有机密信息,这是不可思议的奇怪现象。

    也就是说:电子邮件是工作和生活的必须,但是电子邮件就是“明信片”(明文发送),邮件内容非常容易在传输过程中被非法窃取和非法篡改,很不安全。特别是现在许多企业邮箱都已经迁移到云端,使用云邮箱服务,如何保证存放在云端的电子邮件内容不会被非法利用和是否合规,这是一个急需解决的难题。

    正是由于电子邮件在工作和生活中的重要性,国际标准组织早在1995年就出台了用于电子邮件签名和加密的S/MIME协议,支持用PKI数字证书来加密电子邮件和给电子邮件附上数字签名。目前几个常用的电子邮件客户端软件都支持S/MIME证书加密和数字签名。

    目前业界普遍采取的链路加密技术是采用TLS/SSL链路加密来确保用户邮件从邮件客户端到邮件服务器的加密传输,以及如果对方邮件服务器也采用了TLS/SSL加密的话,就能实现电子邮件在传输链路上的全程加密保护。但是这种保护的前提条件是对方邮件服务器也采用TLS/SSL链路加密,如果没有,则邮件仍然是明文从发件人的邮件服务器发送到对方邮件服务器上。即使双方邮件服务器都采用了TLS/SSL链路加密技术,这也只是保证了邮件传输过程的安全,仍然无法保证明文邮件内容永久存放在云端服务器上的安全。

    为了真正能保证邮件机密信息安全,按照有关合规要求,必须采用S/MIME国际标准实现端到端加密,邮件从邮件客户端发出之前就用证书加密成密文,只有这样才能不依赖于邮件服务器是否采用了TLS/SSL链路加密技术,才能不仅保证邮件在传输链路上的安全,而且能保证邮件内容永久安全加密存放在云端邮件服务器上。

    而鉴于目前的欺诈邮件泛滥,邮件数字签名为每一封电子邮件带上可信身份,是解决邮件欺诈问题的唯一解决方案,因为数字签名是不可假冒和伪造的,特别是已经完成身份认证的用户,会显示发件人真实姓名和单位名称,确保收件人能方便地确信发件人的身份而不会被假冒身份而上当受骗。

    目前普遍采用的S/MIME电子邮件签名和加密标准是不支持时间戳签名的,但是密信认为现实世界的邮件是有邮戳的,数字世界的电子邮件也应该有邮戳,所以密信创新地在用户邮件的数字签名数据中附署了密信时间戳签名,用以证明用户发送邮件的可信时间,而非传统邮件的发送时间是不可信的邮件服务器上的时间。密信邮件时间戳服务为免费配套服务,可用于各种需要证明邮件发送时间的应用场景,具有邮件发送时间防篡改防伪造和不可抵赖的特点。

    密信在国际标准RFC3161时间戳技术基础上做了性能上的优化,使得时间戳数据只有标准时间戳签名数据的12%左右(减少了88%),更加适合于移动应用和快速验证时间戳签名。同时,我们对时间戳签名加上防止重盖时间戳覆盖原始时间戳的技术保护措施,有效地保证了原始时间戳数据不会被替换,真正确保了邮件发送时间的真实性和不可否认属性。

    就像邮政寄信必须盖上邮戳一样,发送电子邮件也应该盖上时间戳,全球只有密信为您做到了!

  • 3. 密信App同其他电子邮件客户端软件有什么特别优势?

    +

    目前全球市场上已经有许多用于收发电子邮件的客户端软件,这些软件都是人们特别是商务人士不可缺少的常用软件。这些软件的缺陷是不支持证书自动加密,有些支持手动设置证书加密,有些根本就不支持证书加密。

    密信App也是一款电子邮件客户端软件,兼容目前用户常用的其他电子邮件客户端软件,能兼容加密和解密其他支持S/MIME标准的电子邮件客户端软件的加密邮件。其独特优势就是密信App支持自动申请电子邮件加密证书和签名证书、自动部署和配置邮件证书、自动交换加密证书公钥、自动默认用证书加密每一封发出的邮件、自动默认用证书签名每一封发出的邮件、自动为每封发出的邮件加上时间戳、自动解密加密邮件和自动续期过期的加密证书和签名证书。更重要的是:默认自动配置的V1签名证书和加密证书都是完全免费的。

    密信App用户根本不用关心什么是数字证书、怎样向证书颁发机构(CA)申请邮件证书、怎样用证书加密和签名、怎样在客户端软件上安装和配置证书、怎样同收件人交换公钥、怎样发送加密邮件和签名邮件以及怎样安全保管加密证书和签名证书等等。用户只需像平时一样登录邮件客户端软件,写好邮件发送即可,一切完全自动化地由密信App帮您完成,密信App帮您实现发送加密邮件和签名邮件零门槛,实现无感加密和签名。

    密信App同时支持全平台支持,实现电子邮件加密和签名的跨平台支持。密信让您随时在任何PC平台和任何移动终端设备上轻松收发加密邮件和签名邮件,保护您的邮件机密信息安全和防止邮件被假冒。

    密信App采用国际标准S/MIME和国家标准实现邮件加密和数字签名,与所有支持S/MIME协议的其他电子邮件客户端软件互通兼容,能相互加解密邮件和解析签名邮件,唯一不同是密信App能自动申请证书、自动配置证书、自动交换公钥、自动发送加密邮件和签名邮件和自动为邮件盖上时间戳。密信App自动配置的全球信任的Vp邮件证书已经自动设置为Outlook (Windows版本)直接使用,其他邮件客户端则需要用户手动导出并手动导入才能使用。

    如下图所示,从密信发出的加密和签名邮件,同样可以在其他支持S/MIME标准的电子邮件客户端软件解密与展示,如:Outlook (Windows版)、雷鸟(Windows版)、iPhone Mail (仅示例这几个,并不代表只支持这几个)。


    密信(iPhone版)

    密信(Windows版)

    Office 365 Outlook(Windows版)

    雷鸟(Windows版)

    iMail(iPhone版)
  • 4. 为何密信App采用S/MIME标准实现邮件签名和加密?

    +

    S/MIME是Secure/Multipurpose Internet Mail Extensions (安全多用途互联网邮件扩展协议)的缩写,是采用PKI技术的用数字证书给邮件主体签名和加密的国际标准协议,其优势在于不仅仅是邮件加密,而且还能为邮件带上邮件发送者的通过第三方CA验证的真实身份信息,以便收件人能确信发件人的真实身份。

    另外一个邮件加密技术是PGP加密,这是由发件人自己创建加密证书来加密邮件,没有可信的身份信息,仅提供加密功能。密信认为PGP不适合于跨机构之间的邮件通信,邮件加密和确信发件人的身份一样重要。

    目前主流电子邮件客户端软件如Outlook、雷鸟和iMail都支持S/MIME加密和数字签名,密信App采用S/MIME国际标准技术来加密和签名电子邮件,使得任何支持S/MIME协议的电子邮件客户端软件都能与密信App正常互通发送加密与签名邮件,以及解密已加密和验证已签名的邮件。同时,对于基于互联网的不见面通信来讲,让收件人确信身份同加密一样重要,特别是商务往来邮件,这是PGP加密达不到的效果,因为PGP只有加密而没有通过第三方认证的用户真实身份信息。

    根据美国国家标准技术研究院(NIST)发布的“可信邮件”标准SP 800-177 中的邮件安全建议(5-4): 不要使用PGP消息加密技术, 应该使用S/MIME和由已知CA签发的证书。并建议(4-11): 使用S/MIME签名来确保邮件的真实性和完整性。

  • 5. 电子邮件加密证书和签名证书如何申请?免费还是收费?

    +

    如果希望采用证书加密电子邮件,大家目前的做法是向CA申请邮件证书,再安装和配置到常用的电子邮件客户端软件中使用。可以说这个过程令用户非常头疼,这也是为何S/MIME加密技术多年来一直无法推广普及应用的唯一原因。

    而密信彻底解决了这个头疼的问题,您无需向任何CA申请邮件证书,只需使用密信App登录您的邮箱即可,登录后将由密信App负责自动向CA申请证书,并自动把申请到的证书安装和配置好,默认自动申请和自动配置的签名证书和加密证书是完全免费的。

    但是,默认免费配置的邮件证书仅密信App信任,如果用此证书发送签名邮件给使用其他邮件客户端软件的用户,其他邮件客户端软件会显示“该签名有问题,数字签名无效”等类似提示。如果用户希望邮件证书也能用于其他邮件客户端软件,则可以 付费申请全球信任的Vp邮件证书,用此证书签名的邮件,其他所有邮件客户端软件都不会有“数字签名无效”之类的提示,会正常显示签名者的证书签名信息,并显示“该数字签名是可信的”。用户可以在密信App中直接付费申请,也可以在密信官网页面上付费申请,一旦完成申请,则全球信任的邮件证书会自动安装到密信App中,自动配置使用。

  • 6. 密信App支持国密算法吗?支持RSA算法?支持自适应加密算法?

    +

    是的,密信App全球独家支持国密SM2证书采用S/MIME国际标准和国家标准用国密算法加密邮件和数字签名邮件,当然也支持RSA邮件证书用RSA算法加密邮件和数字签名邮件。密信App中文版默认自动配置国密SM2邮件证书,其他语言版本默认自动配置RSA邮件证书。密信App自动获取收件人的加密证书公钥,并自动根据收件人是否有国密证书而自动采用相应的加密算法来签名和加密邮件,实现全自动自适应加密算法,满足用户的国密合规和全球信任应用需求。

  • 7. 密信App支持哪些操作系统?邮件加密是否兼容其他邮件客户端?

    +

    密信App支持Windows、安卓、苹果iOS、Linux和Mac版本,实现电子邮件加密和签名的跨平台支持。密信让您随时在任何PC平台和任何移动终端设备上轻松收发加密邮件和签名邮件,保护您的邮件机密信息安全和防止邮件被假冒。

    密信App采用国际标准S/MIME和国家标准实现邮件加密和数字签名,与所有支持S/MIME协议的其他电子邮件客户端软件互通兼容,能相互加解密邮件和解析签名邮件。如果用户选购了全球信任的Vp邮件证书,则密信App会自动设置为Outlook(Windows版本)直接使用。

  • 8. 密信App已免费自动配置邮件证书,为何还需要申请收费的全球信任邮件证书?

    +

    密信App在用户设置邮箱登录后就会自动配置密信信任的签名证书和加密证书,用于密信App用户之间的邮件签名和加密。但是,如果密信用户需要同使用其他邮件客户端用户之间实现邮件签名和加密,则需要其他邮件客户端软件也信任密信的默认证书。为了满足这种应用需要,用户可以付费选购全球信任的邮件证书(Vp),此证书不仅密信App信任,而且其他所有支持S/MIME国际标准的邮件客户端软件都信任。用户选购了全球信任的Vp邮件证书后,密信App默认用此证书签名邮件,使得其他邮件客户端软件能正常显示用户的邮件签名--“该数字签名是可信的”。

    收费的全球信任邮件证书为可选项,用户可以根据需要选购。可以在密信App中直接付费申请,也可以在密信官网页面上付费申请,一旦完成申请,则全球信任的邮件证书也会自动安装到密信App中,自动配置使用。如下图所示,左边为免费自动配置的密信签名证书证书链,右边为可选的付费申请后自动配置的密信Vp邮件证书证书链。

    密信签名证书证书链 密信Vp邮件证书证书链
  • 9. 为何邮件加密密钥自动托管在密信云端?怎么实现用户本地管控密钥?

    +

    S/MIME邮件加密为何一直没有得到普及推广应用,一个最重要的原因是密钥管理太复杂,用户不仅需要从CA申请到邮件证书,还需要用户把邮件证书安装到各种设备的各种邮件客户端软件中,并且能正确配置使用,这绝对是一项普通用户根本无法完成的事情。必须解决这个头疼的问题,才能使得邮件加密得以普及应用。

    为了保证用户能随时随地非常方便地使用任何设备在密信App中能解密阅读已加密邮件,而无需费时费力去导入证书来解密,密信研发团队在研究了多家云服务提供商提供的云密钥管理服务(KMS)后,也采用了在云端实现密钥管理的方案,把传统的一张邮件证书拆分为签名证书和加密证书两张证书,加密证书密钥在云端生成并安全托管在云端,用户在完成邮箱控制权验证后就可以自动从云端取到加密证书密钥来自动解密已加密邮件,无需用户费时费力导入邮件证书,完美实现全自动邮件加解密。而签名证书由于有用户的身份信息,用户的签名行为具有法律效力,所以,我们把签名证书设计为用户在本地设备上生成密钥,并在本地设备上加密保存密钥。这就是为何用户看到密信App在不同设备上的签名证书的序列号是不一样的原因。邮件证书拆分成两张证书并根据签名和加密的两个不同用途采用不同的密钥管理方式,完美地解决了S/MIME邮件加密服务的易用性问题,同时继承了S/MIME邮件签名的不可假冒、不可伪装和不可抵赖的特点,使得S/MIME邮件加密技术真正能实现零门槛无缝使用,用户无需关心证书在哪,只需像平常一样写好邮件点击发送即可自动发送加密邮件和自动接收和解密已加密邮件。

    如果用户有管控加密证书密钥的需要,则可以选购密信企业密钥管理系统(EKMS),在单位内网部署密钥管理系统,单位用户就可以使用密信App从本单位的密钥管理系统中获取加密证书密钥,而不从密信云端获取,满足用户自己管理自己的邮件加密密钥的需求,此密钥还可以用于加密PDF文档,实现一套密钥管理系统可同时用于邮件加密和文档加密。请注意:为了密钥安全,请用户确保本地密钥管理系统不能连接互联网,设置访问控制,仅限于单位员工通过内部网络使用密信App访问单位密信管理系统。

  • 10. 密信邮件加密和文档加密能满足各种隐私信息保护合规要求?

    +

    号称史上最严的欧洲通用数据保护条例(GDPR)第25条要求“数据保护设计是默认设计”,由于邮件中可能会含有用户的机密信息而使得邮件加密成为了GDPR要求的数据保护的一个重要技术措施,各种管理文档中也可能含有用户的机密信息而使得文档加密成为了GDPR要求的数据保护的一个重要技术措施。GDPR第34条还规定如果用户采取了数据加密措施,则一旦数据泄密事件发生,用户是可以免除许多责任的。

    还有美国HIPAA和HITECH要求采用通过电子邮件传递个人健康信息(PHI),则必须用数字证书加密邮件,以保护患者的隐私并保持对HIPAA和HITECH法规的遵守。同时,对电子邮件进行加密是一种非常容易实现的满足HIPAA电子邮件保存要求的经济高效的方法,因为电子邮件内容是在归档之前加密的,因此无论其存储方式如何,都可以防止电子邮件内容泄密。

    我国的《密码法》要求所有关键信息基础设施必须采用商用密码来保护,这里当然包括邮件和文档的保护。所以,密信App支持自动配置国密证书和支持国密算法来签名和加密邮件,支持国密证书来签名和加密文档,满足《密码法》对邮件和文档保护的要求。

    欧洲数据保护条例(GDPR) 美国HIPAA和HITECH 密码法