S/MIME邮件签名和加密国际标准自1999年出台已经有二十多年了,但是由于业界始终没有解决其易用性问题,使得S/MIME邮件加密一直没有得到普及推广应用,一个最重要的原因是密钥管理太复杂,用户不仅需要知道如何在电脑上生成私钥和如何从CA申请邮件证书,还需要知道如何把邮件证书安装到各种设备的各种邮件客户端软件中,并且能正确配置使用,好不容易搞定了,还需要先同对方交换公钥证书才能发加密邮件,这绝对是一项普通用户根本无法完成的事情。必须解决这个头疼的问题,才能使得邮件加密得以普及应用。
为了保证用户能随时随地非常方便地使用任何设备在密信App中能解密阅读已加密邮件,而无需费时费力去导入证书来解密,密信研发团队在研究了多家国际国内领先的云服务提供商提供的云密钥管理服务(KMS)后,决定采用在云端实现密钥管理的方案,把传统的一张邮件证书拆分为签名证书和加密证书两张证书,加密证书密钥在云端生成并安全托管在云端密信密钥管理系统中,用户在完成邮箱控制权验证后就可以自动从云端取到加密证书密钥来自动解密已加密邮件,无需用户费时费力导入邮件证书,完美实现全自动邮件加解密。而签名证书由于有用户的身份信息,用户的签名行为具有法律效力,所以,我们把签名证书设计为用户在本地设备上生成密钥,并在本地设备上加密保存密钥。这就是为何用户看到密信App在不同设备上的签名证书的序列号是不一样的原因。
邮件证书拆分成两张证书并根据签名和加密的两个不同用途采用不同的密钥管理方式,完美地解决了S/MIME邮件加密服务的易用性问题,同时继承了S/MIME邮件签名的不可假冒、不可伪装和不可抵赖的特点,使得S/MIME邮件加密技术真正能实现零门槛无缝使用,用户无需关心证书在哪,只需像平常一样写好邮件点击发送即可自动发送加密邮件和自动接收和解密已加密邮件。
也就是说,密信App之所以能做到全自动邮件加密,核心是彻底解决了密钥管理问题,建设了密信密钥管理系统,为密信App用户免费提供公共密钥管理服务,方便用户使用密信App随时随地使用任何设备获取加密密钥用于解密已加密邮件。并建设了全球公钥库系统,以便密信App能在用户写邮件时自动获取收件人的加密证书公钥,彻底实现自动发送加密邮件,而无需用户实现同收件人交换加密证书公钥。
密信密钥管理系统作为一个公共服务系统免费为用户提供密钥管理服务,实现了电子邮件的无感全自动加密,这属于密钥托管服务,用户的加密密钥托管在密信密码基础设施中。而对于一些对加密密钥管控要求比较高的单位,希望自己在本地管理加密密钥实现完全自主可控,则可以选购密信企业密钥管理系统(EKMS,简称企业KM),并部署在单位内网,实现单位员工邮件加密的密钥本地化自主管控。
单位用户希望部署自己的企业密钥管理系统,必须同时选购KM定制服务,此服务按年按员工使用加密密钥的邮箱数量收费,包括定制密信App定向访问企业KM,仅从企业KM获取加密密钥,为每个单位员工自动配置加密证书和签名证书。用户还需要根据业务需要选择使用免费版服务或选择收费的入门版、专业版和信创版服务,为用户自动配置不同身份认证级别和信任级别的签名证书和加密证书。也就是说,同标准的4 个版本服务不同的是:用户的加密密钥从企业KM获取,而不是从密信公共KM获取,所以除了需要选用或选购标准版服务外,还需要购买KM定制服务。
单位用户可选购密信企业密钥管理系统(硬件或软件),每个使用密信App实现邮件加密服务的邮箱都需要一个或多个密钥(每3年换一个)。同时,为了密钥管理的高度安全可靠,强烈建议用户至少购买两台密钥管理机或者配置两台高可靠的服务器部署企业密钥管理系统,实现双机热备份,确保能可靠地随时为员工提供密钥获取服务。
用户只需把密信密钥管理机(硬件)或者密钥管理系统(软件)部署在单位内网中,并登录单位密信账户设置企业密钥管理系统的内网IP地址,同时必须验证单位邮箱域名,这样,所有员工使用密信App设置其单位邮箱时密信App会根据用户设置的企业邮箱域名去检索企业密钥管理系统的访问地址,正确连接到本单位的企业密钥管理系统去获取加密密钥,而不是连接云端密信公共密钥管理系统去获取加密密钥。一旦成功获取加密证书私钥,就可以从密信默认CA系统获取加密证书和签名证书,员工就可以正常使用邮件加密功能了。外地分部员工必须能通过VPN连接到密钥管理系统。请注意:企业密钥管理系统不能访问互联网,仅限于单位员工电脑和移动设备在单位内网访问,以确保KM系统和密钥安全。企业KM部署示意图如下左图所示。
如上右图所示,对于无法访问联互联网的内网单位用户,则无法使用密信默认CA为其员工颁发签名证书和加密证书,也无法访问密信全球公钥库,则需要另购买密信企业CA系统,用于自动为员工签发签名证书和加密证书,并可用于密信App获取其他用户的加密证书公钥实现自动发送加密邮件。
企业CA系统部署在企业单位内网,支持自动生成自签根证书和用于签发用户证书的中级根证书,并由中级根证书为用户签发邮件签名证书和加密证书,支持用户定义证书模板,用于签发统一主题信息的单位员工证书或单位邮件证书。密信企业CA系统不仅能为用户签发邮件证书,还为提供公钥管理和查询服务,同时提供证书吊销查询服务,满足用户在内网使用邮件证书的基本需求。推荐部署双CA系统,以便能不间断地为用户提供证书签发服务和证书公钥获取服务。
如下图所示为密信EKMS管理界面截图,用户购买企业KM后需要登录其单位账户申请部署企业KM,设置企业KM的部署在内网的IP地址,等待安装部署并正式启用企业KM。企业KM启用后,已经从密信公共KM获取加密密钥的密信App用户将重新从企业KM获取新的加密密钥,并不再使用原先从密信公共KM获取的加密密钥,但会保留在密信App中用于解密之前加密的邮件。而新用户则直接从企业KM获取加密密钥。
欢迎用户选购密信企业密钥管理系统,实现加密密钥的本地化自主管控。此加密密钥不仅可以用于电子邮件加密服务,而且还可以用于文档加密服务,确保机密文档的安全。也欢迎内网用户选购密信企业CA系统,满足内网邮件全加密的基本证书需求。