電子郵件加密和數位簽章服務FAQ

• 核心問題
• 郵箱設置
• 郵件收發
• 證書管理
• 通訊錄設置
• 帳戶管理
• 專業版
• 企業公鑰管理
• 密信郵件閘道
• 其他相關問題

• 1. 電子郵件加密和數位簽章服務有4種不同的版本，各有什麼不同？

  +

  電子郵件加密和數位簽章服務為使用者提供4種不同的服務版本：免費版、入門版、專業版和信創版，同時又根據使用者類型不同分為個人使用者和單位使用者，有免費服務和收費服務。具體不同點有：

  1. 免費版：
     為使用者提供電子郵件加密和數位簽章基礎級服務，完全永久免費，免費自動配置僅顯示郵箱的密信信任的簽章憑證和加密證書。
  2. 入門版：
     在免費版基礎上增加了一張全球信任的Vp郵件證書，密信App將默認用此證書數位簽章郵件，這樣其他郵件用戶端會顯示“此數位簽章是可信的”。
  3. 專業版：
     在入門版基礎上增加了用戶的實名認證，完成認證後免費自動配置相應認證級別的含有使用者身份資訊的密信信任的簽章憑證和全球信任的Vp郵件證書。
  4. 信創版：
     在免費版基礎上增加了用戶的實名認證，完成認證後免費自動配置採用國密演算法的國密SM2簽名和加密證書，密信App將默認用國密加密證書和簽章憑證實現郵件加密和數位簽章，滿足使用者《密碼法》合規應用需求。

• 2. 電子郵件為何需要加密？為何需要數位簽章？為何需要時間戳記？

  +

  第一封電子郵件始於1965年左右，電子郵件從誕生到現在已經有了55年的歷史，而電子郵件的普及應用是在1997年微軟收購了首家免費電子郵件服務提供者Hotmail之後，到現在也有23年歷史了。電子郵件曾經是互聯網上最大的流量和最常用應用，同目前的最大流量http一樣，電子郵件的傳輸也都是明文傳輸，每一封郵件都是“明信片”，人們絕對不會在明信片上寫什麼機密資訊，但是卻在電子郵件中發送各種工作和生活中的幾乎所有機密資訊，這是不可思議的奇怪現象。

  也就是說：電子郵件是工作和生活的必須，但是電子郵件就是“明信片”(明文發送)，郵件內容非常容易在傳輸過程中被非法竊取和非法篡改，很不安全。特別是現在許多企業郵箱都已經遷移到雲端，使用雲郵箱服務，如何保證存放在雲端的電子郵件內容不會被非法利用和是否合規，這是一個急需解決的難題。

  正是由於電子郵件在工作和生活中的重要性，國際標準組織早在1995年就出臺了用於電子郵件簽名和加密的S/MIME協定，支援用PKI數位憑證來加密電子郵件和給電子郵件附上數位簽章。目前幾個常用的電子郵件用戶端軟體都支援S/MIME證書加密和數位簽章。

  目前業界普遍採取的鏈路加密技術是採用TLS/SSL鏈路加密來確保用戶郵件從郵件用戶端到郵件伺服器的加密傳輸，以及如果對方郵件伺服器也採用了TLS/SSL加密的話，就能實現電子郵件在傳輸鏈路上的全程加密保護。但是這種保護的前提條件是對方郵件伺服器也採用TLS/SSL鏈路加密，如果沒有，則郵件仍然是明文從寄件者的郵件伺服器發送到對方郵件伺服器上。即使雙方郵件伺服器都採用了TLS/SSL鏈路加密技術，這也只是保證了郵件傳輸過程的安全，仍然無法保證明文郵件內容永久存放在雲端伺服器上的安全。

  為了真正能保證郵件機密資訊安全，按照有關合規要求，必須採用S/MIME國際標準實現端到端加密，郵件從郵件用戶端發出之前就用證書加密成密文，只有這樣才能不依賴於郵件伺服器是否採用了TLS/SSL鏈路加密技術，才能不僅保證郵件在傳輸鏈路上的安全，而且能保證郵件內容永久安全加密存放在雲端郵件伺服器上。

  而鑒於目前的欺詐郵件氾濫，郵件數位簽章為每一封電子郵件帶上可信身份，是解決郵件欺詐問題的唯一解決方案，因為數位簽章是不可假冒和偽造的，特別是已經完成身份認證的使用者，會顯示寄件者真實姓名和單位名稱，確保收件人能方便地確信寄件者的身份而不會被假冒身份而上當受騙。

  目前普遍採用的S/MIME電子郵件簽名和加密標準是不支持時間戳記簽名的，但是密信認為現實世界的郵件是有郵戳的，數位世界的電子郵件也應該有郵戳，所以密信創新地在使用者郵件的數位簽章資料中附署了密信時間戳記簽名，用以證明用戶發送郵件的可信時間，而非傳統郵件的發送時間是不可信的郵件伺服器上的時間。密信郵件時間戳記服務為免費配套服務，可用於各種需要證明郵件發送時間的應用場景，具有郵件發送時間防篡改防偽造和不可抵賴的特點。

  密信在國際標準RFC3161時間戳記技術基礎上做了性能上的優化，使得時間戳記資料只有標準時間戳記簽名資料的12%左右(減少了88%)，更加適合於移動應用和快速驗證時間戳記簽名。同時，我們對時間戳記簽名加上防止重蓋時間戳記覆蓋原始時間戳記的技術保護措施，有效地保證了原始時間戳記資料不會被替換，真正確保了郵件發送時間的真實性和不可否認屬性。

  就像郵政寄信必須蓋上郵戳一樣，發送電子郵件也應該蓋上時間戳記，全球只有密信為您做到了！

• 3. 密信App同其他電子郵件用戶端軟體有什麼特別優勢？

  +

  目前全球市場上已經有許多用於收發電子郵件的用戶端軟體，這些軟體都是人們特別是商務人士不可缺少的常用軟體。這些軟體的缺陷是不支援證書自動加密，有些支持手動設置證書加密，有些根本就不支持證書加密。

  密信App也是一款電子郵件用戶端軟體，相容目前使用者常用的其他電子郵件用戶端軟體，能相容加密和解密其他支援S/MIME標準的電子郵件用戶端軟體的加密郵件。其獨特優勢就是密信App支援自動申請電子郵件加密證書和簽章憑證、自動部署和配置郵件證書、自動交換加密證書公鑰、自動默認用證書加密每一封發出的郵件、自動默認用證書簽名每一封發出的郵件、自動為每封發出的郵件加上時間戳記、自動解密加密郵件和自動續期過期的加密證書和簽章憑證。更重要的是：預設自動配置的V1簽章憑證和加密證書都是完全免費的。

  密信App用戶根本不用關心什麼是數位憑證、怎樣向憑證授權(CA)申請郵件證書、怎樣用證書加密和簽名、怎樣在用戶端軟體上安裝和配置證書、怎樣同收件人交換公鑰、怎樣發送加密郵件和簽名郵件以及怎樣安全保管加密證書和簽章憑證等等。使用者只需像平時一樣登錄郵件用戶端軟體，寫好郵件發送即可，一切完全自動化地由密信App幫您完成，密信App幫您實現發送加密郵件和簽名郵件零門檻，實現無感加密和簽名。

  密信App同時支持全平臺支援，實現電子郵件加密和簽名的跨平臺支持。密信讓您隨時在任何PC平臺和任何移動終端設備上輕鬆收發加密郵件和簽名郵件，保護您的郵件機密資訊安全和防止郵件被假冒。

  密信App採用國際標準S/MIME和國家標準實現郵件加密和數位簽章，與所有支援S/MIME協定的其他電子郵件用戶端軟體互通相容，能相互加解密郵件和解析簽名郵件，唯一不同是密信App能自動申請證書、自動配置證書、自動交換公鑰、自動發送加密郵件和簽名郵件和自動為郵件蓋上時間戳記。密信App自動配置的全球信任的Vp郵件證書已經自動設置為Outlook (Windows版本)直接使用，其他郵件用戶端則需要使用者手動匯出並手動導入才能使用。

  如下圖所示，從密信發出的加密和簽名郵件，同樣可以在其他支援S/MIME標準的電子郵件用戶端軟體解密與展示，如：Outlook (Windows版)、雷鳥(Windows版)、iPhone Mail (僅示例這幾個，並不代表只支持這幾個)。

  
  密信(iPhone版)
  密信(Windows版)
  Office 365 Outlook(Windows版)
  雷鳥(Windows版)
  iMail(iPhone版)

• 4. 為何密信App採用S/MIME標準實現郵件簽名和加密？

  +

  S/MIME是Secure/Multipurpose Internet Mail Extensions (安全多用途互聯網郵件擴展協議)的縮寫，是採用PKI技術的用數位憑證給郵件主體簽名和加密的國際標準協議，其優勢在於不僅僅是郵件加密，而且還能為郵件帶上郵件發送者的通過協力廠商CA驗證的真實身份資訊，以便收件人能確信寄件者的真實身份。

  另外一個郵件加密技術是PGP加密，這是由寄件者自己創建加密證書來加密郵件，沒有可信的身份資訊，僅提供加密功能。密信認為PGP不適合於跨機構之間的郵件通信，郵件加密和確信寄件者的身份一樣重要。

  目前主流電子郵件用戶端軟體如Outlook、雷鳥和iMail都支援S/MIME加密和數位簽章，密信App採用S/MIME國際標準技術來加密和簽名電子郵件，使得任何支援S/MIME協定的電子郵件用戶端軟體都能與密信App正常互通發送加密與簽名郵件，以及解密已加密和驗證已簽名的郵件。同時，對於基於互聯網的不見面通信來講，讓收件人確信身份同加密一樣重要，特別是商務往來郵件，這是PGP加密達不到的效果，因為PGP只有加密而沒有通過協力廠商認證的使用者真實身份資訊。

  根據美國國家標準技術研究院(NIST)發佈的“可信郵件”標準SP 800-177 中的郵件安全建議(5-4): 不要使用PGP消息加密技術, 應該使用S/MIME和由已知CA簽發的證書。並建議(4-11): 使用S/MIME簽名來確保郵件的真實性和完整性。

• 5. 電子郵件加密證書和簽章憑證如何申請？免費還是收費？

  +

  如果希望採用證書加密電子郵件，大家目前的做法是向CA申請郵件證書，再安裝和配置到常用的電子郵件用戶端軟體中使用。可以說這個過程令用戶非常頭疼，這也是為何S/MIME加密技術多年來一直無法推廣普及應用的唯一原因。

  而密信徹底解決了這個頭疼的問題，您無需向任何CA申請郵件證書，只需使用密信App登錄您的郵箱即可，登錄後將由密信App負責自動向CA申請證書，並自動把申請到的證書安裝和配置好，預設自動申請和自動配置的簽章憑證和加密證書是完全免費的。

  但是，預設免費配置的郵件證書僅密信App信任，如果用此證書發送簽名郵件給使用其他郵件用戶端軟體的使用者，其他郵件用戶端軟體會顯示“該簽名有問題，數位簽章無效”等類似提示。如果用戶希望郵件證書也能用於其他郵件用戶端軟體，則可以 付費申請全球信任的Vp郵件證書，用此證書簽名的郵件，其他所有郵件用戶端軟體都不會有“數位簽章無效”之類的提示，會正常顯示簽名者的證書簽名資訊，並顯示“該數位簽章是可信的”。用戶可以在密信App中直接付費申請，也可以在密信官網頁面上付費申請，一旦完成申請，則全球信任的郵件證書會自動安裝到密信App中，自動配置使用。

• 6. 密信App支援國密演算法嗎？支援RSA演算法？支援自我調整加密演算法?

  +

  是的，密信App全球獨家支援國密SM2證書採用S/MIME國際標準和國家標準用國密演算法加密郵件和數位簽章郵件，當然也支援RSA郵件證書用RSA演算法加密郵件和數位簽章郵件。密信App中文版預設自動配置國密SM2郵件證書，其他語言版本預設自動配置RSA郵件證書。密信App自動獲取收件人的加密證書公鑰，並自動根據收件人是否有國密證書而自動採用相應的加密演算法來簽名和加密郵件，實現全自動自我調整加密演算法，滿足使用者的國密合規和全球信任應用需求。

• 7. 密信App支援哪些作業系統？郵件加密是否相容其他郵件用戶端?

  +

  密信App支持Windows、安卓、蘋果iOS、Linux和Mac版本，實現電子郵件加密和簽名的跨平臺支持。密信讓您隨時在任何PC平臺和任何移動終端設備上輕鬆收發加密郵件和簽名郵件，保護您的郵件機密資訊安全和防止郵件被假冒。

  密信App採用國際標準S/MIME和國家標準實現郵件加密和數位簽章，與所有支援S/MIME協定的其他電子郵件用戶端軟體互通相容，能相互加解密郵件和解析簽名郵件。如果用戶選購了全球信任的Vp郵件證書，則密信App會自動設置為Outlook(Windows版本)直接使用。

• 8. 密信App已免費自動配置郵件證書，為何還需要申請收費的全球信任郵件證書?

  +

  密信App在用戶設置郵箱登錄後就會自動配置密信信任的簽章憑證和加密證書，用於密信App用戶之間的郵件簽名和加密。但是，如果密信使用者需要同使用其他郵件用戶端用戶之間實現郵件簽名和加密，則需要其他郵件用戶端軟體也信任密信的默認證書。為了滿足這種應用需要，使用者可以付費選購全球信任的郵件證書(Vp)，此證書不僅密信App信任，而且其他所有支持S/MIME國際標準的郵件用戶端軟體都信任。用戶選購了全球信任的Vp郵件證書後，密信App默認用此證書簽名郵件，使得其他郵件用戶端軟體能正常顯示使用者的郵件簽名--“該數位簽章是可信的”。

  收費的全球信任郵件證書為可選項，使用者可以根據需要選購。可以在密信App中直接付費申請，也可以在密信官網頁面上付費申請，一旦完成申請，則全球信任的郵件證書也會自動安裝到密信App中，自動配置使用。如下圖所示，左邊為免費自動配置的密信簽章憑證憑證連結，右邊為可選的付費申請後自動配置的密信Vp郵件證書憑證連結。

  

• 9. 為何郵件加密公鑰自動託管在密信雲端？怎麼實現用戶本地管控公鑰?

  +

  S/MIME郵件加密為何一直沒有得到普及推廣應用，一個最重要的原因是公鑰管理太複雜，使用者不僅需要從CA申請到郵件證書，還需要使用者把郵件證書安裝到各種設備的各種郵件用戶端軟體中，並且能正確配置使用，這絕對是一項普通用戶根本無法完成的事情。必須解決這個頭疼的問題，才能使得郵件加密得以普及應用。

  為了保證用戶能隨時隨地非常方便地使用任何設備在密信App中能解密閱讀已加密郵件，而無需費時費力去導入證書來解密，密信研發團隊在研究了多家雲服務提供者提供的雲公鑰管理服務(KMS)後，也採用了在雲端實現公鑰管理的方案，把傳統的一張郵件證書拆分為簽章憑證和加密證書兩張證書，加密證書公鑰在雲端生成並安全託管在雲端，用戶在完成郵箱控制權驗證後就可以自動從雲端取到加密證書公鑰來自動解密已加密郵件，無需用戶費時費力導入郵件證書，完美實現全自動郵件加解密。而簽章憑證由於有使用者的身份資訊，使用者的簽名行為具有法律效力，所以，我們把簽章憑證設計為使用者在本地設備上生成公鑰，並在本地設備上加密保存公鑰。這就是為何使用者看到密信App在不同設備上的簽章憑證的序號是不一樣的原因。郵件證書拆分成兩張證書並根據簽名和加密的兩個不同用途採用不同的公鑰管理方式，完美地解決了S/MIME郵件加密服務的易用性問題，同時繼承了S/MIME郵件簽名的不可假冒、不可偽裝和不可抵賴的特點，使得S/MIME郵件加密技術真正能實現零門檻無縫使用，用戶無需關心證書在哪，只需像平常一樣寫好郵件點擊發送即可自動發送加密郵件和自動接收和解密已加密郵件。

  如果使用者有管控加密證書公鑰的需要，則可以選購密信企業公鑰管理系統(EKMS)，在單位內網部署公鑰管理系統，單位使用者就可以使用密信App從本單位的公鑰管理系統中獲取加密證書公鑰，而不從密信雲端獲取，滿足用戶自己管理自己的郵件加密公鑰的需求，此公鑰還可以用於加密PDF文檔，實現一套公鑰管理系統可同時用於郵件加密和文檔加密。請注意：為了公鑰安全，請使用者確保本地公鑰管理系統不能連接互聯網，設置存取控制，僅限於單位員工通過內部網路使用密信App訪問單位密信管理系統。

• 10. 密信郵件加密和文檔加密能滿足各種隱私資訊保護合規要求？

  +

  號稱史上最嚴的歐洲通用資料保護條例(GDPR)第25條要求“資料保護設計是默認設計”，由於郵件中可能會含有使用者的機密資訊而使得郵件加密成為了GDPR要求的資料保護的一個重要技術措施，各種管理文檔中也可能含有使用者的機密資訊而使得文檔加密成為了GDPR要求的資料保護的一個重要技術措施。GDPR第34條還規定如果用戶採取了資料加密措施，則一旦資料洩密事件發生，使用者是可以免除許多責任的。

  還有美國HIPAA和HITECH要求採用通過電子郵件傳遞個人健康資訊(PHI)，則必須用數位憑證加密郵件，以保護患者的隱私並保持對HIPAA和HITECH法規的遵守。同時，對電子郵件進行加密是一種非常容易實現的滿足HIPAA電子郵件保存要求的經濟高效的方法，因為電子郵件內容是在歸檔之前加密的，因此無論其存儲方式如何，都可以防止電子郵件內容洩密。

  我國的《密碼法》要求所有關鍵資訊基礎設施必須採用商用密碼來保護，這裡當然包括郵件和文檔的保護。所以，密信App支援自動配置國密證書和支援國密演算法來簽名和加密郵件，支持國密證書來簽名和加密文檔，滿足《密碼法》對郵件和文檔保護的要求。