邮件加密先锋 PGP Universal试用(二)

　　四、关于PGP Universal

　　PGP Universal是一款独立的服务产品，它可安装在任意一台基于X86的计算机上。由于一些可能存在的硬件方面的不兼容性，PGP公司并没有给用户提供详细精确的所需硬件规范说明，不过，像Windows操作系统一样，他们还是提供了一份可支持的硬件列表清单。当用户在安装使用时出现一些莫名其妙的毛病，可参照这份清单中所列出的计算机与硬件型号，查看自己的具体硬件参数，看是不是兼容性方面出了问题。当然，并不是没有列在其中的硬件就不能得到很好的支持。

　　PGP公司也建议，运行PGP Universal的系统相对于公司的email服务器系统而言最好也是基本相同，最好是使用相同的硬件系统，这样就可基本保证满足用户的邮件需求。

图1:位于邮件服务器前端的PGP Universal网关设置

　　PGP Universal使用Fedora Core 2(一种免费版本的Linux,主要基于redhat)作为其基础软件平台，所包含的内核版本是2.6的核心，并被设置运行在公司网络的边界，逻辑上不是位于某台邮件服务器的前面(图1所示)就是处于它的后部位置(图2所示)。

图2:内置的PGP Universal，位于邮件服务器的后端

　　依照PGP Universal的产品规格说明书，它是可支持Microsoft Exchange Server 2003 Service 的Pack 1、Microsoft Exchange Server 2000的Service Pack 3、Lotus Domino Server 6.5和Domino Server 5.0.11、Stalker CommuniGate 4.2。然而，经过我们的测试，显示随便哪一款邮件服务器软件都可使用这一产品，只要这种邮件服务器软件可实现PGP Universal产品所支持的协议如SMTP、POP、IMAP、MAPI或Lotus Notes。

　　当前，随便在哪个地方，部署于网络上的PGP Universal支持的用户数可从20用户到几乎100000个用户，并且它还可以与其他的PGP Universal服务器组建成群集网络，以支持更多数量的用户。在加密产品的市场上，可以上它是无可匹敌的，基本上上没有对手，然而作为商用级别的加密产品，它已成为一些安全法令如HIPAA和Sarbanes-Oxley Act(萨班尼斯—奥克斯莱法案)关注的热点。

　　背景知识:HIPAA和Sarbanes-Oxley Act法案。

　　HIPAA:HIPAA是美国前总统克林顿签署的健康保险携带和责任法案(Health Insurance Portability and Accountability Act)的缩写。该法案对多种医疗健康产业都具有规范作用，包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。

　　Sarbanes-Oxley Act:萨班尼斯—奥克斯莱法案(SOX)是2002年，为响应大型企业Eron以及WorldCom的财务丑闻，保护股东以及普通民众免于企业统计错误和欺骗行为而制定的。这个法案由美国证券交易委员会(SEC)执行，SEC设置服从的底线并发布要求规则，萨班尼斯—奥克斯莱法案不是商业行为，也不规定企业保存记录的方法，而是规定哪个记录该保存多长时间。这一立法不仅影响了公司的财务部分，还影响了其工作为存储公司电子记录的IT部门。萨班尼斯—奥克斯莱法案指出所有商业记录，包括电子记录和电子信息，都必须保存“至少五年”，不遵循法案则会得到罚款、监禁或者两者。

　　在加密产品的市场上，Voltage Security公司和Tumbleweed公司都可提供基于服务器的email加密处理解决方案，并且PostX也可提供传输过程中的加密产品，用来为银行传送报表、发票和其他一些敏感的商业秘密材料。但所有的这些加密产品要不就是仅仅只解决了那些PGP Universal已涉及解决了的安全方面的棘手难题的很少一部分，或者是依赖于那些并没有被证实的确安全可靠或是带有专利保护的加密技术，而这些技术可能并没有被安全组织所确认过。
五、PGP Universal的工作过程

　　PGP Universal的大致工作过程如下:假如Alice想发送一封包含有机密商业信息的敏感邮件给Bob，Alice是公司A的员工，这个公司A运行有PGP Universal系统，然而Bob是公司B的员工，可公司B却没有使用PGP Universal系统。Alice发送一封邮件给Bob，这一过程是由位于公司A的网络中的PGP Universal服务器来发送完成的。

　　公司A的PGP Universal服务器看到Alice正在发送一封email给公司B的用户的话(来自于公司A的某个人在过去的时间内与公司B曾有过某方面的商业联系)，它就会从一台公共的密钥服务器上找到Bob的公钥用来加密这封email，而这个公钥服务器的位置是已知的，大家都可看到的。然后，这台服务器使用Bob的公钥把发送出动的email进行加密，在接收端，Bob接收到这封经过加密处理的邮件后使用他的私钥来解密其内含的信息。

图3:运行中的PGP Universal

　　这个产品甚至还允许用户不使用PGP密钥来发送和接收邮件。继续前面的例子所述，如果Bob想接收来自于Alice的那些被加密的邮件，可他的使用环境下却没有一个PGP密钥或其他的加密手段，则Alice可发送一个带有PGP Universal的WebMessenger的信息给Bob。这个信息可通知Bob有一个信息在WebMessager服务器上等待他的接收(使用SSL来保护他们之间的信息交流)，并可允许Bob来注册一个用户名与密码以接收这一信息，并可使用这一用户名与密码来发送更多的信息给Alice或其他的任何人。

　　作为一个附加的安全方法，当Bob接收并认可，以获得WebMessenger的服务时，Alice能够创建一个口令(passphrase)或代码来确认Bob就是真正的接收者而不是一个冒牌货。这些确认Bob的办法有很多，并且是不依赖于电子邮件的――如通话电话，亲自上门告之，或者是使用一些在电影中见过的间谍使用的通讯手段如写隐形墨水写信，再通过什么秘密的渠道送到Bob的手中，等等其他的一切你只要想得出和不触犯法律的办法都行。

　　PGP Universal主要是依赖于OpenPGP加密标准(在RFC 2440和RFC 3156中所描述的)，但它也内建了其他的被美国标准技术研究院(NIST)经过验证的加密标准――安全多用途网际邮件扩充协议(Secure Multipurpose Internet Mail Extensions)，或S/MIME。

　　S/MIME跟PGP差不多，它也是利用公钥/私钥的加密系统，不过，这是一个不相容、矛盾的标准――因此使用PGP密钥的用户就不能和使用S/MIME密钥的用户来进行通信。PGP Universal有能力为用户自动地生成S/MIME密钥和X.509证书，这样的话，使用Universal的公司与企业就不会机械地把那些仅仅只使用S/MIME作为他们的加密标准的公司拒之门外了。

　　小知识:S/MIME

　　S/MIME是一个新协议，最初版本来源于私有的商业社团RSA 数据安全公司。S/MIME V2版本已经广泛地使用在安全电子邮件上。但是它并不是IETF 的标准,因为它需要使用 RSA 的密钥交换，这就受限于美国RSA数据安全公司的专利(不过，2001年12月该专利到期)。S/MIME是从PEM (Privacy Enhanced Mail)和MIME(Internet邮件的附件标准)发展而来的。同PGP一样，S/MIME也利用单向散列算法和公钥与私钥的加密体系,但它与PGP主要有两点不同:它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的，这就是所谓的Tree of Trust。还有，S/MIME将信件内容加密签名后作为特殊的附件传送，它的证书格式采用X.509，但与一般浏览器网上使用的SSL证书有一定差异。国内众多的认证机构基本都提供一种叫“安全电子邮件证书”的服务，其技术对应的就是S/MIME技术，平台使用的基本上是美国Versign的。主要提供商有北京的天威诚信(www.itrus.com.cn)和TrustAsia上海(www.trustasia.com.cn)，它们一个是Versign的中国区合作伙伴，一个是Versign亚太区分支机构。
六、主要产品系列

　　究竟是什么使得PGP Universal有如此大的魅力，与此显得与众不同?这一切均得意于它所包含的特性与功能。从本质上来讲，PGP Universal实质上是一台邮件加密服务器，它允许公司的某个雇员使他们的邮件自动地进行加密，而无需有任何有关于PGP和公钥加密系统的工作原理与工作过程是相关知识与技巧。不过这个软件也不尽是如此，它还可允许一台PGP Universal服务器与支持有PGP Desktop的客户端(一个独立的桌面级别的加密程序，适用于单个用户使用)紧密结合起来，甚至它还可在接收邮件时自动运行病毒扫描。

　　在PGP Universal的产品线中，有三种不同版本的产品可供用户进行选择，分别有不同的功能与适用的环境(见图4表格中所列出的详细内容)，以提供一个公司来选择最适合他们需要的安全性。

图4:产品和功能表

　　1、Series 100

　　Series 100基于网关的email加密和数字签名，最基本的PGP Universal程序包，它包括有一个服务器软件以安装Universal服务器，并也包括有PGP Universal WebMessenger和Satellite程序，这是用来与那些没有使用PGP加密产品或使用其他的加密解决方案的用户来进行通信的。Series 100还有一个选项可供选择，即许可用户使用Symantec的Antivirus Scan Engine反病毒软件来扫描发送和接收到的信息，以避免邮件中带有病毒和蠕虫，其价格是每一用户许可为59美元，如果购买最大的25用户许可则其价格是147.5美元。如果大量购买用户许可的话还可得到更多的折扣，例如，如果购买一年100用户的许可，则其价格就只要4800美元左右。

　　PGP Universal Series 100可以保护从网关到外部合作方的机密邮件和数字签名，即使合作方不具备进行特殊通信的密钥:

　　——在网关中基于中央规则自动进行加密、解密、数字签名、确认行为;

　　——同内容过滤器相集成，基于发送方、接收方、内容、关键字或格式进行信息保护;

　　——通过LDAP集成自动进行用户登记;

　　——密钥自动管理，接收方密钥自动获取;

　　——当接收方没有密钥时的解决方案;

　　——内部用户无需布署客户端软件;

　　——“对该邮件加密”选项。

　　PGP Universal Series 100为email提供一个易于布署和基于网关的加密方案，是一个全面的、中央管理的和基于网关的email加密解决方案。不像传统的网关到网关产品，它从网关端对出站和入站email的安全规则实现强制执行政策，囊括了同外部商业伙伴、供应方和客户之间的通信邮件，而且还不会改变员工的email使用方式。

　　2、Series 200

　　Series 200集中管理的PGP Desktop 9.0加密，保护email、硬盘和即时消息，包括有PGP Desktop程序，可从桌面级别来达到所有的密钥生成和管理的功能，用以替代要从其自己的服务器上取得这些信息。PGP Desktop是一个运行于客户端的程序，它甚至可提供更多的性能表现。PGP Desktop可允许一个单独的用户来在单机环境下未完成他的邮件加密处理，这对于那些经常处于野外作业的用户来说是相当适用的，这样的用户通过他们的笔记本获得的无线网络信号在那样的环境下并不是很可靠的，或者那些经常在外出差通过饭店中提供的因特网连接上网的人也是需要这样的产品的。它还可允许单独的用户使用这个产品来加密他们的整个硬盘中的内容(或者是其中的一部分内容)，甚至，如果有另一端的用户也安装运行有PGP Desktop的程序的话，它还可加密AOL的即时交流信息呢。它的价格大约是每一桌面用户110美元左右，最大25许可的购买的价格是2750美元，一年100用户许可的价格只要9000美元左右。

　　PGP Universal Series 200通过对email安全、数字签名、IM、文件和整个硬盘安全性进行集中管理，从各个层面保护了信息安全性:

　　——保护email和存储数据的安全性，覆盖了从桌面电脑到内部email服务器、网关和接收方的各个环节;

　　——基于中央规则，自动加密、解密、数字签名和确认;

　　——自动的客户端操作;

　　——密钥自动管理，客户端自动布署;

　　——自动获取接收方密钥;

　　——“对该邮件加密”选项;

　　——可选的PGP Whole Disk加密选项，利用一个特殊密码短语或通过保存在Aladdin eToken上的PGP密钥进行二因素强认证来保护硬盘。

　　PGP Universal Series 200为email和硬盘提供基于桌面的自动加密方案，对于那些需要布署和管理一个端到端安全结构体系的企业而言，PGP Universal Series 200是一个基于PGP Desktop的全面信息安全解决方案。为了轻松快速的将PGP Desktop布署到几十甚或几千用户，PGP Universal Series 200 提供了全部的服务器和客户端组件。PGP Universal Series 200提供了一个统一的控制台，用于管理全部PGP Desktop功能。在一个PGP Universal Series 200布署中，所有的加密、解密、签名和确认都是由PGP Desktop完成的。PGP Universal Series 200管理控制台能够管理PGP Desktop 8.x 和 9.x客户端。一旦布署之后，PGP Universal Series 200就能够自动注册新用户、实时管理中央规则、管理密钥、报告所有内部和外部用户的重要统计信息。PGP Universal Series 200包括PGP Desktop，允许终端用户增加中心定义的规则，并加密其AOL?即时消息通信。它还允许添加额外的Whole Disk加密，以保护桌面电脑和笔记本电脑上的知识产权。

　　3、Series 500

　　最后就是Series 500，一个完整的网关和PGP Desktop 9.0企业级加密，保护email、硬盘和即时消息的产品，它结合了Series 100和Series 200两者的所有功能。这一产品特别适合于那些想把他们公司中的每一方面的商业信息都进行加密的企业用户，从电子邮件到硬盘中的内容到即时通信的消息都具有加密的能力。由于Series 500包含了Universal的所有功能，正符合笔者相对其有所了解的想法，笔者所使用的就是这一系列的产品。它的价格是25用户为2950美元，1年的许可，100用户的话是9600美元左右。

　　PGP Universal Series 500 为所有加密软件提供全面和集成的企业级保护，覆盖了所有类型的内部用户、所有者信息和外部合作方:

　　——联合了PGP Universal Series 100和 PGP Universal Series 200的全部特性;

　　——在网关中或端到端通过混和匹配自动保护email和存储数据;

　　——为企业加密规则提供更多的选项;

　　——动态PGP Desktop配置;

　　——基于角色的服务器管理;

　　——更高的安全选项;

　　——增强的PGP Universal Web Messenger, PGP Universal Satellite, & PGP Smart Trailer功能;

　　——同服务器管理软件的交互性;

　　——增强的keyserver功能性，如PGP Verified Directory和新的PGP 全局目录。

　　PGP Universal Series 500为email、硬盘和IM通信提供了一个集成的端到端的企业级加密方案。它为企业提供了一个全面的、集中管理的加密方案，可以保护email、文件、硬盘和AIM通信。同其他产品相比，PGP Universal Series 500不仅保护内部的即时消息通信，还为内外合作方之间的即时消息通信提供安全保护。PGP Universal Series 500在不改变email用户使用方式的前提下为email提供全面的安全性，并带有中央管理的安全规则。

　　到现在为止，我们对PGP Universal 产品线做了基本的介绍，从下一篇文章里，我们将接触这款产品的各种具体功能。