邮件加密先锋 PGP Universal试用(三)

　在上篇文章里，我们介绍了PGP Universal系列产品的基本构成情况，接下来的这一部分内容中，我们来重点看看这一产品的功能真正如何，并且比较一下PGP Universal Series 500与其他两款产品的所有不同之处。

　　七、产品设置

　　由于PGP Universal是基于服务器的应用软件，因此对其进行测试需要使用一些比较独特的方法，要进行一些特殊的设置与处理。为了对它进行使用方面的测试，笔者组建并配置了两个网络:Arpstorm和Foobar。PGP Universal服务器软件被部署在Arpstorm网络中，而Foobar网络则是一个外部的网络，所有的信息将从这个网络中送出。

　　这两个不同的网络中服务器操作系统都是Windows Server 2003企业版，使用操作系统自身集成的邮件和DNS服务功能，在两个网络中的主机都是运行的Windows XP Professional。为了消除在测试结果中因硬件或网络的不同而引起的一些不可预知的问题，或避免得到的结果在主观上出现有差异，并且由于我的目标只是对其功能作一下主观的评测，并不是要对其进行性能上的测试与分析，故笔者对这两个网络的设置都是通过使用VMWare Workstation在一台机器上完成的。

　　在这要特别注意的是，以上所提到的客户端和服务器之所以都选择Windows系列的操作系统是因为PGP公司能够较好地支持它们。不过依笔者的经验看来，那些开放源代码的免费应用程序应该是能够管理一台PGP Universal设备的，但除了Thunderbird邮件客户端这一个特例外，在使用时笔者发现还没有其他的开放源代码应用程序能够被支持。

图5:PGP Universal的初始化安装界面

　　如在本文前面就所提到过的一样，PGP Universal是被安装在某个公司网络中的一台专用的服务器上，这款产品在安装时可被设置成两种不同的模式――网关方式(gateway)或位于网络内部的方式(internal)。

　　在网关模式中，PGP Universal服务器逻辑上是位于网络中邮件服务器的外部端，也是处于网络中防火墙的外面，用户的电子邮件从邮件服务器发送完毕，它加密所有向外发送的电子邮件后再把它们从PGP Universal服务器向外发送。

　　在另一种方式中，逻辑上看来，PGP Universal服务器是位于公司的防火墙的后面，且是处在客户端和邮件服务器之间。在这一种配置方案中，Universal服务器在电子邮件到达邮件服务器之前就加密向外发送发送的邮件，在被发送之前在此加入一个被加密的队列。

　　由于这两种配置的每一种状态下，MX记录和DNS机器名字都必须被更改成不同的值，故在你开始安装之前就必须要定下来到底使用哪一种网络模式。并且在选择安装模式时还有另外的一些方面需要考虑到，这就是将要用来发送电子邮件的协议， POP和IMAP协议仅仅只能够使用在内部服务器模式下，不过SMTP协议在这两种模式下都可使用。

图6: 正在解压缩到系统的linux程序包

　　笔者选择的内部服务器模式，马上就开始来安装设置这台服务器。由于Universal在安装过程中会删除掉硬盘上的所有信息，用户在安装之前要注意备份原来的数据或使用专用的机器。使用它的安装CD引导这台专用的(或者说是虚拟的)机器后，马上就显示一个在提示符状态下的正在的加载的屏幕内容，在此，我们可输入安装时的选项参数来定制安装过程。由于在笔者的网络环境下默认的网络IP地址(Universal默认分配的是192.168.1.100的地址)是与网络中的其他设备处于同一个网段且没有冲突，因此我就无需使用“定制网络”(Custom net)这个选项来更改网络的具体参数，只要按下回车键就行了。

　　然后，这上程序的安装过程就非常简单了，全部自动完成，解压缩并安装所有必需的Linux程序包，如Java和Tomcat，然后就重新启动计算机。

图7:有7种不同语言的PGP Universal设置页面

　　当机器重新启动后，我们就可使用网络中的另外一台机器，通过一个web浏览器来登录进入到PGP Universal服务器内部并可配置它了。这个过程是非常简单的，无需详述，在输入有关我的测试网络的相关信息，例如DNS和邮件服务器，还有现在分配给Universal服务器的名字等，完成后，系统又需要重新启动一次。在这要注意的是，我们必须要更新网络中DNS服务器中的主机记录，以允许网络中的另外的机器通过DNS名字来访问来Universal服务器。
　八、学习模式

　　一台PGP Universal服务器开始启动于称之为“学习模式”(Learn Mode)的状态，Learn Mode主要有两大部分的内容，邮件代理服务器和创建密钥供用户使用，但不具备对它所发送的邮件进行加密和签名功能。在这个模式下，可让一台服务器安全地生成密钥来供用户使用，并且在Learn Mode模式停止活动后，邮件将被进行加密。当在内部域内产生大量的密钥来供所有的用户使用时，使用这个模式不会由于同时非得对邮件加密和签名信息时使得占用系统大量资源而影响系统的运行效率。一旦产生足够的密钥后，Learn Mode将会停用，并且就能开始加密了。

　　当处于Learn Mode模式时，用户也可设置和测试用来加密邮件的策略(policy)。有关PGP Universal的加密系统的每一方面的内容都是在policy级别来受到控制的，例如像发送给哪些用户的邮件将会被进行加密，如果接收者没有密钥时该如何处理和是否使用OpenPGP或S/MIME来加密信息等这方面的问题。

图8:邮件加密policy屏幕

　　我创建了一个默认的策略，在这个策略下电子邮件会被发送到的每一个域，然后再创建了几个在一定的可能性条件和特殊的异常情况下的策略，以适用于为发送的信息。这些特例策略可适用于两种方式，信息主题和接收者域名。我也为这两者都创建了相应的策略。

　　在接收者域名的方式中，我指定的是foobar.net这个域名(这假定就是前面我们所提到的老朋友Bob的域名)，并且指定发送住这个域名的所有电子邮件都要被加密。而在信息主题的方式中，我是依照PGP公司提供的用户指南的指导，把“payroll”作为所指定的主题。

　　设置信息主题策略看上去好像有一点使人犯迷糊，因为它使用与接收者域名策略设置相同的用户界面，看上去都差不多似的。另外，为在进行加密时信息主题被考虑到，使之成为可用状态，那“Apply special policy to messages flagged as Confidential”选项是必须被选择的。

　　还有一个比较好的方面就是在使用域名时可支持通配符的操作，使用它就可大大地方便用户在使用大量域名时的情况，例如，在有些国家中，仅仅只可发送明文的电子邮件到顶级域名，而不能使用任何的加密选项，在那儿，加密是非法的。
　九、加密电子邮件

　　在我关闭Learn Mode模式后，真正的重头戏开场了，我对这个软件所提供的每一种加密方式(使用WebMessenger和使用PGP Satellite)都进行了一番测试，在理想的情况下，每个用户应该拥有一个加密解密用的密钥对，并且应该是每个用户都能够加密他们的电子邮件。但我们不是生活在理想的世界中，不过PGP Universal已充分考虑到了这一方面的问题，它通过几种不同方式的加密方法来为那些手中没有任何加密工具的用户提供服务。

　　这方面，最开始的就是WebMessenger，则我们已在第一部分中对它有了初步的了解。

图9: 一个WebMessenger信息

　　我使用了两种方法来测试发送WebMessenger的邮件:使用隐含信任和使用需要发送者验证。我使用两种方法，通过从位于测试网络“Arpstorm”中的一个Alicelice发送电子邮件给位于另一个测试网络“Foobar”中的Bobob，这两种方法都非常成功，没出现什么问题。包含发送者验证是一种不错的体验(在这种方式中，邮件的发送者一个提示，要他进入到WebMessenger中登录，在这种情况下，发送的邮件被拦截下来)。

图10: WebMessenger的界面

　　下一个加密方式是PGP Satellite。Satellite是外部用户使用的一个加密程序，它允许这些用户从他们那些不能够使用WebMessenger的桌面系统来发送和接收被加密的电子邮件。它与安装好的PGP Universal一起，来为那些外部用户创建一个密钥对，并允许他们利用只要是位于Universal域中的任何一个用户的公钥。

　　与PGP Universal系统中的其他所有内容一样，Satellite(图11所示)的下载过程也能够通过策略设置来得到用户的控制。用户可通过使用“smart trailer”来得到Satellite的下载，这个smart trailer是某个邮件的注脚信息，附加在向外发送的email信息中，用以说明这些邮件可能已使用PGP Universal加密过。Satellite也可通过在WebMessenger中的参数菜单选项中下载过来。

图11:PGP Universal Satellite的下载页面

　　把Satellite从PGP Universal服务器下载到我的外部测试主机上的整个过程非常迅速，并且非常顺利地就得到了下载文件，在下载时，位于下载站点上的一个内嵌的ActiveX脚本会自动检测下载者当前正在运行的操作系统版本，并且自动下载适合于该操作系统的Satellite版本。笔者也测试了一下，当把系统中的ActiveX功能关闭时，在没有ActiveX的情况下，Satellite的下载过程会怎样，结果是一切正常，我们还是可通过页面上的相关链接来手动下载得到合适的版本。

　　Satellite的安装过程很少需要用户的干预，只需要用户输入少量的必需信息以用来生成密钥，很快，安装有Satellite的这台机器就被设置好可从一个PGP Universal域中来发送和接收邮件了。Satellite是以后台程序的方式运行的，用户根本就觉察不到有这么一个软件在支持着，甚至在系统托盘中都没有一个图标用来显示它正处于运行状态，但这台计算机却具备有发送和接收加密电子邮件的能力就可证实该软件确实是存在并且是正在运行状态的。

　　PGP Universal发送的加密邮件的方式是把该邮件作为某个信息的一个.pgp的附件来发送的(PGP Desktop组件也是一样的)，具体如图12所示。这个附件然后被Universal、Satellite、Desktop或其他任何包含有收件人私钥的OpenPGP程序来解密，如图13所示。

图12:发送的加密邮件

　　这种发送加密邮件的方式在某些公司或企业的网络可能会引起一些问题，主要是由于这些公司或企业会拒绝电子邮件信息中的所有未知的附件，目的是为了安全的需要，防止邮件附件中带有电脑病毒或恶意攻击程序等。因此在这样的网络环境下，于PGP Universal全面部署之前，我们要适当地调整一下电子邮件的过滤规则，以让防火墙或其他安全手段正确接受.pgp的邮件附件。

图13：解密后的邮件

　　未完待续