本文檔描述了一個用于Internet社團(tuán)的Internet標(biāo)準(zhǔn)跟蹤協(xié)議,希望得到有關(guān)進(jìn)一步改
進(jìn)的討論及建議。有關(guān)本協(xié)議的標(biāo)準(zhǔn)狀態(tài)及狀態(tài),請參照“Internet正式協(xié)議標(biāo)準(zhǔn)”(STD1)
的當(dāng)前版本。本備忘錄的發(fā)布不受任何限制。
摘要
本文檔描述了如何將較好的安全保密性應(yīng)用于RFC1847中描述的多用途郵件擴(kuò)充協(xié)議安
全內(nèi)容類型描述。
1.介紹
那些早期將PGP集成于MIME(包括那些較偏的應(yīng)用/pgp內(nèi)容類型)的工作經(jīng)歷了很多的
問題,它們中最重要的問題就是,假如不分解指定給PGP的數(shù)據(jù)結(jié)構(gòu),無法恢復(fù)帶符號的消
息。應(yīng)用RFC1847中所提議的完美的方法解決了這一問題,RFC1847為MIME定義了多部分格
式。毫無疑問,多部分安全格式將帶符號消息主體與符號分開了,并且擁有其它的大量的令
人滿足的特征。該文檔列在RFC1848之后,RFC1848為提供安全和身份驗(yàn)證定義了MIME對象
安全服務(wù)(MOSS)。
本文檔定義了三個新的內(nèi)容類型為實(shí)現(xiàn)使用PGP的安全和隱私定義了三個新的內(nèi)容類型:
application/pgp-encrypted,application/pgp-signature和application/pgp-keys。
1.1一致
為了實(shí)現(xiàn)與規(guī)格說明書的一致性,絕對有必要遵守所有標(biāo)必需標(biāo)簽的條目。
2.PGP數(shù)據(jù)格式
PGP在加密時能夠產(chǎn)生任何ASCII的外殼(在第3節(jié)進(jìn)行了描述)或8位二進(jìn)制輸出。生
氣數(shù)字簽名,或提取公用密鑰數(shù)據(jù)。ASCII外殼的輸出對于數(shù)據(jù)傳輸來說是必需的方法。這
答應(yīng)那些沒有辦法破譯此文檔中所用的描述格式的人能夠從這些信息中提取和使用PGP信
息。
當(dāng)要傳輸?shù)臄?shù)據(jù)需要分成幾部分傳輸時,MIME消息/部分機(jī)制應(yīng)當(dāng)使用勝于多部分ASCII
外殼PGP的格式
3.內(nèi)容傳略編碼約束
多部分/帶符號的和多部分/加密的是由代理進(jìn)行了不透明加工的,也就是說數(shù)據(jù)以任何一
種方式[1]處理都不會發(fā)生變化。然而,許多現(xiàn)有的郵件網(wǎng)關(guān)會進(jìn)行測試,是否下一個網(wǎng)段不
支持MIME或8位數(shù)據(jù)和執(zhí)行向可打印符號或Base64的轉(zhuǎn)換。這樣的話,對于多部分/帶符號
就出現(xiàn)了一些嚴(yán)重的問題,非凡是當(dāng)此類操作發(fā)生時,簽名是無效的。由于這一原因,所有
根據(jù)該協(xié)議標(biāo)記的數(shù)據(jù)必須被強(qiáng)制轉(zhuǎn)換為7位(8位數(shù)據(jù)應(yīng)使用可打印符號或基于64位的符
號進(jìn)行編碼)。注重,這同樣包含標(biāo)記對象被加密的情況(見第6節(jié))。這一約束將提高接收
到的簽名合法性的可能。
只有被加密的數(shù)據(jù)答應(yīng)包含8位字符,因此不需要將其轉(zhuǎn)換為7位格式。
實(shí)現(xiàn)者注重:無法進(jìn)行充分的強(qiáng)調(diào)——對使用這一標(biāo)準(zhǔn)的應(yīng)用應(yīng)當(dāng)遵循MIME的建議——
“對產(chǎn)生的要保守,對接收到的要寬容。”在這一特定的情況下意味著要聰明的使用任意內(nèi)
容傳輸編碼模式接收消息的實(shí)現(xiàn),但是限制產(chǎn)生本備忘錄產(chǎn)生的7位格式。這就答應(yīng)在以后
與InternetSMTP框架的事件保持兼容性,變?yōu)?位。
4.PGP加密數(shù)據(jù)
在使用PGP加密前,數(shù)據(jù)應(yīng)當(dāng)使用MIME規(guī)范格式(主體與頭部)。
PGP加密數(shù)據(jù)通過"mult須要有"application/pgp-encrypted"的協(xié)議參數(shù)值。注重,參數(shù)的值必須用引號包含起來。
multipart/encrypted必須確保包含兩個部分。第一個MIME主體部分必須擁有
"application/pgp-encrypted"的內(nèi)容類型,這一主體包含著控制信息。遵守這一標(biāo)準(zhǔn)的消息
在主體部分必須包含一個域"Version:1"。因?yàn)镻GP數(shù)據(jù)包格式包含解密需要的所有其它信
息,而沒有其他需要的數(shù)據(jù)。
第二部分MIME主體部分必須飽含真正的加密數(shù)據(jù)。它必須擁有內(nèi)容類型為
"application/octet-stream"的標(biāo)志。
范例消息:
From:MichaelElkins<elkins@aero.org>
To:MichaelElkins<elkins@aero.org>
Mime-Version:1.0
Content-Type:multipart/encrypted;boundary=foo;
--foo
Content-Type:application/pgp-encrypted
Version:1
--foo
Content-Type:application/octet-stream
-----BEGINPGPMESSAGE-----
Version:2.6.2
hIwDY32hYGCE8MkBA/wOu7d45aUxF4Q0RKJprD3v5Z9K1YcRJ2fve87lMlDlx4Oj
eW4GDdBfLbJE7VUpp13N19GL8e/AqbyyjHH4aS0YoTk10QQ9nnRvjY8nZL3MPXSZ
g9VGQxFeGqzykzmykU6A26MSMexR4ApeeON6xzZWfo+0yOqAq6lb46wsvldZ96YA
AABH78hyX7YX4uT1tNCWEIIBoqqvCeIMpp7UQ2IzBrXg6GtukS8NxbukLeamqVW3
1yt21DYOjuLzcMNe/JNsD9vDVCvOOG3OCi8=
=zzaA
-----ENDPGPMESSAGE-----
--foo--
5.PGP標(biāo)記數(shù)據(jù)
PGP標(biāo)記消息通過"multipart/signed"內(nèi)容類型表示,在[1]中進(jìn)行了描述,使用必須擁
有值為"application/pgp-signature"(必須用引號引起來)的“協(xié)議”參數(shù),參數(shù)"micalg"
必須擁有為"pgp-<hash-sybol>"的值,在這里<hash-symbol>標(biāo)記消息完整性檢查(MIC)用
于產(chǎn)生簽名。<hash-symbol>通常定義的值為"md5"用于MD5的校驗(yàn)和,"sha1"用于SHA.1
算法。
multipart/signed主體必須包含兩個部分。第一部分包含MIME規(guī)范格式的標(biāo)記數(shù)據(jù),包
含描述該數(shù)據(jù)的適當(dāng)?shù)膬?nèi)容頭的集合。
第二部分必須包含PGP數(shù)據(jù)標(biāo)記。它必須包含內(nèi)容類型為"application/pgp-signature"
的標(biāo)注。
當(dāng)產(chǎn)生PGP數(shù)字簽名時:
(1)要進(jìn)行標(biāo)記的數(shù)據(jù)必須先被轉(zhuǎn)化為其type/suBType特定規(guī)范格式。對于
text/plain,這就意味著轉(zhuǎn)化為合適的字符集并且將行末尾轉(zhuǎn)換為標(biāo)準(zhǔn)的回車和換行序列。
(2)然后使用一個合適的內(nèi)容轉(zhuǎn)換編碼,每一行經(jīng)過編碼的數(shù)據(jù)必須以標(biāo)準(zhǔn)的回車、換
行序列結(jié)束。
(3)MIME內(nèi)容報頭然后被加到主體上來,每一個都以標(biāo)準(zhǔn)的回車、換行序列結(jié)束。
(4)正如在[1]中所描述的,數(shù)字簽名必須要同時基于要進(jìn)行標(biāo)記的數(shù)據(jù)和其內(nèi)容報頭計(jì)
算出來。
(5)要產(chǎn)生的簽名必須與待標(biāo)記的數(shù)據(jù)相分離,這樣處理不管怎樣都不會改變原有的數(shù)
據(jù)。
范例消息:
From:MichaelElkins<elkins@aero.org>
To:MichaelElkins<elkins@aero.org>
Mime-Version:1.0
Content-Type:multipart/signed;boundary=bar;micalg=pgp-md5;
protocol="application/pgp-signature"
--bar
&Content-Type:text/plain;charset=iso-8859-1
&Content-Transfer-Encoding:quoted-printable
&
&=A1Hola!
&
&Didyouknowthattalkingtoyourselfisasignofsenility?
&
&It'sgenerallyagoodideatoencodelinesthatbeginwith
&From=20becausesomemailtransportagentswillinsertagreater-
&than(>)sign,thusinvalidatingthesignature.
&
&Also,insomecasesitmightbedesirabletoencodeany=20
&railingwhitespacethatoccursonlinesinordertoensure=20
&thatthemessagesignatureisnotinvalidatedwhenpassing=20
&agatewaythatmodifiessUChwhitespace(likeBITNET).=20
&
&me
--bar
Content-Type:application/pgp-signature
-----BEGINPGPMESSAGE-----
Version:2.6.2
iQCVAwUBMJrRF2N9oWBghPDJAQE9UQQAtl7LuRVndBjrk4EqYBIb3h5QXIX/LC//
jJV5bNvkZIGPIcEmI5iFd9boEgvpirHtIREEqLQRkYNoBActFBZmh9GC3C041WGq
uMbrbxc+nIs1TIKlA08rVi9ig/2Yh7LFrK5Ein57U/W72vgSxLhe/zhdfolT9Brn
HOxEa44b+EI=
=ndaj
-----ENDPGPMESSAGE-----
--bar--
在前例中的"&"表示基于其的數(shù)據(jù)部分符號是計(jì)算出來的。
盡管不是必須的,不過通常來說假如任意一行數(shù)據(jù)以"From"開始,并且編碼"F",那么在
第一步中使用可打印字符進(jìn)行編碼是一個好的主意(用MIME規(guī)范格式寫出要標(biāo)記的數(shù)據(jù))。
這可以避免一個報文傳略代理在行首插入一個">",而">"將會使簽名無效。
基于接收標(biāo)記消息的基礎(chǔ)上的應(yīng)用必須:
(1)在需要驗(yàn)證的數(shù)字簽名之前,將行結(jié)束符轉(zhuǎn)換為規(guī)范的回車、換行序列。這很有必
要,因?yàn)楸镜豈TA可能已經(jīng)轉(zhuǎn)換為局部的行結(jié)束轉(zhuǎn)換。
(2)將標(biāo)記的數(shù)據(jù)和與其的關(guān)聯(lián)內(nèi)容報頭一起隨著PGP簽名傳遞給簽名認(rèn)證服務(wù)。
6.加密和標(biāo)記了的數(shù)據(jù)
有時對于數(shù)字標(biāo)記和隨后加密將要發(fā)送的數(shù)據(jù)來說這還是比較令人滿足的。這個協(xié)議答應(yīng)
使用兩種方法來實(shí)現(xiàn)這個任務(wù)。
6.1RFC1847的封裝
[1],規(guī)定數(shù)據(jù)應(yīng)當(dāng)先被標(biāo)記為一個multipart/signature主體。然后進(jìn)行加密形成最終
的multipart/encrypted主體,也就是
Content-Type:multipart/encrypted;
protocol="application/pgp-encrypted";boundary=foo
--foo
Content-Type:application/pgp-encrypted
Version:1
--foo
Content-Type:application/octet-stream
-----BEGINPGPMESSAGE-----
&Content-Type:multipart/signed;micalg=pgp-md5
&protocol="application/pgp-signature";boundary=bar
&
&--bar
&Content-Type:text/plain;charset=us-ascii
&
&Thismessagewasfirstsigned,andthenencrypted.
&
&--bar
&Content-Type:application/pgp-signature
&
&-----BEGINPGPMESSAGE-----
&Version:2.6.2
&
&iQCVAwUBMJrRF2N9oWBghPDJAQE9UQQAtl7LuRVndBjrk4EqYBIb3h5QXIX/LC//
&jJV5bNvkZIGPIcEmI5iFd9boEgvpirHtIREEqLQRkYNoBActFBZmh9GC3C041WGq
&uMbrbxc+nIs1TIKlA08rVi9ig/2Yh7LFrK5Ein57U/W72vgSxLhe/zhdfolT9Brn
&HOxEa44b+EI=
&=ndaj
&-----ENDPGPMESSAGE-----
&
&--bar--
-----ENDPGPMESSAGE-----
--foo--
(Thetextprecededby'&'indicatesthatitisreally
encrypted,butpresentedastextforclarity.)
6.2組合方法
第2.x版PGP同樣答應(yīng)用一種操作將數(shù)據(jù)進(jìn)行標(biāo)記和加密。這種方法是一種可以接受的捷
徑,并且可以花費(fèi)較少的費(fèi)用。生成的數(shù)據(jù)應(yīng)當(dāng)形成上面所描述的"multipart/encrypted"對
象。
至于multipart/signed對象,用這種組合方式加密和標(biāo)記的消息同樣需要遵循相同的規(guī)
范約束。
很明確,答應(yīng)一個代理對組合的消息進(jìn)行譯碼并將其作為使用標(biāo)記數(shù)據(jù)嵌入到加密版本中
的multipart/signed對象進(jìn)行重新寫入
7.PGP公共密鑰的分配
Content-Type:application/pgp-keys
Requiredparameters:none
Optionalparameters:none
這是一用于傳播公共密鑰塊的內(nèi)容類型。
8.注重
PGPandPrettyGoodPrivacy是PhilipZimmermann的商標(biāo)。
9.安全考慮
使用本該協(xié)議與PGP具有相同的安全考慮,并未考慮對其使用時增加或者減少的消息安全
性問題。假如要獲得更多的信息,請查閱[3]。
10.作者地址
MichaelElkins
P.O.Box92957-M1/102
LosAngeles,CA90009-2957
Phone:+13103368040
Fax:+13103364402
參考文獻(xiàn)
[1]Galvin,J.,Murphy,G.,Crocker,S.,andN.Freed,"Security
MultipartsforMIME:Multipart/SignedandMultipart/Encrypted",
RFC1847,October1995.
[2]Galvin,J.,Murphy,G.,Crocker,S.,andN.Freed,"MIMEObject
SecurityServices",RFC1848,October1995.
[3]Atkins,D.,Stallings,W.,andP.Zimmermann,"PGPMessage
ExchangeFormats",RFC1991,August1996.
新聞熱點(diǎn)
疑難解答
圖片精選
