gpt4 book ai didi

linux - 即时电子邮件加密/签名

转载 作者:塔克拉玛干 更新时间:2023-11-03 01:54:28 28 4
gpt4 key购买 nike

背景:我继承了一个基于 linux 的嵌入式系统,其中包含一个 SMTP 代理和一些我不得不忍受的古怪限制。它位于 SMTP 客户端和服务器之间。当 SMTP 客户端连接时,代理会打开与服务器的连接,并在进行一些即时处理后将客户端的数据传递给服务器。

挑战:我需要使用标准 PKI 技术和 S/MIME 格式对电子邮件在发送到服务器的途中进行签名和/或加密(例如,参见 RFC2311)。我可以从适当的证书访问所有必需的公钥。

古怪的限制(请接受它们,因为它们远远超出了我的控制范围):

  1. 我无法存储电子邮件;它必须即时处理。
  2. 我可以使用公钥在本地进行加密,但我不能直接访问私钥,这意味着数字签名必须由“签名设备”通过 9600bps 连接完成。
  3. 典型的电子邮件消息的大小为数十或数百 MB。 (电子邮件服务器和收件人可以处理这些大小;唯一的问题是签名时 Not Acceptable 延迟。)
  4. 任何新代码都应该在 C 中,但它是可以接受的,例如,将数据通过管道传输到独立的实用程序以进行加密/签名,只要数据永远不会存储(例如没有临时文件)。
  5. 交货时间为 14-21 天。

问题:

  1. 我希望找到一个开源实用程序或库来生成适当的 MIME header 并对数据 block 进行加密/签名,但我没有在 Sourceforge、Google 代码等上找到它。 你用过推荐的吗?
  2. 我非常希望能找到一个 RFC,说明对 100MB 数据进行哈希处理然后对哈希进行签名是可以接受的,因为这样可以缓解 9600bps 的瓶颈。但同样,没有运气。是否有与典型电子邮件客户端兼容的行业标准“快捷方式”(RFC?)?

谢谢你的想法。

最佳答案

问题 1:

OpenSSL 既是实用程序又是可以创建和验证 S/MIME 消息(包括 MIME header )的库。参见 the smime(1) man page对于实用程序版本的使用 - 这都是使用库版本构建的,因此它也可以做到这一点。

问题 2:

这不仅是可以接受的,而且是 S/MIME 签名总是的方式。您可能会使用 multipart/signed 格式创建签名消息(请参阅 RFC2311 的第 3.4.3 节)。此多部分 MIME 类型包含分离的签名作为一个 MIME 类型为 application/pkcs7-signature 的对象。第 3.4.3.1 节告诉我们这包含一个 PKCS #7 signedData 对象。 PKCS #7 在 RFC2315 中进行了描述, 以及 signedData 对象在第 9 节中描述。​​这部分告诉我们,我们创建要签名的消息的消息摘要(S/MIME 说实现必须至少理解 MD5 和 SHA1 消息摘要,因此您将使用 SHA1作为具有最佳安全性的互操作选项),并使用签名者的私钥对其进行加密。

只要签名设备愿意从您那里获取 SHA1 哈希并使用签名者的私钥对其进行加密,那么您就可以自己完成签名生成的所有其余部分。

然后您将获取多部分/已签名的 MIME 对象并根据 S/MIME 规范对其进行加密,然后再次对整个蜡球进行签名(签名-加密-签名模式),以便最终您拥有:

  • multipart/signed 对象,其中第一部分是:
  • 一个 application/pkcs7-mime 对象,当按照 PKCS #7 解密时包含:
  • 另一个 multiplat/signed 对象,其中第一部分是:
  • 代表原始电子邮件的 MIME 对象(或只是正文;无论您需要什么...)

附录:

OpenSSL 支持可插拔的加密“引擎”,可以代表库执行加密操作。实现这一点的最佳方法可能是为您的外部签名设备创建一个 OpenSSL 引擎,并在启用该引擎的情况下调用常规 S/MIME OpenSSL 函数。如果您的外部签名设备是“现成的”,则可能已经有 OpenSSL 的引擎包装器。

关于linux - 即时电子邮件加密/签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1535380/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com