一、现状分析

从1971年第一封标有@符号的电子邮件诞生到2021年，有着50年历史的电子邮件是互联网上第一封使用最广泛的电子邮件。据统计，全球有37亿个电子邮件账户，每天发送的电子邮件高达2690亿封(当然，很多都是垃圾邮件)。也就是说，电子邮件是工作和生活所必需的。

苹果公司的一位技术专家在一个关于电子邮件安全的电子邮件讨论组中写道：“电子邮件作为一种造福人类的工具，已经被证明是如此有效，以至于真正无效；提高使用电子邮件的安全性、隐私性和安全性是一个非常有价值的目标。(电子邮件作为改善人类生活的工具已被证明是非常高效的，同时可以说是无价的。提高使用电子邮件的安全性、隐私性和安全感是一个非常有价值的目标。)是一句很好的俗语，有两个关键点：一是高度肯定了电子邮件对改善人类生活的贡献，肯定了这种沟通方式的高效性；第二，指出电子邮件的安全性有待提高。那么，如何提高和增强电子邮件的安全性，密信技术给出了一个完美的答案。

首先，我们来看看电子邮件的发送机制，分析一下为什么电子邮件的安全性需要提高。电子邮件每天交换大量的个人和商业机密信息，但大部分电子邮件都是以明文形式传输到邮件服务器，并以明文形式存储在云服务器中，然后收件人以明文形式接收电子邮件。如下图所示，这是一个巨大的云大数据安全风险！

这种巨大的数据安全风险主要源于电子邮件设计中采用的明文传输机制。虽然后来做了一些改进，如下图所示，SSL/TLS SMTP加密传输是通过在邮件服务器上部署SSL证书实现的，它只保证了用户的邮件在邮件客户端到邮件服务器的链接上加密，邮件到达邮件服务器时仍然以明文形式存储。在收到要发送的邮件后，服务器将联系收件人的邮件服务器来接收邮件。如果收件人服务器没有部署SSL证书，邮件只能以明文形式从发件人的邮件服务器发送到收件人的邮件服务器，并且明文邮件的副本以明文形式保存在收件人的邮件服务器中。收件人还将明文从邮件服务器下载到自己的邮件客户端。因此，如果邮件服务提供商告诉其用户邮件已经通过TLS/SSL传输加密，只能安慰用户。事实上，邮件离开开发人员的邮件服务器是他们自己的邮件服务提供商无法控制的！

这些安全问题并非没有人试图解决。1995年，RSA等公司提出了S/MIME(安全/多用途互联网邮件扩展)协议的V1版本，改进了邮件安全的功能。1998年和1999年，V2/V3版本相继发布并提交给IETF，形成了一系列RFC国际标准。如下图所示，S/MIME的国际标准是用数字证书对邮件进行加密，即将明文邮件用收件人的公钥加密成密文，以密文形式发送到收件人的邮件服务器。收到密文后，收件人用自己的私钥解密，得到明文邮件。这整个加密过程实现了即使邮件服务器不采用SSL/TLS传输加密，也能保证邮件的安全加密传输，因为邮件本身就是密文。当然，强烈建议邮件服务器部署SSL证书，以确保用户邮箱的密码安全。

从发布S/MIME邮件签名和加密标准至今又过去了25年，大家常用的邮件客户端软件如：微软Outlook、Mozilla雷鸟和苹果iMail等也都已经全面支持S/MIME国际标准实现电子邮件签名和加密，但是S/MIME邮件加密技术为何并没有得到普及应用？这是因为业界始终没有解决其易用性问题，而其中一个最重要的原因是密钥管理太复杂。用户不仅需要从CA申请到邮件证书，还需要用户把邮件证书安装到各种设备的各种邮件客户端软件中，并且能正确配置使用，好不容易把证书搞定了，还需要先同对方交换公钥才能发加密邮件，这绝对是一项普通用户根本无法完成的事情。

英国国家网络安全中心网站这样写道 “Although it is possible to encrypt individual emails using protocols like PGP or S/MIME, this requires the sender and recipient to have the necessary trust infrastructure in place. This is not likely to be possible for all the parties you communicate with.”“You should only use message-based encryption like PGP or S/MIME occasionally for transfer of sensitive information as it’s inefficient and provides a poor user experience.”简单翻译一下大意是：“用S/MIME加密需要发送者和接收者都具有可信的加密基础设施，这是不可能要求所有邮件用户都具备的。”“如果要用电子邮件发送敏感机密信息就应该使用S/MIME加密，但是它效率太低而且用户体验很差。” 再通俗点讲就是：虽然S/MIME邮件加密技术很好，但是要想让人人都能用上，并且做到很好用，那是不可能的！

二、解决方案

密信技术早在2015年就组建研发团队研究如何解决S/MIME的易用性难题。为了保证用户能像发送明文邮件一样发送加密邮件，同时还要方便用户能随时随地使用任何设备能解密阅读已加密邮件，而无需费时费力去交换公钥来加密和导入证书来解密，必须解决密钥管理太复杂的问题。密信研发团队在研究了多家国际国内领先的云服务提供商提供的云密钥管理服务(KMS)后，决定采用云密钥管理技术方案来解决密钥管理难题和实现按需分发密钥。

密信技术的解决方案是把传统的一张邮件证书拆分为两张证书(一张签名证书和一张加密证书)，加密证书密钥在云端生成并安全加密托管在云端，用户在完成邮箱控制权验证后就可以自动从云端取到加密证书密钥来自动解密已加密邮件，使得用户无需费时费力申请和导入邮件证书，完美实现全自动邮件加解密。而用户发送加密邮件时密信App会自动到云端公钥库去获取收件人的加密证书公钥实现全自动发送加密邮件，使得用户无需事先交换公钥，真正实现无感全自动邮件加密和解密。而签名证书由于有用户的身份信息，用户的签名行为具有法律效力，所以，密信把签名证书设计为用户在本地设备上生成密钥，并在本地设备上加密保存密钥。这就是为何用户看到密信App在不同设备上的签名证书的序列号是不一样的原因。

密信技术把传统的一张邮件证书拆分成两张证书并根据签名和加密的两个不同用途采用不同的密钥管理方式，完美地解决了S/MIME邮件加密服务的易用性问题，同时继承了S/MIME邮件签名的不可假冒、不可伪造和不可抵赖的特点，使得S/MIME邮件加密技术真正能实现零门槛无缝使用，用户无需关心证书在哪，只需像平常一样写好邮件点击发送即可自动发送加密邮件和自动接收和解密已加密邮件。

密信技术历时4年多终于全部解决了邮件加密的各种难题，建设了安全可靠的加密基础设施，并把这些设施普惠共享给全球所有密信用户使用，让大家都可以不用投资建设这些设施一样可以实现S/MIME邮件加密和数字签名，满足各种合规要求。

如下图所示，密信密码基础设施包括证书签发系统(MCA)、密钥管理系统(MKM)、加密证书公钥库系统(CDB)、证书吊销查询系统(MCR)、身份认证系统(MVS)、时间戳服务系统(MTS)、电子签名服务系统(MSS)等七大密码服务基础设施系统，这些云端服务系统加上 密信App (邮件客户端软件) 构成了“云端”和“客户端”两端一体的数字签名和加密服务系统，安全可靠地为全球用户提供全自动电子邮件加密和数字签名服务。也就是说，密信App不是传统意义上的独立的邮件客户端软件，它是一个面向用户端的服务代理，既能满足用户在本地操作数据的隐私保护需要，又能借助功能强大的云端服务系统，云地两端一体协同服务使得密信App能全球率先实现全自动邮件加密和数字签名。

也就是说，密信App之所以能做到全自动邮件加密，核心就是彻底解决了繁琐的密钥管理问题，使得用户能随时随地使用任何设备获取加密密钥用于解密已加密邮件和自动获取收件人的公钥用于加密邮件。结合其他配套的几大服务系统，彻底解决上面所说的“效率太低”“用户体验很差”的难题，并且“让人人用得起”和“很好用”，把“不可能”变成”可能”！

密信技术建设的密码基础设施彻底解决了S/MIME邮件加密的易用性难题，让用户可以使用密信App轻松发送加密邮件和数字签名邮件，现已经成功实现了商业化实施与应用，用户已经覆盖全球171个国家和地区。密信技术，让每一封邮件都有数字签名可信身份，彻底杜绝邮件欺诈！让每一封邮件都用证书加密成密文，彻底杜绝邮件泄密！

为了满足政府机关、金融机构和大企业等单位希望自己掌控加密证书密钥的更高安全需求，密信技术提出了支持用户在本地部署企业级密钥管理系统的解决方案。用户只需选购密信企业密钥管理系统(企业KM)，并把企业KM系统连接到单位内网即可，所有员工电脑和移动设备都必须能连接到企业KM，以便获取加密私钥，成功拿到加密证书后就可以正常使用密信App的邮件加密功能了。企业KM系统不能访问互联网，仅限于员工电脑和移动设备在单位内网访问，以确保密钥管理系统的安全。而对于不能连接互联网的用户，则只需再选购密信企业CA系统，部署在企业内网为用户提供邮件证书和提供加密公钥获取服务即可。

三、优势分析

密信全自动电子邮件加密和数字签名解决方案的核心产品是密信App(加密电子邮件客户端软件)和配套的加密基础设施系统所提供的邮件数字签名和加密服务，彻底实现了电子邮件加密和数字签名的全自动、无门槛和无感。具有如下八大特别优势：

1. 全自动配置证书：
   密信研发团队具有CA基因，密信App实现了电子邮件数字签名和加密证书的全自动配置，实现了让用户像发送明文一样的轻松发送加密邮件，彻底解决了“用户体验差”的难题。
2. 高效率无感加密：
   密信建立了加密证书公钥库系统、证书签发系统、密钥管理系统等多个后台支撑基础设施系统，实现了用户无需事先交换加密证书公钥就可以直接发送加密邮件，彻底解决了“效率太低”的难题。
3. 可信加密基础设施：
   密信建设的“可信加密基础设施”通过云服务方式实现了对全球所有邮件用户的免费共享使用，使得“不可能要求所有邮件用户都具备的”加密基础设施人人都可以免费使用，不仅密信App用户可以免费使用，而且自动配置的签名证书和加密证书也完全免费！密信技术让电子邮件S/MIME加密“人人都用得起”，让“不可能”变成“能”！
4. 加密设施开放共赢：
   密信建设的“可信加密基础设施”不仅免费开放给所有密信App用户使用，也同时免费开放全球公钥库给其他邮件客户端使用，希望和鼓励其他邮件客户端软件也能像密信App一样采用S/MIME国际标准和国家标准用数字证书实现全自动无感加密，共同为普及全自动全加密电子邮件做贡献。
5. 加密设施共享使用：
   密信建设的“加密基础设施”免费开放给政府机构、公共服务机构、金融机构和各大企业用于免费获取用户的加密证书公钥，方便各种政务系统和各种管理系统都能把现在的自动发送明文邮件给用户改造成自动发送加密邮件给用户，确保这些重要信息系统发出的电子邮件机密信息安全。
6. 独创邮件盖戳服务：
   密信技术全球独家专利技术实现了为每一封发出的电子邮件盖上密信时间戳，确保电子邮件发送时间是可信时间，而不是用户电脑或用户邮件服务器的不可信时间，这非常适用于类似于传统信件盖上邮戳来证明信件发出时间的应用场景。
7. 邮件附件云端查杀：
   密信App还集成了360安全大脑提供的云查杀功能，无需上传邮件附件，只需提交附件摘要就能快速查验邮件附件是否是恶意文件和邮件中外部链接是否是恶意网址。这不仅能有效地保护用户免受恶意邮件附件和恶意网址的攻击，而且能可靠地保护用户邮件附件的隐私信息安全。此服务是专为密信App用户免费提供的增值服务。
8. 独创国密邮件加密：
   密信技术全球独家实现了符合国家标准GB/T 35275-2017用国密算法(SM2/SM3/SM4)和国密证书加密和数字签名每一封电子邮件。全球用户都可以在设置中自由选择加密算法为RSA算法或国密算法，信创版用户默认用国密算法，其他版本用户默认用RSA算法，用户选定加密算法后则自动配置使用此算法签发的签名证书和加密证书。同样，配套的时间戳服务也将根据用户的算法自动配置相应算法的时间戳签名。密信App对国密算法的全面支持，解决了政务邮件加密的国密合规问题，让国密算法能真正用于保障政务邮件的全程安全。同时，这也是密信技术为全球互联网用户贡献了电子邮件加密的中国智慧和中国解决方案。

四、增值服务

密信技术不仅为全球用户提供了免费的基础级的电子邮件加密和数字签名服务-免费版，而且不断创新地为用户提供可选的收费的增值服务-入门版、专业版和信创版，满足全球用户的不同应用需求，欢迎广大用户选用。

1.入门版

免费版为用户自动配置的是密信信任的加密证书和签名证书，而收费的入门版则是为用户自动配置全球信任的Vp邮件证书，使得密信App发出的签名邮件在其他邮件客户端都会正常解析用户的证书签名信息，并显示“该数字签名是可信的”。入门版服务实现全自动全球信任的邮件数字签名和加密，仍然只是验证邮箱控制权。用户付费购买后密信App自动配置Vp邮件证书，用户无需费心去申请证书、配置使用和导入导出备份等等，全部由密信App自动完成，让用户无需关心邮件证书，只需像平时发送明文邮件那样在密信App直接写完邮件点击发送即可自动发送加密邮件。

2.专业版

专业版也是收费服务，在入门版基础上增加了实名认证。个人用户完成个人实名认证后，密信App自动配置含有个人身份信息的密信信任的个人身份证书和全球信任的Vp邮件证书，密信App默认使用个人身份证书和Vp邮件证书实现电子邮件双签名和加密，使得密信App在收到签名邮件后显示个人姓名和“身份真实可信，数字签名全球信任”，而其他邮件客户端显示“该数字签名是可信的”，从而实现数字签名全球信任和用户身份全球可信。

而单位用户完成身份认证后，密信App为每个单位员工自动配置含有单位名称的单位邮件证书(不限员工数量)，为已经完成单位员工身份认证的员工自动配置含有单位名称和员工姓名的单位员工证书及全球信任的Vp邮件证书。密信App默认使用单位员工证书或单位邮件证书和Vp邮件证书实现电子邮件双签名和加密，实现数字签名全球信任和用户身份全球可信。

3.信创版

信信创版也是收费服务，在免费版基础上增加了实名认证。单位用户完成实名认证后，密信App为每个单位员工自动配置含有单位身份认证信息的密信信任的国密算法单位邮件证书(不限员工数量)，为已经完成单位员工身份认证的员工自动配置含有单位名称和员工姓名的单位员工证书。密信App默认使用国密算法SM2和SM2单位员工证书实现电子邮件数字签名和加密，满足政务邮件用户的国密合规应用需求。

五、小结

总之，密信技术历时多年技术攻关，彻底解决了电子邮件全自动加密的世纪难题，使得全球互联网用户都可以免费全自动加密每一封电子邮件，全自动为每一封电子邮件有身份，全自动让每一封邮件的发送时间可信。同时率先让国密算法也能像RSA算法一样全自动实现电子邮件S/MIME数字签名和加密，让密码算法中国方案也能为全球互联网用户的电子邮件安全保驾护航。密信技术让邮件加密和签名成为默认选项，从而真正保护每一封电子邮件的隐私信息安全。

密信技术让“古老”的电子邮件获得新生并焕发新的活力，明文电子邮件(“明信”)将全部变成了全加密的“密信”！在人们日益重视隐私保护的今天，那些预言电子邮件即将成为历史的人们会惊讶地发现：全加密后电子邮件非但没有成为历史反而继续再创新辉煌的历史新篇章，加密电子邮件是最安全高效的工作通信方式，没有之一！