教學:iPhone電郵用香港eCert

時間 :15:49 取得文章短網址

文章分類 : Apps, eCommerce, eGov, SMB

現代企業間的通訊總離不開電子郵件,尤其是對一些素未謀面的海外客戶,電子郵件更加是最常用到的溝通工具。但其實電子郵件存在不少保安風險,一不留神可能被入侵者有機可乘。電子證書正是能夠讓個人和企業迴避這些風險的最有效工具,今次筆者就來示範如何在 iPhone 上,使用由香港郵政發行的電子證書為郵件進行加密和簽署,杜絕個人訊息外洩的可能性。

電子郵件存在的保安風險。

電子郵件存在的保安風險。

很多人以為收發郵件時必須擁有用家名稱和密碼才能登入郵箱,便代表郵件不會被第三者看到,但這觀念其實並不正確。

因為負責傳送郵件的 SMTP 協定,其實並沒有加密的設計,送件人和收件人就如在一個公眾地方高談闊論一樣,任何人都可能盜聽和竄改郵件的內容,甚至假冒他人名義傳送郵件

1)。在實物的郵件上我們可以利用筆跡和簽名判斷送件人的身份,但電子郵件卻無跡可尋。我們怎樣才可以核實對方的身份?如何才能確保郵件內容在傳送的途中沒有被改動?電子證書便是針對此等問題的解決方案。

電子證書的功能

電子證書主要有兩大功能,分別是為郵件加密和加入數位簽章。加密功能可以令第三者即使成功截聽,也無法得知郵件的內容,自然亦沒辦法竄改郵件。數位簽章可核實對方的身份,確保郵件的確來自對方。現時其中一種國際最廣泛使用的加密和加入數位簽章方式,便是 S/MIME (Secure Multipurpose Internet Mail Extension),送件人利用公開金鑰加密,收件人用私人金鑰解密,這時就需要一份由具公信力的認證機關所發行的電子證書,確保通訊雙方的身份。香港郵政是亞洲其中一個具公信力的電子證書發行機關,申請時必須輸入的個人資料包括需要使用電子證書的電子郵件地址,一星期後將會收到密碼信和載有電子證書的 USB 隨身碟。

密碼信和載有電子證書的 USB 隨身碟。

密碼信和載有電子證書的 USB 隨身碟。

 

匯入電子證書到 iPhone


匯入電子證書之前,首先要到香港郵政網站下載根源證書。

http://www.hongkongpost.gov.hk/product/download/root/index_c.html

需要下載的根源證書共有兩張,分別是 Hongkong Post e-Cert Root CA 1 和 Hongkong Post e-Cert CA 1-10,利用 iPhone 打開以上連結再按「安裝」即可。如果已經安裝證書,灰色鍵將顯示「移除」。接下來將 USB 隨身碟上的電子證書、即延伸檔名為 p12 的檔案,用郵件送給自己,在 iPhone 打開後按連結即可安裝,過程需要輸入密碼信中的密碼。完成後在 iPhone 的「設定」、「一般」、「描述檔」下便會看到已經安裝的電子證書。

用 iPhone 打開以上連結再按「安裝」。

用 iPhone 打開以上連結再按「安裝」。

 

送出含數位簽章的加密郵件


我們先示範如何發出含有簽名的郵件。選取「設定」、「郵件、聯絡資訊、行事曆」下的對應郵件帳號按「進階」,便可在下方打開 S/MIME。打開後可看到「簽名」和「加密」的選項,先將「簽名」設定為「是」,並選擇有自己名字的電子證書,完成後我們便可以發出加密含有簽名的郵件了。

打開 S/MIME 設定。

打開 S/MIME 設定。

要向對方傳送加密郵件,送件人和收件人都需要有電子證書。由於要用對方的公開金鑰加密郵件,故我們必須先取得對方的公開金鑰。取得的方法有兩種,第一種方法是要求對方傳送一封含有簽名的郵件,收到後按送件人的名字便可安裝。第二種方法是從認證機關(此例中便是香港郵政)取得後安裝。完成後在 iPhone 選取「設定」、「郵件、聯絡資訊、行事曆」下的對應郵件帳號按「進階」,打開 S/MIME 可看到「簽名」和「加密」的選項,將「加密」設定為「是」,並選擇有自己名字的電子證書。此時向對方送出郵件,點選收件人名字時,旁邊便會出現已上鎖的圖示。同樣地對方要傳送加密郵件過來前,我們必須向對方傳送一封含有簽名的郵件。

將「加密」設定為「是」。

將「加密」設定為「是」。

收件人名字旁會出現已上鎖的圖示。

收件人名字旁會出現已上鎖的圖示。

收到對方的加密郵件。

收到對方的加密郵件。

 

收件人的設定


不論對方是否有自己的電子證書,都可以收到我們送出的含簽名電子郵件,分別在對方使用的郵件客戶端是否支援 S/MIME。不支援 S/MIME 的郵件客戶端將會收到一個附件為 smime.p7s 的郵件,支援 S/MIME 的郵件客戶端將會收到一個已簽名的郵件,但前提是要匯入上述兩張根源證書。收件人在 iPhone 下依上述方法匯入兩張根源證書後,當收到對方的郵件時,便會發現寄件人名字旁將出現問號,表示郵件含有簽名。縱使送件人的郵件地址已經在收件人的通訊錄中,收件人仍然需要表示信任和安裝證書。方法是選取送件人郵件地址,再選取「信任憑證」、「檢視憑證」和「安裝」,回到郵件中便會發現在送件人的郵件地址旁出現了剔號。

沒有電子證書時送件人名字旁會出現問號。

沒有電子證書時送件人名字旁會出現問號。

郵件含有的簽名。

郵件含有的簽名。

寄件人名字旁將出現剔號。

寄件人名字旁將出現剔號。

使用電腦接收含簽名郵件

當收件人使用 Thunderbird 為客戶端,可選擇「工具」、「選項」、「檢視憑證」,匯入根源證書後按「確定」即可。對方收到郵件時,將在右上角看到代表郵件在傳送過程中並未被開封的圖示,按下便可看到詳細內容。要傳送簽名郵件給別人,或者解密對方傳送過來的加密郵件,便可再匯入延伸檔名為 p12 的電子證書。如果客戶端是 MS Outlook 或 Outlook Express,則不需要匯入根源證書,匯入 p12 電子證書後便可傳送簽名郵件給別人或者解密對方的郵件,只要依照 Certificate Import Wizard 的指示即可。

匯入根源證書後按「確定」。

匯入根源證書後按「確定」。

右上角有代表郵件在傳送過程中並未被開封的圖示。

右上角有代表郵件在傳送過程中並未被開封的圖示。

簽名詳細內容。

簽名詳細內容。

 

香港郵政電子證書
http://www.hongkongpost.gov.hk/
查詢:+852 3669 7669

 

你可能會對以下文章有興趣:

Leave a Reply

Your email address will not be published.