第2章信息加密技术3使用PGP混合加密工具进行加密、解密与数字签名

word文档精品文档分享三、使用PGP混合加密工具进展加密、解密与数字签名1、PGP简介PGP(PreetyGoodPrivacy)是基于一种公钥原理(PublicKey)——RSA的软件,公钥理论是在1976年WhitfieldDiffle及MartinHellman共同提出的，1977年由三位MIT〔MassachusettsInstituteofTechnology麻省理工学院〕教授建立了实际方法,于是大家利用他们的名字称之为Rivest-Shamir-Adleman，也就是著名的RSA方法。PGP提供了可以用于E-mail和文件存储和应用的XX与鉴别效劳，选择最可用的加密算法作为系统的构造模块，且将这些算法集成到一个通用的应用程序中，该程序独立于操作系统和处理器，且基于一个使用方便的小命令集。PGP程序和文档在Internet上公开，由于其免费，可用于多平台，使用生命力和平安性都为公众认可的算法等等的特点，使PGP在全世界X围内，各个领域都有广泛的应用，根据?财富?的排名，十大商业银行中90%，十大制药企业中80％，十大XX机构中的80％，十大能源机构中70％，前15位宇航及防御系统相关企业中73％，前20位电信公司的75％，前20位汽车相关制造企业中70％，都在使用PGP进展电子及其它重要数据的加密。RSA公钥体系满足XX性〔 privacy〕和公证性〔authentication〕。PGP的创造性在于他RSA公钥体系的方便和传统加密体系的高度结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计。RSA(Rivest-Shamir-Adleman)算法是基于大数不可能被质因数分解假设的公钥体系。简单地说就是找两个很大的质数。一个对外公开，一个不告诉任何人。公开的一个称为“公钥〞，另一个叫“私钥〞〔Prblickey&SecretkeyorPrivatekey〕。这两个密钥是互补的，也就是说用公钥加密的密文只可以用私钥解密，反过来也一样。PGP的数字签名是利用一个叫“文摘〞的功能，“文摘〞〔messagedigest〕，简单地讲就是对一封用某种算法算出一个最能表达这封特征的数来，一旦有任何改变这个数都会发生变化，那么这个数加上用户的名字〔实际上在用户的密钥里〕和日期等等，就可以作为一个签名了，确切地说PGP是用一个128位的二进制数进展为“文摘〞的，用来产生它的算法就是MD5〔MessageDigest5〕，MD5的提出者是RonRirest，PGP中使用的代码是由ColinPlumb编写的MD5，MD5是一种单向散列算法，它不像校验码，是一份替代的并且与原件具有同样的MD5特征值。PGP还可以只签名而不加密，这适用于公开发表声明时，声明人为了证实自己的身份〔在网络上只能如此了〕，可以用自己的私签名，这样就可以让收件人能确认发信人的身份，也可以防止发信人抵赖自己的声明。这一点在电子政务、电子商务领域都有很大的应用前途，它可以防止发信人抵赖和信件被途中篡改。在PGP使用中要注意以下几个问题：〔１〕没有正确的使用PGP进展加密PGP不正确的操作，可能将只会把讯息予以签名，而并不予以加密。在这种状态下结果看起来好似是加密了，其实不然，全世界的任何人都可以将其恢复为原来的文字。〔２〕的自动回复功能暴露内容通过欺骗收件人对进展回复，互联网黑客能够破解加密的电子。截取电子的黑客只要对电子重新包装，并致给收件人。发给收件人的电子将显示乱七八糟的信息，很可能促使收件人要求发件人重新致一次。如果收件人将收到的内容连同请word文档精品文档分享求一块致给发件人━━一般用户都会将电子客户端软件配置成这样，黑客就能够读取原来的电子内容。许多PGP软件在致电子前都会对电子进展压缩。压缩在许多情况下会对非法的解译构成一定的困难。而新版OpenPGP标准已经发布了解决了这一问题。〔３〕PGP处理长文件名时的漏洞PGP企业版7.1.0和7.1.1中PGP处理加密文件中的长文件名时出现的，PGP对文件名长于200个字符的文件进展加密/解密就会出现问题，当PGP对文件解密时会导致内存溢出，从而引发平安隐患。黑客可以控制接收人的计算机，提高其在局域网中的权限。2、PGP的安装PGP的安装很简单，和平时的软件安装一样，只须按提示一步步“Next〞完成即可。下面以8.1版本为例讲解其安装过程，其他版本的安装类似。下载软件后，运行pgp8.exe文件开场安装。图1安装欢送界面word文档精品文档分享图2承受PGP公司的协议word文档精品文档分享3安装时对PGP8.1.0Windows版本的介绍图4选择用户类型word文档精品文档分享图5选择安装路径word文档精品文档分享接下来选择要安装的组件，其中，第一个选项是关于磁盘加密的功能；第二个选项是ICQ的加密功能；第三四个选项是关于OUTLOOK或者OTLOOKEXPRESS加密的功能；最后一个选项适用于群发的加密。用户可以根据自己的需要进展组件选择，一般情况下，默认安装就可以。图6选择要安装的PGP组件，一般按默认的选择即可图7安装正在进展中word文档精品文档分享图8安装完成后要重新启动计算机图9选择PGP菜单重新启动后，系统自动运行PGP注册程序。你也可以暂时取消注册，在以后进展注册。启动计算机后，在屏幕右下角任务栏会出现一个黄色的“小锁〞，这是PGP的标志，在这个标志上右键点击会弹出菜单，可进展各种操作，其中点击“License⋯〞选项，即可翻开注册窗口。10PGP注册界面请输入以下相应的注册信息：word文档精品文档分享Name:PGPDesktopword文档精品文档分享Orgnization:PGPEnterpriseword文档精品文档分享LicenseNumber:CUCDX-4YGY5-KRJVJ-TBN6R-3E9UB-EMCword文档精品文档分享点击“Manual〞进展手动注册，在下方输入以下信息：LicenseAuthorization:word文档精品文档分享-----BEGINPGPLICENSEAUTHORIZATION-----ADIAApAAAJ4gWeOov9Nr/gJ1TaVQz2olNEx1zACggvH4tuOArH1Swb22sB9Nmx7YC6w=-----ENDPGPLICENSEAUTHORIZATION-----11手动注册PGP输入以后，点击“ Authorize〞进展注册授权。然后点击“OK〞按钮进展确认。word文档精品文档分享图12确认注册信息word文档精品文档分享接下来会自动运行向导，我们在这里点击“取消〞按钮，退出向导。为方便使用，建议安装PGP的汉化程序。注意：在安装PGP时，最好关闭其他应用程序。安装完成之后，可以进入选项查看有关设置。右键单击屏幕右下角PGP标志，在弹出的菜单中选择“选项〞，可以看到PGP选项中包含常规、文件、、热键、效劳器、CA、高级和PGPdisk8个选项卡，根据自己的需要进展相应设置即可。其中，“文件〞标签里有存放公钥和私钥的地址，以后所建的所有公钥和私钥都存放在这两个目录中，可以在此处更改存放路径。图13公钥和私钥存放目录3、密钥生成与导出使用PGP之前，首先需要生成一对密钥，这一对密钥其实是同时生成的，一个称为公钥，可以把它分发给其他人，让他们用这个密钥来加密文件，另一个称为私钥，这个密钥由自己保存，用这个私钥来解开加密文件。安装完毕后，运行PGP程序。从“开场〞菜单中选择“PGP〞中的“PGPKeys〞。在PGPKeys的窗口中，选择“密钥〞菜单下的“新建密钥〞选项。word文档精品文档分享14PGPKeys的工作窗口word文档精品文档分享PGP有很好的创立密钥对的向导，跟着向导很容易生成一对密钥。15PGP密钥对的生成向导每一对密钥都对应着一个确定的用户。用户名不一定要真实，但是要方便通信者看到该用户名能知道这个用户名对应的真实的人；地址也是一样不需要真实，但是要能方便与你通信的人在多个公钥中快速的找出你的公钥。例如，大家都熟悉你的名字叫X三，那你的用户名和地址都含有X三的名字，就很容易让别人知道这个公钥是你的；如果你起了一个其他的名字，类似“天天下雨〞或者“五月的海〞，那其他与你通信的人很容易不记得这个名字到底是谁，因此在选择公钥的时候，自然很难找出你的公钥。word文档精品文档分享图16输入XX和 Email地址以方便他人识别你的公钥word文档精品文档分享密钥对的私钥还必须进一步用密码加密，这个加密是对你的私钥加密。这个密码非常重要，切记不要泄漏了，为平安起见，密码长度至少8位，而且应该包含非字母的字符。图17为私钥设置密码接下来，软件生成密钥对。word文档精品文档分享图18生成密钥对word文档精品文档分享19完成密钥生成至此，密钥对生成完毕，PGP窗口显示刚刚生成的密钥。图20显示密钥接着导出公钥，把公钥作为一个文件保存在硬盘上，并把公钥文件致给你希望进展平安通信的联系人。在密钥上单击右键，选择“导出〞选项。word文档精品文档分享图21在右键菜单中导入密钥在导出窗口中，选择导出路径和文件名，注意，如果只是要把公钥发给其他人，不要勾选中“包含私钥〞。在导出公钥以后，可以同样导出私钥，只是在下列图中勾选中“包含私钥〞，不要勾选中“包含6.0公钥〞。word文档精品文档分享图22导出公钥公钥导出之后，接下来就致给需要跟你进展平安通信的人。你可以通过Email方式传word文档精品文档分享送公钥或者把你的公钥放在公钥效劳器上以供别人查找下载。也可以通过其他的传送方式。不过，由于在传送的过程公钥是没有采用平安机制传送，因此存在公钥被人窃取的可能。为了更加平安，双方可以根据环境选择一个比拟平安的环境来传送公钥。在本节的实验过程中，实验者互相通过Email传送公钥，例如，用户A和用户B要互相通信，那么A需要把自己的公钥传递给B，而B需要把自己的公钥传递给A。当然，双方都要安装有PGP系统。收到对方的公钥之后，双击该公钥文件，在弹出的窗口中点击“导入〞，即可完成对方公钥的导入。图23导入公钥4、文件加密与解密有了对方的公钥之后就可以用对方公钥对文件进展加密，然后再传送给对方。具体操作如下：右键选中要加密的文件，然后选择“PGP〞——“加密〞。word文档精品文档分享图24选择“加密〞对文件加密然后在密钥选择对话框中，选择要承受文件的接收者。注意，用户所持有的密钥全部列出在对话框的上局部，选择要接收文件人的公钥，将其公钥拖到对话框的下局部，点击“确定〞，并且为加密文件设置保存路径和文件名。word文档精品文档分享25选择需要用来加密的公钥在这里有两种加密方法可以选择。其一是传统的对称加密法，即常规加密法，另一种是非对称加密法。下面分别简单介绍。1〕对称加密法在上图中选择“常规加密〞复选框，确定之后，出现输入常规加密的密码，以便在解密时使用。图26输入加密密码输入好密码后，单击确定按钮即完成了文件的加密。此时在被加密文件位置就出现了已经加密好的文件。27加密后的文件这个加密好的文件图标上会有一个小锁，文件的扩展名会多一个“.pgp〞，说明它是采word文档精品文档分享PGP进展加密后的文件。这样就可以将加密后的文件复制或传送给别人了。收到加密文件的人，只需要双击该加密文件，就会弹出输入密码窗口，正确输入之后，文件就会被正确解密，文件的原内容就可以查看了。图28输入解密密码窗口〔2〕非对称加密法使用非对称加密算法进展加密时，与对称加密时类似。重新选择一个文件，在右键弹出菜单中选择“PGP〞——“加密〞，即可翻开如图24所示的窗口，此时不要勾选中下方任何一个复选框，直接在接收人里选择前面建立的公私钥对。29拖放公钥单击确定按钮后就会直接出现加密好的文件，不需要再输入密码。这个加密后的文件表面看起来和刚刚对称加密法加密的文件一样，但是实际的加密原理是不同。使用这种方式即为非对称加密方法。当对方〔发布公钥的人〕收到加密的文件之后，只要用鼠标双击这个加密的文件，就会出现如下列图的界面。word文档精品文档分享图30输入私钥密码此时输入创立密钥时的密码，就会解密文件，明文就可以被直接查看了。并且以后只要不修改其文件名，在本机上就可以直接解密，不用再输入密码。整个加密解密的根本流程如下列图所示：用户A用户B生成密钥导出公钥收到A的公钥导入导出私钥传递用A的公钥收到加密文件加密文件解密文件图31加密解密根本流程5、利用PGP进展数字签名word文档精品文档分享由于公钥是发放给其他人使用的，那么在公钥发放的过程中，存在公钥被人替换的可能。此时，假设有一个人对此公钥是否真正属于某个用户的公钥做出证明，那么该公钥的可信任度就比拟高。如果A很熟悉B，并且能断定某公钥是B的，并没有人把该公钥替换或者篡改的话，那么可以对B的公钥进展数字签名，以自己的名义保证B的公钥的真实性。具体操作为：运行“开场〞—“PGP〞—“PGPKeys〞，选中要进展签名的公钥，然后此时，选择该用户的公钥，并且选中“允许该签名被导出，有些也许还依靠你的签名〞点击“确定〞。，word文档精品文档分享32选中下方的选项以便该被签字的公钥可以导出输入私钥的密码，点击“OK〞。这样，对公钥的签字就完成了。图33输入密码进展数字签名值得提醒的是，公钥和私钥都可以实现加密的功能，但是当要进展数字签名的时候，就只能使用私钥而不能用公钥。因为私钥只为用户一个人掌握，所以，该私钥能说明他的身份，确定该信息只有他一个人才能发出。在没有进展签名以前，在PGPkeys窗口中，密钥右边的有效性下显示为灰色小圆点，如下列图所示：word文档精品文档分享在进展签名以后，密钥的有效性显示为绿色小圆点。word文档精品文档分享签名以后，在PGPkeys窗口中右键单击该密钥，选择“密钥属性〞，在翻开的属性窗口中，右下方可将密钥调整为信任状态。word文档精品文档分享我们也可以对文件进展签名和加密。操作如下：选择要进展签名的文件，点击右键，选择“签名〞。要注意的是，对文件签名只能证明是你发出该文件，但是文件的内容并没有被加密，同时，进展数字签名时，在意的是说明该文件是从自己这里发出，因此对于文件的内容并不在意被别人看到，经过数字签名的文件要同原明文文件一同致给对方，对方才能验证数字签名是否有效。如果同时要说明文件从自己这里发出，同时又要对文件的信息XX，那么就在右键点击该文件后，在弹出菜单中选择“签名&加密〞选项。同样的，在选择密钥的对话框中，从对话框上部的密钥列表中，选择接收文件的用户拖word文档精品文档分享到对话框的下部，点击“确定〞。确定接收人后，输入私钥的密码，进展数字签名或数字签名和加密。6、使用PGP和OutlookExpress致加密的电子〔1〕致加密的电子例如：studentA@gmail〔A〕向 studentB@gmail〔B〕发信〕A通过OutlookExpress编写内容注意：如果致包含敏感信息的，那么标题栏必须为空白或标题内容不能包含泄露正文内容的信息。②当完成正文的编写后，点击工具栏右侧“?〞，然后选择“加密信息〔PGP〕〞加密正文，用对方的公钥进展加密。word文档精品文档分享点击“签名信息〔PGP〕〞，用自己的私钥对信件内容进展签名。也可以在创立新窗口的“工具〞菜单下点中“使用PGP加密〞和“使用PGP数字word文档精品文档分享签名〞。word文档精品文档分享选中以后，且内容也填写好，可单击“致〞按钮，会出现输入密码窗口，输入自己的私钥密码，单击确定即可完成对内容的数字签名与加密，同时OutlookExpress会把致给对方。在致完毕后，你也可以在Outlook Express中已致中查看刚刚致的，可看到加密后的情况，如下列图：word文档精品文档分享可以看到，内容显示为乱码。〔2〕电子的接收