《计算机网络安全防护技术（第二版）》 课件 第3章-任务3.2.2 应用PGP软件加密和探究SSH的加密过程

第3章数据加密技术3.2.2PGP软件在加密上的综合应用3.2.3SSH的加密过程编著：

秦燊劳翠金

对称密钥算法运算速度快，但传输密钥困难；非对称密钥算法不存在传输密钥问题，但运算速度慢。两者结合起来，就能取长补短。一、为三台电脑安装PGPDesktop，生成密钥对。1.启动三台windows虚拟机，都安装上PGPDesktop刚安装完成，软件会弹出PGP密钥生成助手，若还不想生成密钥对，可点击取消按钮，下次启动PGP后，再生成。3.2.2PGP软件在加密上的综合应用1.如图3-2-2所示，启动PGPDesktop，打开如图3-2-3所示的管理界面。图3-2-2打开PGPDesktop图3-2-3PGPDesktop界面2.如图3-2-4所示，点击“文件”/“新建PGP密钥”。图3-2-4新建PGP密钥3.弹出如图3-2-5所示的PGP密钥生成助手，点击“下一步”。图3-2-5PGP密钥生成助手4.如图3-2-6所示，输入全名和主要邮件。图3-2-6分配名称和邮件5.创建口令。在需要使用私钥时，可用现在创建的口令来调用。如图3-2-7所示，按要求输入不少于8位、包含数字和字母的口令。输入完成后，点击“下一步”。图3-2-7创建口令6.如图3-2-8所示，PGP为user1生成了包括公钥和私钥的密钥对。点击“下一步”。在出现的PGP全球名录助手框中，点击“跳过”按钮。图3-2-8密钥生成进度7.如图3-2-9所示，可以查看到user1的密钥对。图3-2-9user1的密钥对8.PGP默认保存私钥的口令，用到私钥时直接调用，不需要用户再次输入口令。若不想我的电话口令，可如图3-2-10所示，先打开菜单“工具”/“选项”，然后按图3-2-11所示，将保护私钥的口令设置成“不保存我的口令”。图3-2-10PGPDesktop选项图3-2-11PGP选项窗口-不保存我的口令9.如图3-2-12和图3-2-13所示，用同样方法，为第二台电脑的user2和第三台电脑的user3分别生成密钥对。10.用同样方法，为第二台电脑的user2和第三台电脑的user3进行私钥“不保存我的口令”的设置。图3-2-12user2的密钥对图3-2-13user3的密钥对二、导出公钥，互相交换公钥。1.如图3-2-14所示，右击user1，选择“导出”。图3-2-14导出user1的公钥2.如图3-2-15所示，选择存储位置，不要勾选“包含私钥”选项，点击“保存”按钮，为user1导出公钥。3.如图3-2-16所示，把user1的公钥拖放到PC2上。图3-2-15user1的公钥保存位置图3-2-16将user1的公钥分发给PC24.如图3-2-17所示，在PC2上，双击user1.asc，点击“导入”。5.如图3-2-18所示，User1的公钥成功的导入到了win2中。图3-2-17导入user1的公钥图3-2-18导入user1的公钥后的界面6.如图3-2-19所示，右击刚导入的user1公钥，选择“签名”。图3-2-19对user1的公钥进行签名7.如图3-2-20所示，在弹出的“PGP签名密钥”框中，点击“确定”按钮。8.如图3-2-21所示，在弹出的“PGP为选择密钥输入口令”对话框中，输入调用user2私钥的口令，为新导入的公钥签名。图3-2-20确认签名图3-2-21输入user2私钥的口令9.如图3-2-22所示，签名后，新导入的公钥“已校验”状态变绿。10.如图3-2-23、3-2-24、3-2-25所示，用同样方法，为user1、user2、user3互传公钥，并为导入的公钥签名。图3-2-22对user1的公钥签名后的结果

图3-2-23为win1导入其它公钥图3-2-24为win2导入其它公钥图3-2-25为win3导入其它公钥

三、在PC1上，新建文件，用user2的公钥加密，发送到PC2和PC3上，观察user2能解密打开文件，但user3不能解密，无法打开加密后的文件。这是因为user2的公钥加密的文件，只有user2的私钥才能解密，user3没有user2的私钥，所以无法解密。1.如图3-2-26所示，在PC1上新建文件test1.txt，右击，选择“PGPDesktop”/“使用密钥保护test1.txt”。图3-2-26使用密钥保护文件2.如图3-2-27所示，在PGP压缩包助手中，选择User2的公钥，并点击“添加”按钮。图3-2-27添加user2的公钥3.如图3-2-28所示，在PGP压缩助手中，签名密钥选择“无”，点击“下一步”按钮。图3-2-28签名密钥选择无并保存4.将加密好的文件传送到win2主机上。5.如图3-2-20所示，在win2主机上，右击加密好的文件test1.txt.pgp，选择“PGPDesktop”/“解密&校验test1.txt.pgp”。图3-2-29win2上解密文件6.如图3-2-30所示，在Win2上弹出的输入口令框中，输入调用user2私钥的口令“123”，点击“确定“按钮。图3-2-30输入user2的私钥解密文件7.通过User2的私钥，能解密并打开测试文件。8.如图3-2-31所示，把加密好的文件test1.txt.pgp传到win3上,右击文件，选择“PGPDesktop”/“解密&校验test1.txt.pgp”。提示“因为您的密钥环不包含user1或user2公钥对应的可用私钥，无法解密“。可见，user3无法解密此加密文件。图3-2-31user3无法解密文件

我们已经在上一章中介绍了使用SSH网管防火墙ASA的方法，SSH是如何加密数据的呢？SSH综合运用了对称密钥和非对称密钥技术，SSH的运行过程如下：1.服务端生成密钥对，包括公钥和私钥。公钥可以公开，用于发给客户端加密数据，对于采用服务端公钥加密的数据，只有服务端相应的私钥才能解密；服务端的私钥不公开，只有服务端才拥有，可以解密用服务端公钥加过密的数据。2.客户端向服务端发起SSH连接请求。3.服务端向客户端发起版本协商，确定是使用版本1还是版本2。4.协商结束后服务端发送服务端的公钥给客户端，在此之前，所有通信都是不加密的。5.客户端的用户通过核验服务端发来的公钥的MD5值，核验公钥的真伪，如果公钥没有问题，则接收此公钥，并产生一个随机数，用此公钥来加密这个随机数，这个随机数可用于计算双方加密数据用的对称密钥，该对称密钥加密的数据，可以用该对称密钥来解密。6.客户端将已经用服务端公钥加密过的随机数发送给服务端。7.服务端获得已加密的随机数后，用服务器的私钥解密