三、使用PGP混合加密工具進(jìn)行加密、解密與數(shù)字署名1、PGP簡(jiǎn)介PGP(PreetyGoodPrivacy)是基于一種公鑰原理(PublicKey)——RSA的軟件,公鑰理論是在1976年WhitfieldDiffle及MartinHellman共同提出的，1977年由三位MIT（MassachusettsInstituteofTechnology麻省理工學(xué)院）專家建立了實(shí)際方法,于是大家運(yùn)用他們的名字稱之為Rivest-Shamir-Adleman，也就是著名的RSA方法。PGP提供了可以用于E-mail和文獻(xiàn)存儲(chǔ)和應(yīng)用的保密與鑒別服務(wù)，選擇最可用的加密算法作為系統(tǒng)的構(gòu)造模塊，且將這些算法集成到一個(gè)通用的應(yīng)用程序中，該程序獨(dú)立于操作系統(tǒng)和解決器，且基于一個(gè)使用方便的小命令集。PGP程序和文檔在Internet上公開(kāi)，由于其免費(fèi)，可用于多平臺(tái)，使用生命力和安全性都為公眾認(rèn)可的算法等等的特點(diǎn)，使PGP在全世界范圍內(nèi)，各個(gè)領(lǐng)域都有廣泛的應(yīng)用，根據(jù)《財(cái)富》的排名，十大商業(yè)銀行中90%，十大制藥公司中80％，十大健康機(jī)構(gòu)中的80％，十大能源機(jī)構(gòu)中70％，前15位宇航及防御系統(tǒng)相關(guān)公司中73％，前20位電信公司的75％，前20位汽車相關(guān)制造公司中70％，都在使用PGP進(jìn)行電子郵件及其它重要數(shù)據(jù)的加密。RSA公鑰體系滿足保密性（privacy）和公證性（authentication）。PGP的發(fā)明性在于他把RSA公鑰體系的方便和傳統(tǒng)加密體系的高度結(jié)合起來(lái)，并且在數(shù)字署名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)。RSA(Rivest-Shamir-Adleman)算法是基于大數(shù)不也許被質(zhì)因數(shù)分解假設(shè)的公鑰體系。簡(jiǎn)樸地說(shuō)就是找兩個(gè)很大的質(zhì)數(shù)。一個(gè)對(duì)外公開(kāi)，一個(gè)不告訴任何人。公開(kāi)的一個(gè)稱為“公鑰”，另一個(gè)叫“私鑰”（Prblickey&SecretkeyorPrivatekey）。這兩個(gè)密鑰是互補(bǔ)的，也就是說(shuō)用公鑰加密的密文只可以用私鑰解密，反過(guò)來(lái)也同樣。PGP的數(shù)字署名是運(yùn)用一個(gè)叫“郵件文摘”的功能，“郵件文摘”（messagedigest），簡(jiǎn)樸地講就是對(duì)一封郵件用某種算法算出一個(gè)最能體現(xiàn)這封郵件特性的數(shù)來(lái)，一旦郵件有任何改變這個(gè)數(shù)都會(huì)發(fā)生變化，那么這個(gè)數(shù)加上用戶的名字（事實(shí)上在用戶的密鑰里）和日期等等，就可以作為一個(gè)署名了，確切地說(shuō)PGP是用一個(gè)128位的二進(jìn)制數(shù)進(jìn)行為“郵件文摘”的，用來(lái)產(chǎn)生它的算法就是MD5（MessageDigest5），MD5的提出者是RonRirest，PGP中使用的代碼是由ColinPlumb編寫的MD5，MD5是一種單向散列算法，它不像校驗(yàn)碼，是一份替代的郵件并且與原件具有同樣的MD5特性值。PGP還可以只署名而不加密，這合用于公開(kāi)發(fā)表聲明時(shí)，聲明人為了證實(shí)自己的身份（在網(wǎng)絡(luò)上只能如此了），可以用自己的私署名，這樣就可以讓收件人能確認(rèn)發(fā)信人的身份，也可以防止發(fā)信人抵賴自己的聲明。這一點(diǎn)在電子政務(wù)、電子商務(wù)領(lǐng)域都有很大的應(yīng)用前程，它可以防止發(fā)信人抵賴和信件被途中篡改。在PGP使用中要注意以下幾個(gè)問(wèn)題：（１）沒(méi)有對(duì)的的使用PGP進(jìn)行加密對(duì)PGP不對(duì)的的操作，也許將只會(huì)把訊息予以署名，而并不予以加密。在這種狀態(tài)下結(jié)果看起來(lái)仿佛是加密了，其實(shí)不然，全世界的任何人都可以將其恢復(fù)為本來(lái)的文字。（２）郵件的自動(dòng)回復(fù)功能暴露郵件內(nèi)容通過(guò)欺騙收件人對(duì)郵件進(jìn)行回復(fù)，互聯(lián)網(wǎng)黑客可以破解加密的電子郵件。截取電子郵件的黑客只要對(duì)電子郵件重新包裝，并發(fā)送給收件人。發(fā)給收件人的電子郵件將顯示亂七八糟的信息，很也許促使收件人規(guī)定發(fā)件人重新發(fā)送一次。假如收件人將收到的郵件內(nèi)容連同請(qǐng)求一塊發(fā)送給發(fā)件人━━一般用戶都會(huì)將電子郵件客戶端軟件配置成這樣，黑客就可以讀取本來(lái)的電子郵件內(nèi)容。許多PGP軟件在發(fā)送電子郵件前都會(huì)對(duì)電子郵件進(jìn)行壓縮。壓縮在許多情況下會(huì)對(duì)非法的解譯構(gòu)成一定的困難。而新版OpenPGP標(biāo)準(zhǔn)已經(jīng)發(fā)布了解決了這一問(wèn)題。（３）PGP解決長(zhǎng)文獻(xiàn)名時(shí)的漏洞PGP公司版7.1.0和7.1.1中PGP解決加密文獻(xiàn)中的長(zhǎng)文獻(xiàn)名時(shí)出現(xiàn)的，PGP對(duì)文獻(xiàn)名長(zhǎng)于200個(gè)字符的文獻(xiàn)進(jìn)行加密/解密就會(huì)出現(xiàn)問(wèn)題，當(dāng)PGP對(duì)文獻(xiàn)解密時(shí)會(huì)導(dǎo)致內(nèi)存溢出，從而引發(fā)安全隱患。黑客可以控制郵件接受人的計(jì)算機(jī)，提高其在局域網(wǎng)中的權(quán)限。2、PGP的安裝PGP的安裝很簡(jiǎn)樸，和平時(shí)的軟件安裝同樣，只須按提醒一步步“Next”完畢即可。下面以8.1版本為例講解其安裝過(guò)程，其他版本的安裝類似。下載軟件后，運(yùn)營(yíng)pgp8.exe文獻(xiàn)開(kāi)始安裝。圖1安裝歡迎界面圖2接受PGP公司的協(xié)議圖3安裝時(shí)對(duì)PGP8.1.0Windows版本的介紹圖4選擇用戶類型圖5選擇安裝途徑接下來(lái)選擇要安裝的組件，其中，第一個(gè)選項(xiàng)是關(guān)于磁盤加密的功能；第二個(gè)選項(xiàng)是ICQ的郵件加密功能；第三四個(gè)選項(xiàng)是關(guān)于OUTLOOK或者OTLOOKEXPRESS郵件加密的功能；最后一個(gè)選項(xiàng)合用于群發(fā)郵件的加密。用戶可以根據(jù)自己的需要進(jìn)行組件選擇，一般情況下，默認(rèn)安裝就可以。圖6選擇要安裝的PGP組件，一般按默認(rèn)的選擇即可圖7安裝正在進(jìn)行中圖8安裝完畢后要重新啟動(dòng)計(jì)算機(jī)圖9選擇PGP菜單重新啟動(dòng)后，系統(tǒng)自動(dòng)運(yùn)營(yíng)PGP注冊(cè)程序。你也可以暫時(shí)取消注冊(cè)，在以后進(jìn)行注冊(cè)。啟動(dòng)計(jì)算機(jī)后，在屏幕右下角任務(wù)欄會(huì)出現(xiàn)一個(gè)黃色的“小鎖”，這是PGP的標(biāo)志，在這個(gè)標(biāo)志上右鍵點(diǎn)擊會(huì)彈出菜單，可進(jìn)行各種操作，其中點(diǎn)擊“License…”選項(xiàng)，即可打開(kāi)注冊(cè)窗口。圖10PGP注冊(cè)界面請(qǐng)輸入以下相應(yīng)的注冊(cè)信息：Name:PGPDesktopOrgnization:PGPEnterpriseLicenseNumber:CUCDX-4YGY5-KRJVJ-TBN6R-3E9UB-EMC點(diǎn)擊“Manual”進(jìn)行手動(dòng)注冊(cè)，在下方輸入以下信息：LicenseAuthorization:BEGINPGPLICENSEAUTHORIZATIONADIAApAAAJ4gWeOov9Nr/gJ1TaVQz2olNEx1zACggvH4tuOArH1Swb22sB9Nmx7YC6w=ENDPGPLICENSEAUTHORIZATION圖11手動(dòng)注冊(cè)PGP輸入以后，點(diǎn)擊“Authorize”進(jìn)行注冊(cè)授權(quán)。然后點(diǎn)擊“OK”按鈕進(jìn)行確認(rèn)。圖12確認(rèn)注冊(cè)信息接下來(lái)會(huì)自動(dòng)運(yùn)營(yíng)向?qū)?，我們?cè)谶@里點(diǎn)擊“取消”按鈕，退出向?qū)А榉奖闶褂?，建議安裝PGP的漢化程序。注意：在安裝PGP時(shí)，最佳關(guān)閉其他應(yīng)用程序。安裝完畢之后，可以進(jìn)入選項(xiàng)查看有關(guān)設(shè)立。右鍵單擊屏幕右下角PGP標(biāo)志，在彈出的菜單中選擇“選項(xiàng)”，可以看到PGP選項(xiàng)中包含常規(guī)、文獻(xiàn)、郵件、熱鍵、服務(wù)器、CA、高級(jí)和PGPdisk8個(gè)選項(xiàng)卡，根據(jù)自己的需要進(jìn)行相應(yīng)設(shè)立即可。其中，“文獻(xiàn)”標(biāo)簽里有存放公鑰和私鑰的地址，以后所建的所有公鑰和私鑰都存放在這兩個(gè)目錄中，可以在此處更改存放途徑。圖13公鑰和私鑰存放目錄3、密鑰生成與導(dǎo)出使用PGP之前，一方面需要生成一對(duì)密鑰，這一對(duì)密鑰其實(shí)是同時(shí)生成的，一個(gè)稱為公鑰，可以把它分發(fā)給其別人，讓他們用這個(gè)密鑰來(lái)加密文獻(xiàn)，另一個(gè)稱為私鑰，這個(gè)密鑰由自己保存，用這個(gè)私鑰來(lái)解開(kāi)加密文獻(xiàn)。安裝完畢后，運(yùn)營(yíng)PGP程序。從“開(kāi)始”菜單中選擇“PGP”中的“PGPKeys”。在PGPKeys的窗口中，選擇“密鑰”菜單下的“新建密鑰”選項(xiàng)。圖14PGPKeys的工作窗口PGP有很好的創(chuàng)建密鑰對(duì)的向?qū)?，跟著向?qū)Ш苋菀咨梢粚?duì)密鑰。圖15PGP密鑰對(duì)的生成向?qū)恳粚?duì)密鑰都相應(yīng)著一個(gè)擬定的用戶。用戶名不一定要真實(shí)，但是要方便通信者看到該用戶名能知道這個(gè)用戶名相應(yīng)的真實(shí)的人；郵件地址也是同樣不需要真實(shí)，但是要能方便與你通信的人在多個(gè)公鑰中快速的找出你的公鑰。例如，大家都熟悉你的名字叫張三，那你的用戶名和地址都具有張三的名字，就很容易讓別人知道這個(gè)公鑰是你的；假如你起了一個(gè)其他的名字，類似“天天下雨”或者“五月的?！保瞧渌c你通信的人很容易不記得這個(gè)名字到底是誰(shuí)，因此在選擇公鑰的時(shí)候，自然很難找出你的公鑰。圖16輸入姓名和Email地址以方便別人辨認(rèn)你的公鑰密鑰對(duì)的私鑰還必須進(jìn)一步用密碼加密，這個(gè)加密是對(duì)你的私鑰加密。這個(gè)密碼非常重要，牢記不要泄漏了，為安全起見(jiàn)，密碼長(zhǎng)度至少8位，并且應(yīng)當(dāng)包含非字母的字符。圖17為私鑰設(shè)立密碼接下來(lái)，軟件生成密鑰對(duì)。圖18生成密鑰對(duì)圖19完畢密鑰生成至此，密鑰對(duì)生成完畢，PGP窗口顯示剛才生成的密鑰。圖20顯示密鑰接著導(dǎo)出公鑰，把公鑰作為一個(gè)文獻(xiàn)保存在硬盤上，并把公鑰文獻(xiàn)發(fā)送給你希望進(jìn)行安全通信的聯(lián)系人。在密鑰上單擊右鍵，選擇“導(dǎo)出”選項(xiàng)。圖21在右鍵菜單中導(dǎo)入密鑰在導(dǎo)出窗口中，選擇導(dǎo)出途徑和文獻(xiàn)名，注意，假如只是要把公鑰發(fā)給其別人，不要勾選中“包含私鑰”。在導(dǎo)出公鑰以后，可以同樣導(dǎo)出私鑰，只是在下圖中勾選中“包含私鑰”，不要勾選中“包含6.0公鑰”。圖22導(dǎo)出公鑰公鑰導(dǎo)出之后，接下來(lái)就發(fā)送給需要跟你進(jìn)行安全通信的人。你可以通過(guò)Email方式傳送公鑰或者把你的公鑰放在公鑰服務(wù)器上以供別人查找下載。也可以通過(guò)其他的傳送方式。但是，由于在傳送的過(guò)程公鑰是沒(méi)有采用安全機(jī)制傳送，因此存在公鑰被人竊取的也許。為了更加安全，雙方可以根據(jù)環(huán)境選擇一個(gè)比較安全的環(huán)境來(lái)傳送公鑰。在本節(jié)的實(shí)驗(yàn)過(guò)程中，實(shí)驗(yàn)者互相通過(guò)Email傳送公鑰，例如，用戶A和用戶B要互相通信，則A需要把自己的公鑰傳遞給B，而B(niǎo)需要把自己的公鑰傳遞給A。當(dāng)然，雙方都要安裝有PGP系統(tǒng)。收到對(duì)方的公鑰之后，雙擊該公鑰文獻(xiàn)，在彈出的窗口中點(diǎn)擊“導(dǎo)入”，即可完畢對(duì)方公鑰的導(dǎo)入。圖23導(dǎo)入公鑰4、文獻(xiàn)加密與解密有了對(duì)方的公鑰之后就可以用對(duì)方公鑰對(duì)文獻(xiàn)進(jìn)行加密，然后再傳送給對(duì)方。具體操作如下：右鍵選中要加密的文獻(xiàn)，然后選擇“PGP”——“加密”。圖24選擇“加密”對(duì)文獻(xiàn)加密然后在密鑰選擇對(duì)話框中，選擇要接受文獻(xiàn)的接受者。注意，用戶所持有的密鑰所有列出在對(duì)話框的上部分，選擇要接受文獻(xiàn)人的公鑰，將其公鑰拖到對(duì)話框的下部分，點(diǎn)擊“擬定”，并且為加密文獻(xiàn)設(shè)立保存途徑和文獻(xiàn)名。圖25選擇需要用來(lái)加密的公鑰在這里有兩種加密方法可以選擇。其一是傳統(tǒng)的對(duì)稱加密法，即常規(guī)加密法，另一種是非對(duì)稱加密法。下面分別簡(jiǎn)樸介紹。（1）對(duì)稱加密法在上圖中選擇“常規(guī)加密”復(fù)選框，擬定之后，出現(xiàn)輸入常規(guī)加密的密碼，以便在解密時(shí)使用。圖26輸入加密密碼輸入好密碼后，單擊擬定按鈕即完畢了文獻(xiàn)的加密。此時(shí)在被加密文獻(xiàn)位置就出現(xiàn)了已經(jīng)加密好的文獻(xiàn)。圖27加密后的文獻(xiàn)這個(gè)加密好的文獻(xiàn)圖標(biāo)上會(huì)有一個(gè)小鎖，文獻(xiàn)的擴(kuò)展名會(huì)多一個(gè)“.pgp”，表白它是采用PGP進(jìn)行加密后的文獻(xiàn)。這樣就可以將加密后的文獻(xiàn)復(fù)制或傳送給別人了。收到加密文獻(xiàn)的人，只需要雙擊該加密文獻(xiàn)，就會(huì)彈出輸入密碼窗口，對(duì)的輸入之后，文獻(xiàn)就會(huì)被對(duì)的解密，文獻(xiàn)的原內(nèi)容就可以查看了。圖28輸入解密密碼窗口（2）非對(duì)稱加密法使用非對(duì)稱加密算法進(jìn)行加密時(shí)，與對(duì)稱加密時(shí)類似。重新選擇一個(gè)文獻(xiàn)，在右鍵彈出菜單中選擇“PGP”——“加密”，即可打開(kāi)如圖24所示的窗口，此時(shí)不要勾選中下方任何一個(gè)復(fù)選框，直接在接受人里選擇前面建立的公私鑰對(duì)。圖29拖放公鑰單擊擬定按鈕后就會(huì)直接出現(xiàn)加密好的文獻(xiàn)，不需要再輸入密碼。這個(gè)加密后的文獻(xiàn)表面看起來(lái)和剛才對(duì)稱加密法加密的文獻(xiàn)同樣，但是實(shí)際的加密原理是不同。使用這種方式即為非對(duì)稱加密方法。當(dāng)對(duì)方（發(fā)布公鑰的人）收到加密的文獻(xiàn)之后，只要用鼠標(biāo)雙擊這個(gè)加密的文獻(xiàn)，就會(huì)出現(xiàn)如下圖的界面。圖30輸入私鑰密碼此時(shí)輸入創(chuàng)建密鑰時(shí)的密碼，就會(huì)解密文獻(xiàn)，明文就可以被直接查看了。并且以后只要不修改其文獻(xiàn)名，在本機(jī)上就可以直接解密，不用再輸入密碼。整個(gè)加密解密的基本流程如下圖所示：用戶A用戶A用戶B生成密鑰導(dǎo)出公鑰導(dǎo)出私鑰收到A的公鑰導(dǎo)入用A的公鑰加密文獻(xiàn)收到加密文獻(xiàn)解密文獻(xiàn)傳遞圖31加密解密基本流程5、運(yùn)用PGP進(jìn)行數(shù)字署名由于公鑰是發(fā)放給其別人使用的，那么在公鑰發(fā)放的過(guò)程中，存在公鑰被人替換的也許。此時(shí)，若有一個(gè)人對(duì)此公鑰是否真正屬于某個(gè)用戶的公鑰做出證明，那么該公鑰的可信任度就比較高。假如A很熟悉B，并且能斷定某公鑰是B的，并沒(méi)有人把該公鑰替換或者篡改的話，那么可以對(duì)B的公鑰進(jìn)行數(shù)字署名，以自己的名義保證B的公鑰的真實(shí)性。具體操作為：運(yùn)營(yíng)“開(kāi)始”—“PGP”—“PGPKeys”，選中要進(jìn)行署名的公鑰，然后右鍵，選擇“署名”進(jìn)行署名。此時(shí)，選擇該用戶的公鑰，并且選中“允許該署名被導(dǎo)出，有些也許還依靠你的署名”，點(diǎn)擊“擬定”。圖32選中下方的選項(xiàng)以便該被簽字的公鑰可以導(dǎo)出輸入私鑰的密碼，點(diǎn)擊“OK”。這樣，對(duì)公鑰的簽字就完畢了。圖33輸入密碼進(jìn)行數(shù)字署名值得提醒的是，公鑰和私鑰都可以實(shí)現(xiàn)加密的功能，但是當(dāng)要進(jìn)行數(shù)字署名的時(shí)候，就只能使用私鑰而不能用公鑰。由于私鑰只為用戶一個(gè)人掌握，所以，該私鑰能表白他的身份，擬定該信息只有他一個(gè)人才干發(fā)出。在沒(méi)有進(jìn)行署名以前，在PGPkeys窗口中，密鑰右邊的有效性下顯示為灰色小圓點(diǎn)，如下圖所示：在進(jìn)行署名以后，密鑰的有效性顯示為綠色小圓點(diǎn)。署名以后，在PGPkeys窗口中右鍵單擊該密鑰，選擇“密鑰屬性”，在打開(kāi)的屬性窗口中，右下方可將密鑰調(diào)整為信任狀態(tài)。我們也可以對(duì)文獻(xiàn)進(jìn)行署名和加密。操作如下：選擇要進(jìn)行署名的文獻(xiàn)，點(diǎn)擊右鍵，選擇“署名”。要注意的是，對(duì)文獻(xiàn)署名只能證明是你發(fā)出該文獻(xiàn)，但是文獻(xiàn)的內(nèi)容并沒(méi)有被加密，同時(shí)，進(jìn)行數(shù)字署名時(shí)，在意的是表白該文獻(xiàn)是從自己這里發(fā)出，因此對(duì)于文獻(xiàn)的內(nèi)容并不在意被別人看到，通過(guò)數(shù)字署名的文獻(xiàn)要同原明文文獻(xiàn)一同發(fā)送給對(duì)方，對(duì)方才干驗(yàn)證數(shù)字署名是否有效。假如同時(shí)要表白文獻(xiàn)從自己這里發(fā)出，同時(shí)又要對(duì)文獻(xiàn)的信息保密，那么就在右鍵點(diǎn)擊該文獻(xiàn)后，在彈出菜單中選擇“署名&加密”選項(xiàng)。同樣的，在選擇密鑰的對(duì)話框中，從對(duì)話框上部的密鑰列表中，選擇接受文獻(xiàn)的用戶拖到對(duì)話框的下部，點(diǎn)擊“擬定”。擬定接受人后，輸入私鑰的密碼，進(jìn)行數(shù)字署名或數(shù)字署名和加密。6、使用PGP和OutlookExpress發(fā)送加密的電子郵件（1）發(fā)送加密的電子郵件例如：郵箱（A郵箱）向郵箱（B郵箱）發(fā)信）①A郵箱通過(guò)OutlookExpress編寫郵件內(nèi)容注意：假如發(fā)送包含敏感信息的郵件，則標(biāo)題欄必須為空白或標(biāo)題內(nèi)容不能包含泄露正文內(nèi)容的信息。②當(dāng)完畢郵件正文的編寫后，點(diǎn)擊工具欄右側(cè)“?”，然后選擇“加密信息（PGP）”加密郵件正文，用對(duì)方的公鑰進(jìn)行加密。點(diǎn)擊“署名信息（PGP）”，用自己的私鑰對(duì)信件內(nèi)容進(jìn)行署名。也可以在創(chuàng)建新郵件窗口的“工具”菜單下點(diǎn)中“使用PGP加密”和“使用PGP數(shù)字署名”。選中以后，且郵件內(nèi)容也填寫好，可單擊“發(fā)送”按鈕，會(huì)出現(xiàn)輸入密碼窗口，輸入自己的私鑰密碼，單擊擬定即可完畢對(duì)郵件內(nèi)容的數(shù)字署名與加密，同時(shí)OutlookExpress會(huì)把郵件發(fā)送給對(duì)方。在發(fā)送完畢后，你也可以在OutlookExpress中已發(fā)送郵件中查看剛才發(fā)送的郵件，可看到郵件加密后的情況，如下圖：可以看到，郵件內(nèi)容顯示為亂碼。（2）電子郵件的接受與解密接受郵件方在收到剛才發(fā)送的加密郵件后，打開(kāi)該郵件，從工具欄上點(diǎn)擊“