1、第六章 加密技術(shù)應(yīng)用,6-1 建立信任關(guān)係 6-2 對稱金鑰加密技術(shù) 6-3 不對稱金鑰加密技術(shù) 6-4 雜湊加密技術(shù) 6-5 加密工具程式 6-6 專有不對稱金鑰加密技術(shù),6-1 建立信任關(guān)係,兩個(gè)主機(jī)間的信任關(guān)係是指這兩個(gè)主機(jī)可以做以下兩件事情：第一，它們能夠驗(yàn)證彼此的身份；第二，彼此間傳輸資料時(shí)能夠加密資料。 建立信任關(guān)係要求兩臺或兩臺以上的主機(jī)之間彼此交換金鑰。當(dāng)一臺主機(jī)把金鑰給另一臺時(shí)，這臺主機(jī)可以加密資訊，這樣只有遠(yuǎn)端的那臺主機(jī)可以將資訊解密。,6-1-1 金鑰的分配方式,1.手動(dòng)分配 用手動(dòng)分配時(shí)，首先要與接收者交換公開金鑰，然後，把給接收者公開金鑰的訊息進(jìn)行編碼。 2.自動(dòng)分配

2、 經(jīng)由一系列被稱做握手（handshakes）的資料交換方式，以一種合理的安全的方式來交換資訊。,6-1-2加密技術(shù)術(shù)語,第5章中介紹過對稱和不對稱金鑰的加密技術(shù)。在繼續(xù)介紹信任關(guān)係這個(gè)主題前，有必要描述一下這些加密技術(shù)類型中使用的術(shù)語。輪（round）是指加密過程的離散部分。演算法（algorithm）一般將資訊提交給幾輪處理。輪的數(shù)目越高越好。 在加密技術(shù)中，平行化（paralle-lization）是使用多行程（process）、多處理器或多機(jī)器對同一個(gè)加密演算法進(jìn)行解譯。,6-1-3 區(qū)塊密碼和串流密碼,區(qū)塊密碼演算法以離散的塊狀形式加密資料，這是一種比較流行的模式，因?yàn)樵谫Y料被加密之

3、前校驗(yàn)資料的完整性比較容易。 串流密碼模式是指一位元接一位元地即時(shí)加密資料。這個(gè)方法比使用區(qū)塊模式更快，特別是用在位數(shù)比較小的資料上。,6-2 對稱金鑰加密技術(shù),加密演算法使用的金鑰加密演算法可分為兩種，一種為對稱式金鑰加密法，另一為非對稱式金鑰加密法。 對稱式金鑰加密法所使用之加密及解密之金鑰，為相同一把金鑰，意指使用相同一組密碼來加解密。使用對稱式金鑰加密的好處在於其加解密速度快。,6-2-1 對稱金鑰加密技術(shù)原理,6-2-2 對稱金鑰演算法,1.資料加密標(biāo)準(zhǔn)（DES） 2.三重DES 3.RSA的對稱金鑰演算法 4. RC2、RC4、RC5和RC6 5.國際資料加密演算法（IDEA） 6

4、.Blowfish和Twofish 7.Skipjack 8.MARS 9.Rijndael和Serpent 10.其他對稱金鑰演算法,6-2-3 高級加密標(biāo)準(zhǔn)（AES）,多數(shù)安全專家認(rèn)為DES和三重DES不再能滿足安全需要。1997年1月，NIST開始確定接替DES演算法的程式，決定所選的對稱金鑰演算法被稱做高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard）。,6-3 不對稱金鑰加密技術(shù),金鑰對中一個(gè)金鑰是公開的，而另一個(gè)是保密的。你決定向外發(fā)佈的那一半被稱做公開金鑰，另一半保密的是私密金鑰。最初分發(fā)哪一半都可以，一旦金鑰對中的一個(gè)金鑰已經(jīng)被分發(fā)，則這個(gè)金鑰就要保持公有

5、。私密金鑰也必須總保持私有，一致性是關(guān)鍵。,6-4 雜湊加密技術(shù),雜湊加密技術(shù)（也稱單向加密技術(shù)）是將任何長度的文件和資訊轉(zhuǎn)換為雜亂的、128位元的代碼，這段代碼被稱為雜湊值。 訊息中微小的改變會(huì)導(dǎo)致一個(gè)不同的雜湊值，這樣可以幫助你發(fā)現(xiàn)檔案中所做的改變。 為確保資料是源於發(fā)送者，想對資料進(jìn)行簽名的人現(xiàn)在只能加密雜湊值。這種簽名的形式提供了安全機(jī)制、身份驗(yàn)證和資料的完整性。,6-4-1 雜湊加密和簽章,使用公開金鑰加密的過程通常較慢，因此密碼專家發(fā)明了一種方法，可以由欲發(fā)送的訊息產(chǎn)生一個(gè)長度很短、且獨(dú)一無二的記號，稱為訊息摘要，將它用你的私密金鑰加密，即可做為你的電子簽章（digital sig

6、nature）。有些方法可以很快地產(chǎn)生訊息摘要，其中廣受歡迎的一種方法就是雜湊加密技術(shù)。,6-4-2 MD2、MD4和MD5,MD2、MD4和MD5雜湊演算法屬於單向雜湊函數(shù)（one-way hash function）。這些函數(shù)接收任意長度的位元組，並產(chǎn)生一個(gè)唯一的定長（通常為128位元）指印。這個(gè)過程是單向的，因?yàn)椴豢赡茉儆珊灻聪虍a(chǎn)生訊息，並且指印是唯一的，沒有任何兩個(gè)訊息具有相同的雜湊值。,6-4-3 安全雜湊演算法,安全雜湊演算法（SHA-l）是由NIST和NSA開發(fā)的，並在美國政府中使用。 SHA在結(jié)構(gòu)上與MD4和MD5類似。雖然它比MD5的速度慢25，但它更安全。 SHA產(chǎn)生的訊

7、息摘要比MD函數(shù)產(chǎn)生的要長25，與MD5相比，它對抗攻擊的能力更強(qiáng)、更安全。,6-4-4 使用MD5sum的雜湊演算法,MD5可以應(yīng)用在Windows 2000和Linux系統(tǒng)中，也經(jīng)常與各種加密工具程式一起使用，例如設(shè)計(jì)用來加密硬碟。 Linux的MD5sum工具程式建立一個(gè)固定長度的個(gè)人檔案校驗(yàn)和。被校驗(yàn)的檔案可以是任意長度，但MD5產(chǎn)生的校驗(yàn)和的結(jié)果總是固定在128位元。這個(gè)校驗(yàn)和非常有用，因?yàn)樗鼨z查檔案是否被修改過。,6-5 加密工具程式,大多數(shù)現(xiàn)代動(dòng)態(tài)加密技術(shù)使用對稱金鑰、不對稱金鑰和雜湊加密的組合技術(shù)。這種組合技術(shù)是利用每種加密演算法的優(yōu)勢，同時(shí)把它們的缺點(diǎn)最小化。,6-5-1 加

8、密技術(shù)和電子郵件,電子郵件是最明顯地使用加密技術(shù)的應(yīng)用程式，特別是現(xiàn)在的商業(yè)用戶都依賴它。用於加密電子郵件的流行方法包括PGP/MIME和S/MIME。 儘管加密技術(shù)標(biāo)準(zhǔn)不同，但基本原則是一致的。許多加密程式使用各式各樣的對稱金鑰、不對稱金鑰和單向演算法，並且改變加密資料的順序，但整個(gè)過程是一樣的。,6-5-2 PGP 和 GPG,PGP和GPG是目前最常用於電子郵件和文字檔案的高科技加密程式。因?yàn)槔昧藢ΨQ金鑰、不對稱金鑰技術(shù)和雜湊加密的優(yōu)點(diǎn)，所以它們都是比較成功的加密程式。 PGP最先是由Phil Zimmerman開發(fā)的，然後賣給了網(wǎng)路聯(lián)合會(huì)。現(xiàn)在，網(wǎng)路聯(lián)合會(huì)已經(jīng)停止繼續(xù)開發(fā)PGP了。不

9、過，可以存取PGP網(wǎng)站的首頁 。,6-5-3 在Win2000/XP中安裝PGP,刪除PGP會(huì)使系統(tǒng)無法作業(yè)，特別是刪除PGP會(huì)引起系統(tǒng)軟體無法識別網(wǎng)路卡。務(wù)必在自己的磁碟上安裝和卸載PGP。 瞭解更多PGP的資訊，請存取 網(wǎng)站的PGP文件。,6-5-4 使用於Windows 2000/XP的PGP輸出和簽名公開金鑰,6-5-5 使用Windows 2000/XP的PGP交換加密的訊息,在這個(gè)練習(xí)中，你將使用PGP和Outlook Express發(fā)送加密的電子郵件。,6-5-6 使用Red Hat Linux的GPG產(chǎn)生一個(gè)金鑰對,在這個(gè)練習(xí)中，你將使用GPG來操作公開金鑰密碼技術(shù)。此應(yīng)用套裝

10、程式含在Red Hat Linux中。,6-5-7 在Linux系統(tǒng)中交換和簽名公開金鑰,在這個(gè)練習(xí)中，你將與一位朋友交換公開金鑰，然後對它們簽名。,6-5-8 使用GPG加密和解密檔案,在這個(gè)練習(xí)中，你將使用GPG和朋友的公開金鑰加密一個(gè)檔案。,6-5-9 建立簽名檔案,在這個(gè)練習(xí)中，你將建立一個(gè)簽名檔案，然後給你的朋友。,6-6 專有不對稱金鑰加密技術(shù),真正的電子郵件伺服器而不是用戶端程式，能夠加密和解密訊息。這種專有加密系統(tǒng)的優(yōu)點(diǎn)是：因?yàn)榧用芗夹g(shù)被完全整合到郵件伺服器，所以，用戶只需單擊一個(gè)按鈕就能加密和解密。這種解決方案是很有效的，因?yàn)橛脩舨挥迷佼a(chǎn)生金鑰或按步驟解密訊息。這種方法可以節(jié)

11、省時(shí)間。 專有不對稱金鑰加密方法的缺點(diǎn)是它只能與同一個(gè)廠商的伺服器相容。,6-6-1 加密磁碟機(jī),除了可以加密電子郵件以外，還可以加密檔案和硬碟的整個(gè)分割區(qū)，為檔案建立檢驗(yàn)和建立隱藏的、加密的磁碟機(jī)。 Windows 2000的加密檔案系統(tǒng)（EFS）是本機(jī)作業(yè)系統(tǒng)的一個(gè)解決方案。它可以加密檔案和資料夾。,6-6-2 安全HTTP和安全通訊層,安全超文字傳輸協(xié)定（Secure HTTP）和安全通訊層（SSL）都允許自動(dòng)加密資料。它們經(jīng)常使用在Web、電子郵件和網(wǎng)路新聞傳輸協(xié)定（NNTP）伺服器中幫助確保安全的傳輸和通信。,S-HTTP,安全HTTP（S-HTTP）使用不對稱的過程確保線上傳輸?shù)陌踩?，但是這種連接一旦建立，它就使用對稱金鑰。大多數(shù)流覽器都支援這個(gè)協(xié)定，包括Netscape Navigator和Microsoft Internet Explorer。,SSL,