1、第6章 加密技術與虛擬專用網(wǎng),本章學習要點 掌握對稱與非對稱加密及應用 了解數(shù)字簽名與PKI 掌握VPN分類與應用 使用PGP進行加密,6.1 加密技術的產(chǎn)生與優(yōu)勢,圖6.1 加密過程原理圖,6.1.1 加密技術的優(yōu)勢,表6.1加密常見應用,6.1.2 加密技術的分類,鏈路加密 節(jié)點加密 端到端加密,6.2 現(xiàn)代加密算法介紹,6.2.1 對稱加密技術 1DES算法 2RSA的RC2、RC4、RC5、RC6 3IDEA算法（國際加密算法）,6.2.2 非對稱加密技術,1RSA 2DSA 3Diffie-Hellman,6.2.3 單向散列算法 6.2.4 數(shù)字簽名 6.2.5 公鑰基礎設施,圖6

2、.2 PKI典型系統(tǒng)組成視圖,6.3 VPN技術,6.3.1 VPN技術的概述 隨著企業(yè)網(wǎng)應用的不斷擴大，企業(yè)網(wǎng)的范圍也不斷擴大，從一個本地網(wǎng)絡到一個跨地區(qū)、跨城市甚至是跨國的網(wǎng)絡。 采用傳統(tǒng)的廣域網(wǎng)方式建立企業(yè)專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)字專線。,如果利用公共網(wǎng)絡，信息安全的問題又得不到保證。 可以說，VPN是企業(yè)網(wǎng)在公眾網(wǎng)絡上的延伸，它可以提供與專用網(wǎng)一樣的安全性、可管理性和傳輸性能，而建設、運轉和維護網(wǎng)絡的工作也從企業(yè)內部的IT部門剝離出來，交由運營商來負責。,VPN（Virtual Private Network，虛擬專用網(wǎng)）是指通過綜合利用訪問控制技術和加密技術，并通過一定的密鑰

3、管理機制，在公共網(wǎng)絡中建立起安全的“專用”網(wǎng)絡，保證數(shù)據(jù)在“加密管道”中進行安全傳輸?shù)募夹g。,VPN可以利用公共網(wǎng)絡來發(fā)送專用信息，形成邏輯上的專用網(wǎng)絡，其目標就是在不安全的公共網(wǎng)絡上建立一個安全的專用通信網(wǎng)絡。,VPN利用公共網(wǎng)絡來構建專用網(wǎng)絡，它是將特殊設計的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來完成的。 通常將VPN當作WAN解決方案，但它也可以簡單地用于LAN。 VPN類似于點到點直接撥號連接或租用線路連接，盡管它是以交換和路由的方式工作的。,VPN是平衡Internet適用性和價格優(yōu)勢的最有前途的通信手段之一。 利用共享的IP網(wǎng)建立VPN連接，可以使企業(yè)減少對昂貴租用線路和復雜

4、遠程訪問方案的依賴性。VPN具有以下主要特點。,安全性：用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。,專用性：在非面向連接的公用IP網(wǎng)絡上建立一個邏輯的、點對點的連接，稱為建立一個隧道。隧道的雙方進行數(shù)據(jù)的加密傳輸，就好像真正的專用網(wǎng)一樣。,經(jīng)濟性：它可以使移動用戶和一些小型的分支機構的網(wǎng)絡開銷減少，不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時可以削減傳輸話音的開銷。,擴展性和靈活性：能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸介質，可以滿足同時傳輸語音、圖像、數(shù)據(jù)等新應用對

5、高質量傳輸以及帶寬增加的需求。,VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機會，包括：進行全球電子商務，可以在減少銷售成本的同時增加銷售量；實現(xiàn)外聯(lián)網(wǎng)，可以使用戶獲得關鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通信人員和移動用戶。,一條VPN連接由客戶機、隧道和服務器3部分組成。 VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡在不可信任的公共網(wǎng)絡上安全地通信。,它采用復雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽。其處理過程如下。, 要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡的VPN設備。 VPN設備根據(jù)網(wǎng)管設置的規(guī)則，確定是否需要對數(shù)據(jù)進行加密或讓數(shù)據(jù)直接通過。, 對需要加密的數(shù)據(jù)，V

6、PN設備對整個數(shù)據(jù)包進行加密并附上數(shù)字簽名。 VPN設備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數(shù)。, VPN設備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標VPN設備IP地址進行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。, 當數(shù)據(jù)包到達目標VPN設備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。,6.3.2 VPN的分類,VPN按照服務類型可以分為遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（Extranet VPN）這3種類型。,Access VPN又稱接入VPN，它是企業(yè)員工或企業(yè)的小

7、分支機構通過公網(wǎng)遠程訪問企業(yè)內部網(wǎng)絡的VPN方式。 Access VPN最適用于公司內部經(jīng)常有流動人員遠程辦公的情況。,出差員工利用當?shù)豂SP提供的VPN服務，可以和公司的VPN網(wǎng)關建立私有的隧道連接，如圖6.3所示。 這種方式可以減少用于相關的調制解調器和終端服務設備的資金及費用，簡化網(wǎng)絡，具備極大的可擴展性，可以方便地對加入網(wǎng)絡的新用戶進行調度。,圖6.3 Access VPN解決方案,Intranet VPN又稱內聯(lián)網(wǎng)VPN，它是企業(yè)的總部與分支機構之間通過公網(wǎng)構筑的虛擬網(wǎng)，是一種網(wǎng)絡到網(wǎng)絡以對等的方式連接起來所組成的VPN。,這種方式可以減少WAN帶寬的費用，能使用靈活的拓撲結構，而且

8、新的站點能更快、更容易地被連接，如圖6.4所示。,圖6.4 Intranet VPN解決方案,Extranet VPN又稱外聯(lián)網(wǎng)VPN，它通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內部網(wǎng)。,企業(yè)擁有與專用網(wǎng)絡相同的政策，包括安全、服務質量（QoS）、可管理性和可靠性。 這種方式能容易地對外部網(wǎng)進行部署和管理，外部網(wǎng)的連接可以使用與部署內部網(wǎng)和遠端訪問VPN相同的架構和協(xié)議進行部署。,VPN按照通信協(xié)議可以分為MPLS VPN、 PPTP/L2TP VPN、SSL VPN和IPSec VPN。, MPLS VPN是一種基于MPLS技術的IP VPN，是在網(wǎng)絡

9、路由和交換設備上應用MPLS （Multi ProtocolLabelSwitching，多協(xié)議標記 交換）技術，簡化核心路由器的路由選擇方式，利用結合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP虛 擬專用網(wǎng)絡（IPVPN）。,這種基于標記的IP路由選擇方法，要求在整個交換網(wǎng)絡中所有的路由器都識別這個標簽，運營商需要大筆投資建立全局的網(wǎng)絡，而且跨越不同的運營商之間，如果沒有協(xié)調好，標簽就無法交換。,MPLS VPN能夠利用公用骨干網(wǎng)絡強大的傳輸能力，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要，尤其是MPLS具有QoS保證。 目前，在基于IP的網(wǎng)絡中，MPLS具有很多優(yōu)點，也有明顯的缺點

10、，主要是價格高、接入比較麻煩、跨運營商不便。, PPTP/L2TP VPN是二層VPN，采用較早期的VPN協(xié)議，使用相當廣泛。其特點是簡單易行，但可擴展性不好，也沒有提供內在的安全機制。,PPTP和L2TP限制同時最多只能連接255個用戶。 端點用戶需要在連接前手工建立加密信道。 認證和加密受到限制，沒有強加密和認證支持。 安全程度差，是PPTP/L2TF簡易型VPN最大的弱點。, SSL VPN的認證方式較為單一，只能采用證書，而且一般是單向認證；支持其他認證方式往往要進行長時間的二次開發(fā)，而且只進行認證和加密，不能實施訪問控制，在建立隧道后，管理員對用戶不能進行任何限制，無法實現(xiàn)“網(wǎng)絡-網(wǎng)

11、絡”的安全互連。,另外，SSL VPN的應用只能基于Web的VPN應用連網(wǎng)；而一個企業(yè)或者機構往往有多種應用（OA、財務、銷售管理、ERP，很多并不基于Web），單純只有Web應用的極少。,一般企業(yè)希望VPN能達到局域網(wǎng)的效果（如網(wǎng)上鄰居，而SSL VPN只能保護應用層協(xié)議，如Web、FTP等），保護更多的應用，這點SSL VPN根本做不到。, IPSec VPN能夠提供基于互聯(lián)網(wǎng)的加密隧道，滿足所有基于TCP/IP網(wǎng)絡的應用需要。它主要用于兩個局域網(wǎng)之間建立的安全連接，在遠程移動辦公等桌面應用上，需要安裝特定的客戶端才能夠實現(xiàn)。其中IPSec是一套比較完整的、成體系的VPN技術，它規(guī)定了一系

12、列的協(xié)議標準。,6.3.3 IPSec,IPSec是IETF于1998年11月公布的IP安全標準，其目標是為IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的安全。 IPSec對于IPv4是可選的，對于IPv6是強制性的。,在VPN的傳輸協(xié)議上，一般的產(chǎn)品都支持PPTP、L2TP，在這些協(xié)議的傳輸中能夠保證數(shù)據(jù)的安全、可靠，但是它不能保證數(shù)據(jù)的機密性（在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)是明文的），所以對一些敏感的數(shù)據(jù)來說，也是不安全的。,這樣，為了保證數(shù)據(jù)的機密性，應在網(wǎng)絡安全產(chǎn)品中選擇支持IPSec技術的產(chǎn)品。,IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證，它實現(xiàn)于傳輸層之下，

13、對于應用程序和終端用戶來說是透明的。,IPSec提供了訪問控制、無連接完整性、數(shù)據(jù)源鑒別、載荷機密性和有限流量機密等安全服務。 彌補了由于 TCP/IP體系自身帶來的安全漏洞，可以防止下列的攻擊。,IP地址欺騙。 數(shù)據(jù)篡改。 身份欺騙。 電子竊聽。 拒絕服務攻擊。 TCP序列號欺騙。 會話竊取。,IPSec主要用于IP數(shù)據(jù)包的認證和加密，其目的是保證IP層數(shù)據(jù)信息的正確性、完整性和保密性。它的主要作用如下。,認證：可以確定所接收的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者實際上是真實發(fā)送者，而不是偽裝的。,數(shù)據(jù)完整：保證在數(shù)據(jù)從源發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變

14、。,機密性：使相應的接收者能獲取發(fā)送的真正內容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內容。,IPSec是由一系列協(xié)議組成的，除IP層協(xié)議安全結構外，還包括驗證頭AH、封裝安全載荷ESP、Internet安全關聯(lián)SA和密鑰管理協(xié)議ISAKMP、Internet IP安全解釋域以及Internet密鑰交換IKE、Oakley密鑰確定協(xié)議等。 圖6.5所示為它們的相互關系。,圖6.5 IPSec的安全體系結構,安全體系結構：包含了一般的概念、安全需求、定義和定義IPSec的技術機制。,驗證頭AH：用于將每個數(shù)據(jù)包中的數(shù)據(jù)和一個變化的數(shù)字簽名結合起來，使得通信一方確認發(fā)送數(shù)據(jù)的另一方的身份，并且確

15、認數(shù)據(jù)在傳輸過程中沒有被篡改過，但不能為數(shù)據(jù)提供加密，常用的算法有MD5、SHA1。AH報文格式如圖6.6所示。,圖6.6 AH報文格式,封裝安全載荷ESP：為數(shù)據(jù)提供加密，并對數(shù)據(jù)源進行身份驗證和一致性檢驗，可單獨使用或與AH聯(lián)合，常用的算法有DES、3DES等。ESP報文格式如圖6.7所示。,圖6.7 ESP報文格式,Internet安全關聯(lián)SA：一條能夠對在其上傳輸?shù)臄?shù)據(jù)信號提供安全服務的單工連接。如果需要一個對等關系，即雙向安全交換，則需要兩個SA。,密鑰管理協(xié)議：它是密鑰管理的一組方案，其中Internet密鑰交換IKE是默認的密鑰自動交換協(xié)議。,Internet IP安全解釋域：彼

16、此相關的各部分標識符及運作參數(shù)。,Internet密鑰交換IKE：它是一種功能強大的、靈活的協(xié)商協(xié)議，使得VPN節(jié)點之間達成安全通信的協(xié)定，如認證方法、加密方法、所用的密鑰、密鑰的使用期限，并允許智能的、安全的密鑰交換。,策略：決定兩個實體之間能否通信，以及如何進行通信。策略的核心由如下3部分組成：安全關聯(lián)SA、SAD和SPD。安全關聯(lián)SA表示策略實施的具體細節(jié)，包括源地址/目的地址、應用協(xié)議、安全策略索引SPI、所用算法/密鑰/長度；SAD為進入和外出包處理維持一個活動的SA列表；SPD決定整個VPN的安全需求。,建立一個標準的IPSec VPN一般需要以下幾個過程。 建立安全關聯(lián)SA。雙方

17、需要就如何保護信息、交換信息等公用的安全設置達成一致，更重要的是，必須有一種方法，使兩臺VPN之間能夠安全地交換一套密鑰，以便在它們的連接中使用。, 進行隧道封裝，有兩種方式。 隧道方式：先將IP數(shù)據(jù)包整個進行加密后再加上ESP頭和新的IP頭，這個新的IP頭中包含隧道源/目的地址，該模式不支持多協(xié)議。,傳輸方式：原IP包的地址部分不處理，在包頭與數(shù)據(jù)包之間插入一個AH頭，并將數(shù)據(jù)包進行加密，然后在Internet上傳輸。, 協(xié)商IKE。建立IKE SA的一個已通過身份驗證和安全保護的通道，接著建立IPSec SA，通過已建立的通道為另一個不同協(xié)議協(xié)商安全服務。IKE的認證方式主要有預共享密鑰和

18、證書方式。 實現(xiàn)數(shù)據(jù)加密和驗證。,6.3.4 VPN產(chǎn)品的選擇,隨著企業(yè)網(wǎng)應用的不斷發(fā)展，VPN技術的不斷成熟，國內多家IT廠商都推出了自己的VPN網(wǎng)關產(chǎn)品，如銳捷網(wǎng)絡的STAR-R2624、深信服的M5600-AC、安達通產(chǎn)品SJW安全網(wǎng)關系列以及華為3COM公司推出的具備VPN網(wǎng)關功能的MSR路由器等。,對于網(wǎng)絡用戶而言，如何選擇一款適合自身企業(yè)的網(wǎng)絡或者評價一款VPN設備的標準是非常重要的。,一般來說，VPN網(wǎng)關通常部署在網(wǎng)絡的邊界，如果性能不夠就不能充分發(fā)揮網(wǎng)絡帶寬的效用，影響內網(wǎng)用戶的上網(wǎng)速度和VPN專網(wǎng)上軟件的運行速度，所以選購VPN網(wǎng)關應當掌握如下幾個原則。,加密速度。加密速度應

19、大于或等于網(wǎng)絡的出口帶寬，以免在VPN安全網(wǎng)關上產(chǎn)生性能瓶頸。同時也應注意加密強度，通常加密強度越高，安全性更好，但加密速度也會降低。根據(jù)中華人民共和國商用密碼管理條例，只有經(jīng)過國家密碼管理局鑒定過的VPN產(chǎn)品才能使用國產(chǎn)加密算法，并得到國家的認可和安全性保障。,并發(fā)隧道數(shù)。并發(fā)隧道數(shù)要滿足與所有分支機構連接以及移動用戶連接。并發(fā)會話數(shù)要滿足內網(wǎng)用戶通過VPN連接所能產(chǎn)生的會話數(shù)量。,可管理性和操作性。應當能夠對接入用戶的訪問權限進行控制，保證其只能訪問被授權訪問的資源，也可以控制是否為單向訪問。同時，應具備完善的VPN網(wǎng)絡管理系統(tǒng)。,完善的資質。合法的VPN設備制造商必須是國家密碼管理局認定

20、的“中國商用密碼產(chǎn)品生產(chǎn)定點單位”，具備“國家商用密碼產(chǎn)品銷售許可證”。合法的VPN網(wǎng)關產(chǎn)品擁有國家密碼管理局頒發(fā)的“商用密碼產(chǎn)品技術鑒定證書”或產(chǎn)品型號證書，以及公安部頒發(fā)的“計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證”。,性價比與售后服務。確保是否具備擴展功能，如攻擊防護、入侵檢測等功能；是否大規(guī)模和全國范圍的成功案例；是否通過ISO9000質量管理體系認證，同時要確保有及時的現(xiàn)場服務和在線升級服務。,實訓7 PGP加密程序應用,【實訓目的】 了解PGP的工作原理。 掌握PGP的功能。 學會在Windows平臺下使用PGP。,【實訓步驟】 1PGP的下載及安裝 PGP是免費的軟件，可以在挪威的網(wǎng)

21、站中下載到最新的版 本，壓縮后的容量大約有8MB。打開 國際PGP站點主頁后，可直接選擇下 載最新版本，在下載時要選擇應用平 臺Windows 2000。,下載過程十分簡單，將下載的PGP文件自解壓，雙擊文件名開始安裝。 首先進入歡迎界面，如圖6.8所示。,圖6.8 PGP安裝歡迎界面, 單擊“Next”按鈕，閱讀許可協(xié)議后單擊“Yes”按鈕，如圖6.9所示。 閱讀Read Me后單擊“Next”按鈕，如圖6.10所示。,圖6.9 PGP安裝協(xié)議,圖6.10 PGP安裝Read Me, 詢問用戶是否有密鑰鏈，如果先前在 本機上用過PGP，需要先把原來的密鑰鏈 裝到新環(huán)境，再選擇“Yes，I a

22、lready have keyrings.”，否則就選擇“No，Im a New User.”，如圖6.11所示。,圖6.11 PGP安裝密鑰鏈, 在如圖6.12所示的界面中選擇安裝路徑或使用默認設置，單擊“Next”按鈕。 選擇要安裝的組件，如圖6.13所示，單擊“Next”按鈕。,圖6.12 PGP安裝路徑,圖6.13 PGP安裝向導組件選擇, 檢查現(xiàn)有選項，如圖6.14所示，然后單擊“Next”按鈕。 PGP安裝完成，重新啟動計算機，如圖6.15所示。,圖6.14 PGP安裝檢查現(xiàn)有選項,圖6.15 PGP安裝向導完成,2使用PGP產(chǎn)生和管理密鑰, 重新啟動計算機后，用戶可以通過“開始”

23、“程序”“PGP”找到PGP軟件包的工具盒。在操作系統(tǒng)任務欄的右下方可以看到一個鎖狀的PGPtray圖標。,第1次使用PGP時，需要輸入注冊信息， 需要填入用戶名和組織名稱，并輸入相應 的注冊碼，作為個人用戶，可選擇“Later” 按鈕，此時用戶可以使用PGPmail、PGPkeys 和PGPptray功能，但不能使用PGP E-mail插件和PGP disk。, PGP引導用戶產(chǎn)生密鑰對，如圖6.16所示。 密鑰對需要與用戶名稱及電子郵件相對應，用戶填入相應資料，單擊“下一步”按鈕，如圖6.17所示。,圖6.16 PGP使用向導產(chǎn)生密鑰對,圖6.17 PGP使用向導用戶名及郵箱設置, 輸入并

24、確認輸入一個至少8字符長的而且包括非字母符號的字符串來保護密鑰，這個字符串非常重要，千萬不能泄露，如圖6.18所示。然后單擊“下一步”按鈕。,圖6.18 PGP使用向導密碼設置, 根據(jù)用戶輸入自動生成密鑰，如圖6.19所示，單擊“下一步”按鈕。 PGP密鑰產(chǎn)生向導工作完成，如圖6.20所示。,圖6.19 PGP使用向導-密鑰生成,圖6.20 PGP使用向導-密鑰生成結束, 用戶可以選擇“開始”“程序” PGPPGPkeys或單擊屏幕右下方 的“PGPtray”，然后從其快捷菜單 中選擇PGPkeys來打開PGP密鑰管理 窗口，如圖6.21所示。,圖6.21 PGP密鑰管理窗口, 單擊密鑰管理窗

25、口工具欄最左邊的鑰匙圖標，啟動密鑰生成向導。,輸入姓名和電子郵件地址，這兩項連接將作為交換密鑰時的唯一名稱標識。 輸入一個至少有8個字符且包含非字母符號的字符串。 計算機系統(tǒng)自動產(chǎn)生密鑰。,密鑰生成完畢。 完成后在密鑰管理窗口中出現(xiàn)新的密鑰。 在關閉密鑰管理窗口時，系統(tǒng)提示將密鑰文件進行備份。,在圖6.21所示的密鑰管理窗口中，工具欄中的按鈕從左向右的功能依次是：產(chǎn)生新的密鑰、廢除選中選項、簽名選中選項、刪除選中選項、打開密鑰搜索窗口、將密鑰送往某服務器或郵件接收者、從服務器更新密鑰、顯示密鑰屬性、從文件導入密鑰，以及將所選擇的密鑰對導出到某個文件。,3加密應用, 要對一個文件進行加密或簽名，

26、應先打開資源管理器，鼠標右鍵單擊選擇文件，在彈出的快捷菜單中選擇PGP級聯(lián)菜單，如圖6.22所示。,圖6.22 PGP加密應用,在級聯(lián)菜單中有加密、簽名、加密和簽名、銷毀文件和創(chuàng)建一個自動解密的文件等選項。 用戶可以選擇第1項，對文件進行加密。, 在彈出的對話框中選擇要加密的文件的閱讀者。如果是用戶自己看，就選擇自己；如果是發(fā)送給別人，則選擇他的名字。雙擊或拖動名稱到接收者框，即可完成閱讀者設定，如圖6.23所示。,圖6.23 PGP選擇要加密的文件的閱讀者,圖6.23中各復選框選項的含義如下。 “Text Output”表示將輸出文本形式的加密文件，隱含輸出二進制文件。,“Wipe Orig

27、inal”表示徹底地銷毀原始文件，此項應慎重使用，因為如果忘了密碼，則無法打開。,“Secure Viewer”根據(jù)郵件及文件重要性的不同，可選擇合適的輸出格式。,“Conventional Encryption”表示將用傳 統(tǒng)的DES方法加密，不用公鑰系統(tǒng)。只能留在本地自己看，隱含使用公鑰系統(tǒng)加密。,“Self Decrypting Archive”表示將創(chuàng)建一個自動解密文件，加密和解密用的是同一個會話密鑰，主要用于與沒有安裝PGP的用戶交換密文。, 若要對文件進行簽名，可在PGP的級聯(lián)菜單中選擇Sign菜單項。用戶可在Signing key中選擇簽名人，因為簽名要用到簽名人的私鑰，所以需要

28、輸入保護私鑰的口令。此口令即為生成密鑰時輸入的一個長度至少有8個字符，且包含非字母字符的字符串。, 簽名后形成的文件名為“*.sig”。雙擊該文件即可核對簽名人的身份。 若用戶在PGP級聯(lián)菜單中選擇Encrypt & Sign菜單項，則可同時完成加密與簽名，步驟與上述相似。, 用戶可將加密文件和簽名文件作為電子郵件的附件發(fā)送給其他人。如果用戶的郵件軟件已經(jīng)安裝了PGP插件，那么加密和簽名的操作可以在郵件軟件中進行。,4使用PGP銷毀秘密文件,文件的銷毀操作很簡單，但是應當謹慎。 鼠標右鍵單擊文件名，在彈出的快捷菜單中選擇“PGP”選項，拉出其子菜單，并選擇“Wipe”菜單項。 然后會彈出一個窗口要求用戶確認。 單擊“Yes”按鈕，即可銷毀文件，如圖6.24所示。 注意，此功能必