首页 理论教育 PGP简介|网络安全防范教程

PGP简介|网络安全防范教程

时间:2023-11-26 理论教育 版权反馈
【摘要】:第一次使用PGP,应该先生成一对密钥,即公钥和私钥。3)选择口令:与所有密码一样,尽量取得难猜一点,如加大小写字母等。等待一会后,用户就拥有自己的一对PGP密钥了。PGP信任网是一个介绍人的网络,每个人在链中都作为另一个人的介绍人。只有取得他人的公钥后才能让PGP真正运行起来,目前取得公钥较好的方法是通过公钥服务器。信任级别PGP把密钥签名作为一种介绍形式。

PGP简介|网络安全防范教程

1.PGP概述

PGP(Pretty Good Privacy,意为“对保护隐私特别有用”)是一个基于RSA公钥加密体系的、非常优秀的电子邮件加密软件美国政府曾经把它归入军用类别,与导弹同属一类。PGP可以对邮件保密以防止非授权者阅读,还能对邮件加上数字签名从而使收信人可以确信邮件的来源。它让用户可以安全地与从未见过的人们通信,事先并不需要任何保密的渠道用来传递密钥。它采用了审慎的密钥管理,一种RSA和传统加密的杂合算法,用于数字签名的邮件文摘算法,加密前压缩等,还有一个良好的人机工程设计。它的功能强大,有很快的速度,而且它的源代码是免费的。

PGP应用程序的第一个特点是其速度快、效率高;另一个显著特点就是它的可移植性出色,它可以在多种操作平台上运行。PGP的主要用途有:

●加密和签名电子邮件。

●加密数据文件。

●解密和验证他人的电子邮件。

●解密数据文件。

硬盘数据保密。

2.PGP的主要概念

在使用PGP之前,应搞清楚PGP的几个主要概念。

1)Keypair(密钥对):在公钥体系中,公钥和私钥同时使用才能完成加密和解密全过程,密钥产生时由用户随机生成一对密钥分别作为自己的公钥和私钥,这两个密匙称为一个密钥对。

2)Passphrase(口令):用来保护私钥的密码,用户可以自由选择。不用口令是不能使用私钥的,因此口令和私钥同样重要。

3)Publickeyserver(公钥服务器):用来方便用户交换公钥设立的机构,在Internet上运行着很多公钥服务器,可以通过E-mail向它发送公钥,也可以取回他人的公钥。

4)Trustparameter(信任参数):公钥介绍机制具有传递性,因此可以用一个参数来标识手中公钥的可靠程度,由朋友转介来的公钥的信任参数比他本人的参数略低。当然可以指定某人的参数。这个参数只是PGP提供给参考,是否信任某个公钥还要自己决定。

PGP提供几种常用的E-mail软件的插件(Plug-in),这些软件有EudoraPro、Microsoft-Exchange/Outlook、MicrosoftOutlookExpress等,以便用户在使用E-mail时更容易使用PGP。

第一次使用PGP,应该先生成一对密钥,即公钥和私钥。若用户决定以后使用这次生成的密钥,就要把私钥环文件保存好。注意不能让别人得到这份文件,尽管没有用户的口令无法得到私钥,但多一层保护要安全得多。

通过Wizard帮助生成密钥程序会提示用户一步步进行密钥生成工作。

1)选择密钥长度:建议用1024位,这样安全性有保障,速度也可以。

2)输入用户名:注意取名要尽量避免混淆。

3)选择口令:与所有密码一样,尽量取得难猜一点,如加大小写字母等(PGP是区分口令大小写的)。

在生成过程中,程序为了得到尽可能随机的随机数,会请用户随意地在键盘上敲一些键,注意尽量多敲些不同的键。等待一会后,用户就拥有自己的一对PGP密钥了。(www.xing528.com)

PGP把用户公钥存储在公共的钥匙环上,而把用户私钥存储在独立的私钥环上。

(1)私钥环

私钥环用来保存个人私密,是不能泄漏的,并且不要与别人共享一个私钥。

公钥的篡改和冒充是PGP的最大威胁,要点是当用别人的公钥时,确信它是直接从对方处得来或是由另一个可信的人签名认证过的,确认没有人可以篡改自己的公钥环文件。保持对自己密钥环文件的物理控制权,尽量存放在自己的个人计算机里而不是一个远程的分时系统里。注意备份自己的密钥环文件。

PGP信任网是一个介绍人的网络,每个人在链中都作为另一个人的介绍人。PGP中有四种信任级别:完全信任、边缘信任、不信任、未知信任。信任网开始于用户自己的一对密钥,对自己的私钥是无可置疑地完全信任的。但信任网也不是绝对安全。

(2)公钥环

公钥环为所有通信的各方存放公钥、ID、签名和信任参数。推荐将公钥环保持得尽可能小,以增加安全性。

只有取得他人的公钥后才能让PGP真正运行起来,目前取得公钥较好的方法是通过公钥服务器。PGP的公钥服务器是指一些运行在Internet上的服务程序,它们接收通过电子邮件提出的访问要求。因此在选择公钥后,在Sever菜单的Sendto选项中选择大家公认的公钥服务器,将公钥发布到Internet上,所有的人就都可以发送加密邮件了。

给其他人发送消息之前,必须获取他们的公钥。在PGPkeys中选择Sever菜单的Sear-ch或Update选项,选择公钥服务器,就可以从服务器上获得其他人的公钥或者更新的公钥。

如果朋友在某个服务器上发布了他的公钥,通过上述步骤可以获取他的公钥。要注意的是小心获取公钥的可信任程度,不要未经可靠的认证轻易地相信某个公钥。和朋友互相拥有了对方的公钥之后,就可以开始加密邮件的交换了。

(3)信任级别

PGP把密钥签名作为一种介绍形式。当某个人为别人的密钥签名时,他就成为那个密钥的潜在介绍人。例如,Alice认证了Bob的密钥,而Bob签名了Charlie的密钥,那么Alice现在就有了一个到Charlie的证明路径。Alice现在认为那个密钥确实是Charlie的,因为上面有Bob的签名,而且Alice知道Bob签名的密钥确实是Bob的,这是一种在密钥中提供的可传递的信任。但是这种信任是有缺陷的,比如,Bob非常粗心,虽然他签名的是David的密钥,却错误地宣称是Charlie的。Alice无从知道这一点,就可能相信密钥是Charlie的。

因此信任不能无限制地继续下去,PGP中可以让用户设置每种信任级别能够循环和嵌套多少次,每次循环都可能降低信任的程度。从认为安全的公钥服务器上获取其他人的公钥也是一个选择,取决于对该公钥服务器的信任程度。

(4)文件加密

选择Encrypt,然后选择要加密的文件,PGP将生成加密后的文件,而这个文件只能用私钥解密。这个功能用于保护磁盘上的文件不被其他人非法查看其内容。

选择EncryptSign,然后再选择要签名的文件,PGP即可生成与签名捆绑在一起并加密后的文件。用户可以将该文件作为邮件附件发给通信的对方。注意这时是使用私钥对文件的摘要数据进行加密,该签名要由通信的对方使用已公开的公钥来进行验证,证实该文件确实是发送给他的。

选择Dencrypt/Verify,然后选择要解密的文件和保存的文件名,PGP将使用私钥生成解密后的文件,这样就可以查看其他人用公钥加密过的文件的详细内容了。

操作系统在删除文件时,一般都只更改文件分配表,硬盘上的信息仍然保留,直到被新的文件覆盖,这也是能够恢复(Undelete)已删除文件的原因,但也使得已删除文件的信息可能泄漏。在PGP中选择Wipe,然后选择要彻底删除的文件,PGP将在硬盘上文件所在的位置写上无用的信息,确保不会泄漏信息(文件当然也不能再恢复了)。

如果已经删除了文件,可以使用FreespaceWipe擦除硬盘没有使用的部分,保证文件的不可恢复。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈