電子郵件加密方案---pgp解決方案.doc

郵件加密方法一、郵件安全問題：郵件安全包括兩個方面，一方面是郵件服務(wù)器的安全。服務(wù)器的安全需要通過硬件防火墻、VPN專線等專業(yè)設(shè)備與技術(shù)來實(shí)現(xiàn)，并且需要加強(qiáng)對人員的管理。另一方面就是郵件客戶端的安全管理。舉個普通的例子，當(dāng)用戶A向用戶B發(fā)送郵件時，從郵件客戶端程序發(fā)送到郵件服務(wù)器的郵件數(shù)據(jù)實(shí)際上就是純粹的文本數(shù)據(jù)。因此，從技術(shù)角度來說，要想偷窺一下他人的郵件是很簡單的事情。 發(fā)信者和郵件服務(wù)器離得越遠(yuǎn)，郵件傳輸?shù)陌踩砸簿驮降?。如果公司的郵件服務(wù)器就在公司內(nèi)部，用公司內(nèi)部的電腦訪問郵件服務(wù)器，那么公司內(nèi)部的人能夠截獲郵件的可能性最大。但是，如果從公司外部訪問公司的郵件服務(wù)器，郵件的訪問者與服務(wù)器之間可能被偷窺的可能性就比較大，如果發(fā)錯了收信任就更可怕了。為了提高郵件的安全性，我們就需要利用加密手段，通過幾種不同的加密方法做比較，這里我們選用PGP技術(shù)。二、PGP的加密原理PGP(Pretty Good Privacy)是目前最流行的一種加密軟件，它是一個基于RSA公鑰加密體系的郵件加密軟件。我們可以用它對郵件保密以防止非授權(quán)者閱讀，它還能對用戶的郵件加上數(shù)字簽名，從而使收信人可以確認(rèn)發(fā)信人的身份。它采用了非對稱的“公鑰”和“私鑰”加密體系，而這種RSA算法是不可重新分解的密鑰體系，簡單地說就是：一個對外公開，一個不告訴任何人。公開的一個稱為“公鑰”，用來加密郵件。另一個叫“私鑰”，用來解密郵件。這兩個密鑰是互補(bǔ)的，也就是說用公鑰加密的密文只可以用私鑰解密，反過來也一樣。假設(shè)我要給好友發(fā)送電子郵件，我們都知道對方的公鑰。我就用好友的公鑰加密郵件寄出，好友收到后就可以用自己的私鑰解密出我的原文。由于別人不知道好友的私鑰，所以即使是我也無法解密那封信，這就解決了信件保密的問題。另一方面，好友如何就知道這封電子郵件就是我發(fā)給他的呢，我們就可以用數(shù)字簽名來確認(rèn)發(fā)信的身份。三、加密軟件的安裝PGP加密軟件是免費(fèi)的，軟件下載地址是點(diǎn)擊下載PGP8.0 這個版本是英文免費(fèi)版網(wǎng)上不一定能找的到。運(yùn)行壓縮包中的PGP8.EXE Welcome歡迎界面選擇NEXT，然后License Agreement選擇YES，Read me選擇NEXT，在User Type選擇No,Im a new user.然后NEXT，如圖Install Directory安裝路徑直接選擇NEXT,Select Components選擇如圖，然后開始安裝，安裝完成直接點(diǎn)finish，自動重啟計(jì)算機(jī)。重啟之后右下角出現(xiàn)一把鎖說明安裝成功。這時會提示PGP License 注冊，單擊一下manual并按照以下內(nèi)容填寫，如圖：最后點(diǎn)擊authorize完成。附： User: PGP DesktopOrgnization: PGP EnterpriseLicense Number: CUCDX-4YGY5-KRJVJ-TBN6R-3E9UB-EMCLicense Authorization:-BEGIN PGP LICENSE AUTHORIZATION-ADIAApAAAJ4gWeOov9Nr/gJ1TaVQz2olNEx1zACggvH4tuOArH1Swb22sB9Nmx7YC6w=-END PGP LICENSE AUTHORIZATION-四、密鑰的生成在使用PGP之前，我們首先需要生成一對密鑰，這一對密鑰其實(shí)是同時生成的，其中的一個我們稱為公鑰，意思是公共的密鑰，使用者可以把它分發(fā)給你的朋友們，讓他們用這個密鑰來加密文件。另一個我們稱為私鑰，這個密鑰由使用者自己保存，使用者是用這個密鑰來解開加密文件的。選擇“開始程序 PGPPGPkeys”程序，界面如圖所示。選擇菜單上keys-new key.然后選擇下一步，輸入名字和郵件地址，然后下一步。點(diǎn)擊“下一步”按鈕以后，在對話框“Passphrase”欄中設(shè)置一個不少于8位的密碼，在“Confirmation”欄中再輸入一遍剛才設(shè)置的密碼。如果去掉“Hide Typing”選項(xiàng)前面的勾選，你所輸入的密碼就會在相應(yīng)的對話框中顯現(xiàn)出來。最后，單擊“下一步”按鈕將完成密鑰生成向?qū)А?密碼可千萬不要設(shè)置簡單易被破解的數(shù)字，如“12345678”，關(guān)于密碼的設(shè)置大家可以參考下面的建議：不要使用紀(jì)念日期、字典里能夠查到的英文單詞作為密碼；不要使用你的名字或者名字加上簡單的數(shù)字作為密碼；密碼不要短于8位；密碼是大小寫敏感的，A和a是兩個完全不同的密碼，因此你可以在密碼中夾雜大小寫字母、數(shù)字還有特殊符號；密碼一定要好記，否則自己都需要寫在本本上的密碼是沒有任何實(shí)用價值的。五、密鑰的導(dǎo)出和導(dǎo)入1、“Kelvin”-密鑰導(dǎo)出：在我們剛剛生成的密鑰上邊點(diǎn)擊右鍵，執(zhí)行“Export ”導(dǎo)出公鑰為擴(kuò)展名為ASC的“Kelvin.asc”文件，如圖所示。自己選擇保存位置（如果需要將私鑰一起導(dǎo)出，請將 Include Private Keys(s) 前的選擇框打勾），點(diǎn)擊 保存。導(dǎo)出公鑰Kelvin.asc后，可以將公鑰Kelvin.asc發(fā)送給朋友們。2、加密郵件發(fā)送方導(dǎo)入：接收來自好友pop的公鑰pop.asc并下載到自己的計(jì)算機(jī)上，雙擊這個好友的公鑰pop.asc，會出現(xiàn)下面的對話框，此時，選中好友的E-mail地址(如若有多個的話可以點(diǎn)擊“Select All“按鈕)，點(diǎn)擊“Import”按鈕，導(dǎo)入好友的公鑰，如圖所示。啟動PGPKeys程序，選中好友pop發(fā)送過來的公鑰(也就是PGP中顯示出的對方的E-mail地址)，如圖所示，鼠標(biāo)右擊選擇“Sign”。選中好友pop后點(diǎn)擊OK，然后再輸入密碼點(diǎn)OK這個密碼是“Kelvin”當(dāng)初設(shè)置的密碼。這樣就確認(rèn)了朋友pop的身份有效性。我們將“pop”的公鑰導(dǎo)入后，還應(yīng)該將它作為信任的密鑰，所以還有一步要做。執(zhí)行PGPKeys程序，選中“pop”的公鑰，鼠標(biāo)右擊選擇“Key Properties”。此時，會出現(xiàn)如圖所示的對話框。將右下角的滑動塊從“Untrusted”處拖至“Trusted”處，然后關(guān)閉該對話框。 將Trust Model中Untruster滑塊滑到Trusted.完成之后，我們的PGPkeys如圖：至此，我們就完成了密鑰的導(dǎo)入工作，現(xiàn)在我可以用好友POP的公鑰把要給POP發(fā)送的信件進(jìn)行加密。為了大家都方便，上面導(dǎo)入和導(dǎo)出的工作最好郵件收發(fā)雙方都要做一遍。六、測試加密郵件1、郵件內(nèi)容加密：（這里使用outlook2003作為郵件客戶端，outlook express操作基本相同）完成以上這些操作以后，我們開始寫加密信，啟動OutLook，同時打開“開始所有程序PGPPGPmail”。PGPmail的界面會有一下幾個按鈕，如圖：我們常用的是前五個按鈕，第一個按鈕：查看密鑰；第二個按鈕：加密；第三個按鈕：簽名；第四個按鈕：加密并簽名；第五個按鈕：解密并驗(yàn)證簽名。最后兩個按鈕是徹底擦除文件和清理磁盤，這兩個按鈕慎用。（1）、我們寫一封測試信，內(nèi)容如下，當(dāng)寫完信的內(nèi)容以后，將信的內(nèi)容全選，然后點(diǎn)右鍵選擇剪切，即把需要加密的內(nèi)容剪切到clipboard剪切板上。如圖:（2）、然后按一下PGPmail的第四個按鈕，這時彈出對話框，如圖：點(diǎn)一下Clipboard（剪切板），這時彈出如下圖對話框：這里需要選擇用誰的公鑰來加密剪切板上的郵件內(nèi)容，就會出現(xiàn)我們電腦里所有公鑰的人讓我們選擇，我們可以選取多個人，這些人就是可以解密我們加密的內(nèi)容。默認(rèn)自己的公鑰在下邊一欄，然后在這里需要把POP的郵件地址放到下邊，在這里可以把POP的地址點(diǎn)鼠標(biāo)左鍵拖下來，或者雙擊POP，（如果允許自己也可以解密這封郵件，也可以保留自己的地址在下邊一欄）調(diào)整后如下圖：選擇郵件接收人的公鑰進(jìn)行加密（這里設(shè)置的是只用POP的公鑰加密這封郵件）點(diǎn)擊OK。彈出對話框如圖：輸入自己創(chuàng)建密鑰時的密碼后點(diǎn)擊OK，完成對此內(nèi)容的簽名。這時用POP公鑰加密好的郵件內(nèi)容已經(jīng)在剪切板上了。（3）、這時在寫郵件內(nèi)容單擊鼠標(biāo)右鍵，選擇粘貼。加密內(nèi)容就顯示在信上了。如圖：加密后的內(nèi)容看上去就是亂碼，這樣即使郵件被人截獲，信息也不會被泄露出去。點(diǎn)發(fā)送，一封只有POP自己可以解密的密信就發(fā)送出去了。2、附件加密：按一下PGPmail的第四個按鈕，這時彈出對話框，同郵件內(nèi)容加密第（2）步。選擇需要加密的文件，然后點(diǎn)擊打開。選擇好友pop的公鑰然后點(diǎn)擊OK。輸入自己的密碼，點(diǎn)擊OK。這時加密好的附件就生成了，位置和原文件在同一目錄下。加密好的附件后綴是.PGP。這個文件只有擁有POP自己可以解密并打開。然后把這個文件放到信得附件里發(fā)送即可。3、收信人-郵件解密：現(xiàn)在我們站在POP的角度接收這封加密信，這里使用網(wǎng)頁郵箱的方式來接收，如圖：（1）郵件內(nèi)容解密：a、首先我們打開“開始程序PGPPGPmail”。然后我們在郵件內(nèi)容上單擊右鍵全選，然后再單擊右鍵復(fù)制。如圖：b、按一下PGPmail菜單的第五個按鈕：解密并驗(yàn)證簽名。彈出對話框，如圖：點(diǎn)擊clipboard（剪切板）。彈出下圖對話框：上邊顯示內(nèi)容是用POP的公鑰進(jìn)行加密的，所以在這里POP需要輸入自己的密碼，來解密。輸入密碼后點(diǎn)擊OK。這樣POP就能看到郵件內(nèi)容了。并且可以看到是kelvin進(jìn)行的簽名，確認(rèn)了發(fā)信人的身份。（2）、附件解密：首先把附件下載到本地計(jì)算機(jī)上，然后雙擊附件，出現(xiàn)對話框如圖：上邊提示文件是用POP的公鑰加密的，輸入POP自己的密碼，點(diǎn)OK。完成解密，文件與下載的加密文件在同一個文件夾下。Tips：1、也可以不用PGPMail，可以先用記事本之類的工具編寫郵件內(nèi)文，然后在右下角PGPIcon（鎖狀圖標(biāo)）選擇CurrentWindow，再選擇Encrypt&Sign或Encrypt，就會出現(xiàn)電腦里所有公鑰的人讓你選擇，可以選取多個人，這些人就是可以解密加密的內(nèi)容的人。加過密的資料就變成亂碼形式，再把它貼到eMail里寄出即可。2、公鑰、私鑰、口令三者的關(guān)系：公鑰有兩個作用，加密郵件和驗(yàn)證簽名。私鑰的作用是解密文件和簽名文件。所以私鑰必須要保存好?？诹钍桥浜纤借€使用的，加強(qiáng)了保密性，解密的時候同時需要私鑰和口令。3、私鑰可以在導(dǎo)出密鑰的時候?qū)nclude Private Keys(s) 前的選擇框打勾，然后拷貝到U盤或者其他地方保存。4、導(dǎo)出的密鑰可以使用記事本打開，-BEGIN PGP PRIVATE KE