對(duì)應(yīng)用層安全協(xié)議PGP的研究

1、計(jì)算機(jī)科學(xué)與技術(shù)系課 程 論 文專業(yè)名稱 網(wǎng)絡(luò)工程 課程名稱 TCP/IP協(xié)議 項(xiàng)目名稱 對(duì)應(yīng)用層安全協(xié)議PGP的研究 班 級(jí) 13網(wǎng)絡(luò)工程2班 學(xué) 號(hào) 1304032025 姓 名 王夢(mèng)夢(mèng) 同組人員 無(wú) 實(shí)驗(yàn)日期 2016.1.6 對(duì)應(yīng)用層安全協(xié)議PGP的研究姓名：王夢(mèng)夢(mèng) 班級(jí)：網(wǎng)絡(luò)工程二班 學(xué)號(hào)：1304032025一、摘要PGP(Pretty Good Privacy)，是一個(gè)基于RSA公鑰加密體系的郵件加密軟件。加密之后，信息會(huì)變成無(wú)意義的混亂字符?？梢杂盟鼘?duì)郵件保密以防止非授權(quán)者閱讀，它還能對(duì)郵件加上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者，并能確信郵件沒(méi)有被篡改。它可以提供一種安全

2、的通訊方式，而事先并不需要任何保密的渠道用來(lái)傳遞密匙。它采用了一種RSA和傳統(tǒng)加密的雜合算法，用于數(shù)字簽名的郵件文摘算法，加密前壓縮等，還有一個(gè)良好的人機(jī)工程設(shè)計(jì)。它的功能強(qiáng)大，有很快的速度。而且它的源代碼是免費(fèi)的。PGP技術(shù)的安全性很高，可以做成插件，提供給很多應(yīng)用程序使用，PGP本身就是一個(gè)軟件?？梢杂谰玫夭脸募?、文件夾和磁盤空間。二、PGP協(xié)議的背景在現(xiàn)代社會(huì)里，互聯(lián)網(wǎng)的飛速發(fā)展已經(jīng)是毋庸置疑的了。相應(yīng)的，電子郵件和網(wǎng)絡(luò)上的文件傳輸已經(jīng)成為人們工作和生活中不可或缺的部分了。當(dāng)電子郵件廣受歡迎的同時(shí)，其安全性問(wèn)題也很突出。實(shí)際上，電子郵件的傳送過(guò)程是郵件在網(wǎng)絡(luò)上反復(fù)復(fù)制的過(guò)程，其網(wǎng)絡(luò)傳輸

3、路徑不確定，很容易遭到不明身份者的竊取、篡改、冒用甚至惡意破壞，給收發(fā)雙方帶來(lái)麻煩。進(jìn)行信息加密，保障電子郵件的傳輸安全已經(jīng)成為廣大E-mail用戶的迫切要求。 2000年前，人們就開始使用共享密碼技術(shù)。1976年，Diffie-Hellman算法被提出。1978年，RSA公開密鑰算法被公開。 1991年，PGP 誕生，創(chuàng)始人是美國(guó)的 Phil Zimmermann。他的創(chuàng)造性在于他把RSA公匙體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來(lái)，并且在數(shù)字簽名和密匙認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)。因此PGP成為幾乎最流行的公匙加密軟件包。 很多個(gè)人和商業(yè)團(tuán)體都經(jīng)常使用它實(shí)現(xiàn)數(shù)據(jù)和電子郵件的保密性，并且很快就

4、成為了安全電子郵件的標(biāo)準(zhǔn)。 PGP的出現(xiàn)與應(yīng)用很好地解決了電子郵件的安全傳輸問(wèn)題。將傳統(tǒng)的對(duì)稱性加密與公開密鑰加密方法結(jié)合起來(lái)，兼?zhèn)淞藘烧叩膬?yōu)點(diǎn)。PGP提供了一種機(jī)密性和鑒別的服務(wù)，支持1024位的公開密鑰與128位的傳統(tǒng)加密算法，可以用于軍事目的，完全能夠滿足電子郵件對(duì)于安全性能的要求。三、協(xié)議的結(jié)構(gòu) 1.PGP的消息格式接收方公鑰的密鑰ID 會(huì)話密鑰時(shí)間戳發(fā)送方公鑰的密鑰ID消息摘要的前2個(gè)字節(jié)消息摘要文件名時(shí)間戳數(shù)據(jù)2. PGP的KEY生成 采用IDEA，RSA，或MD5，隨機(jī)數(shù)生成器3PGP主要提供數(shù)字簽名、機(jī)密性、壓縮、基數(shù)64轉(zhuǎn)換等安全服務(wù)。四、PGP的工作原理1. PGP是一個(gè)混

5、合密碼系統(tǒng)有四個(gè)密碼單元：（1）分組密碼單元（采用DES、IDEA、CAST、3DES等算法）； （2）公鑰密碼單元（采用Diffie-Hellman和RSA等算法）； （3）散列函數(shù)單元（采用SHA和MD5等算法）；（4）隨機(jī)數(shù)產(chǎn)生單元。2.RSA算法 RSA AlgorithmFactorization 因數(shù)分解 p, qprime numbers (secret and normally > 100 digits); n=pq, function (n)=(p-1)(q-1) (thats the number of numbers that n and prime to n);

6、Let a big integer “e” (<n, public) be “encryption index” that prime to (n); Equation ed=1mod (n); figure out “decryption index” “d”;X=Plaintext明碼 while Y=Ciphertext密碼; Encryption process: Y=Xemod n Decryption process: X=Ydmod n Keys: (n, e)public key, (n, d)private key; To get X, have to get “d”

7、directly, otherwise3.PGP郵件加密原理圖解4.數(shù)字簽名簽名的步驟： (1)發(fā)送方創(chuàng)建消息 (2)用使用SHA-1生成消息的160bit散列值 (3)用發(fā)送方私鑰的RSA加密散列值，將結(jié)果附在消息上 驗(yàn)證的步驟： (4)接收方使用發(fā)送方的公開密鑰，采用RSA解密和恢復(fù)散列值 (5)接收方為消息生成新的散列值，并與被解密的散列值相比較。如果兩者匹配，則消息作為已鑒別的消息而接收。 4.消息加密RSA，PGP還提供了Diffie-Hellman的變體ElGamal算法。(1)發(fā)送方生成消息和用作該消息會(huì)話密鑰的128bit隨機(jī)數(shù)； (2)發(fā)送方采用CAST-128加密算法，使用

8、會(huì)話密鑰對(duì)消息進(jìn)行加密。也可使用IDEA或3DES； (3)發(fā)送方采用RSA算法，使用接收方的公開密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并附加到消息前面； (4)接收方采用RSA算法，使用自己的私有密鑰解密和恢復(fù)會(huì)話密鑰； (5)接收方使用會(huì)話密鑰解密消息。5.機(jī)密性與數(shù)字簽名如圖所示，對(duì)報(bào)文可以同時(shí)使用兩個(gè)服務(wù)。首先為明文生成簽名并附加到報(bào)文首部；然后使用CAST-128(或IDEA、3DES)對(duì)明文報(bào)文和簽名進(jìn)行加密，再使用RSA(或ElGamal)對(duì)會(huì)話密鑰進(jìn)行加密。在這里要注意次序，如果先加密再簽名的話，別人可以將簽名去掉后簽上自己的簽名，從而篡改簽名。6.壓縮： PGP在加密前進(jìn)行預(yù)壓縮處理，PG

9、P內(nèi)核使用PKZIP算法壓縮加密前的明文。一方面對(duì)電子郵件而言，壓縮后再經(jīng)過(guò)radix-64編碼有可能比明文更短，這就節(jié)省了網(wǎng)絡(luò)傳輸?shù)臅r(shí)間和存儲(chǔ)空間；另一方面，明文經(jīng)過(guò)壓縮，實(shí)際上相當(dāng)于經(jīng)過(guò)一次變換，對(duì)明文攻擊的抵御能力更強(qiáng)。 7.電子郵件的兼容性： 當(dāng)使用PGP時(shí)，至少傳輸報(bào)文的一部分需要加密，因此部分或全部的結(jié)果報(bào)文由任意8bit字節(jié)流組成。但由于很多的電子郵件系統(tǒng)只允許使用由ASCII正文組成的塊，所以PGP提供了radix-64(就是MIME的BASE 64格式)轉(zhuǎn)換方案，將原始二進(jìn)制流轉(zhuǎn)化為可打印的ASCII字符。 8.分段和重裝 電子郵件設(shè)施經(jīng)常受限于最大報(bào)文長(zhǎng)度(50000個(gè))八

10、位組的限制。超過(guò)這個(gè)值，報(bào)文將分成更小的報(bào)文段，每個(gè)段單獨(dú)發(fā)送。分段是在所有其他的處理(包括radix-64轉(zhuǎn)換)完成后才進(jìn)行的，因此，會(huì)話密鑰部分和簽名部分只在第一個(gè)報(bào)文段的開始位置出現(xiàn)一次。在接收端，PGP必須剝掉所在的電子郵件首部，并且重新裝配成原來(lái)的完整的分組。五、PGP的功能1. 通過(guò)電話認(rèn)證密匙每個(gè)密匙有它們自己的標(biāo)識(shí)（keyID），keyID是一個(gè)八位十六進(jìn)制數(shù)，兩個(gè)密匙具有相同keyID的可能性是幾十億分之一， 而且PGP還提供了一種更可靠的標(biāo)識(shí)密匙的方法：“密匙指紋”(key"s;fingerprint)。每個(gè)密匙對(duì)應(yīng)一串?dāng)?shù)字（十六個(gè)八位十六進(jìn)制數(shù)），這個(gè)數(shù)字重復(fù)的

11、可能就更微乎其微了。而且任何人無(wú)法指定生成一個(gè)具有某個(gè)指紋的密匙，密匙是隨機(jī)生成的，從指紋也無(wú)法反推出密匙來(lái)。這樣你拿到某人的公匙后就可以和他在電話上核對(duì)這個(gè)指紋，從而認(rèn)證他的公匙。如果你無(wú)法和Alice通電話的話，你可以和David通電話認(rèn)證David的公匙，從而通過(guò)David認(rèn)證了Alice的公匙，這就是直接認(rèn)證和間接介紹的結(jié)合。2.使用 PGP 對(duì)郵件加密，以防止非法閱讀；3.能給加密的郵件追加上數(shù)字簽名，從而使收信人進(jìn)一步確信郵件的發(fā)送者，而事先不需要任何保密的渠道用來(lái)傳遞密鑰；4.可以實(shí)現(xiàn)只簽名而不加密，適用于發(fā)表公開聲明時(shí)證實(shí)聲明人身份，也可防止聲明人抵賴，這一點(diǎn)在商業(yè)領(lǐng)域有很大的

12、應(yīng)用前景； 4.能夠加密文件，包括圖形文件、聲音文件以及其它各類文件； 5.利用 PGP代替 Uuencode生成RADIX64（就是 MIME的BASE 64格式）的編碼文件。六、協(xié)議的應(yīng)用場(chǎng)合PGP為各操作系統(tǒng)提供應(yīng)用平臺(tái)，如今，人們對(duì)電子郵件的使用頻率不斷增加，可以應(yīng)用PGP來(lái)滿足用戶對(duì)安全的需要，比如PGP在銀行系統(tǒng)中，銀行操作系統(tǒng)需要傳輸大量的機(jī)密信息，如用戶的身份信息、賬號(hào)、款項(xiàng)情況等，除此之外，pgp還可以對(duì)工資信息、商業(yè)合同、技術(shù)文檔等保密郵件進(jìn)行加密，PGP甚至可以對(duì)磁盤文件、即時(shí)信息等進(jìn)行加密和解密。七、個(gè)人小結(jié)在互聯(lián)網(wǎng)高速發(fā)展的今天，電子郵件越來(lái)越占據(jù)人們生活的重要地位，

13、而在發(fā)送郵件的過(guò)程中，安全性問(wèn)題是人們面臨的一個(gè)亟待解決的問(wèn)題，如果這個(gè)問(wèn)題得不到解決，那么人們生活中某些機(jī)密的郵件在發(fā)送的過(guò)程中就有可能泄密，失去其原本機(jī)密的意義。PGP協(xié)議是一種基于安全性算法的協(xié)議，旨在對(duì)郵件的傳輸過(guò)程進(jìn)行加密。加密之后，信息會(huì)變成無(wú)意義的混亂字符。可以用它對(duì)郵件保密以防止非授權(quán)者閱讀，它還能對(duì)郵件加上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者，并能確信郵件沒(méi)有被篡改。在研究PGP協(xié)議的過(guò)程中我深刻認(rèn)識(shí)到，對(duì)于網(wǎng)絡(luò)方面的知識(shí)我們必須廣泛涉獵，因?yàn)閮H僅安全性方面的內(nèi)容就包括了很多的內(nèi)容，如果僅僅看加密方面的書籍就會(huì)顯得很狹隘，這項(xiàng)研究根本沒(méi)法進(jìn)行下去。若想真正對(duì)PGP協(xié)議有一個(gè)深刻的認(rèn)識(shí)，必須將網(wǎng)絡(luò)安全中的密碼學(xué)以及其它相關(guān)知識(shí)了解透徹，把它們綜合應(yīng)用，才能對(duì)PGP協(xié)議有一個(gè)更深的應(yīng)用。PGP自身并未應(yīng)用獨(dú)特的安全技術(shù)，其對(duì)數(shù)字簽名、壓縮、加密等技術(shù)進(jìn)行了運(yùn)用，具有強(qiáng)大的加密功能，PGP對(duì)電子郵件的加密，保證信息的安全提供了有