PGP郵件加密實(shí)驗(yàn)

PGP郵件加密實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康模?．熟悉非對(duì)稱加密算法。2．掌握私鑰和公鑰再簽名和加密中的應(yīng)用。3．了解PGP工具的操作二、實(shí)驗(yàn)屬性：數(shù)據(jù)的完整性和保密性三、實(shí)驗(yàn)儀器設(shè)備及器材

僅需計(jì)算機(jī)、PGP工具四、實(shí)驗(yàn)要求實(shí)驗(yàn)前認(rèn)真預(yù)習(xí)公鑰，私鑰以及數(shù)字簽名原理，對(duì)稱加密和非對(duì)稱加密算法，PGP的原理以及使用方法，在進(jìn)行實(shí)驗(yàn)時(shí)，應(yīng)注意愛(ài)護(hù)機(jī)器，按照試驗(yàn)指導(dǎo)書的要求的內(nèi)容和步驟完成實(shí)驗(yàn)，尤其應(yīng)注意認(rèn)真觀察試驗(yàn)結(jié)果，做好記錄；實(shí)驗(yàn)完成后應(yīng)認(rèn)真撰寫實(shí)驗(yàn)報(bào)告。五、實(shí)驗(yàn)原理1．非對(duì)稱加密算法原理1976年，美國(guó)學(xué)者Dime和Henman為解決信息公開(kāi)傳送和密鑰管理問(wèn)題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達(dá)成一致的密鑰，這就是“公開(kāi)密鑰系統(tǒng)”。相對(duì)于“對(duì)稱加密算法”這種方法也叫做“非對(duì)稱加密算法”。與對(duì)稱加密算法不同，非對(duì)稱加密算法需要兩個(gè)密鑰：公開(kāi)密鑰（publickey）和私有密鑰（privatekey）。公開(kāi)密鑰與私有密鑰是一對(duì)，如果用公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開(kāi)密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這種算法叫作非對(duì)稱加密算法。非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是：甲方生成一對(duì)密鑰并將其中的一把作為公用密鑰向其它方公開(kāi)；得到該公用密鑰的乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對(duì)加密后的信息進(jìn)行解密。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息。非對(duì)稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費(fèi)時(shí)間長(zhǎng)、速度慢，它不適合于對(duì)文件加密而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。2．公鑰加密算法介紹使用公開(kāi)密鑰對(duì)文件進(jìn)行加密傳輸?shù)膶?shí)際過(guò)程包括四步：（1）發(fā)送方生成一個(gè)自己的私有密鑰并用接收方的公開(kāi)密鑰對(duì)自己的私有密鑰進(jìn)行加密，然后通過(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗剑唬?）發(fā)送方對(duì)需要傳輸?shù)奈募米约旱乃接忻荑€進(jìn)行加密，然后通過(guò)網(wǎng)絡(luò)把加密后的文件傳輸?shù)浇邮辗?；?）接收方用自己的公開(kāi)密鑰進(jìn)行解密后得到發(fā)送方的私有密鑰；（4）接受方用發(fā)送方的私有密鑰對(duì)文件進(jìn)行解密得到文件的明文形式。因?yàn)橹挥薪邮辗讲艙碛凶约旱墓_(kāi)密鑰，所以即使其他人得到了經(jīng)過(guò)加密的發(fā)送方的私有密鑰，也因?yàn)闊o(wú)法進(jìn)行解密而保證了私有密鑰的安全性，從而也保證了傳輸文件的安全性。實(shí)際上，上述在文件傳輸過(guò)程中實(shí)現(xiàn)了兩個(gè)加密解密過(guò)程：文件本身的加密和解密與私有密鑰的加密解密，這分別通過(guò)私有密鑰和公開(kāi)密鑰來(lái)實(shí)現(xiàn)。2．私鑰數(shù)字簽名技術(shù)對(duì)文件進(jìn)行加密只解決了傳送信息的保密問(wèn)題，而防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞，以及如何確定發(fā)信人的身份還需要采取其它的手段，這一手段就是數(shù)字簽名。在電子商務(wù)安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中，都要用到數(shù)字簽名技術(shù)。在電子商務(wù)中，完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗(yàn)證真?zhèn)蔚哪芰?。?shí)現(xiàn)數(shù)字簽名有很多方法，目前數(shù)字簽名采用較多的是公鑰加密技術(shù)，如基于RSADateSecurity公司的PKCS（PublicKeyCryptographyStandards）、DigitalSignatureAlgorithm、x.509、PGP（PrettyGoodPrivacy）。1994年美國(guó)標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)公布了數(shù)字簽名標(biāo)準(zhǔn)而使公鑰加密技術(shù)廣泛應(yīng)用。公鑰加密系統(tǒng)采用的是非對(duì)稱加密算法。目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是，報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值（或報(bào)文摘要）。發(fā)送方用自己的私人密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值（或報(bào)文摘要），接著再用發(fā)送方的公用密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認(rèn)以下兩點(diǎn)：第一，信息是由簽名者發(fā)送的；第二，信息自簽發(fā)后到收到為止未曾作過(guò)任何修改。這樣數(shù)字簽名就可用來(lái)防止電子信息因易被修改而有人作偽，或冒用別人名義發(fā)送信息。或發(fā)出（收到）信件后又加以否認(rèn)等情況發(fā)生。應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨(dú)使用，也可綜合在一起使用。數(shù)字簽名是通過(guò)密碼算法對(duì)數(shù)據(jù)進(jìn)行加、解密變換實(shí)現(xiàn)的，用DES算去、RSA算法都可實(shí)現(xiàn)數(shù)字簽名。但三種技術(shù)或多或少都有缺陷，或者沒(méi)有成熟的標(biāo)準(zhǔn)。RSA算法中數(shù)字簽名技術(shù)實(shí)際上是通過(guò)一個(gè)哈希函數(shù)來(lái)實(shí)現(xiàn)的。數(shù)字簽名的特點(diǎn)是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一個(gè)最簡(jiǎn)單的哈希函數(shù)是把文件的二進(jìn)制碼相累加，取最后的若干位。哈希函數(shù)對(duì)發(fā)送數(shù)據(jù)的雙方都是公開(kāi)的。DSS數(shù)字簽名是由美國(guó)國(guó)家標(biāo)準(zhǔn)化研究院和國(guó)家安全局共同開(kāi)發(fā)的。由于它是由美國(guó)政府頒布實(shí)施的，主要用于與美國(guó)政府做生意的公司，其他公司則較少使用，它只是一個(gè)簽名系統(tǒng)，而且美國(guó)政府不提倡使用任何削弱政府竊聽(tīng)能力的加密軟件，認(rèn)為這才符合美國(guó)的國(guó)家利益。Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）或數(shù)字指紋法（DigitalFingerPrint）。它與RSA數(shù)字簽名是單獨(dú)的簽名不同，該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動(dòng)。將一個(gè)商務(wù)合同的個(gè)體內(nèi)容與簽名結(jié)合在一起，比合同和簽名分開(kāi)傳遞，更增加了可信度和安全性。數(shù)字摘要（DigitalDigest）加密方法亦稱安全Hash編碼法（SHA：SecureHashAlgorithm）或MD5（MDStandardForMessageDigest），由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋（FingerPrint），它有固定的長(zhǎng)度，且不同的明文摘要必定一致。這樣這串摘要使可成為驗(yàn)證明文是否是“真身”的“指紋”了。只有加入數(shù)字簽名及驗(yàn)證才能真正實(shí)現(xiàn)在公開(kāi)網(wǎng)絡(luò)上的安全傳輸。加入數(shù)字簽名和驗(yàn)證的文件傳輸過(guò)程如下：（1）發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開(kāi)密鑰體系用發(fā)達(dá)方的私有密鑰對(duì)數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面；（2）發(fā)送一方選擇一個(gè)秘密密鑰對(duì)文件進(jìn)行加密,并把加密后的文件通過(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗?；?）發(fā)送方用接收方的公開(kāi)密鑰對(duì)密秘密鑰進(jìn)行加密,并通過(guò)網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?；?）接受方使用自己的私有密鑰對(duì)密鑰信息進(jìn)行解密，得到秘密密鑰的明文；（5）接收方用秘密密鑰對(duì)文件進(jìn)行解密，得到經(jīng)過(guò)加密的數(shù)字簽名；（6）接收方用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文；（7）接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對(duì)比。如果兩個(gè)數(shù)字簽名是相同的，說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞。六、實(shí)驗(yàn)步驟1．首先使用PGP生成創(chuàng)建密鑰對(duì)及導(dǎo)出公鑰和簽名打開(kāi)開(kāi)始菜單》程序》PGP，啟動(dòng)PGP。打開(kāi)File菜單下的NEWPGPKEY啟動(dòng)新密鑰向?qū)?duì)話框，按如下圖示生成公鑰

2．輸入全名和郵件地址實(shí)驗(yàn)我們輸入的命名是bill,郵件地址是cc@，單擊下一步。

3．在要求輸入passphrase的對(duì)話框中，我們以123testpass作為自己私鑰的密碼

4．在PGP完成創(chuàng)建密鑰對(duì)后，單擊下一步,完成。

5．打開(kāi)PGP的主界面，可以看見(jiàn)我們剛才創(chuàng)建的密鑰。6．打開(kāi)File菜單>Export>Key導(dǎo)出公鑰，在ExportKeytoFile對(duì)話框中，以默認(rèn)的文件名bill.asc保存在桌面上:7．切換到另一臺(tái)計(jì)算機(jī)，我們以相同的方式來(lái)創(chuàng)建另一對(duì)新密鑰并且將其導(dǎo)出。我們輸入aa作為全名，aaa@作為郵件地址，導(dǎo)出的公鑰文件名為aaa.asc。步驟和前面的一樣。在此省略。8．接下來(lái)我們來(lái)對(duì)導(dǎo)出的密碼進(jìn)行導(dǎo)入，打開(kāi)File菜單，選擇Import,在SelectFileContainingKey對(duì)話框中，選擇另一臺(tái)計(jì)算機(jī)的公鑰文件（aaa.asc），然后單擊打開(kāi)按鈕（假設(shè)我們已經(jīng)將兩臺(tái)計(jì)算機(jī)的公鑰都通過(guò)共享的方式復(fù)制了桌面）,在彈出的Selectkey(s)對(duì)話框中，選中要導(dǎo)入的公鑰文件，然后單擊Import，返回到主界面后會(huì)看見(jiàn)多了一個(gè)密鑰，證明剛才的密鑰已經(jīng)導(dǎo)入成功了。如下圖：9．打開(kāi)Keys菜單，選擇Sign，對(duì)導(dǎo)入進(jìn)來(lái)的公鑰進(jìn)行簽名確認(rèn)。選中剛才導(dǎo)入的公鑰文件（aaa），單擊OK按鈕。

感謝WY陶老師提供技術(shù)資料及專業(yè)支持！下面是本實(shí)驗(yàn)最重要的一段信息，請(qǐng)注意：剛才大家已經(jīng)先熟悉了加密和密鑰的一些基本概念，指導(dǎo)中的步驟需要安裝PGPDesktopPro-v9.63這款軟件，但需重新啟動(dòng)電腦（注銷似乎不行），因此本實(shí)驗(yàn)在實(shí)驗(yàn)室有保護(hù)卡的機(jī)器上應(yīng)采用一個(gè)免安裝版的MiniPGP軟件，大家可