《計算機網(wǎng)絡(luò)安全防護技術(shù)（第二版）》 課件 第3章-任務(wù)3.2.2 應(yīng)用PGP軟件加密和探究SSH的加密過程

第3章數(shù)據(jù)加密技術(shù)3.2.2PGP軟件在加密上的綜合應(yīng)用3.2.3SSH的加密過程編著：

秦燊勞翠金

對稱密鑰算法運算速度快，但傳輸密鑰困難；非對稱密鑰算法不存在傳輸密鑰問題，但運算速度慢。兩者結(jié)合起來，就能取長補短。一、為三臺電腦安裝PGPDesktop，生成密鑰對。1.啟動三臺windows虛擬機，都安裝上PGPDesktop剛安裝完成，軟件會彈出PGP密鑰生成助手，若還不想生成密鑰對，可點擊取消按鈕，下次啟動PGP后，再生成。3.2.2PGP軟件在加密上的綜合應(yīng)用1.如圖3-2-2所示，啟動PGPDesktop，打開如圖3-2-3所示的管理界面。圖3-2-2打開PGPDesktop圖3-2-3PGPDesktop界面2.如圖3-2-4所示，點擊“文件”/“新建PGP密鑰”。圖3-2-4新建PGP密鑰3.彈出如圖3-2-5所示的PGP密鑰生成助手，點擊“下一步”。圖3-2-5PGP密鑰生成助手4.如圖3-2-6所示，輸入全名和主要郵件。圖3-2-6分配名稱和郵件5.創(chuàng)建口令。在需要使用私鑰時，可用現(xiàn)在創(chuàng)建的口令來調(diào)用。如圖3-2-7所示，按要求輸入不少于8位、包含數(shù)字和字母的口令。輸入完成后，點擊“下一步”。圖3-2-7創(chuàng)建口令6.如圖3-2-8所示，PGP為user1生成了包括公鑰和私鑰的密鑰對。點擊“下一步”。在出現(xiàn)的PGP全球名錄助手框中，點擊“跳過”按鈕。圖3-2-8密鑰生成進度7.如圖3-2-9所示，可以查看到user1的密鑰對。圖3-2-9user1的密鑰對8.PGP默認保存私鑰的口令，用到私鑰時直接調(diào)用，不需要用戶再次輸入口令。若不想我的電話口令，可如圖3-2-10所示，先打開菜單“工具”/“選項”，然后按圖3-2-11所示，將保護私鑰的口令設(shè)置成“不保存我的口令”。圖3-2-10PGPDesktop選項圖3-2-11PGP選項窗口-不保存我的口令9.如圖3-2-12和圖3-2-13所示，用同樣方法，為第二臺電腦的user2和第三臺電腦的user3分別生成密鑰對。10.用同樣方法，為第二臺電腦的user2和第三臺電腦的user3進行私鑰“不保存我的口令”的設(shè)置。圖3-2-12user2的密鑰對圖3-2-13user3的密鑰對二、導(dǎo)出公鑰，互相交換公鑰。1.如圖3-2-14所示，右擊user1，選擇“導(dǎo)出”。圖3-2-14導(dǎo)出user1的公鑰2.如圖3-2-15所示，選擇存儲位置，不要勾選“包含私鑰”選項，點擊“保存”按鈕，為user1導(dǎo)出公鑰。3.如圖3-2-16所示，把user1的公鑰拖放到PC2上。圖3-2-15user1的公鑰保存位置圖3-2-16將user1的公鑰分發(fā)給PC24.如圖3-2-17所示，在PC2上，雙擊user1.asc，點擊“導(dǎo)入”。5.如圖3-2-18所示，User1的公鑰成功的導(dǎo)入到了win2中。圖3-2-17導(dǎo)入user1的公鑰圖3-2-18導(dǎo)入user1的公鑰后的界面6.如圖3-2-19所示，右擊剛導(dǎo)入的user1公鑰，選擇“簽名”。圖3-2-19對user1的公鑰進行簽名7.如圖3-2-20所示，在彈出的“PGP簽名密鑰”框中，點擊“確定”按鈕。8.如圖3-2-21所示，在彈出的“PGP為選擇密鑰輸入口令”對話框中，輸入調(diào)用user2私鑰的口令，為新導(dǎo)入的公鑰簽名。圖3-2-20確認簽名圖3-2-21輸入user2私鑰的口令9.如圖3-2-22所示，簽名后，新導(dǎo)入的公鑰“已校驗”狀態(tài)變綠。10.如圖3-2-23、3-2-24、3-2-25所示，用同樣方法，為user1、user2、user3互傳公鑰，并為導(dǎo)入的公鑰簽名。圖3-2-22對user1的公鑰簽名后的結(jié)果

圖3-2-23為win1導(dǎo)入其它公鑰圖3-2-24為win2導(dǎo)入其它公鑰圖3-2-25為win3導(dǎo)入其它公鑰

三、在PC1上，新建文件，用user2的公鑰加密，發(fā)送到PC2和PC3上，觀察user2能解密打開文件，但user3不能解密，無法打開加密后的文件。這是因為user2的公鑰加密的文件，只有user2的私鑰才能解密，user3沒有user2的私鑰，所以無法解密。1.如圖3-2-26所示，在PC1上新建文件test1.txt，右擊，選擇“PGPDesktop”/“使用密鑰保護test1.txt”。圖3-2-26使用密鑰保護文件2.如圖3-2-27所示，在PGP壓縮包助手中，選擇User2的公鑰，并點擊“添加”按鈕。圖3-2-27添加user2的公鑰3.如圖3-2-28所示，在PGP壓縮助手中，簽名密鑰選擇“無”，點擊“下一步”按鈕。圖3-2-28簽名密鑰選擇無并保存4.將加密好的文件傳送到win2主機上。5.如圖3-2-20所示，在win2主機上，右擊加密好的文件test1.txt.pgp，選擇“PGPDesktop”/“解密&校驗test1.txt.pgp”。圖3-2-29win2上解密文件6.如圖3-2-30所示，在Win2上彈出的輸入口令框中，輸入調(diào)用user2私鑰的口令“123”，點擊“確定“按鈕。圖3-2-30輸入user2的私鑰解密文件7.通過User2的私鑰，能解密并打開測試文件。8.如圖3-2-31所示，把加密好的文件test1.txt.pgp傳到win3上,右擊文件，選擇“PGPDesktop”/“解密&校驗test1.txt.pgp”。提示“因為您的密鑰環(huán)不包含user1或user2公鑰對應(yīng)的可用私鑰，無法解密“?？梢?，user3無法解密此加密文件。圖3-2-31user3無法解密文件

我們已經(jīng)在上一章中介紹了使用SSH網(wǎng)管防火墻ASA的方法，SSH是如何加密數(shù)據(jù)的呢？SSH綜合運用了對稱密鑰和非對稱密鑰技術(shù)，SSH的運行過程如下：1.服務(wù)端生成密鑰對，包括公鑰和私鑰。公鑰可以公開，用于發(fā)給客戶端加密數(shù)據(jù)，對于采用服務(wù)端公鑰加密的數(shù)據(jù)，只有服務(wù)端相應(yīng)的私鑰才能解密；服務(wù)端的私鑰不公開，只有服務(wù)端才擁有，可以解密用服務(wù)端公鑰加過密的數(shù)據(jù)。2.客戶端向服務(wù)端發(fā)起SSH連接請求。3.服務(wù)端向客戶端發(fā)起版本協(xié)商，確定是使用版本1還是版本2。4.協(xié)商結(jié)束后服務(wù)端發(fā)送服務(wù)端的公鑰給客戶端，在此之前，所有通信都是不加密的。5.客戶端的用戶通過核驗服務(wù)端發(fā)來的公鑰的MD5值，核驗公鑰的真?zhèn)危绻€沒有問題，則接收此公鑰，并產(chǎn)生一個隨機數(shù)，用此公鑰來加密這個隨機數(shù)，這個隨機數(shù)可用于計算雙方加密數(shù)據(jù)用的對稱密鑰，該對稱密鑰加密的數(shù)據(jù)，可以用該對稱密鑰來解密。6.客戶端將已經(jīng)用服務(wù)端公鑰加密過的隨機數(shù)發(fā)送給服務(wù)端。7.服務(wù)端獲得已加密的隨機數(shù)后，用服務(wù)器的私鑰解密