PGP郵件加密實(shí)驗(yàn)

PGP郵件加密實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康模?．熟悉非對稱加密算法。2．掌握私鑰和公鑰再簽名和加密中的應(yīng)用。3．了解PGP工具的操作二、實(shí)驗(yàn)屬性：數(shù)據(jù)的完整性和保密性三、實(shí)驗(yàn)儀器設(shè)備及器材

僅需計算機(jī)、PGP工具四、實(shí)驗(yàn)要求實(shí)驗(yàn)前認(rèn)真預(yù)習(xí)公鑰，私鑰以及數(shù)字簽名原理，對稱加密和非對稱加密算法，PGP的原理以及使用方法，在進(jìn)行實(shí)驗(yàn)時，應(yīng)注意愛護(hù)機(jī)器，按照試驗(yàn)指導(dǎo)書的要求的內(nèi)容和步驟完成實(shí)驗(yàn)，尤其應(yīng)注意認(rèn)真觀察試驗(yàn)結(jié)果，做好記錄；實(shí)驗(yàn)完成后應(yīng)認(rèn)真撰寫實(shí)驗(yàn)報告。五、實(shí)驗(yàn)原理1．非對稱加密算法原理1976年，美國學(xué)者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達(dá)成一致的密鑰，這就是“公開密鑰系統(tǒng)”。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，那么只有用對應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€不同的密鑰，所以這種算法叫作非對稱加密算法。非對稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機(jī)密信息進(jìn)行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的信息進(jìn)行解密。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息。非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費(fèi)時間長、速度慢，它不適合于對文件加密而只適用于對少量數(shù)據(jù)進(jìn)行加密。2．公鑰加密算法介紹使用公開密鑰對文件進(jìn)行加密傳輸?shù)膶?shí)際過程包括四步：（1）發(fā)送方生成一個自己的私有密鑰并用接收方的公開密鑰對自己的私有密鑰進(jìn)行加密，然后通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?；?）發(fā)送方對需要傳輸?shù)奈募米约旱乃接忻荑€進(jìn)行加密，然后通過網(wǎng)絡(luò)把加密后的文件傳輸?shù)浇邮辗?；?）接收方用自己的公開密鑰進(jìn)行解密后得到發(fā)送方的私有密鑰；（4）接受方用發(fā)送方的私有密鑰對文件進(jìn)行解密得到文件的明文形式。因?yàn)橹挥薪邮辗讲艙碛凶约旱墓_密鑰，所以即使其他人得到了經(jīng)過加密的發(fā)送方的私有密鑰，也因?yàn)闊o法進(jìn)行解密而保證了私有密鑰的安全性，從而也保證了傳輸文件的安全性。實(shí)際上，上述在文件傳輸過程中實(shí)現(xiàn)了兩個加密解密過程：文件本身的加密和解密與私有密鑰的加密解密，這分別通過私有密鑰和公開密鑰來實(shí)現(xiàn)。2．私鑰數(shù)字簽名技術(shù)對文件進(jìn)行加密只解決了傳送信息的保密問題，而防止他人對傳輸?shù)奈募M(jìn)行破壞，以及如何確定發(fā)信人的身份還需要采取其它的手段，這一手段就是數(shù)字簽名。在電子商務(wù)安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中，都要用到數(shù)字簽名技術(shù)。在電子商務(wù)中，完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗(yàn)證真?zhèn)蔚哪芰?。?shí)現(xiàn)數(shù)字簽名有很多方法，目前數(shù)字簽名采用較多的是公鑰加密技術(shù)，如基于RSADateSecurity公司的PKCS（PublicKeyCryptographyStandards）、DigitalSignatureAlgorithm、x.509、PGP（PrettyGoodPrivacy）。1994年美國標(biāo)準(zhǔn)與技術(shù)協(xié)會公布了數(shù)字簽名標(biāo)準(zhǔn)而使公鑰加密技術(shù)廣泛應(yīng)用。公鑰加密系統(tǒng)采用的是非對稱加密算法。目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是，報文的發(fā)送方從報文文本中生成一個128位的散列值（或報文摘要）。發(fā)送方用自己的私人密鑰對這個散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個散列值相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認(rèn)以下兩點(diǎn)：第一，信息是由簽名者發(fā)送的；第二，信息自簽發(fā)后到收到為止未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發(fā)送信息?；虬l(fā)出（收到）信件后又加以否認(rèn)等情況發(fā)生。應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨(dú)使用，也可綜合在一起使用。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)行加、解密變換實(shí)現(xiàn)的，用DES算去、RSA算法都可實(shí)現(xiàn)數(shù)字簽名。但三種技術(shù)或多或少都有缺陷，或者沒有成熟的標(biāo)準(zhǔn)。RSA算法中數(shù)字簽名技術(shù)實(shí)際上是通過一個哈希函數(shù)來實(shí)現(xiàn)的。數(shù)字簽名的特點(diǎn)是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一個最簡單的哈希函數(shù)是把文件的二進(jìn)制碼相累加，取最后的若干位。哈希函數(shù)對發(fā)送數(shù)據(jù)的雙方都是公開的。DSS數(shù)字簽名是由美國國家標(biāo)準(zhǔn)化研究院和國家安全局共同開發(fā)的。由于它是由美國政府頒布實(shí)施的，主要用于與美國政府做生意的公司，其他公司則較少使用，它只是一個簽名系統(tǒng)，而且美國政府不提倡使用任何削弱政府竊聽能力的加密軟件，認(rèn)為這才符合美國的國家利益。Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）或數(shù)字指紋法（DigitalFingerPrint）。它與RSA數(shù)字簽名是單獨(dú)的簽名不同，該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動。將一個商務(wù)合同的個體內(nèi)容與簽名結(jié)合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。數(shù)字摘要（DigitalDigest）加密方法亦稱安全Hash編碼法（SHA：SecureHashAlgorithm）或MD5（MDStandardForMessageDigest），由RonRivest所設(shè)計。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋（FingerPrint），它有固定的長度，且不同的明文摘要必定一致。這樣這串摘要使可成為驗(yàn)證明文是否是“真身”的“指紋”了。只有加入數(shù)字簽名及驗(yàn)證才能真正實(shí)現(xiàn)在公開網(wǎng)絡(luò)上的安全傳輸。加入數(shù)字簽名和驗(yàn)證的文件傳輸過程如下：（1）發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開密鑰體系用發(fā)達(dá)方的私有密鑰對數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面；（2）發(fā)送一方選擇一個秘密密鑰對文件進(jìn)行加密,并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑唬?）發(fā)送方用接收方的公開密鑰對密秘密鑰進(jìn)行加密,并通過網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?；?）接受方使用自己的私有密鑰對密鑰信息進(jìn)行解密，得到秘密密鑰的明文；（5）接收方用秘密密鑰對文件進(jìn)行解密，得到經(jīng)過加密的數(shù)字簽名；（6）接收方用發(fā)送方的公開密鑰對數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文；（7）接收方用得到的明文和哈希函數(shù)重新計算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對比。如果兩個數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞。六、實(shí)驗(yàn)步驟1．首先使用PGP生成創(chuàng)建密鑰對及導(dǎo)出公鑰和簽名打開開始菜單》程序》PGP，啟動PGP。打開File菜單下的NEWPGPKEY啟動新密鑰向?qū)υ捒?，按如下圖示生成公鑰

2．輸入全名和郵件地址實(shí)驗(yàn)我們輸入的命名是bill,郵件地址是cc@，單擊下一步。

3．在要求輸入passphrase的對話框中，我們以123testpass作為自己私鑰的密碼

4．在PGP完成創(chuàng)建密鑰對后，單擊下一步,完成。

5．打開PGP的主界面，可以看見我們剛才創(chuàng)建的密鑰。6．打開File菜單>Export>Key導(dǎo)出公鑰，在ExportKeytoFile對話框中，以默認(rèn)的文件名bill.asc保存在桌面上:7．切換到另一臺計算機(jī)，我們以相同的方式來創(chuàng)建另一對新密鑰并且將其導(dǎo)出。我們輸入aa作為全名，aaa@作為郵件地址，導(dǎo)出的公鑰文件名為aaa.asc。步驟和前面的一樣。在此省略。8．接下來我們來對導(dǎo)出的密碼進(jìn)行導(dǎo)入，打開File菜單，選擇Import,在SelectFileContainingKey對話框中，選擇另一臺計算機(jī)的公鑰文件（aaa.asc），然后單擊打開按鈕（假設(shè)我們已經(jīng)將兩臺計算機(jī)的公鑰都通過共享的方式復(fù)制了桌面）,在彈出的Selectkey(s)對話框中，選中要導(dǎo)入的公鑰文件，然后單擊Import，返回到主界面后會看見多了一個密鑰，證明剛才的密鑰已經(jīng)導(dǎo)入成功了。如下圖：9．打開Keys菜單，選擇Sign，對導(dǎo)入進(jìn)來的公鑰進(jìn)行簽名確認(rèn)。選中剛才導(dǎo)入的公鑰文件（aaa），單擊OK按鈕。

感謝WY陶老師提供技術(shù)資料及專業(yè)支持！下面是本實(shí)驗(yàn)最重要的一段信息，請注意：剛才大家已經(jīng)先熟悉了加密和密鑰的一些基本概念，指導(dǎo)中的步驟需要安裝PGPDesktopPro-v9.63這款軟件，但需重新啟動電腦（注銷似乎不行），因此本實(shí)驗(yàn)在實(shí)驗(yàn)室有保護(hù)卡的機(jī)器上應(yīng)采用一個免安裝版的MiniPGP軟件，大家可