PGP(Pretty Good Privacy)是一(yī)个基(jī)于RSA公钥加密体(tǐ)系的(de)邮件加密软件。采用了一种RSA和传统加密的杂合(hé)算法,用于数字签名的邮件文摘(zhāi)算法,加密(mì)前压缩等,还有一个良好(hǎo)的人机(jī)工程设计。PGP能够(gòu)提供独立计(jì)算机上的信息保护功(gōng)能,使得这个保密系统更加(jiā)完备。可以用它对邮件保密以防止非授权者(zhě)阅(yuè)读,它还(hái)能对(duì)邮件(jiàn)加上(shàng)数字签(qiān)名从而使收信人可以确(què)认(rèn)邮件的发送者,并能确信邮件没有(yǒu)被(bèi)篡改。它可以提供一种安全的通讯方式,而事先并不需要任何保密的渠道(dào)用来传递密(mì)匙。PGP的功能强大,有(yǒu)很快的速度。可以使用PGP接管用户(hù)的共享文件夹本身以及其中的(de)文(wén)件,安全性远(yuǎn)远高于操作(zuò)系(xì)统本身提供(gòng)的帐号(hào)验证功能。
PGP是英(yīng)文(wén)Pretty Good Privacy(更好地(dì)保护隐私)的(de)简称,
是一个基于RSA公钥&私钥(yào)及(jí)AES等加密算法(fǎ)的(de)加密软件系列。
常用的版本是PGP DesktopProfessional(PGP专业桌面版),
它包含邮件加密与身份(fèn)确(què)认(rèn),资料公钥&私钥加密,
硬盘及移动盘全盘密码保(bǎo)护,网络共享(xiǎng)资料加密,
PGP自解压(yā)文档创建,资(zī)料安全擦除等众(zhòng)多(duō)功(gōng)能。
最终版本:PGP 10.02[build13](PGP SDK 4.0.0)。
由于赛门铁克的公司的收购影响,PGP从10.0.2以后,
将(jiāng)不(bú)再单(dān)独放出PGP版本的独立(lì)安装包形式,将会以
安全插件(jiàn)等(děng)的形式集成于诺顿(dùn)等赛门铁(tiě)克公(gōng)司安全产品里。
现在您应该对 PGP 已经(jīng)有个(gè)大概的了(le)解了,让我们看看 PGP 实际上具有哪些功能: PGP使用加(jiā)密以(yǐ)及效(xiào)验的(de)方式,提(tí)供(gòng)了多种的功能和工具,帮助您保证您的电子(zǐ)邮(yóu)件、文件、磁盘(pán)、以及网络通讯的安全。您可(kě)以使用 PGP 做这些事:
1、在任(rèn)何软件中进行加密/签(qiān)名以及解密/效验。通过(guò) PGP 选项和电子邮件插件,您可(kě)以在任何软件当中使(shǐ)用 PGP 的功能。
2、创建(jiàn)以及管理密(mì)钥。使用 PGPkeys 来创建、查看、和维护(hù)您(nín)自(zì)己(jǐ)的 PGP密钥对(duì);以(yǐ)及(jí)把任何人的公(gōng)钥加(jiā)入您(nín)的公(gōng)钥库中(zhōng)。
3、创建自解密压缩文档 (self-decrypting archives, SDA)。您可以建立一个(gè)自动(dòng)解密的可执行文件。任何(hé)人不(bú)需要事先安(ān)装 PGP ,只要得(dé)知该文件的加密密(mì)码,就可以把这个文件解密(mì)。这(zhè)个功能(néng)尤其在需(xū)要把文(wén)件发送给没有安装 PGP 的人时特(tè)别(bié)好用。并且,此功能(néng)还能对内嵌其中的文件进(jìn)行(háng)压缩,压缩率与ZIP相似,比(bǐ)RAR略低(某些(xiē)时候略高,比如含有(yǒu)大量文本)。总的来(lái)说,该功能是(shì)相当(dāng)出色的。
4、创建(jiàn)PGPdisk加密文(wén)件。该功能可(kě)以创建一个.pgd的文件,此文件用PGP Disk功能加载后,将(jiāng)以新分区的形式出现,您可以(yǐ)在此分区内(nèi)放入需要保(bǎo)密的任何文件。其使用(yòng)私钥和(hé)密(mì)码两者(zhě)共用的方式保存(cún)加密数据,保密性坚(jiān)不可摧,但需要注意(yì)的是(shì),一定要(yào)在(zài)重装系统前记得备份“我的文(wén)档”中(zhōng)的“PGP”文件夹里(lǐ)的所有文件,以备重(chóng)装后恢复您的私钥。切记切记,否则将永远没有可能再次打开曾经在该系统下创(chuàng)建的任何加密文(wén)件!
5、永久(jiǔ)的粉碎(suì)销毁文件、文件夹,并释放出(chū)磁盘空(kōng)间。您(nín)可以使(shǐ)用PGP粉(fěn)碎工具来永久地删(shān)除那些敏感的(de)文件和文(wén)件夹,而不会遗留(liú)任何的数据片段(duàn)在硬盘上。您也可以(yǐ)使用(yòng)PGP自由空间粉碎(suì)器来再(zài)次(cì)清除已(yǐ)经(jīng)被删(shān)除的文件实(shí)际占用的硬(yìng)盘空间(jiān)。这两个工具都是要确保(bǎo)您所删除的数据将永(yǒng)远不可(kě)能被别有用心(xīn)的(de)人(rén)恢复。
6、9.x新增:全盘加密,也称完整磁(cí)盘(pán)加密。该(gāi)功能可将(jiāng)您的整个硬盘上所有数据加(jiā)密,甚至包括操作(zuò)系统本身。提供极高的安全性,没有密码之(zhī)人绝无可(kě)能使用您的系统或查看硬盘里面存放的文件、文件夹等数据(jù)。即便是硬盘被拆卸到另外(wài)的计算机(jī)上,该功能(néng)仍将忠实(shí)的保护您的数据、加密后的数据维持原有的结(jié)构,文件和(hé)文件夹的位置(zhì)都不会改变。
7、9.x增强:即时消息工具加密。该功能可将支持(chí)的即时(shí)消息工(gōng)具(IM,也称即时通讯工具、聊天工具)所(suǒ)发送的信息完全经由PGP处理,只有拥有对应私钥的和密(mì)码的对方才可以解开消息的内容。任(rèn)何人截获到(dào)也没有任何意义,仅(jǐn)仅是一(yī)堆乱码。
8、9.x新增:PGP zip,PGP压(yā)缩包。该(gāi)功能可以创建类(lèi)似其他压缩软件打(dǎ)包压缩后(hòu)的文件包,但不同的(de)是(shì)其拥有坚不可摧的(de)安全性。
PGP10.02主(zhǔ)界面
9、9.x增强:网络共享。可以使用PGP接管您的共享文件夹本(běn)身以及其中的文件,安全性远远高于操作系统本身提供(gòng)的帐号验证(zhèng)功能。并(bìng)且可以方便的管(guǎn)理允许(xǔ)的授权用户(hù)可以进行的操作(zuò)。极大的方便了(le)需要经常在内部网(wǎng)络中共享文(wén)件的企业用户,免于受蠕虫病毒(dú)和黑客的侵袭。
10、10.x新增:创建(jiàn)可移动加(jiā)密介质(USB/CD/DVD)产(chǎn)品:PGP Portable。曾经独立的该产品已包含在其中,但使用时需要(yào)另购许可证(zhèng)。
PGP加密系统是(shì)采用公开密钥加密与(yǔ)传统密钥加密相结合的一种加密技(jì)术。它使用一对数学(xué)上(shàng)相关(guān)的钥匙,其中(zhōng)一个(公(gōng)钥)用来(lái)加(jiā)密信息,另一个(私钥)用来解密信息。
PGP采用的传统加密(mì)技术部分所使(shǐ)用的密钥称为“会(huì)话密(mì)钥”(sek)。每次使用时,PGP都随(suí)机产生一(yī)个128位的IDEA会话密钥,用来加密(mì)报文。公(gōng)开密钥加密(mì)技术中的公钥和私钥则用来加密会(huì)话密(mì)钥,并通过它(tā)间(jiān)接地(dì)保护报文内容。
PGP中的每个公钥(yào)和私钥都(dōu)伴(bàn)随(suí)着一个密钥证书。它(tā)一般包含以下(xià)内容:
密钥内容(用长达百位的大数字(zì)表示的密钥)
密钥类型(表(biǎo)示该密(mì)钥为公钥还(hái)是私钥)
密(mì)钥长度(密(mì)钥(yào)的长度,以二进制(zhì)位表示)
密钥编号(用以唯一标(biāo)识该密钥)
创建时间
用户(hù)标(biāo)识(密钥创建人的(de)信(xìn)息,如姓(xìng)名、电子邮件等)
密钥指纹(为128位的数字,是(shì)密钥内容的提要表示密钥(yào)唯一的特(tè)征)
中介人签名(míng)(中(zhōng)介(jiè)人的数字签(qiān)名,声明该密钥(yào)及其所有者的真实性,
包括中介人的密钥编(biān)号和标识(shí)信息(xī))
PGP把(bǎ)公钥和(hé)私钥存放在密钥环(KEYR)文件中。PGP提供有效的算(suàn)法查找用户需要的密钥。
PGP在(zài)多处需(xū)要用到(dào)口(kǒu)令(lìng),它主要起到保护私钥的作(zuò)用。由于私钥太(tài)长且无(wú)规(guī)律,
所(suǒ)以难以(yǐ)记忆。PGP把它用口(kǒu)令加密后存入密钥环,这(zhè)样用户可(kě)以用易记的(de)口(kǒu)令间接使用(yòng)私钥。
PGP的每个私钥都(dōu)由一个相应的口(kǒu)令(lìng)加密。PGP主要在3处需要用户输入口令:
需要解开收到的(de)加密信息时(shí),PGP需要(yào)用户输入口令,取出私钥解密信息
当用户需要为文件或信息签字时,用户输入口(kǒu)令,取出私钥加密
对磁盘(pán)上的文件进行(háng)传统加密时,需要用户输入口令(lìng)
公(gōng)钥、私钥加密特性
在pgp系统里(lǐ)经常遇到公钥、私钥,大(dà)家如果不理解就无法(fǎ)使用了。公钥、私钥只是个代号(hào)而已(yǐ),我(wǒ)们这(zhè)里称它们为a钥、b钥(yào)。
a、b钥就像一对密(mì)码(mǎ)本,但是(shì)它很特(tè)殊:
1.用a加密的(de)东西只(zhī)能用(yòng)b来解(jiě),b加密的东(dōng)西(xī)只能(néng)用a解。
2.a不能解(jiě)密a自己加密的东西(xī)。b不能解密b自己加密的东西。
3.a有且仅有一个b与自己配对。b有且仅有一个(gè)a与自己配对(duì)。不存(cún)在第三者。
如果我们把(bǎ)a留给自己用,把b发(fā)给(gěi)大(dà)家(别人),那a就称为“私钥(yào)”(),b就称为“公钥(yào)”。当然,反过来那b就称为(wéi)“私(sī)钥”,a就称为(wéi)“公钥”。系统只是自动给了个名(míng)称(chēng),防止你(nǐ)以后乱不清到底是把a当公钥发给别人(rén)了,还是把b当(dāng)公(gōng)钥发给别人了。
公钥(yào)、私钥使用原理
它很(hěn)复杂,很强大,但也就(jiù)一加密(mì)而已。加密软件多了(le)去(qù)了,我用一(yī)般的(de)加密软(ruǎn)件不就(jiù)行了。把密码告诉对(duì)方不就行了,别(bié)人不(bú)知道密码(mǎ)内容很安全了嘛。
好,我下(xià)达一个任(rèn)务:
1.你(nǐ)是一个领导,需要给杀手(shǒu)们发布一个追杀令。
2.杀手中有叛徒(tú),他会修改你的追(zhuī)杀(shā)令。
3.你与杀手们无(wú)法(fǎ)直接接触(chù),只能通过网络公告(gào)。
4.你与杀(shā)手们只(zhī)有(yǒu)一(yī)次事先约(yuē)定暗号的机会(huì)。
假如我们(men)使用一般加密软件,比(bǐ)如rar。加(jiā)密发出(chū)去了,大家依靠(kào)你事(shì)先给的密码能得到(dào)正确(què)的信息。但是有个问题,密码大家都(dōu)知道。也就是说,杀手(shǒu)中谁想加密冒充你发送指令都可以。
当然(rán),你可(kě)以(yǐ)一(yī)个杀手一(yī)个密码(mǎ),让(ràng)他们彼此都不知道。但你与杀手不能(néng)直接接触(chù),你也(yě)不可能一对(duì)一的给出密码。就(jiù)算可以,还(hái)有一个(gè)最大的问题(tí)。杀(shā)手们变成各自为号——因为谁也无法确定对方的命令(lìng)出自你手。
这可以用秘钥对(duì)a、b来(lái)完(wán)成。a我们自己拿着,b发(fā)布(bù)出去(利用(yòng)一次约定(dìng)的机会)。
我们用a加密的(de)东(dōng)西(xī),所(suǒ)有持有b的人都能解(jiě)密。但(dàn)持(chí)有b 的人用b加密的东西只(zhī)有a能看,其它人解密不了(le)。也就是说,你(nǐ)加密(mì)的东西是唯一的,其它人持有b也(yě)不(bú)能伪(wěi)造为(wéi)是你在加密(mì)。
任务再升(shēng)级一点。你需要杀手随时(shí)向你汇报(bào)情况(比如哪(nǎ)些人接了任务,执行情(qíng)况):
1.为(wéi)了安全(quán),你(nǐ)依然不能与杀手直接接触。只能通过网络的公共平台。
2.防(fáng)止(zhǐ)叛徒出(chū)卖情报,情报只能你与发(fā)送者知道,其它人不能了解。
杀手们就可以用b加密情报(bào),发(fā)送(sòng)到指定服务器(qì)。当然(rán)任(rèn)何人都能下载这些加密情报,但是只(zhī)有持有a的你(nǐ)能解密(它们(men)自己也不能解密(mì)自己(jǐ)发送的(de)情(qíng)报)。杀手(shǒu)们不知道彼此发送的(de)信息。
但这还不行,因为叛(pàn)徒能利用它知道的信息(xī),伪装成别人发(fā)错误的情报给你(nǐ)。
解决办法,当然包括你给每一个杀手配备(bèi)一个,秘钥对。但(dàn)还(hái)有一个(gè)更(gèng)好的办法:数字签名(míng)。
数字(zì)签(qiān)名使用原(yuán)理
这里我(wǒ)们举一个新例子。你是(shì)总公司(sī)宣传部,需要向员工(gōng)宣传一些公司福利、政策。因为(wéi)公(gōng)司非(fēi)常(cháng)大,全球都(dōu)有,你只能通过公司(sī)网站来发布信息。但是有(yǒu)黑客跟你对着干,把你发布的信息改得面目全非,让公司(sī)上下人心惶惶。你需要(yào)向(xiàng)所有(yǒu)人表明,哪些信息是你发的,且(qiě)没有被更改过。
你就需要一个签名,而且(qiě)只有你(nǐ)能发这个签名。
我们同样(yàng)利用(yòng)秘(mì)钥(yào)对a、b。我们把b发(fā)表出去,并(bìng)对要发表的信息做总结并用(yòng)a加密(软件自动完成)称为(wéi)“签名”附在信息后面(miàn)。所有接到信息的人都用b解密“签名”,并(bìng)把总结(jié)与发表的内(nèi)容作对比(软件自(zì)动完(wán)成(chéng))。
只要这(zhè)个信息改(gǎi)动了一个字,“签名”验证就(jiù)会失败。
你应该(gāi)注意到了,不同的信息(xī)“签(qiān)名”的(de)内容完(wán)全不同。复制、粘贴,那是不可能地!它甚至比(bǐ)手(shǒu)写的签名还要(yào)可靠,因为数字签名模仿了也(yě)没(méi)用。 数字签名,是数(shù)字办公的关键。领导审批(pī),那是要公开但不能被仿制的(de)。
一些网(wǎng)银操作,也需要(yào)通过数字(zì)签名来保证操作(zuò)来自用户,而不是李鬼。出了(le)问题(tí),也可(kě)以司法取证(银行是无法(fǎ)伪造用户操作的,因为它的(de)钥只能解密)。但可惜的是,国内银行没(méi)有(yǒu)第三方机构管理。国内都(dōu)是银行自编自演(yǎn),自己生成密钥对给用户 。我们(men)知(zhī)道,密钥(yào)只应该由(yóu)用户自己生成,把公钥交给银行与第三方(类似公证机构),确(què)保私钥仅被自己使用。现在银(yín)行即有你的私钥又(yòu)有你的公钥,它当然能把所有责任都推到你头(tóu)上(你操作(zuò)不当),它还能伪造你的操作。它还不把公钥“公证”,即便有问题(tí),你(nǐ)也没有证据!
