非对称密钥加密技术

1.1 非对称密钥加密技术

1.1.1 实训目的

通过使用PGP软件实现数据加密和数字签名，理解非对称密钥加密的原理，学会对文件内容、电子邮件进行加密和数字签名，保障信息安全。

1.1.2 实训任务

客户公司的业务大部分都是靠电子邮件与合作伙伴进行交流的，但是发生过这样一起事故，当公司按照一个合作伙伴电子邮件的要求发了一批商品到对方，而对方却说商品型号发错了，经调查，公司确实是按电子邮件的要求发的货，而对方却不承认电子邮件中的商品型号。现在需要设置一个安全的电子邮件交流手段，不仅能对数据进行加密，还要能够防止数据被篡改，防止发送者抵赖。

1.1.3 背景知识

1. 非对称密钥加密

加密算法有两大类：对称密钥加密和非对称密钥加密。在对称密钥加密技术中，加密和解密使用的是同一个密钥，由于难于通过常规的渠道进行安全的密钥传递，例如不能通过电子邮件安全地传递密钥，因此在电子商务等领域对称密钥加密技术受到了很大的限制。

非对称密钥加密也叫公开密钥加密（Public Key Encryption），在加密和解密时使用不同的密钥，加密时使用的密钥和解密时使用的密钥形成一个密钥对，用其中的一个密钥加密的密文只能用另一个密钥解密，而不能由其它密钥（包括加密用的密钥）解密。通常一个密钥指定为“公钥”，可以对外公布，另一个则指定为“私钥”，只能由密钥持有人保管。

公开密钥加密技术解决了密钥的发布和管理问题，是目前商业加密通信的核心。使用公开密钥技术，进行数据通信的双方可以安全地确认对方身份和公开密钥，提供通信的可鉴别性。因此，公开密钥体制的建设是开展电子商务的前提。非对称密钥加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。

使用非对称密钥加密技术，可以实现下述目的：

♦保密性：信息除发送方和接受方外不被其他人窃取；

♦完整性：信息在传输过程中不被篡改；

♦身份认证：接收方能够通过数字证书来确认发送方的身份；

♦不可否认性：发送方对于自己发送的信息不能抵赖。

2. 消息摘要算法

消息摘要算法（Message Digest Algorithms）是采用单向Hash算法将消息进行处理，产生的具有固定长度的摘要值，无论消息的长度是多少，所产生的摘要的长度是相同的。产生摘要的过程不需要密钥，算法本身决定了摘要的产生。摘要算法必须满足下述三个条件：①无法从摘要反推出消息的内容；②无法控制消息的摘要等于某个特定的值；③无法找到具有同样摘要的消息。著名的摘要算法有MD5和SHA1。

3. 数据加密和数字签名

使用非对称密钥加密技术进行数据加密的原理是，发件人将待加密的报文（明文）用收件人的公钥进行加密，将加密后的报文（密文）发送给收件人，收件人用自己的私钥进行解密，从而得到明文，即原始的报文内容。收件人的私钥必须保管好，因为只有用收件人的私钥才能解密。

数字签名技术的原理是用发件人的私钥对明文进行加密，将密文发送给收件人，收件人用发件人的公钥进行解密，如果能够成功解密，则说明该报文确实是由公钥的原始持有人发送的，即证明是由该人签名认可的。但是在实际操作中，出于加解密运行效率等原因，并不

是直接对明文加密，而是对明文进行摘要运算（md5或sha1），对摘要进行加密，形成一个数字化的签名文本，附加在明文之后，收件人可以利用签名文本对明文进行验证，从而确认明文是由发件人签名，并且内容没有被篡改。

1.1.4 实训材料

每组计算机二台。PGP 8.1软件及汉化包。

1.1.5 实训步骤

本实训由每组二人合作完成，每人有一台计算机，各自安装PGP 8.1，并创建自己的公钥私钥对，然后互相交换公钥。为方便起见，本实训中称此二人为张三和李四。

1. 安装

安装PGP 8.1版，安装过程中会提问是否已经拥有PGP密钥对，初次安装回答“No, I’m a New User”（错误!未找到引用源。），在提问选择安装插件组件时，根据需要选择，例如，如果希望在Microsoft Outlook中使用加密签名功能，则选中对应的选项（错误!未找到引用源。）。

图1.1-1 安装时选择“新用户”图1.1-2 安装时为PGP选择插件组件

2. 初始设置

安装结束后，必须重启动系统。重新开机后，如果在安装时回答了“No, I’m a New User”时，会出现PGP初始化设置窗口，为用户创建一对密钥并用口令保护密钥中的私钥（错误!未找到引用源。和错误!未找到引用源。）。

图1.1-3 创建PGP密钥对图1.1-4 保护私钥的口令短语每组中各人使用自己的姓名（例如张三和李四）输入姓名、电子邮件地址、口令短语（即密码，至少8个字符长，用于保护私钥），然后接受默认值，直到完成。

此时，PGP 已经根据输入的姓名、电子邮件地址生成了一对公钥私

钥。公钥私钥对在PGP 中称为密钥环（Keyring ）。

3. 密钥管理

安装后，在系统托盘上可以看到PGP 的图标。点击该图标出现

PGP 的菜单（见错误!未找到引用源。），通过【选项】菜单，可以对PGP

进行配置。

从错误!未找到引用源。中可以看到，密钥环文件保存在

C:\Documents and Settings\Administrator\My Documents\PGP\目录下，公

钥文件是pubring.pkr ，私钥文件是secring.skr 。公钥文件和私钥文件都是二进制文件。

提示：用户的密钥是极其重要的文件，如果丢失了密钥环，将导致无法解密已被加密的文件，因此，要将公钥和私钥保存到光盘等永久性存储介质上，并保存好口令短语（密码），长期保存（数年以上）。

(1) 新建密钥环

前一步骤是针对新用户，在安装后重启动

操作系统时创建了一个密钥环（内含公钥私钥

对），当需要时还可以创建新的密钥环。通常

情况下只需拥有一个自己的密钥环。

从系统托盘的PGP 图标打开PGPkeys ，窗

口中显示的是PGP 密钥环。从菜单【密钥】→

【新建密钥】打开【PGP 密钥生成向导】，过

程与前述相同，创建结束后，窗口中将显示二

个用户的密钥环（本实训每人只需创建一个密

钥环）。 (2) 发布自己的公钥

现在每组中各人都有自己的密钥环，但是

还需要将自己的公钥传给同组的对方，以便今后的通信。从系统托盘中打开PGPkeys ，窗口中显示的是PGP 密钥环。有三种办法可以发布公钥，如果有多个密钥环，应先选中要操作的密钥环（错误!未找到引用源。中选中“张三”）：

1) 导出为文本文件：从菜单中【密钥】→【导出】（错误!未找到引用源。），可将PGP 密钥环中的公钥导出为ascii 文本文件，默认的文件扩展名为.asc ，可用记事本打开阅读。可将该文件直接复制给联系人（如通过U 盘等）；

2) 通过电子邮件发送：选择菜单【服务器】→【邮件接收人】可以将公钥通过电子邮件发送给联系人（错误!未找到引用源。）；

3) 发送到互联网上的公用密钥服务器（keyserver ）：这是最方便的办法，选择菜单【服务器】→【域服务器】（错误!未找到引用源。），PGP 会自动将公钥在互联网上发布。

图1.1-7 导出密钥、导入密钥

图1.1-8 发布公钥 (3) 保护自己的私钥

私钥是非常重要的文件，即不能丢失，又不能被他人获得，有两件事是必须做的： ♦ 备份：可以将私钥和公钥文件复制到光盘上。

图1.1-5 PGP 菜单

图1.1-6 密钥环文件