PGP 详解
簡(jiǎn)介
? ? PGP(PrettyGood Privacy),是一個(gè)基于 RSA 公匙加密體系的郵件加密軟件。可以用它對(duì)郵件保密以防止非授權(quán)者閱讀,它還能對(duì)郵件加上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者,并能確信郵件沒(méi)有被篡 改。它可以可以提供一種安全的通訊方式,而事先并不需要任何保密的渠道用來(lái)傳遞密匙。它采用了一種 RSA 和傳統(tǒng)加密的雜合算法,用于數(shù)字簽名的郵件文摘算法,加密前壓縮等,還有一個(gè)良好的人機(jī)工程設(shè)計(jì)。它的功能強(qiáng)大,有很快的速度。而且它的源代碼是免費(fèi)的。
? ? PGP 是英文Pretty Good Privacy (更好的保護(hù)隱私)的簡(jiǎn)稱,是一個(gè)基于 RSA 公鑰&私鑰及 AES 等加密算法的加密軟件系列[1]。 常用的版本是 PGP Desktop Professional(PGP專業(yè)桌面版),它包含郵件加密與身份確認(rèn),資料公鑰&私鑰加密,硬盤及移動(dòng)盤全盤密碼保護(hù),網(wǎng)絡(luò)共享資料加 密,PGP 自解壓文檔創(chuàng)建,資料安全擦除等眾多功能。最終版本:PGP(PGP SDK 4.0.0) 。由于賽門鐵克的公司的收購(gòu)影響,PGP 從 10.0.2 以10.02[build13]后,將不再單獨(dú)放出 PGP 版本的獨(dú)立安裝包形式,將會(huì)以安全插件等的形式集成于諾頓等賽門鐵克公司安全產(chǎn)品里。
功能
? ?現(xiàn)在您應(yīng)該對(duì) PGP 已經(jīng)有個(gè)大概的了解了,讓我們看看 PGP 實(shí)際上具有哪些功能: PGP 使用加密以及效驗(yàn)的方式,提供了多種的功能和工具,幫助您保證您的電子郵件、文件、磁盤、以及網(wǎng)絡(luò)通訊的安全。您可以使用 PGP 做這些事:
? ?1、在任何軟件中進(jìn)行加密/簽名以及解密/效驗(yàn)。通過(guò) PGP 選項(xiàng)和電子郵件插件,您可以在任何軟件當(dāng)中使用 PGP 的功能。
? ?2、創(chuàng)建以及管理密鑰。使用 PGPkeys 來(lái)創(chuàng)建、查看、和維護(hù)您自己的 PGP密鑰對(duì);以及把任何人的公鑰加入您的公鑰庫(kù)中。
? ?3、創(chuàng)建自解密壓縮文檔 (self-decrypting archives, SDA)。您可以建立一個(gè)自動(dòng)解密的可執(zhí)行文件。任何人不需要事先安裝 PGP ,只要得知該文件的加密密碼,就可以把這個(gè)文件解密。這個(gè)功能尤其在需要把文件發(fā)送給沒(méi)有安裝 PGP 的人時(shí)特別好用。并且,此功能還能對(duì)內(nèi)嵌其中的文件進(jìn)行壓縮,壓縮率與 ZIP 相似,比 RAR 略低(某些時(shí)候略高,比如含有大量文本)。總的來(lái)說(shuō),該功能是相當(dāng)出色的。
? ?4、創(chuàng)建PGPdisk 加密文件。該功能可以創(chuàng)建一個(gè).pgd 的文件,此文件用 PGPDisk 功能加載后,將以新分區(qū)的形式出現(xiàn),您可 以在此分區(qū)內(nèi)放入需要保密的任何文件。其使用私鑰和密碼兩者共用的方式保存加密數(shù)據(jù),保密性堅(jiān)不可摧,但需要注意的是,一定要在重裝系統(tǒng)前記得備份“我的 文檔”中的“PGP”文件夾里的所有文件,以備重裝后恢復(fù)您的私鑰。切記切記,否則將永遠(yuǎn)沒(méi)有可能再次打開(kāi)曾經(jīng)在該系統(tǒng)下創(chuàng)建的任何加密文件!
? ?5、永久的粉碎銷毀文件、文件夾,并釋放出磁盤空間。您可以使用 PGP 粉碎工具來(lái)永久地刪除那些敏感的文件和文件夾,而不會(huì)遺留任何的數(shù)據(jù)片段在硬盤上。您也可以使用 PGP 自由空間粉碎器來(lái)再次清除已經(jīng)被刪除的文件實(shí)際占用的硬盤空間。這兩個(gè)工具都是要確保您所刪除的數(shù)據(jù)將永遠(yuǎn)不可能被別有用心的人恢復(fù)。
??6、 9.x 新增:全盤加密,也稱完整磁盤加密。該功能可將您的整個(gè)硬盤上所有數(shù)據(jù)加密,甚至包括操作系統(tǒng)本身。提供極高的安全性,沒(méi)有密碼之人絕無(wú)可能使用您的系統(tǒng) 或查看硬盤里面存放的文件、文件夾等數(shù)據(jù)。即便是硬盤被拆卸到另外的計(jì)算機(jī)上,該功能仍將忠實(shí)的保護(hù)您的數(shù)據(jù)、加密后的數(shù)據(jù)維持原有的結(jié)構(gòu),文件和文件夾 的位置都不會(huì)改變。
? ?7、9.x 增強(qiáng):即時(shí)消息工具加密。該功能可將支持的即時(shí)消息工具( IM,也稱即時(shí)通訊工具、聊天工具)所發(fā)送的信息完全經(jīng)由 PGP 處理,只有擁有對(duì)應(yīng)私鑰的和密碼的對(duì)方才可以解開(kāi)消息的內(nèi)容。任何人截獲到也沒(méi)有任何意義,僅僅是一堆亂碼。
??8、9.x 新增:PGP zip,PGP 壓縮包。該功能可以創(chuàng)建類似其他壓縮軟件打包壓縮后的文件包,但不同的是其擁有堅(jiān)不可摧的安全性。
??9、 增強(qiáng):網(wǎng)絡(luò)共享。可以使用 PGP 接管您的共享文件夾本身以及其中的文件, 9.x安全性遠(yuǎn)遠(yuǎn)高于操作系統(tǒng)本身提供的帳號(hào)驗(yàn)證功能。并且可以方便的管理允許的授權(quán)用戶可以進(jìn)行的操作。極大的方便了需要經(jīng)常在內(nèi)部網(wǎng)絡(luò)中共享文件的企 業(yè)用戶,免于受蠕蟲(chóng)病毒和***的侵襲。
10、10.x新增:創(chuàng)建可移動(dòng)加密介質(zhì)(USB/CD/DVD)產(chǎn)品:PGPPortable。曾經(jīng)獨(dú)立的該產(chǎn)品已包含在其中,但使用時(shí)需要另購(gòu)許可證。
PGP 加密、解密方法以及 PGP 的密鑰管理機(jī)制
? ?PGP 是一種供大眾使用的加密軟件。電子郵件通過(guò)開(kāi)放的網(wǎng)絡(luò)傳輸,網(wǎng)絡(luò)上的其他人都可以監(jiān)聽(tīng)或者截取郵件,來(lái)獲得郵件的內(nèi)容,因而郵件的安全問(wèn)題就比較突出了。 保護(hù)信息不被第三者獲得,這就需要加密技術(shù)。還有一個(gè)問(wèn)題就是信息認(rèn)證,如何讓收信人確信郵件沒(méi)有被第三者篡改,這就需要數(shù)字簽名技術(shù)。RSA 公鑰體系的特點(diǎn)使它非常適合用來(lái)滿足上述兩個(gè)要求:保密性(Privacy)和認(rèn)證性(Authentication)。
? ?RSA(Rivest-Shamir-Adleman)算法是一種基于大數(shù)不可能質(zhì)因數(shù)分解假設(shè)的公匙體系。簡(jiǎn)單地說(shuō)就是找兩個(gè)很大的質(zhì)數(shù),一個(gè)公開(kāi)即公鑰,另一個(gè)不告訴任何人,即私鑰。這兩個(gè)密匙是互補(bǔ)的,就是說(shuō)用公匙加密的密文可以用私匙解密,反過(guò)來(lái)也一樣。
? ? 假設(shè)甲要寄信給乙,他們互相知道對(duì)方的公匙。甲就用乙的公匙加密郵件寄出,乙收到后就可以用自己的私匙解密出甲的原文。由于沒(méi)別人知道乙的私匙,所以即使 是甲本人也無(wú)法解密那封信,這就解決了信件保密的問(wèn)題。另一方面由于每個(gè)人都知道乙的公匙,他們都可以給乙發(fā)信,那么乙就無(wú)法確信是不是甲的來(lái)信。這時(shí)候 就需要用數(shù)字簽名來(lái)認(rèn)證。
? ???在說(shuō)明數(shù)字簽名前先要解釋一下什么是“郵件文摘”(message digest)。郵件文摘就是對(duì)一封郵件用某種算法算出一個(gè)最能體現(xiàn)這封郵件特征的數(shù)來(lái),一旦郵件有任何改變這個(gè)數(shù)都會(huì)變化,那么這個(gè)數(shù)加上作者的名字 (實(shí)際上在作者的密匙里)還有日期等等,就可以作為一個(gè)簽名了。PGP 是用一個(gè) 128 位的二進(jìn)制數(shù)作為“郵件文摘”的,用來(lái)產(chǎn)生它的算法叫MD5(message digest 5)。 MD5 是一種單向散列算法,它不像 CRC 校驗(yàn)碼,很難找到一份替代的郵件與原件具有同樣的 MD5 特征值。
? ???回到數(shù)字簽名上來(lái),甲用自己的私匙將上述的 128 位的特征值加密,附加在郵件后,再用乙的公匙將整個(gè)郵件加密。這樣這份密文被乙收到以后,乙用自己 的私匙將郵件解密,得到甲的原文和簽名,乙的 PGP 也從原文計(jì)算出一個(gè) 128 位的特征值來(lái)和用甲的公匙解密簽名所得到的數(shù)比較,如果符合就說(shuō)明這份郵件確實(shí)是甲寄來(lái)的。這樣兩個(gè)安全性要求都得到了滿足。
??PGP 還可以用來(lái)只簽名而不(使用對(duì)方公鑰)加密整個(gè)郵件,這適用于公開(kāi)發(fā)表聲明時(shí),聲明人為了證實(shí)自己的身份,可以用自己的私匙簽名。這樣就可以讓收件人能確 認(rèn)發(fā)信人的身份,也可以防止發(fā)信人抵賴自己的聲明。這一點(diǎn)在商業(yè)領(lǐng)域有很大的應(yīng)用前途,它可以防止發(fā)信人抵賴和信件被途中篡改。
產(chǎn)品
服務(wù)器
? ???服務(wù)器/網(wǎng)關(guān)級(jí)產(chǎn)品
? ???PGPUniversal Server(PGP 通用服務(wù)器)
? ???越來(lái)越多企業(yè)開(kāi)始建置加密系統(tǒng),以保護(hù)敏感的企業(yè)機(jī)密,很遺憾的,為了解決各種加密的問(wèn)題,保護(hù)郵件、硬盤、文檔…等等,建置了不同的平臺(tái),導(dǎo)致管 理上的困難,且浪費(fèi)企業(yè)預(yù)算!PGP UniversalServer 通過(guò)集中操控的安全策略,來(lái)保護(hù)機(jī)密數(shù)據(jù)、避免財(cái)務(wù)損失、避免衍生法律問(wèn)題、避免因機(jī)密外泄而商業(yè)信譽(yù)受損。PGP 加密平臺(tái)–PGP Universal Server,提供郵件、文檔、硬盤、網(wǎng)絡(luò)共享文件夾的加密保護(hù),并有以下特色:
??? 密鑰管理-創(chuàng)建,分配和存放加密密鑰而保持只有組織允許的授權(quán)人員訪問(wèn)加密的數(shù)據(jù)。
??? 策略執(zhí)行-傳送集中操控的策略配置且移除不一致的或不正確的策略配置危險(xiǎn)。
??? 報(bào)告和記錄-提供可見(jiàn)的加密保護(hù)當(dāng)前狀態(tài)以幫助和滿足管理員和審查員的要求。
??? 擴(kuò)展架構(gòu)-通過(guò)消除管理系統(tǒng)多余的各部分未來(lái)的加密軟件購(gòu)置費(fèi)用減少時(shí)間和成本。
??? 密鑰的集中管理–自動(dòng)生成密鑰、導(dǎo)入/導(dǎo)出公鑰或密鑰對(duì)。
??? 完全自主的策略定制–通過(guò)加密網(wǎng)頁(yè)操控全公司的策略,擁有完全的自主權(quán),最終用戶完全不需要參與策略的制定過(guò)程。
??? 完善的報(bào)告及記錄功能–自動(dòng)發(fā)送報(bào)告數(shù)據(jù)給系統(tǒng)管理者,每一封郵件的進(jìn)出皆有詳細(xì)的紀(jì)錄文件可供查詢。
??PGP UniversalGateway Email(PGP 通用網(wǎng)關(guān)郵件)
??? 簡(jiǎn)單的自動(dòng)操作–保護(hù)敏感電子郵件,無(wú)需改變用戶體驗(yàn)。
??? 強(qiáng)制安全策略–根據(jù)集中操控策略自動(dòng)強(qiáng)制執(zhí)行數(shù)據(jù)保護(hù)。
??? 加速部署–使用現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行傳送郵件加密。
??* PGPUniversal Gateway Email 是 PGP Universal Server 的郵件插件
桌面級(jí)
??客戶端/桌面級(jí)產(chǎn)品
??PGP DesktopEmail(PGP 桌面電子郵件版)
??? 自動(dòng)消息保護(hù)–自動(dòng)加密、解密、數(shù)字簽名并校驗(yàn)電子郵件消息。可依照本機(jī)獨(dú)立或受 PGPUniversal Server 控制的中央管理策略工作。
??? 多重方法保護(hù)數(shù)據(jù)–可使用 PGP 壓縮包(PGPzip)、PGP 自解密文檔(PGP SDA,PGPSelf-Decrypting Archive),以及 PGP 虛擬磁盤(PGP Virtual Disk)保存和保護(hù)您的敏感數(shù)據(jù)。
??? 安全文件擦除–從你的磁盤安全且永久的擦除易被發(fā)現(xiàn)的敏感文件所有痕跡。
??PGP NetShare(PGP 網(wǎng)絡(luò)共享版)
??? 遠(yuǎn)程應(yīng)用程序傳送支持–保護(hù) Citrix 和微軟終端服務(wù)(MicrosoftTerminal Server)會(huì)話數(shù)據(jù)。
??? 同步文件–確保文件在網(wǎng)絡(luò)中、服務(wù)器中、備份中都保持加密狀態(tài)。
??? 角色分隔–在保證安全性的情況下為滿足一般用戶,文件擁有者和管理員的不同需求,將采用不同的權(quán)限分配,限制每個(gè)使用者的操作能力到所需的最小值。
??PGP Whole DiskEncryption(PGP 全盤加密版)
??? 多平臺(tái)磁盤加密–為 Mac OS 和 Windows(兩種系統(tǒng)的針對(duì)性 PGP 軟件是需要分別購(gòu)買的)提供包含預(yù)引導(dǎo)認(rèn)證的全盤加密(開(kāi)機(jī)便要求驗(yàn)證密鑰密碼,否則整個(gè)磁盤的數(shù)據(jù)都被 PGP 加密后保護(hù)著)
??? 擴(kuò)展國(guó)際鍵盤支持–使用超過(guò) 30 個(gè)國(guó)際鍵盤的預(yù)引導(dǎo)認(rèn)證。
??? 單點(diǎn)登錄–使用當(dāng)前已經(jīng)存在 Windows 密碼進(jìn)行驗(yàn)證以簡(jiǎn)化登錄操作
??? 多重方法保護(hù)數(shù)據(jù)–可使用 PGP 壓縮包(PGPzip)、PGP 自解密文檔(PGP SDA,PGPSelf-Decrypting Archive),以及 PGP 虛擬磁盤(PGP Virtual Disk)保存和保護(hù)您的敏感數(shù)據(jù)。
??PGP DesktopProfessional(PGP 桌面專業(yè)版)
? ???? 此版本的功能等于:Desktop Email+Whole Disk Encryption PGP Desktop Storage(PGP 桌面存儲(chǔ)版)
? ???? 此版本的功能等于:Desktop Email+NetShare PGP Desktop Corporate(PGP 桌面企業(yè)版)
? ???? 此版本的功能等于:Desktop Email+Whole Disk Encryption+NetShare PGP Endpoint DeviceControl(PGP 終端設(shè)備控制)
? ???? 簡(jiǎn)單、自動(dòng)操作–保護(hù)特殊許可和授權(quán)移動(dòng)存儲(chǔ)使用安全,不改變用戶體驗(yàn)或減少生產(chǎn)力。
? ???? 強(qiáng)制安全策略–通過(guò) USB、火線、Wi-Fi 和藍(lán)牙連接的設(shè)備強(qiáng)制執(zhí)行安全策略。自動(dòng)以加密移動(dòng)存儲(chǔ)策略為基礎(chǔ);還可以記錄使用情況和遵守安全審計(jì)驗(yàn)證。
? ???? 加速部署–減少了安裝時(shí)間和速度的企業(yè)保護(hù),無(wú)需用戶干預(yù),并可利用現(xiàn)有的企業(yè)目錄中的基礎(chǔ)設(shè)施。
? ???PGPEndpoint Application Control(PGP 終端應(yīng)用程序控制)
? ???? 減少數(shù)據(jù)突破口風(fēng)險(xiǎn)–保證敏感的公司數(shù)據(jù)沒(méi)有因未批準(zhǔn)和惡意的軟件減弱。
? ? ? 前端自動(dòng)保護(hù)–減少幫助臺(tái)和行政負(fù)擔(dān)。提供自動(dòng)零日防護(hù),免受已知和未知應(yīng)用威脅。
? ???? 支持服從–詳細(xì)的應(yīng)用程序執(zhí)行審計(jì),協(xié)助示范服從制度。
? ???? 業(yè)務(wù)連續(xù)性–防止商業(yè)停機(jī)時(shí)間的惡意軟件的擴(kuò)散造成的危害。
? ???? 透明用戶體驗(yàn)–自動(dòng)的后臺(tái)操作,確保用戶的工作效率不受影響。
? ???PGPPortable(PGP 便攜加密)
? ???? 保護(hù)所有設(shè)備或所有介質(zhì)–適用于可移動(dòng)存儲(chǔ)設(shè)備或光學(xué)介質(zhì)的基于軟件的加密技術(shù)。 使用了正在申請(qǐng)專利的擴(kuò)展驗(yàn)證與可信賴 AES 256 位 PGP®虛擬磁盤技術(shù)。
? ???? 共享,分發(fā),協(xié)作–可用 Microsoft® Windows 和 Apple® Mac OS X訪問(wèn)被加密的數(shù)據(jù),無(wú)需安裝另外的軟件。 提供就地閱讀和編輯,無(wú)需更改本地用戶體驗(yàn)。
? ???? 輕松整合企業(yè)工作流程–為自動(dòng)化和供應(yīng)提供支持和口令管理,使企業(yè)獲得數(shù)據(jù)的安全且不中斷用戶工作效率的策略。
? ???PGP Mobile(WindowMoblie 6、7 專用,另有 BlackBerry 手機(jī)使用的支持包)
? ???? PGP 虛擬磁盤–自動(dòng)加密解密存儲(chǔ)在磁盤卷內(nèi)的內(nèi)容。與 PGP Desktop 客戶端兼容。
? ???? PGP 壓縮包–簡(jiǎn)單的創(chuàng)建加密的數(shù)據(jù)文件。使用密碼或證書對(duì)多個(gè)用戶保護(hù)正在傳送的數(shù)據(jù)。與 PGP Desktop 客戶端兼容。
? ???? 自解密文檔–允許快速加密存儲(chǔ)為 Windows 下的可執(zhí)行文件包,以用于沒(méi)有運(yùn)行 PGP 軟件的數(shù)據(jù)交換環(huán)境。
原理
PGP 加密系統(tǒng)是采用公開(kāi)密鑰加密與傳統(tǒng)密鑰加密相結(jié)合的一種加密技術(shù)。它使用一對(duì)數(shù)學(xué)上相關(guān)的鑰匙,其中一個(gè)(公鑰)用來(lái)加密信息,另一個(gè)(私鑰)用來(lái)解密信息。
? ???PGP 采用的傳統(tǒng)加密技術(shù)部分所使用的密鑰稱為“會(huì)話密鑰”(sek)。每次使用時(shí),PGP 都隨機(jī)產(chǎn)生一個(gè) 128 位的IDEA 會(huì)話密鑰,用來(lái)加密報(bào)文。公開(kāi)密鑰加密技術(shù)中的公鑰和私鑰則用來(lái)加密會(huì)話密鑰,并通過(guò)它間接地保護(hù)報(bào)文內(nèi)容。
? ???PGP 中的每個(gè)公鑰和私鑰都伴隨著一個(gè)密鑰證書。它一般包含以下內(nèi)容:
? ???密鑰內(nèi)容(用長(zhǎng)達(dá)百位的大數(shù)字表示的密鑰)
? ???密鑰類型(表示該密鑰為公鑰還是私鑰)
? ???密鑰長(zhǎng)度(密鑰的長(zhǎng)度,以二進(jìn)制位表示)
? ???密鑰編號(hào)(用以唯一標(biāo)識(shí)該密鑰)
? ???創(chuàng)建時(shí)間
? ???用戶標(biāo)識(shí)(密鑰創(chuàng)建人的信息,如姓名、電子郵件等)
? ???密鑰指紋(為 128 位的數(shù)字,是密鑰內(nèi)容的提要表示密鑰唯一的特征)
? ???中介人簽名(中介人的數(shù)字簽名,聲明該密鑰及其所有者的真實(shí)性,
? ???包括中介人的密鑰編號(hào)和標(biāo)識(shí)信息)
? ???PGP 把公鑰和私鑰存放在密鑰環(huán)(KEYR)文件中。PGP 提供有效的算法查找用戶需要的密鑰。
? ???PGP 在多處需要用到口令,它主要起到保護(hù)私鑰的作用。由于私鑰太長(zhǎng)且無(wú)規(guī)律,
? ???所以難以記憶。PGP 把它用口令加密后存入密鑰環(huán),這樣用戶可以用易記的口令間接使用私鑰。
? ???PGP 的每個(gè)私鑰都由一個(gè)相應(yīng)的口令加密。PGP 主要在 3 處需要用戶輸入口令:
? ???需要解開(kāi)收到的加密信息時(shí),PGP 需要用戶輸入口令,取出私鑰解密信息
? ???當(dāng)用戶需要為文件或信息簽字時(shí),用戶輸入口令,取出私鑰加密
? ???對(duì)磁盤上的文件進(jìn)行傳統(tǒng)加密時(shí),需要用戶輸入口令
使用
1、公鑰、私鑰和密鑰環(huán)等是什么意思,分別用來(lái)干什么的? [2]
? ???通俗的來(lái)說(shuō),公鑰就是鎖,私鑰是鑰匙。公鑰用來(lái)加密或簽名校驗(yàn),私鑰用來(lái)解密。密鑰對(duì)則是包含鎖和鑰匙的套裝。密鑰環(huán)相當(dāng)于密鑰對(duì)和他人公鑰的存儲(chǔ)倉(cāng)庫(kù),包含 1 個(gè)或更多地密鑰對(duì)以及公鑰。
? ???2、*.asc這些 PGP 相關(guān)的擴(kuò)展名是什么東西?
? ???*.asc,按照PGP 的標(biāo)準(zhǔn)解釋,叫做“PGP Armored File-PGP 裝甲文件”,意為PGP 強(qiáng)力保護(hù)功能所用的文件。用途是作為導(dǎo)出的公鑰或私鑰擴(kuò)展名。
? ???*.skr,*.prvkr,“PGP Private Keyring-PGP 私鑰環(huán)”,意為保存計(jì)算機(jī)中 PGP生成或?qū)氲乃兴借€的倉(cāng)庫(kù)。也叫私人密鑰環(huán)或私有密鑰環(huán)。
? ???*.pkr,*.pubkr,“PGP Public Keyring-PGP 公鑰環(huán)”,意為保存計(jì)算機(jī)中 PGP生成或?qū)氲乃泄€的倉(cāng)庫(kù)。也叫公共密鑰環(huán)或公有密鑰環(huán)。
? ???*.sig,“PGPDetached Signature File-PGP 獨(dú)立簽名文件”,意為 PGP 為用作數(shù)字簽名或校驗(yàn)生成的獨(dú)立簽名文件。
? ???*.shf,“PGP共享”,意為 PGP 密鑰共享時(shí)所用的專用擴(kuò)展名。
? ???*.rnd,“PGP隨機(jī)種子”,意為用于加密、生成密鑰等 PGP 操作所需要而產(chǎn)生的隨機(jī)種子文件。
? ???*.pgp,“PGPEncrypted File-PGP 加密文件”,意為 PGP加密壓縮過(guò)的獨(dú)有文件格式。
? ???*.pgd,“PGPdiskVolume-PGP 磁盤卷”,意為 PGP 虛擬磁盤功能生成的保存有加密文件的虛擬磁盤分卷,將用來(lái)載入到 PGP 中作為獨(dú)立分區(qū)使用。
? ???*.pem,*.p12“X.509Certificate-PGP X.509 證書”,意為PGP 可使用的 X.509標(biāo)準(zhǔn)數(shù)字證書。
? ???*.krb,“PGP Key Reconstruction-PGP 密鑰重建”, 意為 PGP 密鑰恢復(fù)功能:? ?? ?? ?? ???“密鑰重建”,生成的獨(dú)有重建文件,非常重要。用于口令或密鑰丟失時(shí)重新恢復(fù)所用。
? ???*.gpg,“GPGEncrypted File-GPG 加密文件”,意為 PGP可以兼容的開(kāi)源類 PGP 軟件 GPG 的加密格式。
? ???*.bexpk,“PGPBinary Extracted Public Key-PGP 二進(jìn)制提取公鑰”,意為特殊應(yīng)用狀態(tài)下 PGP 將生成的公鑰格式。
? ???*.aexpk,“PGPArmored Extracted Public Key-PGP 裝甲提取公鑰”,意為特殊應(yīng)用狀態(tài)下 PGP 將生成的公鑰格式。
? ???3、PGP 到底能干什么?
? ???能對(duì)郵件、文件、文件夾、整個(gè)硬盤加密,全網(wǎng)段加密權(quán)限和訪問(wèn)權(quán)限控制等。根據(jù)不同 PGP 系列產(chǎn)品功能有所不同的區(qū)分。
? ???4、PGP 能夠被破解嗎?為什么 PGP 自身有破解的版本可以用?
? ???PGP 的程序本身和 PGP 的加密機(jī)制是不同概念,請(qǐng)不要混淆。PGP 程序的保護(hù),并非使用的是 PGP 的混合型加密體系。破解程序容易,破解 PGP 加密的數(shù)據(jù)難。通常均以 10 年以上計(jì)算,但是最終也有被暴力破解的可能。只不過(guò)破解時(shí)間很長(zhǎng),可能是數(shù)十年,也可能是數(shù)百年。根據(jù)加密者的使用方法不同,強(qiáng)度也有不同。加密和破譯, 是有相對(duì)的時(shí)間關(guān)系,當(dāng)一個(gè)加密體系所達(dá)到的加密強(qiáng)度,超出該文件的保密時(shí)間,就是成功的(如一個(gè)文件保密時(shí)間為 10 年,經(jīng)過(guò)加密后,被破譯的時(shí)間達(dá)到了 10 年零一天,破譯即便完成,也沒(méi)有絲毫意義。而 PGP,便是為了這種需要而誕生。
? ???5、PGP 加密的文件為何可以被刪除和復(fù)制?難道沒(méi)有保護(hù)措施嗎?
? ???PGP 的桌面級(jí)產(chǎn)品,并未對(duì)刪除和復(fù)制做單獨(dú)的保護(hù)。因?yàn)樗恼Q生目的,是保護(hù)數(shù)據(jù)不被不被授權(quán)的人看到真實(shí)內(nèi)容,而不是不讓它被拿走或刪除。且這是建立在一個(gè) 良好的保密制度的前提下,如專機(jī)專用,非授權(quán)人員不能輕易的訪問(wèn)有加密數(shù)據(jù)的計(jì)算機(jī)。且在系統(tǒng)中的所謂防刪除和復(fù)制,都具有相當(dāng)大的可能性被繞過(guò)而導(dǎo)致最 終的刪除或復(fù)制問(wèn)題,所以,PGP 沒(méi)有設(shè)置這兩項(xiàng)功能。
? ???6、生成密鑰的時(shí)候提示“令牌”,什么是令牌,干什么用的?
? ???令牌/電子令牌:Token,這是 PGP 支持的一項(xiàng)硬件安全功能,不少銀行的 U 盾,也是一種電子令牌,且因?yàn)槭橇钆粕a(chǎn)廠商阿拉丁公司的芯片制作,故也可以被 PGP兼容(如工行 U 盾)。令牌可以用于 PGP 創(chuàng)建密鑰時(shí)使用,來(lái)實(shí)現(xiàn)憑借令牌和口令兩者來(lái)加密保護(hù)數(shù)據(jù)。令牌的存儲(chǔ)大小都比較小,通常只能放置 1024 或 2048 尺寸的 PGP密鑰。
? ???7、為何我安裝的 PGP 無(wú)法啟動(dòng)?一閃就沒(méi)了?
? ???根據(jù)使用者的反饋和我們的研究所知,這個(gè)現(xiàn)象常出現(xiàn)在全新安裝 10.x 版本中,而使用者的計(jì)算機(jī)安裝的是修改過(guò)的系統(tǒng), 如番茄花園/深度等,或是 GHOST 恢復(fù)的系統(tǒng)。解決方法是安裝 9.12 版,再升級(jí)安裝 10.x,即可解決。故障原因尚未查明。
? ???8、重裝系統(tǒng)前,曾經(jīng)用 PGP 加密了數(shù)據(jù),需要注意些什么?
? ???首先,請(qǐng)備份“我的文檔”或“文檔”下的“PGP”文件夾,內(nèi)有 PGP 最為重要的密鑰環(huán)文件,“pubring.pkr 和 secring.skr”,或帶有-bak 的文件(此為 PGP 自動(dòng)創(chuàng)建的備份密鑰環(huán))。重裝系統(tǒng)前,備份好它們,然后記得當(dāng)初加密的密鑰所用的口令,就可以了。重裝完成后,復(fù)制這些文件到新系統(tǒng)的同樣路徑下,替換同 名的 0 字節(jié)文件即可。如果 PGP 提示沒(méi)有找到,請(qǐng)?jiān)?PGP 的“所有密鑰”上點(diǎn)擊右鍵〉屬性中指定位置,或菜單中的“密鑰〉密鑰環(huán)屬性”中重新指定一下這個(gè)位置即可。
? ???9、為什么打開(kāi) PGP 后,別人的中文版顯示的“所有密鑰”這些中文,而我的是 All Keys?
? ???這是因?yàn)槟阍?jīng)安裝了 PGP 英文版或早期的中文版,而這個(gè)參數(shù)是可以自行修改的,PGP 重新安裝或升級(jí)安裝后,并不能自動(dòng)更正為新的翻譯,請(qǐng)?jiān)谒璧奈恢命c(diǎn)擊右鍵〉重命名,輸入對(duì)應(yīng)中文名稱或其他名稱即可。不修改也不影響使用和兼容性,僅僅 是一個(gè)標(biāo)識(shí)名稱。
? ???10、我擔(dān)心會(huì)忘記密鑰的口令或不小心丟失了密鑰,有什么方法能減少這種可能性?
? ???可使用PGP 內(nèi)置的“密鑰重建”功能解決,方法如下: 打開(kāi) PGP Desktop,選中你需要的密鑰對(duì)(別人的公鑰或自己導(dǎo)入的單一公鑰不可以使用此功能,因?yàn)槟銢](méi)可能重新創(chuàng)建一個(gè)完整的他人密鑰對(duì),否則就沒(méi)有加密意義 了),然后在菜單處依次點(diǎn)擊密鑰〉創(chuàng)建我的 PGP 提問(wèn),然后輸入這個(gè)密鑰的口令,再根據(jù)提示選擇預(yù)設(shè)的許多問(wèn)題或輸入你自己想要設(shè)定的問(wèn)題,然后完成操作,即可生成一個(gè).krb 文件,這個(gè)文件就是可以用來(lái)幫助你恢復(fù)密鑰口令或重建丟失的密鑰所用的“密鑰重建文件”,如果有此需要,使用它進(jìn)行密鑰的重建或口令更改恢復(fù)。但請(qǐng)務(wù)必記 得創(chuàng)建的 5 個(gè)提問(wèn)的答案,并保存好這個(gè)文件,否則同樣不能解決問(wèn)題。
? ???11、為什么我的“PGP 消息”功能處,“安全策略”,是一堆英文的東西?能修改
嗎?
同 樣是由于曾經(jīng)安裝了英文版,然后直接升級(jí)安裝中文版導(dǎo)致,可以點(diǎn)擊兩次 “編輯策略”按鈕,進(jìn)入編輯模式,再逐個(gè)點(diǎn)擊“恢復(fù)到默認(rèn)”按鈕,進(jìn)行重寫策略信息,然后點(diǎn)擊完成按鈕,即可讓英文的策略信息變成中文,如需特殊的 PGP 消息操作,也可以在此處根據(jù)選項(xiàng)中的提示進(jìn)行修改,以實(shí)現(xiàn)所需的目的。
12、我收到一封 PGP加密格式的郵件,用 PGP 閱讀器打開(kāi)后,要求輸入口令是怎么回事?
??這 是由于這封 PGP 郵件還附帶了一個(gè).pgp 的加密附件,PGP 閱讀器為了使用方便,默認(rèn)要求解密郵件原文時(shí)就直接詢問(wèn)附件的口令,關(guān)閉這個(gè)對(duì)話框或取消不輸入即可,因?yàn)檫@個(gè)口令可能在郵件原文中,導(dǎo)出附件后輸入也是 可以的。如果你需要這樣的方式來(lái)發(fā)送加密郵件,直接加入一個(gè) PGP 加密的.pgp 附件,就可以了。
??13、我的PGP 在使用一段時(shí)間后,發(fā)現(xiàn)桌面圖標(biāo)不見(jiàn)了,PGP 托盤也不啟動(dòng),怎么回事?
??原因有幾個(gè)可能,可能是清理系統(tǒng)時(shí)刪除了 PGP 創(chuàng)建的臨時(shí)啟動(dòng)文件或某些文件丟失等。建議直接運(yùn)行 PGP 的安裝文件,然后選擇“修復(fù)”,等待完成后重啟,應(yīng)該可以解決問(wèn)題。如果還不能,建議卸載后重新安裝一次。
??14、為什么我的 PGP 磁盤和其他解密操作不需要輸入口令就能打開(kāi)了?
??應(yīng)該是由于PGP 的緩存口令功能導(dǎo)致,默認(rèn)緩存 2 分鐘剛才輸入過(guò)的口令,具體時(shí)間可在 PGP 選項(xiàng)中自行設(shè)定。推薦使用 2 分鐘的即可。
??15、為什么我加密數(shù)據(jù)時(shí),總是有個(gè)密鑰自動(dòng)被加入到密鑰列表中?
??這是因?yàn)槟銓⑦@個(gè)密鑰設(shè)為了“主密鑰”,PGP 就會(huì)默認(rèn)每次在需要密鑰操作時(shí)加入它,如果你不需要這么做,進(jìn)入 PGP 選項(xiàng)〉主密鑰,添加別的密鑰或刪除現(xiàn)有的密鑰即可。
??16、密鑰方式加密和口令方式加密,優(yōu)缺點(diǎn)在哪?
??密 鑰方式加密,也叫“非對(duì)稱式加密體系”,口令方式加密,也叫“對(duì)稱加密體系”,兩者的強(qiáng)度不同,前者具有更高的安全性,后者相對(duì)弱。前者根據(jù)所用的密鑰的 性質(zhì),又有不同的安全性能,主要跟密鑰長(zhǎng)度(如 1028 位,4096 位)、密鑰算法、哈希算法、密鑰口令長(zhǎng)度和復(fù)雜度有關(guān)。后者僅跟口令長(zhǎng)度和復(fù)雜度有關(guān)。密鑰長(zhǎng)度越大,算法越強(qiáng),口令長(zhǎng)度越復(fù)雜,加密的安全性越大,防破 解性能越好。推薦 2048 位以上的密鑰長(zhǎng)度。密鑰方式因?yàn)樗璧募用芊绞礁訌?fù)雜,從加密和解密所需的時(shí)間來(lái)看,比單純的口令加密要長(zhǎng)。具體使用,根據(jù)數(shù)據(jù)加密要求和個(gè)人方便度進(jìn) 行考量后選擇。
??17、為什么我發(fā)送郵件時(shí),PGP 總是提示什么"是否保護(hù)XXX" 的東西?
??這 是因?yàn)槟銢](méi)有配置這個(gè)信箱使用 PGP 消息功能進(jìn)行自動(dòng)加密保護(hù),請(qǐng)進(jìn)入 PGP 消息按照提示和信箱的設(shè)定進(jìn)行配置,有時(shí)候 PGP 自動(dòng)添加好的配置就可以正常,但更多時(shí)候還是不能正確設(shè)置好信箱的信息,所以建議手動(dòng)配置。如果不想要使用這個(gè)功能,可在 PGP 選項(xiàng)〉 消息,取消“安全郵件”的復(fù)選框,如果不想要每次都提示有新信箱需要保護(hù),也可在設(shè)定好需要自動(dòng)加密的郵箱后,只取消“探索新帳號(hào)”的復(fù)選框即可。
??18、PGP 支持哪些郵件客戶端?
? ?PGP Desktop10.0.2 目前宣稱支持如下郵件客戶端:Microsoft Outlook 2010(Outlook 14)、Microsoft Outlook 2007 SP1 (Outlook 12) 、MicrosoftOutlook 2003 SP3、 Microsoft Outlook XP SP3、Windows Mail 6.0.6000.16386、 MicrosoftOutlook Express 6 SP1、Windows Live Mail version 2009、Lotus Notes 6.5.6, 7.0.3, 8.0.2, 8.5、MozillaThunderbird 2.0、Novell GroupWise 6.5.1。理論上支持所有標(biāo)準(zhǔn)協(xié)議:IMAP/POP/SMTP 形式通信的郵件客戶端,如 DreamMail等。只要郵箱配置和 PGP 配置一致,即可正常使用。另外,如 SSL/TLS 加密通信的郵箱,需要在郵件客戶端中取消 SSL/TLS 配置,并在 PGP 中開(kāi)啟 SSL/TLS 支持才可以用。
? ?19、PGP 的拳頭功能“全盤加密”,有些什么系統(tǒng)要求?
? ?PGP 公司提供的系統(tǒng)需求如下,不能滿足條件的,請(qǐng)勿使用:
? ?系統(tǒng)要求:
? ?MicrosoftWindows 2000 (SP4)
? ?WindowsServer 2003 (SP1 和 2)
? ?Windows XP32-bit version (SP2 或 3)
? ?Windows XP64-bit version (SP2)
? ?Windows Vista(所有 32 位和 64 位) 包含 SP1/SP2
? ?Windows 7 (所有 32位和 64 位)
? ?MicrosoftWindows XP Tablet PC Edition 2005 (需要附加鍵盤)
? ?WindowsServer 2003 SP 2 (所有 32 位和 64 位)
? ?WindowsServer 2008 SP 1 和 2 (所有 32 位和 64 位)
? ?WindowsServer 2008 R2 (所有 32 位和 64 位)
? ?硬件最低要求:
? ?512 MB 內(nèi)存
? ?64 MB 硬盤
? ?PGP 全盤加密支持 RAID-1 和 RAID-5,動(dòng)態(tài)磁盤和軟件 RAID 等不支持。
? ?20、為什么我的 PGP 提示“不能連接到 PGPSDK服務(wù)”?
? ?這種現(xiàn)象可能是由于殺毒軟件或某些保護(hù)軟件和 PGP 啟動(dòng)項(xiàng)有沖突,導(dǎo)致沒(méi)能正常啟動(dòng)。可先嘗試手動(dòng)進(jìn)入控制面板〉管理工具〉服務(wù),找到PGP SDK 服務(wù),啟動(dòng)它,如 PGP 托盤也沒(méi)能啟動(dòng),請(qǐng)?jiān)偈謩?dòng)打開(kāi) PGP Desktop 快捷方式。如果還是不行,建議重啟計(jì)算機(jī)。
? ?21、PGP 全球名錄是什么東西?創(chuàng)建密鑰時(shí)提示要上傳公鑰到上面去,怎么操
作啊?
? ?PGP 全球名錄-PGPGlobal Directory,這是 PGP 公司提供的一個(gè)免費(fèi)密鑰服務(wù)器,用來(lái)進(jìn)行方便的公鑰驗(yàn)證/發(fā)布/自動(dòng)搜索加密這些功能,如對(duì)方的公鑰已經(jīng)上傳到了該服務(wù)器,那么你給他發(fā)送加密郵件時(shí),便 不需要要求對(duì)方單獨(dú)發(fā)一次密鑰給你導(dǎo)入,PGP 內(nèi)置功能會(huì)自動(dòng)連接并完成對(duì)應(yīng)信箱公鑰的下載 /驗(yàn)證/簽名的操作,減少人工干預(yù)次數(shù),提高易用性。創(chuàng)建密鑰時(shí),會(huì)提示發(fā)布公鑰到 PGP 全球名錄,根據(jù)提示,會(huì)發(fā)送一份驗(yàn)證郵件到你綁定在密鑰中的郵箱里,請(qǐng)?jiān)L問(wèn)這個(gè)郵箱完成驗(yàn)證過(guò)程,即可開(kāi)始正常使用 PGP 全球名錄提供的服務(wù)。
??22、我的PGP 安裝有問(wèn)題,卸載也卸載不干凈,怎么清除殘留后重裝?
??開(kāi)機(jī)按F8 進(jìn)入安全模式,刪除如下的文件夾即可。以下的 C:為舉例的系統(tǒng)盤符,請(qǐng)根據(jù)自己的實(shí)際情況修改。以下路徑,進(jìn)入后找到 PGP Desktop 或 PGP 開(kāi)頭的文件夾,刪除即可。
??如下是程序和語(yǔ)言文件統(tǒng)一路徑和各系統(tǒng)對(duì)應(yīng)路徑的位置(剩余的注冊(cè)表項(xiàng)不建議手動(dòng)清除):
??C:\ProgramFiles
??C:\ProgramFiles\Common Files
C:\WINDOWS\System32 和 Syswow64 下的PGP 開(kāi)頭文件
??Windows XP
??C:\Documentsand Settings\%username%\Application Data
??C:\Documentsand Settings\%username%\Local Settings\Application Data
??WindowsVista/Windows 7
C:\Users\%username%\AppData\Roaming
C:\Users\%username%\AppData\Local
? ?23、我使用了全盤加密功能,系統(tǒng)出現(xiàn)問(wèn)題時(shí)可以直接修復(fù)而不先解密嗎?
? ?PGP 公司不建議如此,必須先解密你加密的分區(qū),然后再恢復(fù),否則可能出現(xiàn)PGP 全盤加密功能故障,導(dǎo)致無(wú)法解密。需要繁瑣的使用 PGP 恢復(fù)盤進(jìn)行修復(fù)解密引導(dǎo)后才能正常解密。另外,如果是破解版的 PGP,這項(xiàng)功能和“網(wǎng)絡(luò)共享”功能都不穩(wěn)定,建議不要使用,否則后悔莫及。
技巧
資料加密的必要性
??根 據(jù)Forrester Research 研究,過(guò)去大家都把資安重點(diǎn)放在 IT 環(huán)境(Infrastruct ure-level)的層層防護(hù)上(例如防火墻、***偵測(cè)、防毒等),而忽略了數(shù)據(jù)(Data-level)的防護(hù),未來(lái)無(wú)論是企業(yè)或個(gè)人,以資料為中心 的(Data Centric)防衛(wèi)策略會(huì)越來(lái)越重要。
??筆記 型計(jì)算機(jī)遺失或被偷、硬盤被盜、隨身碟遺失、計(jì)算機(jī)送修時(shí)數(shù)據(jù)被復(fù)制出去、磁帶或光盤寄送過(guò)程中遺失、電子郵件或 FTP 傳文件中被攔截竊取…等等每日層出不窮的新聞報(bào)導(dǎo),讓大家對(duì)計(jì)算機(jī)既喜愛(ài)又怕受傷害。其實(shí)只要一些很簡(jiǎn)單的方法與工具,就可免除這些數(shù)據(jù)遺失或外泄的風(fēng) 險(xiǎn)。將數(shù)據(jù)加密起來(lái),讓不相干的人即使拿到也毫無(wú)用處,這是數(shù)據(jù)安全最簡(jiǎn)單也是最根本的做法。
加密的方法
??所 謂數(shù)據(jù)加密,就是透過(guò)某種方法將明文數(shù)據(jù)亂碼化,讓人看不懂;當(dāng)本人要使用時(shí)再把它解密回來(lái)。至于這亂碼過(guò)的資料是否容易被破解?這就涉及使用的「亂碼方 法」(Cryptography 密碼學(xué))了。一般加密方法分為兩類,一是對(duì)稱式加密,使用同一把金鑰(Key)來(lái)加密與解密,常見(jiàn)的對(duì)稱式算法如 DES, 3DES, AES 等;另一類是非對(duì)稱式算法,使用一對(duì)金鑰(公鑰與私鑰)來(lái)加解密,用公鑰加密過(guò)資料只有用其對(duì)應(yīng)的私鑰才能解得回來(lái),而用私鑰加密過(guò)資料只有用其對(duì)應(yīng)的公 鑰才能解得回來(lái);公鑰可以公開(kāi)出去,私鑰則必須好好保管在自己的計(jì)算機(jī)里,常見(jiàn)的非對(duì)稱式算法如 RSA, DSA 等。這兩類加密算法主要用途不同,在此不再細(xì)述。加密的強(qiáng)度(容不容意被破解)還依靠使用金鑰的長(zhǎng)度及如何產(chǎn)生及保管金鑰。金鑰如果是隨機(jī)產(chǎn)生 (Random)而不是人為選擇的,通常只能用「暴力」法來(lái)破解,這就要看需要花多少時(shí)間與成本了。
如何選擇好的加密工具
? ?一個(gè)好的加密工具軟件至少需俱備:
? ?1.支持最新最安全的主流加密算法;
? ?2.支持最大公鑰長(zhǎng)度;
? ?3.容易使用的操作接口及金鑰管理;
? ?4.經(jīng)過(guò)長(zhǎng)時(shí)間眾多使用者的粹練;
? ?5.可以同時(shí)用在 email 加密, 檔案加密等不同目的。
PGP 加密工具軟件
? ?PGP 加密軟件從早期的免費(fèi)版本到近年來(lái)的商業(yè)版本,十多年來(lái)已有超過(guò)三百萬(wàn)個(gè)使用者,尤其在商務(wù)應(yīng)用上,全球百大企業(yè) 80%使用它在內(nèi)部人員計(jì)算機(jī)以及外部商業(yè)伙伴的機(jī)密數(shù)據(jù)往來(lái)。
? ?PGP Desktop 軟件功能眾多,但使用上非常容易。因?yàn)?PGP 主要使用非對(duì)稱式加密, 所以要先產(chǎn)生一組 Key Pair, 你可以選擇金鑰長(zhǎng)度,越長(zhǎng)越安全,但相對(duì)地加解密越花時(shí)間;內(nèi)定是2048bit RSA Key, key pair 包括一支公鑰及一支私鑰。
? ?你也可以產(chǎn)生很多 key pair,可以一個(gè) key pair 對(duì)應(yīng)一個(gè) email 賬戶,或不需要email 賬戶,如果你想用在其它加密用途,但是太多key pair 只會(huì)混亂自己,除非你記憶力很好。到這里你已經(jīng)可以保護(hù)自己計(jì)算機(jī)里面的數(shù)據(jù)了,如果你想與別人分享私密數(shù)據(jù),你必須與他們交換公鑰。你可以 Export 自己的公鑰寄給你的親朋好友,也可以上傳到 PGP 的公鑰服務(wù)器(PGP Global Directory Key Server),想要與您「親密」往來(lái)的人可以下載您的公鑰。這些動(dòng)作都是在 PGP 工具畫面下可以完成的。
? ?接下來(lái)你要將別人的公鑰 Import 進(jìn)來(lái), PGP 畫面里的All Keys 就是讓你管理所有的公鑰;你也可以將 key pair (或私鑰)放在 USB Token 里,當(dāng)你要使用私鑰時(shí),必須插入此 Token,并輸入密碼驗(yàn)證,這樣做更安全。
一:電子郵件加密
? ? 擔(dān)心寄出的電子郵件內(nèi)容被人看光光? 會(huì)不會(huì)收到偽冒的電子郵件? PGP 可以自動(dòng)地幫您做 eMail 加密及簽章。
? ? 你可以自己設(shè)定各種安全政策,例如收件人是誰(shuí)、主旨內(nèi)容為何時(shí)就需要加密與簽章,其它情況可以只簽章(證明這信是我本人發(fā)的)而不加密;你只要將 PGP Mail Proxy service 打勾,PGP 就依照您設(shè)定的政策自動(dòng)執(zhí)行,PGP 會(huì)找出收件人的公鑰,使用此公鑰來(lái)加密郵件內(nèi)容,再用你自己的私鑰來(lái)簽章這郵件;對(duì)方PGP 收到這郵件時(shí),會(huì)先用你的公鑰來(lái)驗(yàn)證這郵件確是你寄出的,然后用他自己的私鑰來(lái)解開(kāi)這郵件內(nèi)容。這所有動(dòng)作都由 PGP 在背后自動(dòng)執(zhí)行。
? ? 你也可以不用 PGP Mail Proxy Service,你自己可以先用 Notepad 之類的工具編寫郵件內(nèi)文,然后按 PGP Icon 選擇 [Current Window], 再選擇 [Encrypt & Sign] 或 [Encrypt],就會(huì)出現(xiàn)你計(jì)算機(jī)里所有公鑰的人讓你選擇,你可以選取多個(gè)人,這些人就是可以解密你加密的內(nèi)容。
? ? 加過(guò)密的數(shù)據(jù)就如下圖所示,再把它貼到 eMail 里寄出即可。
? ? 如果你只是要附件文件加密,例如一張自拍照(圖檔),或是研發(fā)中的 CAD/CAM檔,或是一般機(jī)密的 Office 檔案,你可以直接在檔案總管下按鼠標(biāo)右鍵,選擇[PGPDesktop],然后選舉 [Secure … with key…],PGP 窗口跳出讓你選擇可解開(kāi)此加密檔的人(金鑰),這檔案就被加密起來(lái)。萬(wàn)一你不小心寄錯(cuò)人了,因?yàn)榇耸占瞬辉谀氵x擇的解密人名單里,他也無(wú)法打開(kāi)它。
二:利用虛擬磁盤驅(qū)動(dòng)器(Virtual Disk)
? ? 如果您只是想要加密計(jì)算機(jī)里的私密數(shù)據(jù),除了您本人 (或加上您指定的人)沒(méi)有其人可以解密這些數(shù)據(jù)。所以即使計(jì)算機(jī)遺失、計(jì)算機(jī)被盜用、甚或檢調(diào)單位來(lái)搜,也不用擔(dān)心這些私密資料外泄。通常,最安全的方法 伴隨的是不方便使用,但是 PGP 的虛擬磁盤驅(qū)動(dòng)器加密功能可以安全又好用。
? ? 您可以指定硬盤某空間來(lái)做為一加密磁盤驅(qū)動(dòng)器,在這磁盤驅(qū)動(dòng)器里的檔案及數(shù)據(jù)夾都是加密過(guò)的,只有你自己或是被您指定可出示私鑰或使用者代號(hào)密碼才能解密 這些數(shù)據(jù)。任何你認(rèn)為機(jī)密的檔案都可以擺到里面,加過(guò)密的磁盤其操作如同一般檔案總管,您依舊使用 Word, Excel, Photoshop 等軟件包或應(yīng)用程序來(lái)打開(kāi)它,完全不受影響,因?yàn)?PGP 自動(dòng)處理進(jìn)出這磁盤驅(qū)動(dòng)器的加解密工作。
? ? MSN 及Skype 等實(shí)時(shí)訊息軟件通常會(huì)將聊天記錄保留下來(lái),這也成了許多捉奸的證據(jù)之一。試試看把這些聊天記錄的位置改到加密磁盤驅(qū)動(dòng)器里。
? ? 電子郵件軟件如 Outlook、Outlook Express 等,無(wú)論是收件匣或寄件備份,其實(shí)都是檔案而已,例如 Outlook 是.pst 文件,這些電子郵件檔案通常包括了很多機(jī)密內(nèi)容。想想看,它們可不可能被人 Copy 走呢?
三:檔案加密與壓縮功能
??如 果你只是想將部份目錄或檔案加密然后傳給別人(eMail 或 FTP 等),你當(dāng)然可以用WinZip 或 WinRAR 等工具里的密碼保護(hù),但其加密算法較弱,同時(shí)密碼也可能被猜到,這對(duì)于要傳送極機(jī)密的檔案數(shù)據(jù)是有風(fēng)險(xiǎn)的。PGP 則提供較高安全的類似工具,如果對(duì)方有 PGP,你應(yīng)該使用對(duì)方的公鑰來(lái)加密,如果要將加密檔送給多人,就加入多個(gè)公鑰,擁有任何一個(gè)公鑰所對(duì)應(yīng)的私鑰可以解密這些檔案,這是使用 RSA 2048 bit 加密算法(內(nèi)定),所以比較安全;加完密后再用自己的私鑰來(lái)簽章,PGP同時(shí)幫你將檔案壓縮。
??如果對(duì)方?jīng)]有 PGP 時(shí),你可以使用 Self-Decrypting Archive(SDA),PGP 會(huì)要求你輸入加密密碼,然后使用這密碼來(lái)加密檔案,并產(chǎn)生可自動(dòng)解密的執(zhí)行檔,當(dāng)然,您必須另外告知對(duì)方解密的密碼。
四:整顆硬盤加密
??(Whole DiskEncryption,WDE)
??大 部份人都知道,Windows 的登入密碼只是防君子不防小人的。當(dāng)你的計(jì)算機(jī)遺失時(shí),「撿到的人」可以用別的方式開(kāi)機(jī)進(jìn)入你的計(jì)算機(jī)看硬盤內(nèi)容,對(duì)于安全要求比較高的某些人來(lái)說(shuō),只有 檔案加密可能還是不夠。另外,隨身碟是最容易搞丟的東西,一不小心,重要數(shù)據(jù)就落入競(jìng)爭(zhēng)者手中。
??PGP 全硬盤加密可以針對(duì)隨身碟、外接式硬盤、硬盤 Partition、整顆硬盤加密。硬盤加密是將所有扇區(qū)都亂碼化(加密),必須經(jīng)過(guò)另一道驗(yàn)證手續(xù)才能還原。
??如果是整顆硬盤加密,在開(kāi)機(jī)時(shí)(Boot)會(huì)要求另外輸入密碼(或插入U(xiǎn)SB Token), 如果是外接硬盤或 Partition 加密,則可使用 PGP 金鑰還原。
五:網(wǎng)絡(luò)磁盤加密
??以 上所談都限于個(gè)人使用的計(jì)算機(jī)(Desktop & Notebook),如果是工作群組使用的檔案服務(wù)器或共享數(shù)據(jù)夾要如何保護(hù)及加密呢? 你當(dāng)然可以花大筆銀子建立一套 PKI-like 的安全系統(tǒng),雖然安全但很不好用。PGP NetShare 是一個(gè)容易使用的加密工具,加密網(wǎng)絡(luò)磁盤就如同加密本機(jī)磁盤一樣,首先選擇共享數(shù)據(jù)夾路徑,再選擇允許解密這數(shù)據(jù)夾的使用者公鑰,然后選擇是否要簽章(證 明這事是你做的),PGP就將你所選擇的數(shù)據(jù)夾加密,只有被授權(quán)的使用者(擁有被選定之公鑰對(duì)應(yīng)之私鑰者)才能看到里面的內(nèi)容。
六:徹底刪除資料
??你 一定知道, Windows 的刪除檔案的動(dòng)作并不是真的從磁盤里抹除,它只是被丟到「資源回收桶」,可以隨時(shí)再取回來(lái)。你可能也知道,按 [shift]鍵再 Delete 時(shí),Windows會(huì)問(wèn)你是否要永久刪除檔案,但這真的刪除了嗎? 隨便找一個(gè)反刪除或檔案救回工具軟件,如 FinalData,都可以再把檔案找回來(lái);即使是格式化(Format),尤其是快速格式化,都不見(jiàn)得可以完全將檔案從磁盤里抹除,何況你不會(huì)只為了徹 底刪除幾個(gè)檔案就要將硬盤整個(gè) Format 吧!
? ? PGP Shredder工具可以將檔案內(nèi)容完全抹除,即使你使用 FinalData 等工具要來(lái)找回檔案,可能看得到文件名稱,可是內(nèi)容絕對(duì)是一堆無(wú)意義的亂碼。使用 PGP Shredder 很容易,將要?jiǎng)h除的檔案拖放到桌面的 PGP ShredderIcon,或是直接在檔案總管按鼠標(biāo)右鍵,再選擇[PGP Desktop] [PGP Shred 這個(gè)檔案]即可。
安全
??安全程序的使用不能保證你的通信就是安全的。就算你在房子前門安裝一個(gè)最安全的鎖,小偷仍然可以從開(kāi)著的窗戶爬進(jìn)來(lái)。同樣,即使使用了 PGP,你的計(jì)算機(jī)也仍可能很脆弱。
? ?有許多有名的對(duì) PGP 的***;下面的部分就介紹這些***。然而,這些決不是一個(gè)完整的清單。將來(lái)的***很可能會(huì)攻破所有的公鑰加密技術(shù)。這份清單只是讓你了解一下保護(hù)通信時(shí)需要做些什么。
1.蠻力***
? ?對(duì) PGP最直接的***是蠻力***使用的密鑰。因?yàn)?PGP 2.6.2 使用的兩個(gè)加密算法,所以要看看這兩個(gè)算法的安全性。對(duì)于公鑰加密技術(shù),PGP 使用 RSA 算法;對(duì)于私鑰加密技術(shù),它使用 IDEA。
? ?(1)蠻力*** RSA密鑰
? ?對(duì)于RSA 密鑰,已知最好的蠻力***是分解它們。RSA 密鑰產(chǎn)生時(shí)就使得它們難于分解。而且,分解大的數(shù)仍然是一門很新的藝術(shù)。
? ?最近,最大的一個(gè)被分解的 RSA 密鑰是 RSA-129,它于1994 年 4 月被分解。RSA-129 是在設(shè)計(jì) RSA 算法時(shí)于 1977 年創(chuàng)建的原始 RSA 提問(wèn)。它是一個(gè) 129 位的十進(jìn)制 RSA 密鑰,相當(dāng)于 425 位。分解這個(gè)數(shù)動(dòng)員了全世界范圍的力量,使用了 1600 臺(tái)計(jì)算機(jī),實(shí)際耗費(fèi)時(shí)間超過(guò) 8 個(gè)月。
? ?它處理了4600MIPS 年的數(shù)據(jù);1MIPS 年是 1MIPS 的機(jī)器一年所能處理的數(shù)據(jù)量。例如,一個(gè) Pentium 100 大約是 125MIPS(根據(jù) Intel)。如果一個(gè) Pentium 100 機(jī)器為解決一個(gè)問(wèn)題一年時(shí)間不停地運(yùn)行,它就貢獻(xiàn)了 125MIPS 年。按照這種速度,一臺(tái)機(jī)器要花 37 年才能破解 RSA-129。如果使用 100 臺(tái)機(jī)器,只需要 4 個(gè)月就能破譯這個(gè)代碼,只是實(shí)際項(xiàng)目一半的時(shí)間。
? ?當(dāng)前,PGP2.6.2 版使用從 512 到 2048 位的密鑰。密鑰越大,分解越困難。同時(shí),增加密鑰長(zhǎng)度也會(huì)增加使用密鑰的時(shí)間。從日期來(lái)說(shuō),據(jù)認(rèn)為一個(gè) 512 位的密鑰能夠給予 1 年的安全性;訪問(wèn) 100 臺(tái) Pentium 100 機(jī)器要花至少一年才能破譯出 512 位的 RSA 密鑰。如果這是真的,那么一個(gè) 1024 位的密鑰,若使用今天最新的算法,假設(shè)在技術(shù)上沒(méi)有提高的話,在以后 10000年都是安全的。如果技術(shù)上有所提高,需要的時(shí)間就會(huì)少些。然而,看起來(lái)技術(shù)可能一直在進(jìn)展。
? ?(2)蠻力***IDEA 密鑰
? ?現(xiàn)在還沒(méi)聽(tīng)說(shuō)有人*** IDEA 密鑰。最好是嘗試 2^128 或 3.4×10^38 個(gè)密鑰。由于完成這一測(cè)試的困難性,嘗試破譯 PGP 中用于加密 IDEA 密鑰的 RSA 密鑰更容易。據(jù)估計(jì)破譯 IDEA 的困難如同分解 3000 位RSA 密鑰的困難相當(dāng)。
2.私鑰和通過(guò)短語(yǔ)
? ???PGP 私鑰環(huán)的安全性基于兩件事:對(duì)私鑰環(huán)數(shù)據(jù)的訪問(wèn)和對(duì)用于加密每個(gè)私鑰的通過(guò)短語(yǔ)的了解。使用私鑰要擁有這兩部分。然而,這也引起了許多***。
? ???如果PGP 用于多用戶系統(tǒng)中,就可能訪問(wèn)私鑰環(huán)。通過(guò)緩存文件,網(wǎng)絡(luò)窺視或者許多其他的***,可以利用監(jiān)視網(wǎng)絡(luò)或者讀取磁盤得到私鑰環(huán)。這樣就只剩下通過(guò)短語(yǔ)用來(lái)保護(hù)私鑰環(huán)中的數(shù)據(jù)了,這就意味著只要獲得通過(guò)短語(yǔ)就能攻破 PGP 的安全。
? ???而且,在一個(gè)多用戶系統(tǒng)中,鍵盤和 CPU 之間的鏈路可能是不安全的。如果有人能夠物理上訪問(wèn)連接用戶鍵盤和主機(jī)的網(wǎng)絡(luò),監(jiān)視擊鍵是很容易的。例如,用戶可能從一群公共的客戶終端上登錄,這時(shí)就可 以窺探連接網(wǎng)絡(luò)得到通過(guò)短語(yǔ)。另外,用戶還可能通過(guò)調(diào)制解調(diào)器拔叫,在這種情況下竊賊就可以監(jiān)聽(tīng)鍵盤擊鍵。在任何一種情況下,在一個(gè)多用戶的機(jī)器上運(yùn)行 PGP 都是不安全的。
? ???當(dāng)然,運(yùn)行PGP 最安全的方法是在一臺(tái)沒(méi)有其他人使用而且不連網(wǎng)的個(gè)人機(jī)上運(yùn)行;也就是說(shuō),一臺(tái)膝上型或家庭計(jì)算機(jī)。用戶必須在安全環(huán)境的代價(jià)和安全通信的代價(jià)之間找到一 種平衡。使用 PGP 的推薦方法是:總是在安全環(huán)境下的安全機(jī)器上動(dòng)用,這樣用戶就可以控制整個(gè)機(jī)器。
? ???最好的安全性關(guān)鍵在于鍵盤和 CPU 之間的連接是安全的。這既可以通過(guò)加密來(lái)完成,或者更好一點(diǎn)通過(guò)直接、無(wú)中斷的連接實(shí)現(xiàn)。工作站、PC、Mac、膝上型機(jī)器都屬于安全的機(jī)器。
? ???安全的環(huán)境更難于顯示,這里沒(méi)有加以探討。
3.對(duì)公鑰環(huán)的***
? ???由于公鑰環(huán)(公有密鑰環(huán))的重要性和對(duì)它的依賴性,PGP 受到許多針對(duì)密鑰環(huán)的***。首先,只有當(dāng)密鑰環(huán)改變時(shí)才被檢查。當(dāng)添加新的密鑰或簽名時(shí),PGP驗(yàn)證它們。然而,它會(huì)標(biāo)記密鑰環(huán)中已檢查過(guò)的簽名,這樣就 不會(huì)再去驗(yàn)證它們。如果有人修改了密鑰環(huán),并且設(shè)置了簽名中相應(yīng)的位,就不會(huì)被檢查出來(lái)。
? ???對(duì) PGP密鑰環(huán)的另一種***集中于 PGP 使用的進(jìn)程,它對(duì)密鑰有效性設(shè)置 1位。當(dāng)?shù)竭_(dá)一個(gè)密鑰的新簽名時(shí),PGP 就使用前面描述過(guò)的信任網(wǎng)絡(luò)值計(jì)算該密鑰的有效位。然后 PGP 在公有密鑰環(huán)中緩存這個(gè)有效位。一個(gè)***者可能會(huì)在密鑰環(huán)中修改這位,從而迫使得用戶相信一個(gè)無(wú)效密鑰是有效的。例如,通過(guò)設(shè)置這個(gè)標(biāo)志,***者能夠使得 用戶相信一個(gè)密鑰屬于 Alice,盡管沒(méi)有足夠的簽名證明這個(gè)密鑰的有效性。
? ???也可能發(fā)生對(duì) PGP 公鑰環(huán)的另一種***,因?yàn)樽鳛榻榻B人的密鑰信任也緩存在公有密鑰環(huán)中。這個(gè)值定義密鑰的簽名有多少信任度,因此如果使用帶有無(wú)效參數(shù)的密鑰簽名就可能使 PGP 把無(wú)效密鑰作為有效密鑰接受。如果一個(gè)密鑰被修改為完全受托的介紹人,那么用這個(gè)密鑰簽名的任何密鑰都被信任為有效的。因此,一個(gè)***者如果用一個(gè)修改過(guò) 的密鑰為另一個(gè)密鑰簽名,就會(huì)使得用戶相信它是有效的。
? ???公鑰環(huán)最大的問(wèn)題是所有這些位不僅在公鑰環(huán)中緩存,而且密鑰環(huán)中沒(méi)有任何保護(hù)。
? ???讀過(guò)PGP 源代碼而且能夠訪問(wèn)公鑰環(huán)的任何人都可以使用一個(gè)二進(jìn)制文件編輯器修改任何一位,而密鑰環(huán)的所有者卻無(wú)法注意到這個(gè)修改。幸運(yùn)的是,PGP 提供一種方法重新檢查密鑰環(huán)中的密鑰。通過(guò)聯(lián)合使 -kc 和 -km 選項(xiàng),用戶可告訴 PGP 執(zhí)行對(duì)整個(gè)密鑰環(huán)的密鑰維護(hù)。
? ???前一個(gè)選項(xiàng)告訴 PGP 檢查密鑰和簽名。PGP 會(huì)查看整個(gè)密鑰環(huán),重新檢查每一個(gè)簽名。當(dāng)檢查了所有簽名之后,PGP 將執(zhí)行一個(gè)維護(hù)性檢查(-km),重新計(jì)算所有密鑰的有效性。
? ???不幸的是,沒(méi)有一種辦法能夠完全重新檢查密鑰中的所有信任字節(jié)。這是一個(gè)漏洞。應(yīng)當(dāng)有一個(gè)命令告訴 PGP 忽略所有信任字節(jié),從終極密鑰,即私鑰環(huán)中的密鑰,向用戶詢問(wèn)信任性。
? ???或許PGP 將來(lái)的版本會(huì)改正這個(gè)問(wèn)題。如果一個(gè)密鑰被改成是可信任的介紹人,你沒(méi)有辦法找到修改之處并改正它。運(yùn)行密鑰和維護(hù)檢查只能恢復(fù)密鑰的有效性,但不是信任值。只有對(duì)一個(gè)密鑰運(yùn)行 PGP -ke 才能編輯信任參數(shù),而這不能自動(dòng)完成。
4.程序的安全性
? ???如果有人能夠訪問(wèn) PGP 程序的二進(jìn)制文件,他就可以改變它,讓它做他想做的任何事。
? ???如果這個(gè)介入者能夠從你的鼻子底下替換你的 PGP 二進(jìn)制文件,你對(duì) PGP 的信任就建立在你對(duì)這個(gè)人的信任和你實(shí)際驗(yàn)證這個(gè)程序的能力上。例如,一個(gè)能夠進(jìn)行這種訪問(wèn)的***者可能會(huì)改變 PGP,使得它總是驗(yàn)證簽名,甚至簽名是無(wú)效的。PGP 可能被修改,總是向 NSA 發(fā)送所有消息的純文本復(fù)制。這些***很難檢測(cè),而且難于對(duì)付。PGP 需要成為受托代碼基礎(chǔ)的一部分;如果你不信任你的 PGP 二進(jìn)制文件,那就不要信任它的輸出。
? ???相信PGP 二進(jìn)制文件最好的辦法就是自己從源代碼建立它。然而,這并不總是可能的。
? ???其他辦法包括在它建立時(shí)監(jiān)視它或者從一個(gè)受托的來(lái)源得到它。查看二進(jìn)制文件的大小和日期很有幫助。使用其他受托的程序,像 md5sum 能有所幫助。但這只是把問(wèn)題壓到了另一層。如果你不信任 PGP 程序,就沒(méi)有太多做的了。
5.對(duì) PGP 的其他***
? ???對(duì) PGP可能還有其他***,但是這里不做討論。從來(lái)沒(méi)有證明過(guò) PGP 使用的加密算法是安全的。PGP 所使用的數(shù)學(xué)雖然被認(rèn)為是安全的,但是有可能很容易攻破。對(duì) RSA 的分解***可能得到改進(jìn)、或者有人可能在 IDEA 中找到一個(gè)漏洞。
??要想知道什么安全、什么不安全,對(duì)密碼技術(shù)所運(yùn)用的數(shù)學(xué)知識(shí)了解得還不夠。實(shí)際上,據(jù)知任何事都不是完全安全的,如果有足夠的計(jì)算能力,任何形式的密碼技術(shù)都可以攻破。
? ? 問(wèn)題是破譯代碼所花費(fèi)的時(shí)間和精力與被保護(hù)的數(shù)據(jù)價(jià)值相比是否值得。注意破譯代碼所花費(fèi)的力量將隨著時(shí)間不斷地減少,因?yàn)橛?jì)算機(jī)的能力不斷增強(qiáng),而價(jià)格不斷地下降。到現(xiàn)在為止,密碼專家仍然超前于破譯者。
心得
1.PGP 全盤加密注意事項(xiàng)
??在全盤加密下,不能使用第三方磁盤軟件處理已加密的硬盤,如:不要重建或恢復(fù) MBR(主引導(dǎo)記錄),不要重建或恢復(fù)分區(qū)表,不要格式化,不要調(diào)整分區(qū)大小等。總之,就是不要用就是了,切記。
??不要安裝和使用會(huì)更改 MBR 的恢復(fù)軟件(所有會(huì)改 MBR 的軟件都不要安裝和使用),如:一鍵 ghost,廠家自己的一鍵恢復(fù)軟件,Acronis True Image(F11 鍵),雨過(guò)天晴等。切記!
??最后說(shuō)一點(diǎn):只要做到不對(duì) MBR 和硬盤分區(qū)作任何更改,PGPWDE 是安全的!
??2.PGP 全盤加密失敗(如斷電,死機(jī)等)去除電腦開(kāi)機(jī)輸入密碼方法
??當(dāng) 用PGP 進(jìn)行全盤加密的時(shí)候,如果不幸遇到斷電或者死機(jī),而你又不幸沒(méi)有選上斷電保護(hù),電腦被迫重啟后,全盤加密未完成的情況,電腦開(kāi)機(jī)會(huì)叫輸入之前全盤加密選項(xiàng) 里面的用戶開(kāi)機(jī)口令,這時(shí)候,想要去除全盤加密可以用 MBR TOOL 等MBR 重寫工具進(jìn)行硬盤引導(dǎo)區(qū)重寫,PGP 的開(kāi)機(jī)加密是以代碼形式寫入了硬盤引導(dǎo)區(qū)(MBR)里,所以只要重寫了硬盤引導(dǎo)區(qū)就可以去掉 PGP 的全盤加密設(shè)置及其開(kāi)機(jī)加密密碼,具體重寫入步驟請(qǐng)百度下。
??3.PGP 密鑰注意事項(xiàng)
??一般PGP 在你重裝系統(tǒng)后密鑰容易出問(wèn)題,其它時(shí)候都很安全。重裝系統(tǒng)一定要備份密鑰環(huán)文件,順便把私鑰文件(密鑰對(duì))也備份出來(lái)。重裝好后裝 PGP 它會(huì)有提示,這時(shí)你需要導(dǎo)入密鑰環(huán)或者密鑰對(duì),而不是簡(jiǎn)單的復(fù)制粘貼到 PGP 的文件夾中。
轉(zhuǎn)載于:https://blog.51cto.com/ajianhappy/777900
總結(jié)
- 上一篇: rman备份指定备份集对应文件
- 下一篇: 5G NR无线空口关键技术专题培训