非对称密钥加密技术.doc

非对称密钥加密技术 实训目的 通过使用PGP软件实现数据加密和数字签名，理解非对称密钥加密的原理，学会对文件内容、电子邮件进行加密和数字签名，保障信息安全。 实训任务 客户公司的业务大部分都是靠电子邮件与合作伙伴进行交流的，但是发生过这样一起事故，当公司按照一个合作伙伴电子邮件的要求发了一批商品到对方，而对方却说商品型号发错了，经调查，公司确实是按电子邮件的要求发的货，而对方却不承认电子邮件中的商品型号。现在需要设置一个安全的电子邮件交流手段，不仅能对数据进行加密，还要能够防止数据被篡改，防止发送者抵赖。 背景知识 非对称密钥加密 加密算法有两大类：对称密钥加密和非对称密钥加密。在对称密钥加密技术中，加密和解密使用的是同一个密钥，由于难于通过常规的渠道进行安全的密钥传递，例如不能通过电子邮件安全地传递密钥，因此在电子商务等领域对称密钥加密技术受到了很大的限制。 非对称密钥加密也叫公开密钥加密（Public Key Encryption），在加密和解密时使用不同的密钥，加密时使用的密钥和解密时使用的密钥形成一个密钥对，用其中的一个密钥加密的密文只能用另一个密钥解密，而不能由其它密钥（包括加密用的密钥）解密。通常一个密钥指定为“公钥”，可以对外公布，另一个则指定为“私钥”，只能由密钥持有人保管。 公开密钥加密技术解决了密钥的发布和管理问题，是目前商业加密通信的核心。使用公开密钥技术，进行数据通信的双方可以安全地确认对方身份和公开密钥，提供通信的可鉴别性。因此，公开密钥体制的建设是开展电子商务的前提。非对称密钥加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。 使用非对称密钥加密技术，可以实现下述目的： 保密性：信息除发送方和接受方外不被其他人窃取； 完整性：信息在传输过程中不被篡改； 身份认证：接收方能够通过数字证书来确认发送方的身份； 不可否认性：发送方对于自己发送的信息不能抵赖。 消息摘要算法 消息摘要算法（Message Digest Algorithms）是采用单向Hash算法将消息进行处理，产生的具有固定长度的摘要值，无论消息的长度是多少，所产生的摘要的长度是相同的。产生摘要的过程不需要密钥，算法本身决定了摘要的产生。摘要算法必须满足下述三个条件：①无法从摘要反推出消息的内容；②无法控制消息的摘要等于某个特定的值；③无法找到具有同样摘要的消息。著名的摘要算法有MD5和SHA1。 数据加密和数字签名 使用非对称密钥加密技术进行数据加密的原理是，发件人将待加密的报文（明文）用收件人的公钥进行加密，将加密后的报文（密文）发送给收件人，收件人用自己的私钥进行解密，从而得到明文，即原始的报文内容。收件人的私钥必须保管好，因为只有用收件人的私钥才能解密。 数字签名技术的原理是用发件人的私钥对明文进行加密，将密文发送给收件人，收件人用发件人的公钥进行解密，如果能够成功解密，则说明该报文确实是由公钥的原始持有人发送的，即证明是由该人签名认可的。但是在实际操作中，出于加解密运行效率等原因，并不是直接对明文加密，而是对明文进行摘要运算（md5或sha1），对摘要进行加密，形成一个数字化的签名文本，附加在明文之后，收件人可以利用签名文本对明文进行验证，从而确认明文是由发件人签名，并且内容没有被篡改。 实训材料 每组计算机二台。PGP 8.1软件及汉化包。 实训步骤 本实训由每组二人合作完成，每人有一台计算机，各自安装PGP 8.1，并创建自己的公钥私钥对，然后互相交换公钥。为方便起见，本实训中称此二人为张三和李四。 安装 安装PGP 8.1版，安装过程中会提问是否已经拥有PGP密钥对，初次安装回答“No, I’m a New User”（错误！未找到引用源。），在提问选择安装插件组件时，根据需要选择，例如，如果希望在Microsoft Outlook中使用加密签名功能，则选中对应的选项（错误！未找到引用源。）。 图1.11 安装时选择“新用户” 图1.12 安装时为PGP选择插件组件 初始设置 安装结束后，必须重启动系统。重新开机后，如果在安装时回答了“No, I’m a New User”时，会出现PGP初始化设置窗口，为用户创建一对密钥并用口令保护密钥中的私钥（错误！未找到引用源。和错误！未找到引用源。）。 图1.13 创建PGP密钥对 图1.14 保护私钥的口令短语 每组中各人使用自己的姓名（例如张三和李四）输入姓名、电子邮件地址、口令短语（即密码，至少8个字符长，用于保护私钥），然后接受默认值，直到完成。 图1.15 PGP菜单 此时，PGP已经根据输入的姓名、电子邮件地址生成了一对公钥私钥。公钥私钥对在PGP中称为密钥环（Keyring）。 密钥管理 安装后，在系统托盘上可