安全协议PGP__课程总结

应用层安全协议PGP的研究

一、 摘要

介绍了PGP的发展背景，其消息格式以及相应的服务。还介绍了PGP的工作原理和流程，对PGP的功能进行了详细介绍，再熟悉PGP的功能后，同时讲述了我们可以使用PGP功能的一些情况场合，最后是个人的一些看法。

二、 PGP背景

在现代社会里，互联网的飞速发展已经是毋庸置疑的了。相应的，电子邮件和网络上的文件传输已经成为人们工作和生活中不可或缺的部分了。当电子邮件广受欢迎的同时，其安全性问题也很突出。实际上，电子邮件的传送过程是邮件在网络上反复复制的过程，其网络传输路径不确定，很容易遭到不明身份者的窃取、篡改、冒用甚至恶意破坏，给收发双方带来麻烦。进行信息加密，保障电子邮件的传输安全已经成为广大E-mail用户的迫切要求。

2000年前，人们就开始使用共享密码技术。1976年，Diffie-Hellman算法被提出。1978年，RSA——公开密钥算法被公开。

1991年，PGP 诞生，创始人是美国的 Phil Zimmermann。他的创造性在于他把RSA公匙体系的方便和传统加密体系的高速度结合起来，并且在数字签名和密匙认证管理机制上有巧妙的设计。因此PGP成为几乎最流行的公匙加密软件包。 很多个人和商业团体都经常使用它实现数据和电子邮件的保密性，并且很快就成为了安全电子邮件的标准。

PGP的出现与应用很好地解决了电子邮件的安全传输问题。将传统的对称性加密与公开密钥加密方法结合起来，兼备了两者的优点。PGP提供了一种机密性和鉴别的服务，支持1024位的公开密钥与128位的传统加密算法，可以用于军事目的，完全能够满足电子邮件对于安全性能的要求。

三、 PGP的结构 1.PGP的消息格式

接收方公钥的密钥ID 会话密钥 时间戳 发送方公钥的密钥ID 消息摘要的前2个字节 消息摘要 文件名 时间戳 数据 PGP(Pretty Good Privacy)，是一个基于RSA公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。它可以可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。

2.PGP主要提供数字签名、机密性、压缩、基数64转换等安全服务。

功能 使用的算法 说明 用SHA-1创建消息的散列值。用具有发送方私钥的DSS数字签名 DSS/SHA或RSA/SHA 或RSA加密消息摘要，并把它包含在消息中 用具有发送方一次性会话密钥的CAST-128、IDEA或消息加密 CAST、IDEA或3DES和Diffie-Hellman或RSA 3DES加密消息。用具有接收方公钥的Diffie-Hellman或RSA加密会话密钥，并把它包含在消息中 压缩 ZIP 为了存储或传输，可以使用ZIP压缩消息 为了提供电子邮件应用的透明度，可以用基数64转换将电子邮件的兼容性 基数64转换 加密消息转换成ASCII字符串 为了适应最大消息大小的限制，PGP执行分段和重新组合 程序分段 —— 四、 PGP的工作原理 1.数字签名

图1-1PGP的认证过程

签名的步骤： (1)发送方创建消息

(2)用使用SHA-1生成消息的160bit散列值

(3)用发送方私钥的RSA加密散列值，将结果附在消息上 验证的步骤：

(4)接收方使用发送方的公开密钥，采用RSA解密和恢复散列值

(5)接收方为消息生成新的散列值，，并与被解密的散列值相比较。如果两者匹配，则消息作为已鉴别的消息而接收。

2.消息加密——RSA，PGP还提供了Diffie-Hellman的变体ElGamal算法。

图1-2 PGP的加密过程

(1)发送方生成消息和用作该消息会话密钥的128bit随机数；

(2)发送方采用CAST-128加密算法，使用会话密钥对消息进行加密。也可使用IDEA或3DES；

(3)发送方采用RSA算法，使用接收方的公开密钥对会话密钥进行加密，并附加到消息前面；

(4)接收方采用RSA算法，使用自己的私有密钥解密和恢复会话密钥； (5)接收方使用会话密钥解密消息。 3. 机密性与数字签名

图1-3PGP的加密和认证过程

如图所示，对报文可以同时使用两个服务。首先为明文生成签名并附加到报文首部；然后使用CAST-128(或IDEA、3DES)对明文报文和签名进行加密，再使用RSA(或ElGamal)对会话密钥进行加密。在这里要注意次序，如果先加密再签名的话，别人可以将签名去掉后签上自己的签名，从而篡改签名。

4.压缩：

PGP在加密前进行预压缩处理，PGP内核使用PKZIP算法压缩加密前的明文。一方面对电子邮件而言，压缩后再经过radix-64编码有可能比明文更短，这就节省了网络传输的时间和存储空间；另一方面，明文经过压缩，实际上相当于经过一次变换，对明文攻击的抵御能力更强。

5.电子邮件的兼容性：

当使用PGP时，至少传输报文的一部分需要加密，因此部分或全部的结果报文由任意8bit字节流组成。但由于很多的电子邮件系统只允许使用由ASCII正文组成的块，所以PGP提供了radix-64(就是MIME的BASE 64格式)转换方案，将原始二进制流转化为可打印的ASCII字符。

6.分段和重装

电子邮件设施经常受限于最大报文长度(50000个)八位组的限制。超过这个值，报文将分成更小的报文段，每个段单独发送。分段是在所有其他的处理(包括radix-64转换)完成后才进行的，因此，会话密钥部分和签名部分只在第一个报文段的开始位置出现一次。在接收端，PGP必须剥掉所在的电子邮件首部，并且重新装配成原来的完整的分组。

五、 PGP的功能

PGP 能够提供独立计算机上的信息保护功能，使得这个保密系统更加完备。 PGP最核心的功能是：文件加密、通信加密和数字签名，包括电子邮件、任何储存起来的文件、还有即时通讯（例如 ICQ 之类）。数据加密功能让使用

者可以保护他们发送的信息─像是电子邮件─还有他们储存在计算机上的信息。文件和信息通过使用者的密钥，通过复杂的算法运算后编码，只有它们的接收人才能把这些文件和信息解码。PGP使用加密以及效验的方式，提供了多种的功能和工具，帮助您保证您的电子邮件、文件、磁盘、以及网络通讯的安全。

1、在任何软件中进行加密/签名以及解密/效验。通过 PGP 选项和电子邮件插件，您可以在任何软件当中使用 PGP 的功能。

2、创建以及管理密钥。使用 PGP keys 来创建、查看、和维护您自己的 PGP 密钥对，以及把任何人的公钥加入您的公钥库中。

3、创建自解密压缩文档 (self-decrypting archives, SDA)。您可以建立一个自动解密的可执行文件。任何人不需要事先安装 PGP ，只要得知该文件的加密密码，就可以把这个文件解密。这个功能尤其在需要把文件发送给没有安装 PGP 的人时特别好用。

4、创建PGP disk加密文件。该功能可以创建一个. pgd的文件，此文件用PGP Disk功能加载后，将以新分区的形式出现，您可以在此分区内放入需要保密的任何文件。其使用私钥和密码两者共用的方式保存加密数据，保密性坚不可摧，但需要注意的是，一定要在重装系统前记得备份“我的文档”中的“PGP”文件夹里的所有文件，以备重装后恢复您的私钥。

5、永久的粉碎销毁文件、文件夹，并释放出磁盘空间。

6、完整磁盘加密，也称全盘加密。该功能可将您的整个硬盘上所有数据加密，甚至包括操作系统本身。

7、即时消息工具加密。该功能可将支持的即时消息工具所发送的信息完全经由PGP处理，只有拥有对应私钥的和密码的对方才可以解开消息的内容。任何人截获到也没有任何意义，仅仅是一堆乱码。

8、PGP zip，PGP压缩包。该功能可以创建类似其他压缩软件打包压缩后的文件包，但不同的是其拥有坚不可摧的安全性。

9、网络共享。可以使用PGP接管您的共享文件夹本身以及其中的文件，安全性远远高于操作系统本身提供的帐号验证功能。并且可以方便的管理允许的授权用户可以进行的操作。极大的方便了需要经常在内部网络中共享文件的企业用户，免于受蠕虫病毒和黑客的侵袭。

10、创建可移动加密介质（闪存盘/CD/DVD）产品－PGP Portable。曾经独

立的该产品已包含在其中，但使用时需要另购许可证。

六、 个人小结

这篇论文花了我很长时间，去查资料、整合资料，但结果并不是很理想。其实，这样的工作一个团队做起来或许效果会更好。我对PGP的一些看法，PGP的信任管理不是基于一个全局的PKI，而是让用户自己自己建立自己的信任网，只是用小规模的用户群体，当用户增多的时候，管理会困难。PGP的认证模式采用的是分布式的，则使用事比较方便，适合于公共领域和内部网络用户之间的安全信息交流，而且它还保留了用户的个人电子邮件安全服务的选择。在我看来这就是PGP在企业中快速得到广泛使用的原因吧。了解了PGP的相关知识，不难知道，这里应用到的知识和我们所学的网络安全中的密码学是相互关联的。其实平时里我们学时的东西都是息息相关的，只要把它们相互结合起来就会解决更多的问题，把问题解决的更完善。

七、 参考文献

【1】Stallings W. 《密码编码学与网络安全原理与实践(第二版)[M]》北京电子工业出版社，2001

【2】陈性元，杨艳等 《网络安全通信协议》 高等教育出版社，2008.3 【3】王群 《计算机网络安全技术》 清华大学出版社，2008.8

【4】杨延双，张健标等 《TCP/IP协议分析及应用》 机械工业出版社，2007.2 【5】http：//www.microsoft.com/security/

立的该产品已包含在其中，但使用时需要另购许可证。

六、 个人小结

这篇论文花了我很长时间，去查资料、整合资料，但结果并不是很理想。其实，这样的工作一个团队做起来或许效果会更好。我对PGP的一些看法，PGP的信任管理不是基于一个全局的PKI，而是让用户自己自己建立自己的信任网，只是用小规模的用户群体，当用户增多的时候，管理会困难。PGP的认证模式采用的是分布式的，则使用事比较方便，适合于公共领域和内部网络用户之间的安全信息交流，而且它还保留了用户的个人电子邮件安全服务的选择。在我看来这就是PGP在企业中快速得到广泛使用的原因吧。了解了PGP的相关知识，不难知道，这里应用到的知识和我们所学的网络安全中的密码学是相互关联的。其实平时里我们学时的东西都是息息相关的，只要把它们相互结合起来就会解决更多的问题，把问题解决的更完善。

七、 参考文献

【1】Stallings W. 《密码编码学与网络安全原理与实践(第二版)[M]》北京电子工业出版社，2001

【2】陈性元，杨艳等 《网络安全通信协议》 高等教育出版社，2008.3 【3】王群 《计算机网络安全技术》 清华大学出版社，2008.8

【4】杨延双，张健标等 《TCP/IP协议分析及应用》 机械工业出版社，2007.2 【5】http：//www.microsoft.com/security/

本文来源：https://www.bwwdw.com/article/poz.html