PGP加密技术课程设计,PGP加密技术

('哈尔滨理工大学课程设计题目：网络安全课程设计PGP加密软件的功能展示院、系：计算机科学与技术学院网络工程系班级：网络０９－２班学号：0904020215姓名：同组成员：指导教师：成绩：2012年06月21日1目录第一章绪论31.1选题的目的和意义31.2题目开发的背景31.2.1电子邮件系统安全问题研究的必要性31.2.2.电子商务中电子邮件面临的安全性问题及解决3第二章PGP加密相关技术62.1PGP加密技术及相关加密技术简介62.1.1PGP加密技术简介62.1.2非对称加密算法原理62.1.3公钥加密算法介绍62.1.4私钥数字签名技术72.2PGP10.1.0功能及优点8第三章具体加密解密过程93.1PGP10.1.0的安装过程93.2.MicrosoftOfficeOutlook对邮箱的配置133.3.使用PGP加密/解密邮件的实现19第一章绪论1.1选题的目的和意义：PGP加密技术是专门针对电子邮件加密的一种技术。为了保证电子邮件在传输过程中的保密性，完整性和可用性，以及充分了解PGP加密技术的原理，功能和会使用PGP加密软件对文件进行加密，所以本次课程设计我选择了PGP2加密软件功能的展示这个题目。1.2题目开发的背景：随着互联网的迅速发展和普及，使得通过为一大群顾客和供应商提供一个通用通讯环境的方法可以发挥电子商务的独一无二的潜力。今天，网上有数以千计的面向消费者和面向交易的商务站点，并且这个数目正在快速增长。电子商务成为世界新热点,但其安全性也随着信息化的深入也随之要求愈高了。电子邮件系统的发展面临着机密泄漏、信息欺骗、病毒侵扰、垃圾邮件等诸多安全问题的困扰。人们对电子邮件系统和服务的要求日渐提高，电子邮件系统的安全问题也越来越得到使用者的重视，如果没有采取安全措施,得到的信息就可能被别人破坏过，电子商务往来就不能正常运行。1.2.1电子邮件系统安全问题研究的必要性电子邮件系统的功能是办公自动化系统的基本需求，是企业网络的基本应用之一，为企业进行信息交流提供了有力支持。安全的电子邮件系统有效地解决了信息保密，信息完整、身份鉴别，以及密钥的安全存储等问题，安全的电子邮件系统在各行业中的应用和推广，将给相关企业在商业秘密、客户资料、产品研发资料、金融资料、交易谈判、市场与产品计划、财务资料等方面的数据交换提供安全保障。对于企业和政府用户而言，安全的电子邮件系统为系统用户的身份鉴别，企业商业信息和政府公务文件的收发、传输和存储提供了有效的安全保障，简化了工作流程，提高了工作效率；安全的电子邮件系统提供的强大易用的管理功能，有效地整合了企业内各个组织机构的沟通和管理，实现了企业机构的一体化管理，提高了管理水平和效率。因此，安全的电子邮件系统在企业信息化建设的深化中，将发挥巨大的推动作用，并获得更多的企业和政府机构用户，在企业信息化和电子商务中赢得可观的市场份额。1.2.2.电子商务中电子邮件面临的安全性问题及解决1.电子商务中电子邮件面临的安全性问题电子商务中电子邮件往来将会遇到以下几方面的问题：电子邮件系统的安全漏洞、电子邮件系统的威胁和欺骗、电子邮件系统垃圾、电子邮件系统炸弹、电子邮件系统有关的病毒、匿名转发等等。2.解决电子商务中电子邮件安全问题的主要技术1)防火墙技术防火墙是位于内部网络或Web站点与Inte之间rnet的一个路由器或一台计算机(堡垒主机),可以使内部网可以与Internet联结又保护内部网免遭外界非法访问。防火墙建立在一个服务器/主机上,是一个多边协议路由器,在通常的配置中,堡垒主机经常作为一个公共的Web服务器,或者FTP服务器,或一个电子邮件服务器使用。通过堡垒主机上进行Http服务器软件,要使用“代理”服务器,以访问防火墙的另一端的Web服务器。利用防火墙可以加强安全性合理配置防火墙,可以限制邮件的访问,使之只能发送到有限的几个机器上,并加强对这几个机器的防范,可以将这些机器作为竟如内部网络的网关来控制邮件的出入。因此,用防火墙可所有外部的SMTP联结到一个电子邮件服务器上,这样会有一个集中登录地点,便于追踪不正常的电子邮件,但是防火墙不能识别恶意的Applet和脚本。3(2)PGP加密算法从本质上来讲,最有效的保护电子邮件系统方法是使用加密签字来验证电子邮件系统信息,通过验证,保证信息确实来自发信任,并且来保证电子邮件系统在传输的过程中没有被修改。最常用的是PGP加密算法。利用PGP的数字签字签名可以实现保证电子邮件不被冒发或修改过。PGP对电子邮件的内容计算后得出一个128位的二进制作为描述电子邮件的特征值。如果邮件被改动,这个特征值就不符合邮件的内容。(3)电子邮件系统炸弹的处理预防垃圾邮件的方法对电子邮件系统炸弹毫无作用，因为电子邮件系统炸弹发送时,攻击软件会自动的修改发送的地址(FakeIP),这样你收到的电子邮件的发信地址根本就是不存在的,或随时变化的,所以无法提前防范,也不可能根据发信地址追查扔炸弹的人。防治电子邮件系统炸弹的方法是进入一种排斥模式，排斥模式需要你检查收到邮件的源地址。如果发现一个站点,它的用户在用电子邮件站点攻击你,那么你就可以和他们系统管理员联系。(4)防范电子邮件系统的威胁和欺骗由于简单的邮件传输协议(SMIP)不能验证系统伪造的电子邮件。如果站点允许与SMIP端口联系,任何人都可以与该端口联系,并且以你虚构某人的名义发出电子邮件。应该经常查看电子邮件的错误信息,这里经常会有闯入者的线索，查看电子邮件信息的表头,它们通常会记录电子邮件到达目的地址前经过的所有“跳跃”或短暂的停留。应该注意到表头中诸如“接到”和“信息-ID”信息,并且有电子邮件的发出/收到记录比较,看它们是否响应。(5)电子邮件系统垃圾的处理电子邮件系统垃圾已经成为人们最头疼的问题之一,下面是几种常见的防垃圾邮件技术。①SMTP用户认证目前常见并十分有效的方法是，在邮件传送代理(MailTransportAgent，MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证，仅允许通过认证的用户进行远程转发。这样既能够有效避免电子邮件传送代理服务器为垃圾邮件发送者所利用，又为出差在外或在家工作的员工提供了便利。如果不采取SMTP认证，则在不牺牲安全的前提下，设立面向互联网的Web邮件网关也是可行的。②逆向名字解析认证的目的都是避免电子邮件传送代理服务器被垃圾邮件发送者所利用，但对于发送到本地的垃圾邮件仍然无可奈何。要解决这个问题，最简单有效的方法是对发送者的IP地址进行逆向名字解析。通过DNS查询来判断发送者的IP与其声称的名字是否一致，如不一致则予以拒收。这种方法可以有效过滤掉来自动态IP的垃圾邮件，对于某些使用动态域名的发送者，也可以根据实际情况进行屏蔽。但是上面这种方法对于借助OpenRelay的垃圾邮件依然无效。对此，更进一步的技术是假设合法的用户只使用本域具有合法互联网名称的邮件传送代理服务器发送电子邮件。但是，逆向名字解析需要进行大量的DNS查询。③实时黑名单过滤4以上介绍的防范措施对使用自身合法的域名的垃圾邮件仍然无效。对此比较有效的方法就是使用黑名单服务了。黑名单服务是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库，最著名的是RBL、DCC和Razor等，这些数据库保存了频繁发送垃圾邮件的主机名字或IP地址，供MTA进行实时查询以决定是否拒收相应的邮件。然而，目前各种黑名单数据库难以保证其正确性和及时性。④内容过滤即使使用了前面诸多环节中的技术，仍然会有相当一部分垃圾邮件漏网。对此情况，目前最有效的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是，结合内容扫描引擎，根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。更加复杂但同时更具智能性的方法是，基于贝叶斯概率理论的统计方法所进行的内容过滤。内容过滤是以上所有各种方法中耗费计算资源最多的，在电子邮件流量较大的场合，需要配合高性能服务器使用。⑤关键字将一些会在垃圾邮件中经常出现的字符(如：广告、化妆品、发票等)收集起来形成一个大的数据库，当一封电子邮件到来的时候能够对信头、信标题、主题和信体等几部分进行检查，看是否里面有数据库中的字符，如果有就被认为是垃圾邮件，如果没有就判断不是垃圾邮件。主要采用的技术是关键词匹配。⑥IP黑/白名单将经常向你发垃圾邮件的IP地址添加到IP黑名单中，当再从同样的IP地址发来信件都被判定为垃圾邮件。如果IP地址被加入到白名单中，则认为从那里来的任何电子邮件都不是垃圾邮件。后来出现的拒绝发件人、拒绝目的地域也都是类似的技术。第2章PGP相关技术简介2.1PGP加密技术及相关加密技术简介2.1.1.PGP加密技术简介PGP（PrettyGoodPrivacy）加密技术是一个基于RSA公钥加密体系的邮件加密软件，提出了公共钥匙或不对称文件的加密技术。PGP加密技术的创始人是美国的PhilZimmermann。他的创造性把把RSA公钥体系和传统加密体系的结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计，因此PGP成为目前几乎最流行的公钥加密软件包。由于RSA算法计算量极大，在速度上不适合加密大量数据，所以PGP实际上用来加密的不是RSA本身，而是采用传统加密算法IDEA，IDEA加解密的速度比RSA快得多。PGP随机生成一个密钥，用IDEA算法对明文加密，然后用RSA算法对密钥加密。收件人同样是用RSA解出随机密钥，再用IEDA解出原文。这样的链式加密既有RSA算法的保密性（Privacy）和认证性（Authentication），又保持了IDEA算法速度快的优势。52.1.2．非对称加密算法原理1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。2．1.3.公钥加密算法介绍使用公开密钥对文件进行加密传输的实际过程包括四步：（1）发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密，然后通过网络传输到接收方；（2）发送方对需要传输的文件用自己的私有密钥进行加密，然后通过网络把加密后的文件传输到接收方；（3）接收方用自己的公开密钥进行解密后得到发送方的私有密钥；（4）接受方用发送方的私有密钥对文件进行解密得到文件的明文形式。因为只有接收方才拥有自己的公开密钥，所以即使其他人得到了经过加密的发送方的私有密钥，也因为无法进行解密而保证了私有密钥的安全性，从而也保证了传输文件的安全性。实际上，上述在文件传输过程中实现了两个加密解密过程：文件本身的加密和解密与私有密钥的加密解密，这分别通过私有密钥和公开密钥来实现。2．1.4.私钥数字签名技术对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。在电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。实现数字签名有很多方法，目前数字签名采用较多的是公钥加密技术，如基于RSADateSecurity公司的PKCS（PublicKeyCryptography6Standards）、DigitalSignatureAlgorithm、x.509、PGP（PrettyGoodPrivacy）。1994年美国标准与技术协会公布了数字签名标准而使公钥加密技术广泛应用。公钥加密系统采用的是非对称加密算法。目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。它的主要方式是，报文的发送方从报文文本中生成一个128位的散列值（或报文摘要）。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：第一，信息是由签名者发送的；第二，信息自签发后到收到为止未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪，或冒用别人名义发送信息。或发出（收到）信件后又加以否认等情况发生。应用广泛的数字签名方法主要有三种，即：RSA签名、DSS签名和Hash签名。这三种算法可单独使用，也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的，用DES算去、RSA算法都可实现数字签名。但三种技术或多或少都有缺陷，或者没有成熟的标准。RSA算法中数字签名技术实际上是通过一个哈希函数来实现的。数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一个最简单的哈希函数是把文件的二进制码相累加，取最后的若干位。哈希函数对发送数据的双方都是公开的。DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。由于它是由美国政府颁布实施的，主要用于与美国政府做生意的公司，其他公司则较少使用，它只是一个签名系统，而且美国政府不提倡使用任何削弱政府窃听能力的加密软件，认为这才符合美国的国家利益。Hash签名是最主要的数字签名方法，也称之为数字摘要法（DigitalDigest）或数字指纹法（DigitalFingerPrint）。它与RSA数字签名是单独的签名不同，该数字签名方法是将数字签名与要发送的信息紧密联系在一起，它更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起，比合同和签名分开传递，更增加了可信度和安全性。数字摘要（DigitalDigest）加密方法亦称安全Hash编码法（SHA：SecureHashAlgorithm）或MD5（MDStandardForMessageDigest），由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（FingerPrint），它有固定的长度，且不同的明文摘要必定一致。这样这串摘要使可成为验证明文是否是“真身”的“指纹”了。只有加入数字签名及验证才能真正实现在公开网络上的安全传输。加入数字签名和验证的文件传输过程如下：（1）发送方首先用哈希函数从原文得到数字签名，然后采用公开密钥体系用发达方的私有密钥对数字签名进行加密，并把加密后的数字签名附加在要发送的7原文后面；（2）发送一方选择一个秘密密钥对文件进行加密,并把加密后的文件通过网络传输到接收方；（3）发送方用接收方的公开密钥对密秘密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方；（4）接受方使用自己的私有密钥对密钥信息进行解密，得到秘密密钥的明文；（5）接收方用秘密密钥对文件进行解密，得到经过加密的数字签名；（6）接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文；（7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。2.2.PGP10.1.0功能及优点主要更新说明:1、重新设计的界面。完全支持windows7。2、支持新智能卡:AxaltoCyberflexAccess32KV2智能卡GieseckeandDevrientSm@rtCafeExpert3.2个人身份验证卡OberthurID-OneCosmoV5.2D个人身份验证卡SafeNetiKey2032USB令牌T-SystemsTelesecNetKey3.0和TCOS3.0IEI卡3、改进：PGPUniversal服务器连接改进VPN连接或以其他方式连接的操作4、改进：MicrosoftInternetExplorer8兼容性和PGPDesktop稳定性。5、改进：支持windows7/Vista的32/64位版本当前窗口和剪贴板加密解密。6、改进：现在支持4096位Diffie-Hellman密钥。7、改进：PGPWDE支持本地口令恢复，而不再需要联系管理员。8、改进：PGPWDE增强多用户。9、改进：扩展ASCII字符支持。现在可以用来创建PGPWDE用户。10、改进：PGPBootGuard可正确显示汉字。11、新增：LotusNotes增加本地加密12、增强的服务器密钥方式(SKM)密钥。13、新增：环境变量指定您密钥环的位置。14、新增：密钥用法标示指定密钥用途。15、新增：PGP阅读器查看IMAP/POP所收取的加密邮件。16、新增：.pk7b证书扩展名。16、新增：创建可移动加密介质（USB/CD/DVD）产品：PGPPortable，曾经独立的该产品已包含在其中，但使用时需要另购许可证。17、大量BUG修正和优化改进的功能。18、修正大量翻译错漏，并为最后一个PGP公司独立研发的产品纪念。8第3章具体加密解密过程3.1.PGP10.1.0安装过程图3.1-1选择语言9图3.1-2接受许可点击下一步图3.1-3等待安装图3.1-4重启计算机1.安装完后重新启动操作系统；102.运行注册机程序，复制生成的信息并保存，再点击“patch”按钮，待提示窗口出现后点击确定.图3.1-5运行注册机3.用网络，根据授权向导进行注册；4.示一步一步分别复制以上记录的注册信息（共五步）到相应的指定框内；图3.1-6输入序列号115.下一步，成功激活全部功能。6.完成安装。图3.1-7完成安装7.根据汉化说明进行汉化，解压的指定的文件夹如图图3.1-8.然后重启计算机完成汉化。图3.1-8进行汉化完成后重新启动计算机123.2.MicrosoftOfficeOutlook对邮箱的配置1.在“控制面板”选择“用户账户和家庭安全：图3.2-1打开控制版面2.如图3.2-1,点击"邮件"图标.看到如图3.2-2所示:图3.2-2选择提示使用的配置文件3.如图3.2-2,勾选"提示要使用的配置文件.并点击"添加"按钮.能看到如图3.2-3示:13图3.2-3输入配置文件名称4.如图3.2-3,在配置文件名称的提示框中输入:MicrosoftOutlook2007(这个名称可以按个人的要求来输入，本人使用的是windows自带的MicrosoftOutlook2007),如图3.2-4所示:图3.2-4输入MircrosoftOutlook20075.如图3.2-4,点击"确定"按钮.看到如图3.2-5所示:图3.2-5添加电子邮件账户6.如图3.2-5,勾选"MicrosoftExchange、POP3、IMAP或HTTP（M），的复选框后，点击“下一步”，看到如图3.2-6示：14图3.2-6输入相关信息7.这一步特别关键，请勾选“手动配置服务器设置或其他服务器类型“，如图3.2-7所示：图3.2-7选择手动配置8.如图3.2-7,点击"下一步"按钮.看到如图3.2-8示:15图3.2-8选择Internet电子邮件9.如图3.2-8,勾选"Internet电子邮件(I)复选框,并点击"下一步"按钮.在出现的提示界面中输入相关资料.如图3.2-9所示.帐户类型选择:POP3接收邮件服务器(I)的输入框中输入:pop.qq.com服器(SMTP)(O):后的输入框中输入:smtp.qq.com:图3.2-9输入相关信息在登录信息的用户名(U)的输入框中输入您的企业邮箱地址的全称,即完整的邮箱地址:勾选记住密码.10.如图3.2-9,点击"其他设置"按钮,看到如3.2-10示.点击发送服务器.并勾选"我的发送服务器(SMTP)要求验证(O).并且要选中"使用与接收邮件服务器相同的设置(U)。点击确定16:图3.2-10配置发送服务器12.如图3.2-10所示,点击"连接",通常你会处于OFFICE中采用局域网环境下上网来收发邮件,因此请根据您上网的情况来选择不同的连接方式,建议默认选择使用局域网(LAN)来连接.如图3.2-11所示:图3.2-10配置连接13.如图3.2-10所示,点击"高级"按钮.根据自己的需要进行配置.（本人配置如图3.2-11）17图3.2-11进行高级配置14.图3.2-11所示,点击"确定"按钮,返回图3.2-9.点击测试账户设置.如图3.2-12所示时,点击"关闭"按钮.然后点击“下一步”.最后点击“完成”.然后启动MicrosoftOfficeOutlook2007就可以收发邮件了,但是因为默认的设置,MicrosoftOfficeOutlook2007会默认在C盘的相关目录下创建一个存储邮件及联系人等重要资料的pst数据库。图3.2-12测试账户15.登入163.邮箱会收到一封邮件内容如图3.2-1318图3.2-13邮箱收到的信件此时MicrosoftOfficeOutlook2007和我的163邮箱配置成功，以后就可以直接通过MicrosoftOfficeOutlook2007接受和发送邮件。为了实现PGP加解密过程，我在MicrosoftOfficeOutlook2007上同样配置了一个QQ的邮箱。配置过程同上，这里就不再演示。3.3.使用PGP加密/解密邮件的实现打开PGPDesktop在“文件”下选中新建PGP密钥进行设置，如图3.3-1图3.3-1PGP密钥设置19图3.3-2输入密钥如图3.3-2所示输入口令然后无限“下一步”最后“完成”.这时系统将把设置的密钥发送到163邮箱里，按要求将密钥下载就可以了.以后用这个私钥。同理：也对QQ邮箱进行相应的设置（这里不再重复）。打开MicrosoftOfficeOutlook2007登录163邮箱，并发送给qq邮箱一份邮件，如图3.3-320图3.3-3编辑邮件点击发送如图3.3-4所示图3.3-4发送成功打开qq邮箱发现邮件中有两份文件，把他们下载坐下来，如图3.3-5图3.3-5收到的邮件内容21图3.3-6下载到桌面双击Message.pgp文件:如图3.3-7图3.3-7输入解密口令输入正确的解密口令后如图3.3-822图3.3-8解密成功上图即为解压后接收方收到的邮件，我们发现与发送方发送的内容是一致的。用PGPDesktop软件进行的加密解密成功。23',)