PGP 详解
簡介
? ? PGP(PrettyGood Privacy),是一個基于 RSA 公匙加密體系的郵件加密軟件。可以用它對郵件保密以防止非授權者閱讀,它還能對郵件加上數(shù)字簽名從而使收信人可以確認郵件的發(fā)送者,并能確信郵件沒有被篡 改。它可以可以提供一種安全的通訊方式,而事先并不需要任何保密的渠道用來傳遞密匙。它采用了一種 RSA 和傳統(tǒng)加密的雜合算法,用于數(shù)字簽名的郵件文摘算法,加密前壓縮等,還有一個良好的人機工程設計。它的功能強大,有很快的速度。而且它的源代碼是免費的。
? ? PGP 是英文Pretty Good Privacy (更好的保護隱私)的簡稱,是一個基于 RSA 公鑰&私鑰及 AES 等加密算法的加密軟件系列[1]。 常用的版本是 PGP Desktop Professional(PGP專業(yè)桌面版),它包含郵件加密與身份確認,資料公鑰&私鑰加密,硬盤及移動盤全盤密碼保護,網絡共享資料加 密,PGP 自解壓文檔創(chuàng)建,資料安全擦除等眾多功能。最終版本:PGP(PGP SDK 4.0.0) 。由于賽門鐵克的公司的收購影響,PGP 從 10.0.2 以10.02[build13]后,將不再單獨放出 PGP 版本的獨立安裝包形式,將會以安全插件等的形式集成于諾頓等賽門鐵克公司安全產品里。
功能
? ?現(xiàn)在您應該對 PGP 已經有個大概的了解了,讓我們看看 PGP 實際上具有哪些功能: PGP 使用加密以及效驗的方式,提供了多種的功能和工具,幫助您保證您的電子郵件、文件、磁盤、以及網絡通訊的安全。您可以使用 PGP 做這些事:
? ?1、在任何軟件中進行加密/簽名以及解密/效驗。通過 PGP 選項和電子郵件插件,您可以在任何軟件當中使用 PGP 的功能。
? ?2、創(chuàng)建以及管理密鑰。使用 PGPkeys 來創(chuàng)建、查看、和維護您自己的 PGP密鑰對;以及把任何人的公鑰加入您的公鑰庫中。
? ?3、創(chuàng)建自解密壓縮文檔 (self-decrypting archives, SDA)。您可以建立一個自動解密的可執(zhí)行文件。任何人不需要事先安裝 PGP ,只要得知該文件的加密密碼,就可以把這個文件解密。這個功能尤其在需要把文件發(fā)送給沒有安裝 PGP 的人時特別好用。并且,此功能還能對內嵌其中的文件進行壓縮,壓縮率與 ZIP 相似,比 RAR 略低(某些時候略高,比如含有大量文本)。總的來說,該功能是相當出色的。
? ?4、創(chuàng)建PGPdisk 加密文件。該功能可以創(chuàng)建一個.pgd 的文件,此文件用 PGPDisk 功能加載后,將以新分區(qū)的形式出現(xiàn),您可 以在此分區(qū)內放入需要保密的任何文件。其使用私鑰和密碼兩者共用的方式保存加密數(shù)據,保密性堅不可摧,但需要注意的是,一定要在重裝系統(tǒng)前記得備份“我的 文檔”中的“PGP”文件夾里的所有文件,以備重裝后恢復您的私鑰。切記切記,否則將永遠沒有可能再次打開曾經在該系統(tǒng)下創(chuàng)建的任何加密文件!
? ?5、永久的粉碎銷毀文件、文件夾,并釋放出磁盤空間。您可以使用 PGP 粉碎工具來永久地刪除那些敏感的文件和文件夾,而不會遺留任何的數(shù)據片段在硬盤上。您也可以使用 PGP 自由空間粉碎器來再次清除已經被刪除的文件實際占用的硬盤空間。這兩個工具都是要確保您所刪除的數(shù)據將永遠不可能被別有用心的人恢復。
??6、 9.x 新增:全盤加密,也稱完整磁盤加密。該功能可將您的整個硬盤上所有數(shù)據加密,甚至包括操作系統(tǒng)本身。提供極高的安全性,沒有密碼之人絕無可能使用您的系統(tǒng) 或查看硬盤里面存放的文件、文件夾等數(shù)據。即便是硬盤被拆卸到另外的計算機上,該功能仍將忠實的保護您的數(shù)據、加密后的數(shù)據維持原有的結構,文件和文件夾 的位置都不會改變。
? ?7、9.x 增強:即時消息工具加密。該功能可將支持的即時消息工具( IM,也稱即時通訊工具、聊天工具)所發(fā)送的信息完全經由 PGP 處理,只有擁有對應私鑰的和密碼的對方才可以解開消息的內容。任何人截獲到也沒有任何意義,僅僅是一堆亂碼。
??8、9.x 新增:PGP zip,PGP 壓縮包。該功能可以創(chuàng)建類似其他壓縮軟件打包壓縮后的文件包,但不同的是其擁有堅不可摧的安全性。
??9、 增強:網絡共享。可以使用 PGP 接管您的共享文件夾本身以及其中的文件, 9.x安全性遠遠高于操作系統(tǒng)本身提供的帳號驗證功能。并且可以方便的管理允許的授權用戶可以進行的操作。極大的方便了需要經常在內部網絡中共享文件的企 業(yè)用戶,免于受蠕蟲病毒和***的侵襲。
10、10.x新增:創(chuàng)建可移動加密介質(USB/CD/DVD)產品:PGPPortable。曾經獨立的該產品已包含在其中,但使用時需要另購許可證。
PGP 加密、解密方法以及 PGP 的密鑰管理機制
? ?PGP 是一種供大眾使用的加密軟件。電子郵件通過開放的網絡傳輸,網絡上的其他人都可以監(jiān)聽或者截取郵件,來獲得郵件的內容,因而郵件的安全問題就比較突出了。 保護信息不被第三者獲得,這就需要加密技術。還有一個問題就是信息認證,如何讓收信人確信郵件沒有被第三者篡改,這就需要數(shù)字簽名技術。RSA 公鑰體系的特點使它非常適合用來滿足上述兩個要求:保密性(Privacy)和認證性(Authentication)。
? ?RSA(Rivest-Shamir-Adleman)算法是一種基于大數(shù)不可能質因數(shù)分解假設的公匙體系。簡單地說就是找兩個很大的質數(shù),一個公開即公鑰,另一個不告訴任何人,即私鑰。這兩個密匙是互補的,就是說用公匙加密的密文可以用私匙解密,反過來也一樣。
? ? 假設甲要寄信給乙,他們互相知道對方的公匙。甲就用乙的公匙加密郵件寄出,乙收到后就可以用自己的私匙解密出甲的原文。由于沒別人知道乙的私匙,所以即使 是甲本人也無法解密那封信,這就解決了信件保密的問題。另一方面由于每個人都知道乙的公匙,他們都可以給乙發(fā)信,那么乙就無法確信是不是甲的來信。這時候 就需要用數(shù)字簽名來認證。
? ???在說明數(shù)字簽名前先要解釋一下什么是“郵件文摘”(message digest)。郵件文摘就是對一封郵件用某種算法算出一個最能體現(xiàn)這封郵件特征的數(shù)來,一旦郵件有任何改變這個數(shù)都會變化,那么這個數(shù)加上作者的名字 (實際上在作者的密匙里)還有日期等等,就可以作為一個簽名了。PGP 是用一個 128 位的二進制數(shù)作為“郵件文摘”的,用來產生它的算法叫MD5(message digest 5)。 MD5 是一種單向散列算法,它不像 CRC 校驗碼,很難找到一份替代的郵件與原件具有同樣的 MD5 特征值。
? ???回到數(shù)字簽名上來,甲用自己的私匙將上述的 128 位的特征值加密,附加在郵件后,再用乙的公匙將整個郵件加密。這樣這份密文被乙收到以后,乙用自己 的私匙將郵件解密,得到甲的原文和簽名,乙的 PGP 也從原文計算出一個 128 位的特征值來和用甲的公匙解密簽名所得到的數(shù)比較,如果符合就說明這份郵件確實是甲寄來的。這樣兩個安全性要求都得到了滿足。
??PGP 還可以用來只簽名而不(使用對方公鑰)加密整個郵件,這適用于公開發(fā)表聲明時,聲明人為了證實自己的身份,可以用自己的私匙簽名。這樣就可以讓收件人能確 認發(fā)信人的身份,也可以防止發(fā)信人抵賴自己的聲明。這一點在商業(yè)領域有很大的應用前途,它可以防止發(fā)信人抵賴和信件被途中篡改。
產品
服務器
? ???服務器/網關級產品
? ???PGPUniversal Server(PGP 通用服務器)
? ???越來越多企業(yè)開始建置加密系統(tǒng),以保護敏感的企業(yè)機密,很遺憾的,為了解決各種加密的問題,保護郵件、硬盤、文檔…等等,建置了不同的平臺,導致管 理上的困難,且浪費企業(yè)預算!PGP UniversalServer 通過集中操控的安全策略,來保護機密數(shù)據、避免財務損失、避免衍生法律問題、避免因機密外泄而商業(yè)信譽受損。PGP 加密平臺–PGP Universal Server,提供郵件、文檔、硬盤、網絡共享文件夾的加密保護,并有以下特色:
??? 密鑰管理-創(chuàng)建,分配和存放加密密鑰而保持只有組織允許的授權人員訪問加密的數(shù)據。
??? 策略執(zhí)行-傳送集中操控的策略配置且移除不一致的或不正確的策略配置危險。
??? 報告和記錄-提供可見的加密保護當前狀態(tài)以幫助和滿足管理員和審查員的要求。
??? 擴展架構-通過消除管理系統(tǒng)多余的各部分未來的加密軟件購置費用減少時間和成本。
??? 密鑰的集中管理–自動生成密鑰、導入/導出公鑰或密鑰對。
??? 完全自主的策略定制–通過加密網頁操控全公司的策略,擁有完全的自主權,最終用戶完全不需要參與策略的制定過程。
??? 完善的報告及記錄功能–自動發(fā)送報告數(shù)據給系統(tǒng)管理者,每一封郵件的進出皆有詳細的紀錄文件可供查詢。
??PGP UniversalGateway Email(PGP 通用網關郵件)
??? 簡單的自動操作–保護敏感電子郵件,無需改變用戶體驗。
??? 強制安全策略–根據集中操控策略自動強制執(zhí)行數(shù)據保護。
??? 加速部署–使用現(xiàn)有基礎設施進行傳送郵件加密。
??* PGPUniversal Gateway Email 是 PGP Universal Server 的郵件插件
桌面級
??客戶端/桌面級產品
??PGP DesktopEmail(PGP 桌面電子郵件版)
??? 自動消息保護–自動加密、解密、數(shù)字簽名并校驗電子郵件消息。可依照本機獨立或受 PGPUniversal Server 控制的中央管理策略工作。
??? 多重方法保護數(shù)據–可使用 PGP 壓縮包(PGPzip)、PGP 自解密文檔(PGP SDA,PGPSelf-Decrypting Archive),以及 PGP 虛擬磁盤(PGP Virtual Disk)保存和保護您的敏感數(shù)據。
??? 安全文件擦除–從你的磁盤安全且永久的擦除易被發(fā)現(xiàn)的敏感文件所有痕跡。
??PGP NetShare(PGP 網絡共享版)
??? 遠程應用程序傳送支持–保護 Citrix 和微軟終端服務(MicrosoftTerminal Server)會話數(shù)據。
??? 同步文件–確保文件在網絡中、服務器中、備份中都保持加密狀態(tài)。
??? 角色分隔–在保證安全性的情況下為滿足一般用戶,文件擁有者和管理員的不同需求,將采用不同的權限分配,限制每個使用者的操作能力到所需的最小值。
??PGP Whole DiskEncryption(PGP 全盤加密版)
??? 多平臺磁盤加密–為 Mac OS 和 Windows(兩種系統(tǒng)的針對性 PGP 軟件是需要分別購買的)提供包含預引導認證的全盤加密(開機便要求驗證密鑰密碼,否則整個磁盤的數(shù)據都被 PGP 加密后保護著)
??? 擴展國際鍵盤支持–使用超過 30 個國際鍵盤的預引導認證。
??? 單點登錄–使用當前已經存在 Windows 密碼進行驗證以簡化登錄操作
??? 多重方法保護數(shù)據–可使用 PGP 壓縮包(PGPzip)、PGP 自解密文檔(PGP SDA,PGPSelf-Decrypting Archive),以及 PGP 虛擬磁盤(PGP Virtual Disk)保存和保護您的敏感數(shù)據。
??PGP DesktopProfessional(PGP 桌面專業(yè)版)
? ???? 此版本的功能等于:Desktop Email+Whole Disk Encryption PGP Desktop Storage(PGP 桌面存儲版)
? ???? 此版本的功能等于:Desktop Email+NetShare PGP Desktop Corporate(PGP 桌面企業(yè)版)
? ???? 此版本的功能等于:Desktop Email+Whole Disk Encryption+NetShare PGP Endpoint DeviceControl(PGP 終端設備控制)
? ???? 簡單、自動操作–保護特殊許可和授權移動存儲使用安全,不改變用戶體驗或減少生產力。
? ???? 強制安全策略–通過 USB、火線、Wi-Fi 和藍牙連接的設備強制執(zhí)行安全策略。自動以加密移動存儲策略為基礎;還可以記錄使用情況和遵守安全審計驗證。
? ???? 加速部署–減少了安裝時間和速度的企業(yè)保護,無需用戶干預,并可利用現(xiàn)有的企業(yè)目錄中的基礎設施。
? ???PGPEndpoint Application Control(PGP 終端應用程序控制)
? ???? 減少數(shù)據突破口風險–保證敏感的公司數(shù)據沒有因未批準和惡意的軟件減弱。
? ? ? 前端自動保護–減少幫助臺和行政負擔。提供自動零日防護,免受已知和未知應用威脅。
? ???? 支持服從–詳細的應用程序執(zhí)行審計,協(xié)助示范服從制度。
? ???? 業(yè)務連續(xù)性–防止商業(yè)停機時間的惡意軟件的擴散造成的危害。
? ???? 透明用戶體驗–自動的后臺操作,確保用戶的工作效率不受影響。
? ???PGPPortable(PGP 便攜加密)
? ???? 保護所有設備或所有介質–適用于可移動存儲設備或光學介質的基于軟件的加密技術。 使用了正在申請專利的擴展驗證與可信賴 AES 256 位 PGP®虛擬磁盤技術。
? ???? 共享,分發(fā),協(xié)作–可用 Microsoft® Windows 和 Apple® Mac OS X訪問被加密的數(shù)據,無需安裝另外的軟件。 提供就地閱讀和編輯,無需更改本地用戶體驗。
? ???? 輕松整合企業(yè)工作流程–為自動化和供應提供支持和口令管理,使企業(yè)獲得數(shù)據的安全且不中斷用戶工作效率的策略。
? ???PGP Mobile(WindowMoblie 6、7 專用,另有 BlackBerry 手機使用的支持包)
? ???? PGP 虛擬磁盤–自動加密解密存儲在磁盤卷內的內容。與 PGP Desktop 客戶端兼容。
? ???? PGP 壓縮包–簡單的創(chuàng)建加密的數(shù)據文件。使用密碼或證書對多個用戶保護正在傳送的數(shù)據。與 PGP Desktop 客戶端兼容。
? ???? 自解密文檔–允許快速加密存儲為 Windows 下的可執(zhí)行文件包,以用于沒有運行 PGP 軟件的數(shù)據交換環(huán)境。
原理
PGP 加密系統(tǒng)是采用公開密鑰加密與傳統(tǒng)密鑰加密相結合的一種加密技術。它使用一對數(shù)學上相關的鑰匙,其中一個(公鑰)用來加密信息,另一個(私鑰)用來解密信息。
? ???PGP 采用的傳統(tǒng)加密技術部分所使用的密鑰稱為“會話密鑰”(sek)。每次使用時,PGP 都隨機產生一個 128 位的IDEA 會話密鑰,用來加密報文。公開密鑰加密技術中的公鑰和私鑰則用來加密會話密鑰,并通過它間接地保護報文內容。
? ???PGP 中的每個公鑰和私鑰都伴隨著一個密鑰證書。它一般包含以下內容:
? ???密鑰內容(用長達百位的大數(shù)字表示的密鑰)
? ???密鑰類型(表示該密鑰為公鑰還是私鑰)
? ???密鑰長度(密鑰的長度,以二進制位表示)
? ???密鑰編號(用以唯一標識該密鑰)
? ???創(chuàng)建時間
? ???用戶標識(密鑰創(chuàng)建人的信息,如姓名、電子郵件等)
? ???密鑰指紋(為 128 位的數(shù)字,是密鑰內容的提要表示密鑰唯一的特征)
? ???中介人簽名(中介人的數(shù)字簽名,聲明該密鑰及其所有者的真實性,
? ???包括中介人的密鑰編號和標識信息)
? ???PGP 把公鑰和私鑰存放在密鑰環(huán)(KEYR)文件中。PGP 提供有效的算法查找用戶需要的密鑰。
? ???PGP 在多處需要用到口令,它主要起到保護私鑰的作用。由于私鑰太長且無規(guī)律,
? ???所以難以記憶。PGP 把它用口令加密后存入密鑰環(huán),這樣用戶可以用易記的口令間接使用私鑰。
? ???PGP 的每個私鑰都由一個相應的口令加密。PGP 主要在 3 處需要用戶輸入口令:
? ???需要解開收到的加密信息時,PGP 需要用戶輸入口令,取出私鑰解密信息
? ???當用戶需要為文件或信息簽字時,用戶輸入口令,取出私鑰加密
? ???對磁盤上的文件進行傳統(tǒng)加密時,需要用戶輸入口令
使用
1、公鑰、私鑰和密鑰環(huán)等是什么意思,分別用來干什么的? [2]
? ???通俗的來說,公鑰就是鎖,私鑰是鑰匙。公鑰用來加密或簽名校驗,私鑰用來解密。密鑰對則是包含鎖和鑰匙的套裝。密鑰環(huán)相當于密鑰對和他人公鑰的存儲倉庫,包含 1 個或更多地密鑰對以及公鑰。
? ???2、*.asc這些 PGP 相關的擴展名是什么東西?
? ???*.asc,按照PGP 的標準解釋,叫做“PGP Armored File-PGP 裝甲文件”,意為PGP 強力保護功能所用的文件。用途是作為導出的公鑰或私鑰擴展名。
? ???*.skr,*.prvkr,“PGP Private Keyring-PGP 私鑰環(huán)”,意為保存計算機中 PGP生成或導入的所有私鑰的倉庫。也叫私人密鑰環(huán)或私有密鑰環(huán)。
? ???*.pkr,*.pubkr,“PGP Public Keyring-PGP 公鑰環(huán)”,意為保存計算機中 PGP生成或導入的所有公鑰的倉庫。也叫公共密鑰環(huán)或公有密鑰環(huán)。
? ???*.sig,“PGPDetached Signature File-PGP 獨立簽名文件”,意為 PGP 為用作數(shù)字簽名或校驗生成的獨立簽名文件。
? ???*.shf,“PGP共享”,意為 PGP 密鑰共享時所用的專用擴展名。
? ???*.rnd,“PGP隨機種子”,意為用于加密、生成密鑰等 PGP 操作所需要而產生的隨機種子文件。
? ???*.pgp,“PGPEncrypted File-PGP 加密文件”,意為 PGP加密壓縮過的獨有文件格式。
? ???*.pgd,“PGPdiskVolume-PGP 磁盤卷”,意為 PGP 虛擬磁盤功能生成的保存有加密文件的虛擬磁盤分卷,將用來載入到 PGP 中作為獨立分區(qū)使用。
? ???*.pem,*.p12“X.509Certificate-PGP X.509 證書”,意為PGP 可使用的 X.509標準數(shù)字證書。
? ???*.krb,“PGP Key Reconstruction-PGP 密鑰重建”, 意為 PGP 密鑰恢復功能:? ?? ?? ?? ???“密鑰重建”,生成的獨有重建文件,非常重要。用于口令或密鑰丟失時重新恢復所用。
? ???*.gpg,“GPGEncrypted File-GPG 加密文件”,意為 PGP可以兼容的開源類 PGP 軟件 GPG 的加密格式。
? ???*.bexpk,“PGPBinary Extracted Public Key-PGP 二進制提取公鑰”,意為特殊應用狀態(tài)下 PGP 將生成的公鑰格式。
? ???*.aexpk,“PGPArmored Extracted Public Key-PGP 裝甲提取公鑰”,意為特殊應用狀態(tài)下 PGP 將生成的公鑰格式。
? ???3、PGP 到底能干什么?
? ???能對郵件、文件、文件夾、整個硬盤加密,全網段加密權限和訪問權限控制等。根據不同 PGP 系列產品功能有所不同的區(qū)分。
? ???4、PGP 能夠被破解嗎?為什么 PGP 自身有破解的版本可以用?
? ???PGP 的程序本身和 PGP 的加密機制是不同概念,請不要混淆。PGP 程序的保護,并非使用的是 PGP 的混合型加密體系。破解程序容易,破解 PGP 加密的數(shù)據難。通常均以 10 年以上計算,但是最終也有被暴力破解的可能。只不過破解時間很長,可能是數(shù)十年,也可能是數(shù)百年。根據加密者的使用方法不同,強度也有不同。加密和破譯, 是有相對的時間關系,當一個加密體系所達到的加密強度,超出該文件的保密時間,就是成功的(如一個文件保密時間為 10 年,經過加密后,被破譯的時間達到了 10 年零一天,破譯即便完成,也沒有絲毫意義。而 PGP,便是為了這種需要而誕生。
? ???5、PGP 加密的文件為何可以被刪除和復制?難道沒有保護措施嗎?
? ???PGP 的桌面級產品,并未對刪除和復制做單獨的保護。因為它的誕生目的,是保護數(shù)據不被不被授權的人看到真實內容,而不是不讓它被拿走或刪除。且這是建立在一個 良好的保密制度的前提下,如專機專用,非授權人員不能輕易的訪問有加密數(shù)據的計算機。且在系統(tǒng)中的所謂防刪除和復制,都具有相當大的可能性被繞過而導致最 終的刪除或復制問題,所以,PGP 沒有設置這兩項功能。
? ???6、生成密鑰的時候提示“令牌”,什么是令牌,干什么用的?
? ???令牌/電子令牌:Token,這是 PGP 支持的一項硬件安全功能,不少銀行的 U 盾,也是一種電子令牌,且因為是令牌生產廠商阿拉丁公司的芯片制作,故也可以被 PGP兼容(如工行 U 盾)。令牌可以用于 PGP 創(chuàng)建密鑰時使用,來實現(xiàn)憑借令牌和口令兩者來加密保護數(shù)據。令牌的存儲大小都比較小,通常只能放置 1024 或 2048 尺寸的 PGP密鑰。
? ???7、為何我安裝的 PGP 無法啟動?一閃就沒了?
? ???根據使用者的反饋和我們的研究所知,這個現(xiàn)象常出現(xiàn)在全新安裝 10.x 版本中,而使用者的計算機安裝的是修改過的系統(tǒng), 如番茄花園/深度等,或是 GHOST 恢復的系統(tǒng)。解決方法是安裝 9.12 版,再升級安裝 10.x,即可解決。故障原因尚未查明。
? ???8、重裝系統(tǒng)前,曾經用 PGP 加密了數(shù)據,需要注意些什么?
? ???首先,請備份“我的文檔”或“文檔”下的“PGP”文件夾,內有 PGP 最為重要的密鑰環(huán)文件,“pubring.pkr 和 secring.skr”,或帶有-bak 的文件(此為 PGP 自動創(chuàng)建的備份密鑰環(huán))。重裝系統(tǒng)前,備份好它們,然后記得當初加密的密鑰所用的口令,就可以了。重裝完成后,復制這些文件到新系統(tǒng)的同樣路徑下,替換同 名的 0 字節(jié)文件即可。如果 PGP 提示沒有找到,請在 PGP 的“所有密鑰”上點擊右鍵〉屬性中指定位置,或菜單中的“密鑰〉密鑰環(huán)屬性”中重新指定一下這個位置即可。
? ???9、為什么打開 PGP 后,別人的中文版顯示的“所有密鑰”這些中文,而我的是 All Keys?
? ???這是因為你曾經安裝了 PGP 英文版或早期的中文版,而這個參數(shù)是可以自行修改的,PGP 重新安裝或升級安裝后,并不能自動更正為新的翻譯,請在所需的位置點擊右鍵〉重命名,輸入對應中文名稱或其他名稱即可。不修改也不影響使用和兼容性,僅僅 是一個標識名稱。
? ???10、我擔心會忘記密鑰的口令或不小心丟失了密鑰,有什么方法能減少這種可能性?
? ???可使用PGP 內置的“密鑰重建”功能解決,方法如下: 打開 PGP Desktop,選中你需要的密鑰對(別人的公鑰或自己導入的單一公鑰不可以使用此功能,因為你沒可能重新創(chuàng)建一個完整的他人密鑰對,否則就沒有加密意義 了),然后在菜單處依次點擊密鑰〉創(chuàng)建我的 PGP 提問,然后輸入這個密鑰的口令,再根據提示選擇預設的許多問題或輸入你自己想要設定的問題,然后完成操作,即可生成一個.krb 文件,這個文件就是可以用來幫助你恢復密鑰口令或重建丟失的密鑰所用的“密鑰重建文件”,如果有此需要,使用它進行密鑰的重建或口令更改恢復。但請務必記 得創(chuàng)建的 5 個提問的答案,并保存好這個文件,否則同樣不能解決問題。
? ???11、為什么我的“PGP 消息”功能處,“安全策略”,是一堆英文的東西?能修改
嗎?
同 樣是由于曾經安裝了英文版,然后直接升級安裝中文版導致,可以點擊兩次 “編輯策略”按鈕,進入編輯模式,再逐個點擊“恢復到默認”按鈕,進行重寫策略信息,然后點擊完成按鈕,即可讓英文的策略信息變成中文,如需特殊的 PGP 消息操作,也可以在此處根據選項中的提示進行修改,以實現(xiàn)所需的目的。
12、我收到一封 PGP加密格式的郵件,用 PGP 閱讀器打開后,要求輸入口令是怎么回事?
??這 是由于這封 PGP 郵件還附帶了一個.pgp 的加密附件,PGP 閱讀器為了使用方便,默認要求解密郵件原文時就直接詢問附件的口令,關閉這個對話框或取消不輸入即可,因為這個口令可能在郵件原文中,導出附件后輸入也是 可以的。如果你需要這樣的方式來發(fā)送加密郵件,直接加入一個 PGP 加密的.pgp 附件,就可以了。
??13、我的PGP 在使用一段時間后,發(fā)現(xiàn)桌面圖標不見了,PGP 托盤也不啟動,怎么回事?
??原因有幾個可能,可能是清理系統(tǒng)時刪除了 PGP 創(chuàng)建的臨時啟動文件或某些文件丟失等。建議直接運行 PGP 的安裝文件,然后選擇“修復”,等待完成后重啟,應該可以解決問題。如果還不能,建議卸載后重新安裝一次。
??14、為什么我的 PGP 磁盤和其他解密操作不需要輸入口令就能打開了?
??應該是由于PGP 的緩存口令功能導致,默認緩存 2 分鐘剛才輸入過的口令,具體時間可在 PGP 選項中自行設定。推薦使用 2 分鐘的即可。
??15、為什么我加密數(shù)據時,總是有個密鑰自動被加入到密鑰列表中?
??這是因為你將這個密鑰設為了“主密鑰”,PGP 就會默認每次在需要密鑰操作時加入它,如果你不需要這么做,進入 PGP 選項〉主密鑰,添加別的密鑰或刪除現(xiàn)有的密鑰即可。
??16、密鑰方式加密和口令方式加密,優(yōu)缺點在哪?
??密 鑰方式加密,也叫“非對稱式加密體系”,口令方式加密,也叫“對稱加密體系”,兩者的強度不同,前者具有更高的安全性,后者相對弱。前者根據所用的密鑰的 性質,又有不同的安全性能,主要跟密鑰長度(如 1028 位,4096 位)、密鑰算法、哈希算法、密鑰口令長度和復雜度有關。后者僅跟口令長度和復雜度有關。密鑰長度越大,算法越強,口令長度越復雜,加密的安全性越大,防破 解性能越好。推薦 2048 位以上的密鑰長度。密鑰方式因為所需的加密方式更加復雜,從加密和解密所需的時間來看,比單純的口令加密要長。具體使用,根據數(shù)據加密要求和個人方便度進 行考量后選擇。
??17、為什么我發(fā)送郵件時,PGP 總是提示什么"是否保護XXX" 的東西?
??這 是因為你沒有配置這個信箱使用 PGP 消息功能進行自動加密保護,請進入 PGP 消息按照提示和信箱的設定進行配置,有時候 PGP 自動添加好的配置就可以正常,但更多時候還是不能正確設置好信箱的信息,所以建議手動配置。如果不想要使用這個功能,可在 PGP 選項〉 消息,取消“安全郵件”的復選框,如果不想要每次都提示有新信箱需要保護,也可在設定好需要自動加密的郵箱后,只取消“探索新帳號”的復選框即可。
??18、PGP 支持哪些郵件客戶端?
? ?PGP Desktop10.0.2 目前宣稱支持如下郵件客戶端:Microsoft Outlook 2010(Outlook 14)、Microsoft Outlook 2007 SP1 (Outlook 12) 、MicrosoftOutlook 2003 SP3、 Microsoft Outlook XP SP3、Windows Mail 6.0.6000.16386、 MicrosoftOutlook Express 6 SP1、Windows Live Mail version 2009、Lotus Notes 6.5.6, 7.0.3, 8.0.2, 8.5、MozillaThunderbird 2.0、Novell GroupWise 6.5.1。理論上支持所有標準協(xié)議:IMAP/POP/SMTP 形式通信的郵件客戶端,如 DreamMail等。只要郵箱配置和 PGP 配置一致,即可正常使用。另外,如 SSL/TLS 加密通信的郵箱,需要在郵件客戶端中取消 SSL/TLS 配置,并在 PGP 中開啟 SSL/TLS 支持才可以用。
? ?19、PGP 的拳頭功能“全盤加密”,有些什么系統(tǒng)要求?
? ?PGP 公司提供的系統(tǒng)需求如下,不能滿足條件的,請勿使用:
? ?系統(tǒng)要求:
? ?MicrosoftWindows 2000 (SP4)
? ?WindowsServer 2003 (SP1 和 2)
? ?Windows XP32-bit version (SP2 或 3)
? ?Windows XP64-bit version (SP2)
? ?Windows Vista(所有 32 位和 64 位) 包含 SP1/SP2
? ?Windows 7 (所有 32位和 64 位)
? ?MicrosoftWindows XP Tablet PC Edition 2005 (需要附加鍵盤)
? ?WindowsServer 2003 SP 2 (所有 32 位和 64 位)
? ?WindowsServer 2008 SP 1 和 2 (所有 32 位和 64 位)
? ?WindowsServer 2008 R2 (所有 32 位和 64 位)
? ?硬件最低要求:
? ?512 MB 內存
? ?64 MB 硬盤
? ?PGP 全盤加密支持 RAID-1 和 RAID-5,動態(tài)磁盤和軟件 RAID 等不支持。
? ?20、為什么我的 PGP 提示“不能連接到 PGPSDK服務”?
? ?這種現(xiàn)象可能是由于殺毒軟件或某些保護軟件和 PGP 啟動項有沖突,導致沒能正常啟動。可先嘗試手動進入控制面板〉管理工具〉服務,找到PGP SDK 服務,啟動它,如 PGP 托盤也沒能啟動,請再手動打開 PGP Desktop 快捷方式。如果還是不行,建議重啟計算機。
? ?21、PGP 全球名錄是什么東西?創(chuàng)建密鑰時提示要上傳公鑰到上面去,怎么操
作啊?
? ?PGP 全球名錄-PGPGlobal Directory,這是 PGP 公司提供的一個免費密鑰服務器,用來進行方便的公鑰驗證/發(fā)布/自動搜索加密這些功能,如對方的公鑰已經上傳到了該服務器,那么你給他發(fā)送加密郵件時,便 不需要要求對方單獨發(fā)一次密鑰給你導入,PGP 內置功能會自動連接并完成對應信箱公鑰的下載 /驗證/簽名的操作,減少人工干預次數(shù),提高易用性。創(chuàng)建密鑰時,會提示發(fā)布公鑰到 PGP 全球名錄,根據提示,會發(fā)送一份驗證郵件到你綁定在密鑰中的郵箱里,請訪問這個郵箱完成驗證過程,即可開始正常使用 PGP 全球名錄提供的服務。
??22、我的PGP 安裝有問題,卸載也卸載不干凈,怎么清除殘留后重裝?
??開機按F8 進入安全模式,刪除如下的文件夾即可。以下的 C:為舉例的系統(tǒng)盤符,請根據自己的實際情況修改。以下路徑,進入后找到 PGP Desktop 或 PGP 開頭的文件夾,刪除即可。
??如下是程序和語言文件統(tǒng)一路徑和各系統(tǒng)對應路徑的位置(剩余的注冊表項不建議手動清除):
??C:\ProgramFiles
??C:\ProgramFiles\Common Files
C:\WINDOWS\System32 和 Syswow64 下的PGP 開頭文件
??Windows XP
??C:\Documentsand Settings\%username%\Application Data
??C:\Documentsand Settings\%username%\Local Settings\Application Data
??WindowsVista/Windows 7
C:\Users\%username%\AppData\Roaming
C:\Users\%username%\AppData\Local
? ?23、我使用了全盤加密功能,系統(tǒng)出現(xiàn)問題時可以直接修復而不先解密嗎?
? ?PGP 公司不建議如此,必須先解密你加密的分區(qū),然后再恢復,否則可能出現(xiàn)PGP 全盤加密功能故障,導致無法解密。需要繁瑣的使用 PGP 恢復盤進行修復解密引導后才能正常解密。另外,如果是破解版的 PGP,這項功能和“網絡共享”功能都不穩(wěn)定,建議不要使用,否則后悔莫及。
技巧
資料加密的必要性
??根 據Forrester Research 研究,過去大家都把資安重點放在 IT 環(huán)境(Infrastruct ure-level)的層層防護上(例如防火墻、***偵測、防毒等),而忽略了數(shù)據(Data-level)的防護,未來無論是企業(yè)或個人,以資料為中心 的(Data Centric)防衛(wèi)策略會越來越重要。
??筆記 型計算機遺失或被偷、硬盤被盜、隨身碟遺失、計算機送修時數(shù)據被復制出去、磁帶或光盤寄送過程中遺失、電子郵件或 FTP 傳文件中被攔截竊取…等等每日層出不窮的新聞報導,讓大家對計算機既喜愛又怕受傷害。其實只要一些很簡單的方法與工具,就可免除這些數(shù)據遺失或外泄的風 險。將數(shù)據加密起來,讓不相干的人即使拿到也毫無用處,這是數(shù)據安全最簡單也是最根本的做法。
加密的方法
??所 謂數(shù)據加密,就是透過某種方法將明文數(shù)據亂碼化,讓人看不懂;當本人要使用時再把它解密回來。至于這亂碼過的資料是否容易被破解?這就涉及使用的「亂碼方 法」(Cryptography 密碼學)了。一般加密方法分為兩類,一是對稱式加密,使用同一把金鑰(Key)來加密與解密,常見的對稱式算法如 DES, 3DES, AES 等;另一類是非對稱式算法,使用一對金鑰(公鑰與私鑰)來加解密,用公鑰加密過資料只有用其對應的私鑰才能解得回來,而用私鑰加密過資料只有用其對應的公 鑰才能解得回來;公鑰可以公開出去,私鑰則必須好好保管在自己的計算機里,常見的非對稱式算法如 RSA, DSA 等。這兩類加密算法主要用途不同,在此不再細述。加密的強度(容不容意被破解)還依靠使用金鑰的長度及如何產生及保管金鑰。金鑰如果是隨機產生 (Random)而不是人為選擇的,通常只能用「暴力」法來破解,這就要看需要花多少時間與成本了。
如何選擇好的加密工具
? ?一個好的加密工具軟件至少需俱備:
? ?1.支持最新最安全的主流加密算法;
? ?2.支持最大公鑰長度;
? ?3.容易使用的操作接口及金鑰管理;
? ?4.經過長時間眾多使用者的粹練;
? ?5.可以同時用在 email 加密, 檔案加密等不同目的。
PGP 加密工具軟件
? ?PGP 加密軟件從早期的免費版本到近年來的商業(yè)版本,十多年來已有超過三百萬個使用者,尤其在商務應用上,全球百大企業(yè) 80%使用它在內部人員計算機以及外部商業(yè)伙伴的機密數(shù)據往來。
? ?PGP Desktop 軟件功能眾多,但使用上非常容易。因為 PGP 主要使用非對稱式加密, 所以要先產生一組 Key Pair, 你可以選擇金鑰長度,越長越安全,但相對地加解密越花時間;內定是2048bit RSA Key, key pair 包括一支公鑰及一支私鑰。
? ?你也可以產生很多 key pair,可以一個 key pair 對應一個 email 賬戶,或不需要email 賬戶,如果你想用在其它加密用途,但是太多key pair 只會混亂自己,除非你記憶力很好。到這里你已經可以保護自己計算機里面的數(shù)據了,如果你想與別人分享私密數(shù)據,你必須與他們交換公鑰。你可以 Export 自己的公鑰寄給你的親朋好友,也可以上傳到 PGP 的公鑰服務器(PGP Global Directory Key Server),想要與您「親密」往來的人可以下載您的公鑰。這些動作都是在 PGP 工具畫面下可以完成的。
? ?接下來你要將別人的公鑰 Import 進來, PGP 畫面里的All Keys 就是讓你管理所有的公鑰;你也可以將 key pair (或私鑰)放在 USB Token 里,當你要使用私鑰時,必須插入此 Token,并輸入密碼驗證,這樣做更安全。
一:電子郵件加密
? ? 擔心寄出的電子郵件內容被人看光光? 會不會收到偽冒的電子郵件? PGP 可以自動地幫您做 eMail 加密及簽章。
? ? 你可以自己設定各種安全政策,例如收件人是誰、主旨內容為何時就需要加密與簽章,其它情況可以只簽章(證明這信是我本人發(fā)的)而不加密;你只要將 PGP Mail Proxy service 打勾,PGP 就依照您設定的政策自動執(zhí)行,PGP 會找出收件人的公鑰,使用此公鑰來加密郵件內容,再用你自己的私鑰來簽章這郵件;對方PGP 收到這郵件時,會先用你的公鑰來驗證這郵件確是你寄出的,然后用他自己的私鑰來解開這郵件內容。這所有動作都由 PGP 在背后自動執(zhí)行。
? ? 你也可以不用 PGP Mail Proxy Service,你自己可以先用 Notepad 之類的工具編寫郵件內文,然后按 PGP Icon 選擇 [Current Window], 再選擇 [Encrypt & Sign] 或 [Encrypt],就會出現(xiàn)你計算機里所有公鑰的人讓你選擇,你可以選取多個人,這些人就是可以解密你加密的內容。
? ? 加過密的數(shù)據就如下圖所示,再把它貼到 eMail 里寄出即可。
? ? 如果你只是要附件文件加密,例如一張自拍照(圖檔),或是研發(fā)中的 CAD/CAM檔,或是一般機密的 Office 檔案,你可以直接在檔案總管下按鼠標右鍵,選擇[PGPDesktop],然后選舉 [Secure … with key…],PGP 窗口跳出讓你選擇可解開此加密檔的人(金鑰),這檔案就被加密起來。萬一你不小心寄錯人了,因為此收件人不在你選擇的解密人名單里,他也無法打開它。
二:利用虛擬磁盤驅動器(Virtual Disk)
? ? 如果您只是想要加密計算機里的私密數(shù)據,除了您本人 (或加上您指定的人)沒有其人可以解密這些數(shù)據。所以即使計算機遺失、計算機被盜用、甚或檢調單位來搜,也不用擔心這些私密資料外泄。通常,最安全的方法 伴隨的是不方便使用,但是 PGP 的虛擬磁盤驅動器加密功能可以安全又好用。
? ? 您可以指定硬盤某空間來做為一加密磁盤驅動器,在這磁盤驅動器里的檔案及數(shù)據夾都是加密過的,只有你自己或是被您指定可出示私鑰或使用者代號密碼才能解密 這些數(shù)據。任何你認為機密的檔案都可以擺到里面,加過密的磁盤其操作如同一般檔案總管,您依舊使用 Word, Excel, Photoshop 等軟件包或應用程序來打開它,完全不受影響,因為 PGP 自動處理進出這磁盤驅動器的加解密工作。
? ? MSN 及Skype 等實時訊息軟件通常會將聊天記錄保留下來,這也成了許多捉奸的證據之一。試試看把這些聊天記錄的位置改到加密磁盤驅動器里。
? ? 電子郵件軟件如 Outlook、Outlook Express 等,無論是收件匣或寄件備份,其實都是檔案而已,例如 Outlook 是.pst 文件,這些電子郵件檔案通常包括了很多機密內容。想想看,它們可不可能被人 Copy 走呢?
三:檔案加密與壓縮功能
??如 果你只是想將部份目錄或檔案加密然后傳給別人(eMail 或 FTP 等),你當然可以用WinZip 或 WinRAR 等工具里的密碼保護,但其加密算法較弱,同時密碼也可能被猜到,這對于要傳送極機密的檔案數(shù)據是有風險的。PGP 則提供較高安全的類似工具,如果對方有 PGP,你應該使用對方的公鑰來加密,如果要將加密檔送給多人,就加入多個公鑰,擁有任何一個公鑰所對應的私鑰可以解密這些檔案,這是使用 RSA 2048 bit 加密算法(內定),所以比較安全;加完密后再用自己的私鑰來簽章,PGP同時幫你將檔案壓縮。
??如果對方沒有 PGP 時,你可以使用 Self-Decrypting Archive(SDA),PGP 會要求你輸入加密密碼,然后使用這密碼來加密檔案,并產生可自動解密的執(zhí)行檔,當然,您必須另外告知對方解密的密碼。
四:整顆硬盤加密
??(Whole DiskEncryption,WDE)
??大 部份人都知道,Windows 的登入密碼只是防君子不防小人的。當你的計算機遺失時,「撿到的人」可以用別的方式開機進入你的計算機看硬盤內容,對于安全要求比較高的某些人來說,只有 檔案加密可能還是不夠。另外,隨身碟是最容易搞丟的東西,一不小心,重要數(shù)據就落入競爭者手中。
??PGP 全硬盤加密可以針對隨身碟、外接式硬盤、硬盤 Partition、整顆硬盤加密。硬盤加密是將所有扇區(qū)都亂碼化(加密),必須經過另一道驗證手續(xù)才能還原。
??如果是整顆硬盤加密,在開機時(Boot)會要求另外輸入密碼(或插入USB Token), 如果是外接硬盤或 Partition 加密,則可使用 PGP 金鑰還原。
五:網絡磁盤加密
??以 上所談都限于個人使用的計算機(Desktop & Notebook),如果是工作群組使用的檔案服務器或共享數(shù)據夾要如何保護及加密呢? 你當然可以花大筆銀子建立一套 PKI-like 的安全系統(tǒng),雖然安全但很不好用。PGP NetShare 是一個容易使用的加密工具,加密網絡磁盤就如同加密本機磁盤一樣,首先選擇共享數(shù)據夾路徑,再選擇允許解密這數(shù)據夾的使用者公鑰,然后選擇是否要簽章(證 明這事是你做的),PGP就將你所選擇的數(shù)據夾加密,只有被授權的使用者(擁有被選定之公鑰對應之私鑰者)才能看到里面的內容。
六:徹底刪除資料
??你 一定知道, Windows 的刪除檔案的動作并不是真的從磁盤里抹除,它只是被丟到「資源回收桶」,可以隨時再取回來。你可能也知道,按 [shift]鍵再 Delete 時,Windows會問你是否要永久刪除檔案,但這真的刪除了嗎? 隨便找一個反刪除或檔案救回工具軟件,如 FinalData,都可以再把檔案找回來;即使是格式化(Format),尤其是快速格式化,都不見得可以完全將檔案從磁盤里抹除,何況你不會只為了徹 底刪除幾個檔案就要將硬盤整個 Format 吧!
? ? PGP Shredder工具可以將檔案內容完全抹除,即使你使用 FinalData 等工具要來找回檔案,可能看得到文件名稱,可是內容絕對是一堆無意義的亂碼。使用 PGP Shredder 很容易,將要刪除的檔案拖放到桌面的 PGP ShredderIcon,或是直接在檔案總管按鼠標右鍵,再選擇[PGP Desktop] [PGP Shred 這個檔案]即可。
安全
??安全程序的使用不能保證你的通信就是安全的。就算你在房子前門安裝一個最安全的鎖,小偷仍然可以從開著的窗戶爬進來。同樣,即使使用了 PGP,你的計算機也仍可能很脆弱。
? ?有許多有名的對 PGP 的***;下面的部分就介紹這些***。然而,這些決不是一個完整的清單。將來的***很可能會攻破所有的公鑰加密技術。這份清單只是讓你了解一下保護通信時需要做些什么。
1.蠻力***
? ?對 PGP最直接的***是蠻力***使用的密鑰。因為 PGP 2.6.2 使用的兩個加密算法,所以要看看這兩個算法的安全性。對于公鑰加密技術,PGP 使用 RSA 算法;對于私鑰加密技術,它使用 IDEA。
? ?(1)蠻力*** RSA密鑰
? ?對于RSA 密鑰,已知最好的蠻力***是分解它們。RSA 密鑰產生時就使得它們難于分解。而且,分解大的數(shù)仍然是一門很新的藝術。
? ?最近,最大的一個被分解的 RSA 密鑰是 RSA-129,它于1994 年 4 月被分解。RSA-129 是在設計 RSA 算法時于 1977 年創(chuàng)建的原始 RSA 提問。它是一個 129 位的十進制 RSA 密鑰,相當于 425 位。分解這個數(shù)動員了全世界范圍的力量,使用了 1600 臺計算機,實際耗費時間超過 8 個月。
? ?它處理了4600MIPS 年的數(shù)據;1MIPS 年是 1MIPS 的機器一年所能處理的數(shù)據量。例如,一個 Pentium 100 大約是 125MIPS(根據 Intel)。如果一個 Pentium 100 機器為解決一個問題一年時間不停地運行,它就貢獻了 125MIPS 年。按照這種速度,一臺機器要花 37 年才能破解 RSA-129。如果使用 100 臺機器,只需要 4 個月就能破譯這個代碼,只是實際項目一半的時間。
? ?當前,PGP2.6.2 版使用從 512 到 2048 位的密鑰。密鑰越大,分解越困難。同時,增加密鑰長度也會增加使用密鑰的時間。從日期來說,據認為一個 512 位的密鑰能夠給予 1 年的安全性;訪問 100 臺 Pentium 100 機器要花至少一年才能破譯出 512 位的 RSA 密鑰。如果這是真的,那么一個 1024 位的密鑰,若使用今天最新的算法,假設在技術上沒有提高的話,在以后 10000年都是安全的。如果技術上有所提高,需要的時間就會少些。然而,看起來技術可能一直在進展。
? ?(2)蠻力***IDEA 密鑰
? ?現(xiàn)在還沒聽說有人*** IDEA 密鑰。最好是嘗試 2^128 或 3.4×10^38 個密鑰。由于完成這一測試的困難性,嘗試破譯 PGP 中用于加密 IDEA 密鑰的 RSA 密鑰更容易。據估計破譯 IDEA 的困難如同分解 3000 位RSA 密鑰的困難相當。
2.私鑰和通過短語
? ???PGP 私鑰環(huán)的安全性基于兩件事:對私鑰環(huán)數(shù)據的訪問和對用于加密每個私鑰的通過短語的了解。使用私鑰要擁有這兩部分。然而,這也引起了許多***。
? ???如果PGP 用于多用戶系統(tǒng)中,就可能訪問私鑰環(huán)。通過緩存文件,網絡窺視或者許多其他的***,可以利用監(jiān)視網絡或者讀取磁盤得到私鑰環(huán)。這樣就只剩下通過短語用來保護私鑰環(huán)中的數(shù)據了,這就意味著只要獲得通過短語就能攻破 PGP 的安全。
? ???而且,在一個多用戶系統(tǒng)中,鍵盤和 CPU 之間的鏈路可能是不安全的。如果有人能夠物理上訪問連接用戶鍵盤和主機的網絡,監(jiān)視擊鍵是很容易的。例如,用戶可能從一群公共的客戶終端上登錄,這時就可 以窺探連接網絡得到通過短語。另外,用戶還可能通過調制解調器拔叫,在這種情況下竊賊就可以監(jiān)聽鍵盤擊鍵。在任何一種情況下,在一個多用戶的機器上運行 PGP 都是不安全的。
? ???當然,運行PGP 最安全的方法是在一臺沒有其他人使用而且不連網的個人機上運行;也就是說,一臺膝上型或家庭計算機。用戶必須在安全環(huán)境的代價和安全通信的代價之間找到一 種平衡。使用 PGP 的推薦方法是:總是在安全環(huán)境下的安全機器上動用,這樣用戶就可以控制整個機器。
? ???最好的安全性關鍵在于鍵盤和 CPU 之間的連接是安全的。這既可以通過加密來完成,或者更好一點通過直接、無中斷的連接實現(xiàn)。工作站、PC、Mac、膝上型機器都屬于安全的機器。
? ???安全的環(huán)境更難于顯示,這里沒有加以探討。
3.對公鑰環(huán)的***
? ???由于公鑰環(huán)(公有密鑰環(huán))的重要性和對它的依賴性,PGP 受到許多針對密鑰環(huán)的***。首先,只有當密鑰環(huán)改變時才被檢查。當添加新的密鑰或簽名時,PGP驗證它們。然而,它會標記密鑰環(huán)中已檢查過的簽名,這樣就 不會再去驗證它們。如果有人修改了密鑰環(huán),并且設置了簽名中相應的位,就不會被檢查出來。
? ???對 PGP密鑰環(huán)的另一種***集中于 PGP 使用的進程,它對密鑰有效性設置 1位。當?shù)竭_一個密鑰的新簽名時,PGP 就使用前面描述過的信任網絡值計算該密鑰的有效位。然后 PGP 在公有密鑰環(huán)中緩存這個有效位。一個***者可能會在密鑰環(huán)中修改這位,從而迫使得用戶相信一個無效密鑰是有效的。例如,通過設置這個標志,***者能夠使得 用戶相信一個密鑰屬于 Alice,盡管沒有足夠的簽名證明這個密鑰的有效性。
? ???也可能發(fā)生對 PGP 公鑰環(huán)的另一種***,因為作為介紹人的密鑰信任也緩存在公有密鑰環(huán)中。這個值定義密鑰的簽名有多少信任度,因此如果使用帶有無效參數(shù)的密鑰簽名就可能使 PGP 把無效密鑰作為有效密鑰接受。如果一個密鑰被修改為完全受托的介紹人,那么用這個密鑰簽名的任何密鑰都被信任為有效的。因此,一個***者如果用一個修改過 的密鑰為另一個密鑰簽名,就會使得用戶相信它是有效的。
? ???公鑰環(huán)最大的問題是所有這些位不僅在公鑰環(huán)中緩存,而且密鑰環(huán)中沒有任何保護。
? ???讀過PGP 源代碼而且能夠訪問公鑰環(huán)的任何人都可以使用一個二進制文件編輯器修改任何一位,而密鑰環(huán)的所有者卻無法注意到這個修改。幸運的是,PGP 提供一種方法重新檢查密鑰環(huán)中的密鑰。通過聯(lián)合使 -kc 和 -km 選項,用戶可告訴 PGP 執(zhí)行對整個密鑰環(huán)的密鑰維護。
? ???前一個選項告訴 PGP 檢查密鑰和簽名。PGP 會查看整個密鑰環(huán),重新檢查每一個簽名。當檢查了所有簽名之后,PGP 將執(zhí)行一個維護性檢查(-km),重新計算所有密鑰的有效性。
? ???不幸的是,沒有一種辦法能夠完全重新檢查密鑰中的所有信任字節(jié)。這是一個漏洞。應當有一個命令告訴 PGP 忽略所有信任字節(jié),從終極密鑰,即私鑰環(huán)中的密鑰,向用戶詢問信任性。
? ???或許PGP 將來的版本會改正這個問題。如果一個密鑰被改成是可信任的介紹人,你沒有辦法找到修改之處并改正它。運行密鑰和維護檢查只能恢復密鑰的有效性,但不是信任值。只有對一個密鑰運行 PGP -ke 才能編輯信任參數(shù),而這不能自動完成。
4.程序的安全性
? ???如果有人能夠訪問 PGP 程序的二進制文件,他就可以改變它,讓它做他想做的任何事。
? ???如果這個介入者能夠從你的鼻子底下替換你的 PGP 二進制文件,你對 PGP 的信任就建立在你對這個人的信任和你實際驗證這個程序的能力上。例如,一個能夠進行這種訪問的***者可能會改變 PGP,使得它總是驗證簽名,甚至簽名是無效的。PGP 可能被修改,總是向 NSA 發(fā)送所有消息的純文本復制。這些***很難檢測,而且難于對付。PGP 需要成為受托代碼基礎的一部分;如果你不信任你的 PGP 二進制文件,那就不要信任它的輸出。
? ???相信PGP 二進制文件最好的辦法就是自己從源代碼建立它。然而,這并不總是可能的。
? ???其他辦法包括在它建立時監(jiān)視它或者從一個受托的來源得到它。查看二進制文件的大小和日期很有幫助。使用其他受托的程序,像 md5sum 能有所幫助。但這只是把問題壓到了另一層。如果你不信任 PGP 程序,就沒有太多做的了。
5.對 PGP 的其他***
? ???對 PGP可能還有其他***,但是這里不做討論。從來沒有證明過 PGP 使用的加密算法是安全的。PGP 所使用的數(shù)學雖然被認為是安全的,但是有可能很容易攻破。對 RSA 的分解***可能得到改進、或者有人可能在 IDEA 中找到一個漏洞。
??要想知道什么安全、什么不安全,對密碼技術所運用的數(shù)學知識了解得還不夠。實際上,據知任何事都不是完全安全的,如果有足夠的計算能力,任何形式的密碼技術都可以攻破。
? ? 問題是破譯代碼所花費的時間和精力與被保護的數(shù)據價值相比是否值得。注意破譯代碼所花費的力量將隨著時間不斷地減少,因為計算機的能力不斷增強,而價格不斷地下降。到現(xiàn)在為止,密碼專家仍然超前于破譯者。
心得
1.PGP 全盤加密注意事項
??在全盤加密下,不能使用第三方磁盤軟件處理已加密的硬盤,如:不要重建或恢復 MBR(主引導記錄),不要重建或恢復分區(qū)表,不要格式化,不要調整分區(qū)大小等。總之,就是不要用就是了,切記。
??不要安裝和使用會更改 MBR 的恢復軟件(所有會改 MBR 的軟件都不要安裝和使用),如:一鍵 ghost,廠家自己的一鍵恢復軟件,Acronis True Image(F11 鍵),雨過天晴等。切記!
??最后說一點:只要做到不對 MBR 和硬盤分區(qū)作任何更改,PGPWDE 是安全的!
??2.PGP 全盤加密失敗(如斷電,死機等)去除電腦開機輸入密碼方法
??當 用PGP 進行全盤加密的時候,如果不幸遇到斷電或者死機,而你又不幸沒有選上斷電保護,電腦被迫重啟后,全盤加密未完成的情況,電腦開機會叫輸入之前全盤加密選項 里面的用戶開機口令,這時候,想要去除全盤加密可以用 MBR TOOL 等MBR 重寫工具進行硬盤引導區(qū)重寫,PGP 的開機加密是以代碼形式寫入了硬盤引導區(qū)(MBR)里,所以只要重寫了硬盤引導區(qū)就可以去掉 PGP 的全盤加密設置及其開機加密密碼,具體重寫入步驟請百度下。
??3.PGP 密鑰注意事項
??一般PGP 在你重裝系統(tǒng)后密鑰容易出問題,其它時候都很安全。重裝系統(tǒng)一定要備份密鑰環(huán)文件,順便把私鑰文件(密鑰對)也備份出來。重裝好后裝 PGP 它會有提示,這時你需要導入密鑰環(huán)或者密鑰對,而不是簡單的復制粘貼到 PGP 的文件夾中。
轉載于:https://blog.51cto.com/ajianhappy/777900
總結
- 上一篇: rman备份指定备份集对应文件
- 下一篇: 5G NR无线空口关键技术专题培训