信息安全技术实验三 邮件服务安全实验

一、实验目的及要求

1、 掌握对称加密和非对称加密原理；
2、 了解电子邮件的传输协议和电子邮件传输的报文格式；
3、 了解Windows平台下MDaemon邮件服务器的安全配置和Linux平台下Sendmail邮件服务器的安全配置；
4、 了解PGP的工作原理和密钥管理方法，能够使用PGP对文件和邮件进行加密和数字签名。

二、实验环境及相关情况（包含使用软件、实验设备、主要仪器及材料等）

1、实验设备：微型计算机；2、软件系统：MDaemon邮件服务器（Windows平台）、Sendmail邮件服务器（Linux平台）、GnuPG。

三、实验内容

1、 Windows平台下MDaemon邮件服务器的安装与测试，或Linux平台下Sendmail邮件服务器的安装与测试。
2、 Windows平台下MDaemon邮件服务器的安全设置，或Linux平台下Sendmail邮件服务器的安全设置。
3、 安装GnuPG，生成公私钥对，导出公钥并把公钥通过可信的途径分发给合作者，两位同学一组完成对文件的加密、解密以及签名、验证；
4、 使用GnuPG对邮件进行加密与签名。

四、实验步骤及结果（包含简要的实验步骤流程、结论陈述，可附页）

（一）理论知识

1、PGP的工作原理
Pretty Good Privacy(PGP)是一个提供加密和认证的计算机程序。PGP经常被用于签名、加密和解密电子邮件，以增加电子邮件通信的安全性。商业软件PGP和开源软件GnuPG(GPG)根据OpenPGP(RFC 4880)协议加密和解密数据。它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。

2、PGP的密钥管理方法
电子邮件通过开放的网络传输，网络上的其他人都可以监听或者截取邮件，来获得邮件的内容，因而邮件的安全问题就比较突出了。保护信息不被第三者获得，这就需要加密技术。还有一个问题就是信息认证，如何让收信人确信邮件没有被第三者篡改，这就需要数字签名技术。RSA公钥体系的特点使它非常适合用来满足上述两个要求：保密性和认证性。
RSA算法是一种基于大数不可能质因数分解假设的公匙体系。简单地说就是找两个很大的质数，一个公开即公钥，另一个不告诉任何人，即私钥。这两个密匙是互补的，就是说用公匙加密的密文可以用私匙解密，反过来也一样。
假设甲要寄信给乙，他们互相知道对方的公匙。甲就用乙的公匙加密邮件寄出，乙收到后就可以用自己的私匙解密出甲的原文。由于没别人知道乙的私匙，所以即使是甲本人也无法解密那封信，这就解决了信件保密的问题。另一方面由于每个人都知道乙的公匙，他们都可以给乙发信，那么乙就无法确信是不是甲的来信。这时候就需要用数字签名来认证。
在说明数字签名前先要解释一下什么是“邮件文摘”(message digest)。邮件文摘就是对一封邮件用某种算法算出一个最能体现这封邮件特征的数来，一旦邮件有任何改变这个数都会变化，那么这个数加上作者的名字（实际上在作者的密匙里）还有日期等等，就可以作为一个签名了。PGP是用一个128位的二进制数作为“邮件文摘”的，用来产生它的算法叫MD5(message digest 5)。 MD5是一种单向散列算法，它不像CRC校验码，很难找到一份替代的邮件与原件具有同样的MD5特征值。
回到数字签名上来，甲用自己的私匙将上述的128位的特征值加密，附加在邮件后，再用乙的公匙将整个邮件加密。这样这份密文被乙收到以后，乙用自己的私匙将邮件解密，得到甲的原文和签名，乙的PGP也从原文计算出一个128位的特征值来和用甲的公匙解密签名所得到的数比较，如果符合就说明这份邮件确实是甲寄来的。这样两个安全性要求都得到了满足。
PGP还可以用来只签名而不(使用对方公钥)加密整个邮件，这适用于公开发表声明时，声明人为了证实自己的身份，可以用自己的私匙签名。这样就可以让收件人能确认发信人的身份，也可以防止发信人抵赖自己的声明。这一点在商业领域有很大的应用前途，它可以防止发信人抵赖和信件被途中篡改。

3、GnuPG
GnuPG（GNU Privacy Guard或GPG）是一个以GNU通用公共许可证释出的开放源码用于加密或签名的软件，可用来取代PGP。大多数gpg软件仅支持命令行方式，一般人较难掌握。由于gpg软件开放源代码，很难隐藏后门，因此比pgp等商业软件安全。

（二）实验步骤

第一部分，进行第3个实验：安装GnuPG，生成公私钥对，导出公钥并把公钥通过可信的途径分发给合作者，完成对文件的加密、解密以及签名、验证

 实验总的思路：（由于本次实验需要两个不同用户，所以用VMware虚拟机模拟了另一个用户JohnSmith）
1、生成密钥对，并分别导出各自的公钥和私钥。
使用gpg4win-2.3.1软件分别生成DingYonghui和JohnSmith的密钥对。并分别导出各自的公钥和私钥。
2、分发公钥。
DingYonghui用户将自己的公钥分发给JohnSmith（这里通过直接手动分发）；同理，JohnSmith将自己的公钥分发给DingYonghui。
3、导入公钥并签名。
DingYonghui用户导入JohnSmith的公钥，要校对指纹，指纹正确，则用自己的私钥对JohnSmith的公钥进行签名；JohnSmith用户导入DingYonghui的公钥，要校对指纹，指纹正确，则用自己的私钥对DingYonghui的公钥进行签名。
4、签名与验证签名
DingYonghui用自己的私钥对要发送消息明文test.txt进行签名，John收到消息后用DingYonghui的公钥钥进行验证签名。
5、加密信息与解密信息
DingYonghui要发送消息给John，则DingYonghui用JohnSmith的公钥对要发送的明文进行加密，JohnSmith收到密文后用自己的私钥进行解密。
6、其它测试：
更改了文件名、或者文件内容，在测试一下是否可以解密。

 具体步骤
1、安装gpg4win-2.3.1软件，安装时选择默认即可（略）
2、生成DingYonghui的个人OpenPGP密钥对。
（1）打开软件，选择“file”—“new certificate”

（2）选择创建一个个人的OpenPGP密钥对

（3）填号用户名和邮箱

（4）点击“Advanced Settings”，选择对应的加密算法、密钥长度和是否添加签名功能。

（5）点击“OK”，输入口令并确认输入的口令