PGP加密安装操作

本章学习目标

掌握常用加密方法

了解密码学的基本概念

掌握破解用户密码的方法

理解数字签名技术

了解PKI的组成原理及其基本功能，理解PKI证书

掌握构建基于Windows2003的CA系统的方法

信息安全主要包括系统安全和数据安全两个方面。

数据安全主要采用现代密码技术对数据进行安全保护，是保护大型网络安全传输信息的唯一有效手段，是保障信息安全的核心技术。

本章通过实例介绍密码技术的实际应用。

实例——使用加密软件PGP

随着信息技术的不断发展，信息量不断扩大，数据的安全性和保密性也越来越受到人们的重视，在计算机应用领域中最常见的就是·字母，数字和特殊符合组成的密码。

一般情况下，密码在使用一次之后会保存在本地系统中，但是密码会根据输入环境的不同导致保存的地点并不完全一致，有的密码会保存在内存的临时文件这，有的则会保存在某个生成的加密文件中。

如今，许多网友都对自己计算机里的一些隐私文件的保存问题有了更高的安全要求。

无论是黑客入侵，计算机丢失还是计算机送修等，都可能导致自己的隐私文件泄漏。

为了避免这些问题，最方便快捷的方法就是对我们的隐私文件进行加密处理，让别人即使拿到这些文件，也会因为没有密码而无法查看，从而保障我们的隐私。

PGP(Pretty Good Privacy)是全球著名的，在信息安全传输领域首选的加密软件，其技术特性是采用了非对象的“公钥”和“私钥”加密体系，创造性地把RSA公钥体系的方便性和传统加密体系的高速度结合起来，可以用来加密文件，用于数字签名的邮件摘要算法，加密前压缩等，是目前最难破译的密码体系之一。

由于美国对加密产品有严格的法律约束，特别是对向美国，加拿大之外的国家散播该类信息，以及出售，发布该类软件的约束更为严格，因而限制了PGP的发展和普及。

现在该软件的主要使用对象为情报机构，政府机构和信息安全工作者。

PGP最初的设计主要是用于邮件加密，如今已经发展到了可以加密整个硬盘，分区，文件，文件夹，并可以集成到邮件软件中进行邮件加密，甚至可以对ICQ的聊天信息实时加密。

本实例使用虚拟机Windows10_1709_x86（见1.7.2节），加密软件使用PGP Desktop10.4.2.

安装之前先关闭Windows安全中心和防病毒功能，如图3.1所示，并断开网络连接。

1.安装PGP

第1步：如图3.2所示，双击“Setup(x86).exe”运行安装程序：

如图3.3所示，选择“English”单击“OK”按钮，进入安装界面；

如图3.4所示，选第一项同意，单击“Next”按钮；

如图3.5所示，选第二项不显示发行说明，单击“Next”;如图3.6所示，单击“Yes”按钮，重启Windows系统。

第2步：重启系统后，提示“Do you want to enablec PGP to be available from this account?”(你是否希望通过此账户启用PGP?),如图3.7所示，选中“Yes”单选按钮，单击“下一步”按钮，弹出输入序列号窗口，如图3.8所示。

第3步：如图3.9所示，运行cr-pgp10.exe，出错，运行vcredist_x86.exe安装msvcr110.dll.

再次运行cr-pgp10.exe,弹出窗口,单击“GENERATE”按钮生成序列号（D45M1-BG4FQ-EDJNM-GG0G2-2AADZ-WHA）,并复制序列号，如图3.10所示

第4步：将刚才生成的序列号复制到如图3.8所示的窗口中，然后一直单击“下一步”按钮，如图3.11所示，输入用户名及邮箱：单击“下一步”按钮，如图3.12所示，输入两遍8位以上管理员密码（如abcd1234）,然后一直单击“下一步”按钮。

第5步：如图3.13所示，出现“Error”窗口正常，因为你没有打开网络，所以不能上传到全球目录服务器。

单击“下一步”按钮，如图3.14所示，单击“完成”按钮退出。

第6步：安装相应位数的PGP中文语言包（PGP中文语言包32位.exe），如图3.16所示，将其解压到C:\Program Files\Common FilesPGP Corporation\String目录下。

再次运行PGP,如图3.17可免费使用了。

2.创建和设置初始用户

第1步：打开PGP Desktop,依次选择“文件”-->"新建PGP秘钥”菜单项，打开“PGP秘钥生成助手”窗口，如图3.18所示。

单击“下一步”按钮，如图3.19所示，输入名称（ztg）和邮箱地址。

单击“下一步”按钮，出现如图3.20所示的“创建口令”窗口。

第2步：口令长度必须大于等于8位，最好不要取消“隐藏输入”选择，这样即使有人在后面。也不容易知道输入的是什么，可以更大程度地保护密码的安全。

输入口令（12345678）后·，单击“下一步”按钮，出现"秘钥生成进度"窗口，如图3.21.

单击“下一步”按钮，出现如图3.22所示的“PGP全球名录助手”窗口。

第3步：在图3.22中，单击“跳过”按钮，完成秘钥的生成，如图3.23所示。。

3.导入并分发公钥

根据虚拟机 Windows10_1709_x86的vdi文件Windows10_1709_x86.vdi 创建线虚拟机Windiws10_1709_x86-2,具体的创建过程可以参考1.7.2节和网络资源，虚拟机Windows10_1709_x86-2的主要参数设置如图3.24所示。

注意：VirtualBox导入vdi是报错“Cannot register the hard disk because a hard disk with UUID already exists”,解决方法是打开带管理员权限的PowerShell, 切换到VirtualBox安装吗，目录（如C:\Program Files\Oracle\VirtualBox），执行如下命令：

.\VBoxManage.exe internalcommands sethduuid C:\ztg\VirttualBox-OS-vdi\Windows10_1709_x86.vdi

启动虚拟机Windows10_1709_x86-2,按照上面方法创建一个test用户，从这个“密钥对”内导出包含的公钥，如图3.25所示。

右击刚才创建的用户（test,即密钥对），在弹出的快捷菜单中选择“导出”选项，选择要保存的位置（如桌面），再单击“保存”按钮，即可导出test的公钥，扩展名为.asc(test.asc).

导出公钥后，就可以将此公钥放在自己的网站上或就将公钥直接发给朋友，告诉他们以后发邮件或重要文件时，可通过PGP使用此公钥加密后再发送，这样做能更安全地保护自己的隐私或公司的秘密。

注意：“秘钥对”在包含一个公钥（公用秘钥，可分发给任何人，别人可以用这个秘钥对要发给你的文件或邮件进行加密）和一个私钥（私人秘钥，只有自己所有，不可公开分发，此秘钥用来解密别人用公钥加密的文件或邮件）

4.导入并设置其他人的公钥

启动虚拟机Windows10_1709-_x86，将虚拟机的“共享粘贴板”和“拖放”参数设置为“双向”，如图3.26所示。

对虚拟机Windows10_1709_x86-2也进行相同的设置。

第1步：导入公钥。

在图3.26中，将文件test.asc从虚拟机Windows10_1709_x86桌面拖到宿主机桌面，然后将宿主机桌面上的文件test.asc拖到虚拟机Windows10_1709_x86桌面，该过程模拟对方向你发送他的公钥。

在虚拟机Windows10_1709_x86中，双击对方发给你的扩展名为.asc的公钥（在此test.asc）,将会出现选择公钥的窗口，如图3.27 所示。

选好一个公钥后，单击“导入”按钮，即可导入公钥。

 

第2步：设置公钥密码。

打开PGPkeys,,如图3.28所示，在秘钥列表中可以看到刚导入的秘钥（test），右击test,选择“秘钥属性”，可以看到test秘钥的全部信息，如有效性，信任度，大小等。

此时公钥test还没有被校验（不是绿色的钩），可以使用自己的私钥对这个公钥进行签名来对其进行校验。

具体操作如图3.29所示，右击公钥test，选择“签名”，弹出“PGP签名秘钥”对话框，保持默认设置，单击“确定”按钮，在弹出的对话框中从自己的秘钥列表中选择签名秘钥（如ztg),输入设置ztg时的密码，单击“确定”按钮，公钥test就比变为"已校验“了（出现绿色的钩），表示该公钥有效。

注意：在图3.28中，请读者注意test和ztg前面的图标不同，test前面的图标表示公钥（public key）,ztg前面的图标表示秘钥对（key pair）

右击test,选择“秘钥属性”，弹出“test秘钥属性”对话框，将“信任度”设置为“可信”，如图3.30所示。

关闭该对话框，此时公钥test被PGP加密系统正式接受，可以投入使用了。

5.使用公钥加密文件

第1步:在虚拟机Windows10_1709_x86的桌面上，新键文件pgp_encrypt.txt，输入的内容是“使用公钥test加密文件”。

第2步：如图3.31所示，右击文件pgp_encrypt.txt,在弹出的快捷菜单中依次选择PGP Desktop"-->"使用秘钥保护‘pgp_encrypt.txt’选项，将出现“添加用户密钥”窗口，如图3.32所示。

使用test公钥进行加密，文件pgp_encrypt.txt的加密文件为pgp_encrypt.txt.pgp.

这个pgp_encrypt.txt.pgp文件就可以用来发送了。

注意:刚才使用哪个公钥（test）加密，就只能将该该公钥发送给公钥所有人（test）,其他人无法解密，因为只有该公钥所有人才有解密的私钥。

第3步：将文件pgp_encrypt.txt.pgp从虚拟机Windows10_1709_x86桌面拖到宿主机桌面，然后将宿主机桌面上的文件pgp_encrypt.txt.pgp拖到虚拟机Windos10_1709_x86-2桌面，该过程模拟向对方发送加密的文件

第4步：在虚拟机Windows10_1709_x86-2中解密pgp_encrypt.txt.pgp文件。

如图3.33所示，如果使用记事本打开php_encrypt.txt.pgp文件，则内容显示乱码。

右击桌面上的文件pgp_encrypt.txt.pgp,在弹出的快捷菜单中依次选择“PGP Desktop”-->"解密&效验‘pgp_encrypt.txt.pgp’选项，将在桌面上生成解密文件pgp_encrypt.txt5,已经可以看到文件内容了。

补充1：安全删除文件

有时不希望将一些重要的数据保留在系统里，而简单的删除又不能防止数据可能被恢复，此时可以采用PGP的粉碎功能来安全擦除数据，这项功能通过多次反复写入来达到无法恢复的效果。

右击要删除的文件夹（或文件），在弹出的快捷菜单中依次选择PGP Desktop" --> "PGP粉碎”选项即可。

补充2：创建自解密文档

自解密文档的最大方便之处是使用没有安装PGP软件的计算机·也可以进行解密。

右击要创建自解密文档的文件夹（或文件），如aaa.txt在弹出的快捷菜单中依次选择“PGP Desktop”-->”创建自解密文档”选项，在弹出的对话框中输入密码，连续单击“下一步”按钮，创建的自解密文档是aaa.txt.exe文件。

在任意一台没有安装PGP软件的计算机·上双击aaa.txt.exe文件，输入正确的密码后，即可打开该文件。

6.创建PGP磁盘

PGP磁盘（PGPdisk）可以划分出一部分·的磁盘空间来存储敏感数据。

这部分磁盘空间用于创建一个称为PGP磁盘的卷。

虽然PGP磁盘卷是一个单独的文件，但是PGP磁盘卷却非常像3一个硬盘分区，可用来提供存储文件和应用程序。

第1步：在虚拟机Windows10_1709_x86-2中打开PGP Desktop,依次选择“文件”-->"新建PGP秘钥“菜单项，打开“PGP秘钥生成助手”对话框。

单击“下一步”按钮，输入名称（diskguest）和邮箱地址。单击“下一步”按钮，输入口令（999999999）后，单击“下一步”按钮，出现“密钥生成进度”窗口；

单击“下一步”按钮，出现“PGP全球名录助手”窗口，单击“跳过”按钮，完成密钥的生成。

右击刚才创建的用户(diskguest,即秘钥对），在弹出的快捷菜单中选择“导出·”选项，选择要保存的位置（如桌面），再单击“保存”按钮，即可导出diskguest的公钥，扩展名为.asc(diskguest.asc).

第2步：将文件diskguest.asc从虚拟机Window10_1709_x86-2桌面拖到宿主机桌面，然后将宿主机桌面上的文件diskguest.asc拖到虚拟机Windows10_1709_x86桌面。

第3步：在虚拟机Windows10_1709_x86中双击diskguest.asc,将会出现选择公钥的窗口，选好一个公钥）diskguest)后，单击“导入”按钮，即可导入公钥。

右击公钥test,选择“签名”，出“PGP签名秘钥”对话框，保持默认设置，单击“确定”按钮，在弹出的对话框中从自己的秘钥列表中2选择签名秘钥（如ztg）,单击“确定”按钮，公钥test就变成“已校验”了（出现绿色的钩），表示该公钥有效。

第4步：在虚拟机Windows10_1709_x86中运行PGP,打开“PGP磁盘”对话框，如图3.34所示。

依次单击“PGP磁盘”-->"新建虚拟磁盘“，出现“输入磁盘属性”对话框，如图3.35所示。

第5步：在图3.35中，指定要存储PGPdisk_ztgl.pgd文件（这个pgd文件在以后被装配为一个卷，也可以理解为一个分区，在需要时可以随时装配使用）的位置和容量大小。

加密算法有4种，AES(256位），EME2-AES(256位），CAST5(128位）和Twofish(256位）。

文件系统格式有3种：FAT,FAT32和NTFS.

可以根据需要选择“启动时装载” 复选框。

在列表中添加ztg和diskguest秘钥信息（添加允许访问PGP磁盘的用户），选择ztg密钥，单击“创建管理员”按钮，然后单击“创建”按钮，在出现的对话框中输入ztg的签名秘钥口令，再单击“确定”按钮，完成PGP磁盘的创建。

PGP磁盘属性如图3.35所示，并且为该磁盘分配的盘符是“E:”.

在图3.35的右下角单击“卸载”按钮可以卸载该磁盘（也可以右击盘符“E:”,在弹出的快捷菜单中依次选择“PGP Desktop”-->"卸载磁盘”选项），以后需要读、写该磁盘时，可以右击PGPdisk_ztg1.pgd文件，在弹出的快捷菜单中依次选择“PGP Desktip” --> "装载磁盘“选项。

7.使用PGP磁盘

第1步：将文件PGPdisk_ztg1.pgd从虚拟机Windows10_1709_x86桌面拖到宿主机桌面，然后将宿主机桌面上的文件PGPdisk_ztg.pgd拖到虚拟机Windows10_1709_X86-2桌面，该过程模拟向对方发送PGP磁盘文件。

第2步：装配PGP磁盘卷。

在虚拟机Windows10_1709_x86-2中，右击桌面上的PGPdiskztg.pgd文件，在弹出的快捷菜单中依次选PGP Desktop"-->"装载磁盘“选项，然后单击“确定”按钮，完成PGP磁盘的装载。

注意:装载磁盘时不需要签名密钥口令，是因为在图3.35中添加了diskguest用户秘钥。。

当一个PGP磁盘卷（PGPdisk_ztg.pgd）被转配上去后，可以将它作为一个单独的分区使用。

可以将机密的数据都存储在这个分区（PGP磁盘卷），不用的时候，将该分区（）PGP磁盘卷反装配，需要时再装配。

8.PGP选项

单击桌面右下角的PGP运行图标，选择PGP选项菜单，弹出“PGP选项”对话框，各选项卡说明如下。

（1）“常规”选项卡如图3.36所示

（2）“秘钥”选项卡如图3.37所示

（3）“主密钥”选项卡如图3.38所示。

（4）“网络共享”选项卡如图3.39所示

（5）“消息”选项卡如图3.40所示。

（6）“磁盘”选项卡如图3.41所示

（7）“通告器”选项卡如图3.42所示

（8）“高级”选项卡如图3.43所示。

密码技术

数据安全主要采用现代密码技术对数据进行安全保护，如数据保密，数据完整性和身份认证等技术。。

密码技术包括·密码算法设计，密码分析，安全协议，身份认证，消息确认，数字签名，密钥管理和密钥托管等技术。

密码技术以很小的代价，对信息提提一种强有力的安全保护

明文，密文，算法与密钥

明文（Plaintext）:能够被人直接阅读，，需要被隐蔽的文字·。

密文（Ciphertext）：不能被人们只直接阅读的文字

加密（Encryption） :用某种方法将文字转换成不能直接阅读的形式的过程。

加密一般分为3类，分别为对称加密，非对称加密及单向散列函数。

解密（Decryption）:把密文转变为明文的过程。

明文用M表示，密文用C表示，加密函数E作用于M而得到密文C,用数学式表示如下：

E(M)=C

相反，解密函数D作用于C,产生M,有

D(C）=M

密钥：用来对数据进行编码和解码的一串字符。

加密算法：在加密密钥的控制下对明文进行加密的一组数学变换。

解密算法：在解密密钥的控制下对密文进行解密的一组数学变换。

现代加密算法的安全性基于密钥的安全性，算法是公开的，可以被所有人分析，只要保证密钥·不被人知道，就可保证信息的安全。