摘 要 大約2000多年前，人類就已經(jīng)在通信中使用原始的加密方法保護信息安全。隨著人類科學技術的發(fā)展，與數(shù)學、計算機科學等相關學科密不可分的現(xiàn)代密碼學從20世紀至今得到了長足發(fā)展。作為現(xiàn)代密碼學的重要組成部分，加密技術已經(jīng)成為解決當前網(wǎng)絡通信安全的有效技術手段。

　　關鍵詞 PGP,加密,電子郵件

　　目前Internet已經(jīng)全面覆蓋國內(nèi)各級別政府機關、公司企業(yè)、高校研究所、城市家庭等，網(wǎng)絡應用滲透到政府公務、工農(nóng)業(yè)生產(chǎn)、教學科研、公眾娛樂等社會方方面面，很大程度上提高了我國信息化水平。在網(wǎng)絡變得越來越重要的同時，它所面臨的安全威脅也在增加。地震導致的光纜損壞使得網(wǎng)絡幾乎癱瘓，這樣明顯的安全問題大家有目共睹;但是，另外一種不為常人所知安全威脅卻正在悄然進行中。

　　1 電子郵件的安全隱患

　　在各類網(wǎng)絡應用中，電子郵件始終占有重要地位。較之其他聯(lián)絡方式，電子郵件的最大的特點就是不需要通信雙方同時在網(wǎng)，一方發(fā)送郵件后，另一方在其他任何時間上網(wǎng)都可以接收，這就避免了類似打電話找人找不到的情況，也使得類似MSN、QQ等即時聯(lián)絡軟件不可能完全取代電子郵件。而且電子郵件不僅能傳送文字信息，其他諸如圖片、聲音、動畫、視頻都所有類型的文件都能以附件的形式發(fā)送，極大的方便了網(wǎng)絡信息交流。例如政府機關中可以通過電子郵件群發(fā)的方式通知所有人員相關事宜;學校教師只需要將試卷通過電子郵件發(fā)送到考試部門而不用親自跑去送試卷;學生有什么問題也不必非要到辦公室來，直接用郵件提問就可以。

　　但目前的電子郵件系統(tǒng)都存在的一個重大安全隱患，就是所有發(fā)送和接收的郵件信息均以明文的形式在網(wǎng)上傳送。也就是說，只要有竊密者在網(wǎng)絡上安裝了被稱為Sniffer的程序，就能輕易得到他人電子郵箱的用戶名和密碼，進而進入到受害者的郵箱中查看郵件。試想如果單位或者部門的重要領導的郵箱密碼被竊，竊密者就可以長期查閱該領導的郵件信息，其中極有可能包括涉密材料，這將是相當危險的。而且竊密者在掌握了他人的郵箱后，就可以冒充他人名義發(fā)送郵件，造成不可預料的結(jié)果。而所有這一切都可以在我們毫無察覺的情況下發(fā)生。

　　2 加密技術與PGP

　　加密技術的本質(zhì)就是發(fā)送方將原始的明文打亂變形為密文，使得竊密者在網(wǎng)絡上得到了密文也無法了解信息的真實內(nèi)容，而接收方卻能解密還原出明文。現(xiàn)在密碼學中，依照加密解密使用的密鑰情況，加密技術分為對稱加密和非對稱加密。對稱加密使用相同的密鑰加密和解密數(shù)據(jù)，其運算速度相當快，但密鑰的安全管理很難解決。對稱加密算法主要有3DES、IDEA、AES等。非對稱加密使用兩個不同密鑰分別加密和解密數(shù)據(jù)。其運算速度比對稱加密慢很多，但其密鑰管理比較方便，而且還能提供數(shù)字簽名等功能。非對稱加密算法主要有Diffie-Hellman、RSA、DSA等。

　　PGP是目前最好的電子郵件加密軟件，其作者Philip R. Zimmermann于1991年首次在Internet上免費發(fā)布此軟件。他在PGP中選擇使用了對稱和非對稱兩類算法，利用這兩類算法各自的特性相互取長補短以實現(xiàn)信息加密、數(shù)字簽名、密鑰管理等功能，同時，他還免費公開PGP的源代碼以避免隱藏后門的嫌疑。這里簡單介紹一下PGP使用的兩類加密算法中的代表算法：

　　RSA算法是一種基于大數(shù)不易質(zhì)因數(shù)分解假設的非對稱算法。簡單地說，就是找到兩個很大的質(zhì)數(shù)，一個稱之為“公鑰”對外公開，另一個稱為“私鑰”自己保存。這兩把密鑰組成一個密鑰對，用公鑰加密的密文可以用私鑰解密，反過來也一樣。但想由密鑰對中的一個推算出另一個是相當困難甚至是不可能的。

　　AES算法是一種對稱加密算法，其加密和解密使用同一把密鑰。這個算法在2000年最終被確定并形成標準。當采用128位長度密鑰加密數(shù)據(jù)時，即使用當前世界上最快的計算機運算，也需要約1023年才能破解。對于更重要的數(shù)據(jù)，還可以采用192位甚至256位的密鑰加密。

　　3 采用PGP保障電子郵件安全

　　⑴　創(chuàng)建密鑰對

　　在使用PGP加密簽名郵件之前，使用者必須創(chuàng)建自己的密鑰對。方法是打開密鑰創(chuàng)建向?qū)ВS向?qū)顚憥讉€相關參數(shù)，如使用者的名稱、電子郵箱、口令，程序經(jīng)過運算后即創(chuàng)建出一個密鑰對。密鑰對創(chuàng)建之后，除非使用者特別需要，在一段時間內(nèi)不用再次創(chuàng)建新的密鑰對。創(chuàng)建后的密鑰對包括一個公鑰和一個私鑰。其中公鑰可以在網(wǎng)站或者BBS等任何地方公開，而私鑰絕對不要泄漏出去。因為私鑰本身有數(shù)千位的長度，用戶不可能直接記住，所以采用前面設定的口令進行保護。保護私鑰的口令應當選擇容易記憶但不容易被猜測到的字母、數(shù)字和符號組合，建議采用10個以上字母長度的短語。

　　⑵　管理密鑰

　　安全有效的密鑰管理是PGP的一個很突出的特色。為了與他人進行安全的電子郵件通信，需要將自己的公鑰發(fā)布出去，同時也需要獲得他人的公鑰。方法很簡單，通信雙方可以通過任何途徑將自己的公鑰發(fā)送給對方，哪怕傳送途徑并不安全，因為公鑰本來就是公開給外界的。在獲得了他人的公鑰后，首先進行“導入”操作，即將收到的公鑰保存到PGP軟件中以便今后使用。然后最好通過電話對收到的公鑰進行一個“指紋”核實，以確定收到的公鑰的確就是對方的公鑰，避免第三方“中間人”進行了替換。核實的方法是查看收到的公鑰的“屬性”，其中的“指紋”表現(xiàn)為數(shù)個單詞或者一串16進制的數(shù)字。雙方在電話中核對這些單詞或者數(shù)字，如果一致，則公鑰未被篡改，可以安全使用。當然，這種電話核實方式有時候無法實現(xiàn)。PGP也提供了另外一種“信任”關系的方法間接的核實收到的公鑰。簡單的說，A收到了B的公鑰，但無法電話核實。但A信任C，C對B的公鑰簽名表明C信任它。這樣A就能通過C間接的信任B的這個公鑰。這與生活中我們相信朋友的朋友是類似的。理論上看，全世界任何兩個人之間，最多通過6層信任關系，即可建立聯(lián)系。

　　⑶　加密與簽名

　　加密信息用以保證竊密者即使得到密文也無法知道實際內(nèi)容。當發(fā)送者用PGP加密一段明文信息時，PGP先對明文進行壓縮，然后隨機創(chuàng)建一個一次性會話密鑰，采用對稱加密算法(例如AES等)加密剛才壓縮后的明文，產(chǎn)生密文。然后用接收者的公鑰加密剛才的一次性會話密鑰，隨同密文一同傳輸給接收方。接收方收到信息后，首先用自己的私鑰解密獲得一次性會話密鑰，然后用這個會話密鑰解密密文得到最終的明文。PGP可以采用的加密算法包括：AES、CAST、3DES、IDEA、Twofish等。例如使用AES密鑰最長可達256bit，這已經(jīng)足夠安全了。

　　數(shù)字簽名保證接收者接收的信息沒有經(jīng)過未授權(quán)的第三方篡改，并確信收到的信息的確是來自發(fā)信者，同時發(fā)送者無法否認他發(fā)送了此信息。PGP進行數(shù)字簽名的過程是：發(fā)送者創(chuàng)建明文，使用散列算法生成散列代碼，然后使用自己的私鑰對散列代碼加密，并將結(jié)果放在明文前面。接收者使用發(fā)送者的公開密鑰解密得到散列代碼，然后與根據(jù)接收到的明文另外計算出的散列代碼比較，如果匹配，則認可。目前，PGP使用的散列函數(shù)包括：SHA-2、SHA-1、RIPEMD、MD-5等。

　　大多數(shù)時候，我們會將加密與簽名結(jié)合起來使用。方法是先進行簽名，再進行加密。當然，PGP軟件已經(jīng)提供了便利的操作方法，只需要使用者點擊幾下鼠標即可完成。

　　⑷　收發(fā)郵件

　　微軟的Outlook Express作為一個專用電子郵件程序內(nèi)置在Windows 98/2000/XP中，很多用戶都用其收發(fā)電子郵件。PGP軟件專門為Outlook Express等流行的電子郵件程序提供了插件，這樣當我們使用Outlook Express或其他電子郵件程序時，PGP將自動為我們的郵件進行加密解密簽名等操作，這將大大方便我們的使用。

　　如果用戶使用的電子郵件程序沒有相應的PGP插件，比如使用IE瀏覽器的時候，那么有兩種選擇：一個選擇是在記事本等文字編輯程序中書寫郵件內(nèi)容，然后加密，再以郵件附件文件的形式發(fā)送;另外一個更方便的方法是在瀏覽器中寫完內(nèi)容后，將內(nèi)容復制到剪貼板里，然后用PGP加密剪貼板，最后再把剪貼板中的密文粘貼覆蓋到瀏覽器中。這樣，保存在我們郵箱里的郵件內(nèi)容都是密文，即使竊密者得到了郵箱的密碼進入郵箱，也無法了解郵件真正的內(nèi)容。他如果使用受害者的郵箱冒用其名義發(fā)送郵件，接收者經(jīng)過簽名認證也能立刻察覺。

　　4 結(jié)束語

　　在實際使用中我們看到，因特網(wǎng)上每天都在出現(xiàn)新的病毒木馬，我們面臨著極為嚴峻的網(wǎng)絡的安全形勢。隨著網(wǎng)絡更深層次的滲透到我們的工作生活中，網(wǎng)絡信息的安全保密顯得越發(fā)的重要和迫切。

　　PGP軟件的加密和簽名功能不僅僅可以在電子郵件中使用，其擴展功能可以覆蓋幾乎所有信息交流的方式。例如，PGP的數(shù)字簽名技術就可以用來實現(xiàn)“網(wǎng)絡實名”，這樣每個在網(wǎng)絡中的人都可以擁有不能被冒充不能自我否認的身份，這將使整個網(wǎng)絡環(huán)境得到很大改善。可以說，PGP發(fā)展到今天，其功能和潛在的影響還遠未被人們所了解。筆者相信，充分開發(fā)利用PGP必將對我們的網(wǎng)絡生活產(chǎn)生重要的影響。

　　參考資料

　　[1] 何明星,林昊. AES算法原理及其實現(xiàn). 計算機應用研究 , 2002, (12)

　　[2] 王玉奇. 基于RSA的電子商務數(shù)字簽名技術[J].經(jīng)濟師 , 2005, (05)

　　[3] 丁文霞等. 保密通信系統(tǒng)中的密鑰管理. 信息安全與通信保密 , 2005, (02)

　　[4] 張秋江,. 涉密網(wǎng)的安全構(gòu)建. 信息安全與通信保密 , 2006, (03)