使用开源PGP技术实现Solaris 10 下加密和解密(图)

　　1、PGP简介

　　PGP技术是一个基于非对称加密算法RSA公钥体系的邮件加密技术，也是一种操作简单、使用方便、普及程度较高的加密软件。PGP技术不但可以对电子邮件加密，防止非授权者阅读信件；还能对电子邮件附加数字签名，使收信人能明确了解发信人的真实身份；也可以在不需要通过任何保密渠道传递密钥的情况下，使人们安全地进行保密通信。

　　PGP技术创造性地把RSA非对称加密算法的方便性和传统加密体系结合起来，在数字签名和密钥认证管理机制方面采用了无缝结合的巧妙设计，使其几乎成为最为流行的公钥加密软件包。

　　PGP使用两个密钥来管理数据：一个用以加密，称为公钥（Public Key）；另一个用以解密，称为私钥(Private Key)。公钥和私钥是紧密联系在一起的，公钥只能用来加密需要安全传输的数据，却不能解密加密后的数据；相反，私钥只能用来解密，却不能加密数据。

　　现在广泛使用的公共密钥系统是基于PGP方式。它是一个基于RSA公钥加密体系的开源软件，但它与RSA加密算法又有所不同。确切地说，PGP使用的是RSA和传统算法DES结合的新算法——IDEA（受专利保护)。

　　RSA算法是利用素数（即质数）的因式不可分解性。RSA算法的要点与难点有二个：算法主要为求模取余运算；判断一个数是否为素数。由于进行的都是大数计算，使得RSA最快的情况也比DES慢上百倍，所以为了避开速度这一缺陷，PGP采用了改进后的IDEA算法。

　　2、为什么采用PGP加密？

　　目前国内多使用56位的加密系统，实际上是不安全的，而PGP是最少128位加密的强大的加密软件， 可以用于任何格式的文档，包括文本、电子表、图形等。具备数字签名功能，用于检查消息和文件的原作者和完整性。支持以下密钥算法：

　　1）公用密钥算法：Diffie-Hellman/DSS,RSA

　　2）散列功能：MD5, RIPEMD-160, SHA-1

　　3）对称算法：CAST, IDEA, Triple-DES

　　包括密钥生成和管理的整套工具，使系统管理员能够灵活控制整个网络系统的安全策略。

　　3、如何部署大规模PGP系统

　　1）建立网络系统的PGP证书管理中心

　　在大型网络系统中，利用PGP Certificate Server建立一个证书的管理中心。可以轻松地创建并管理统一的公用密钥基础结构。从而在网络系统内部或Internet之间进行保密通讯。 通过将Lightweight Directory Access Protocol (LDAP)目录和PGP证书的优点相结合， PGP Certificate Server大大简化了投递和管理证书的过程。同时具备灵活的配置和制度管理。PGP Certificate Server支持LDAP和HTTP协议，从而保证与PGP客户软件的无缝集成。 其Web接口允许管理员执行各种功能，包括配置、报告和状态检查，以实现对其远程管理。 我们可以在Sun Solaris或Microsoft Windows Server (Intel)平台上实现。

　　2）对文档和电子邮件进行PGP加密

　　在操作系统可以安装PGP，对文件系统和电子邮件系统进行加密传输。

　　3）在应用系统中集成PGP加密

　　利用PGP Software Development Kit（PGP 软件开发包）系统开发人员可以将密码功能结合到现有的应用系统中， 如电子商务、法律、金融及其他应用中。

　　4、PGP的 运行方式

　　PGP有5种业务:认证性?保密性?压缩?电子邮件的兼容性?分段?表1是这5种业务的总结?其中CAST-128是一种分组密码,算法具有传统Feistel网络结构,采用16轮迭代,明文分组长度为64比特,密钥长以8比特为增量,从40比特到128比特可变?

　　表1 PGP的业务

图1：PGP工作流程

　　5、开源pgp工具

　　后来GNU和自由软件运动的出现可以使用免费的GPG，它的安全性与PGP一样强，可以充分地保护每个用户的隐私。 GnuPG 是用于安全通信的工具；它是对 PGP加密技术的完全和免费的开源代替产品。使用 GnuPG，你可以给你的数据和通信加密，并可以使用 数码签名（digitally signing）来验证你的通信。GnuPG还能够解密及校验 PGP 5.x。

　　因为GnuPG 和其它加密标准兼容，你的安全通信可能会与其它操作系统（如 Windows 和 Macintosh）上的电子邮件程序兼容。GnuPG 使用公钥加密术（public key cryptography）来为用户提供安全的数据交换。在公钥加密术方案中，你生成两把钥匙：公钥和密钥。你和通信对方或钥匙服务器互换你的公钥，你决不应该出示你的密钥。

　　二、在Solaris的GnuPG安装

　　首先先必须安装软件软件包：

　　bzip2-1.0.5

　　libidn

　　libiconv

　　libintl

　　readline

　　openssl-0.9.8g

　　curl

　　openldap

　　sasl

　　zlib

　　限于篇幅笔者不详细介绍了。

　　#gunzip gnupg-1.4.8-sol10-x86-local.gz

　　#pkgadd –d gnupg-1.4.8-sol10-x86-local

图2：是gunpg安装成功界面

　　另外判断是否安装有GnuPG的方法也很简单。直接在命令行下输入“gpg -h”命令，如果系统已经安装有GnuPG，就会显示关于GPG版本和用法的信息。

　　三、Gunpg在Solais下的配置

　　确定系统中已经安装了GnuPG后，就可以开始下面加密和签名的工作了。

　　1、生成密匙

　　用户应用GnuPG，首先要有一对自己的密钥。所以，第一步就是产生一对密钥。gpg命令通过大量参数提供所需要的几乎所有操作。其中，参数“-gen-key”就是用来产生一对密钥的。在安装了GPG的Linux系统上可以运行以下命令：

　　#gpg --gen-key

　　命令开始运行后，首先，会看到版本和路径信息。随后需要回答一系列问题，以帮助产生一对密钥。其中，DSA是数字签名算法，RSA和ElGamal是两种不同原理的非对称密钥算法。通常可以选择“1”，这样生成的密钥可以同时用作签名和加密两种用途。

　　接着，会要求选择密钥的长度。这里的密钥长度有768、1024和2048位三种。如图 3 。

图3：选择密钥使用的长度

　　显然，密钥越长越安全，但太长又会影响使用的速度。所以，可以根据不同的需要选择适合的长度。笔者选择了的1024位密钥。另外，还需要设定密钥过期的时间，原则上，密钥使用的频率越高，密钥有效的时间越长，被攻击的可能性就越大。

　　所以，要根据应用的实际情况综合考虑，确定一个适当的时间长度。需要注意的是，密钥要定期更换，建议绝对不要永远使用同一对密钥。

　　最后，需要输入一些个人信息，包括真实姓名、电子邮件地址等，用来识别密钥，最好是如实填写。然后，必须输入一个密码。密码用来保护密钥，没有这个密码，任何人都不能看到密钥本身的内容。密码是在密钥文件泄露后惟一的保密措施，它的最大敌人是暴力破解和字典攻击。

　　所以，一定要选择一个强壮的密码，来有效地对抗这些攻击。 密码确定以后，系统开始运算。这时需要随便地敲击键盘或是移动鼠标，以产生一些随机数，协助密钥的顺利生成。注意，如果没有以上动作，很可能最终不能产生密钥。系统运算完成后，会出现类似图4的信息：

图4：成功生成钥匙文件

　　2、查看密钥

　　使用下面的命令：

　　gpg --list-keys

　　你会看到和图 5相似的输出：

图5：查看所有密钥