摘 要 大約2000多年前，人類就已經(jīng)在通信中使用原始的加密方法保護(hù)信息安全。隨著人類科學(xué)技術(shù)的發(fā)展，與數(shù)學(xué)、計(jì)算機(jī)科學(xué)等相關(guān)學(xué)科密不可分的現(xiàn)代密碼學(xué)從20世紀(jì)至今得到了長足發(fā)展。作為現(xiàn)代密碼學(xué)的重要組成部分，加密技術(shù)已經(jīng)成為解決當(dāng)前網(wǎng)絡(luò)通信安全的有效技術(shù)手段。

　　關(guān)鍵詞 PGP,加密,電子郵件

　　目前Internet已經(jīng)全面覆蓋國內(nèi)各級別政府機(jī)關(guān)、公司企業(yè)、高校研究所、城市家庭等，網(wǎng)絡(luò)應(yīng)用滲透到政府公務(wù)、工農(nóng)業(yè)生產(chǎn)、教學(xué)科研、公眾娛樂等社會方方面面，很大程度上提高了我國信息化水平。在網(wǎng)絡(luò)變得越來越重要的同時(shí)，它所面臨的安全威脅也在增加。地震導(dǎo)致的光纜損壞使得網(wǎng)絡(luò)幾乎癱瘓，這樣明顯的安全問題大家有目共睹;但是，另外一種不為常人所知安全威脅卻正在悄然進(jìn)行中。

　　1 電子郵件的安全隱患

　　在各類網(wǎng)絡(luò)應(yīng)用中，電子郵件始終占有重要地位。較之其他聯(lián)絡(luò)方式，電子郵件的最大的特點(diǎn)就是不需要通信雙方同時(shí)在網(wǎng)，一方發(fā)送郵件后，另一方在其他任何時(shí)間上網(wǎng)都可以接收，這就避免了類似打電話找人找不到的情況，也使得類似MSN、QQ等即時(shí)聯(lián)絡(luò)軟件不可能完全取代電子郵件。而且電子郵件不僅能傳送文字信息，其他諸如圖片、聲音、動畫、視頻都所有類型的文件都能以附件的形式發(fā)送，極大的方便了網(wǎng)絡(luò)信息交流。例如政府機(jī)關(guān)中可以通過電子郵件群發(fā)的方式通知所有人員相關(guān)事宜;學(xué)校教師只需要將試卷通過電子郵件發(fā)送到考試部門而不用親自跑去送試卷;學(xué)生有什么問題也不必非要到辦公室來，直接用郵件提問就可以。

　　但目前的電子郵件系統(tǒng)都存在的一個(gè)重大安全隱患，就是所有發(fā)送和接收的郵件信息均以明文的形式在網(wǎng)上傳送。也就是說，只要有竊密者在網(wǎng)絡(luò)上安裝了被稱為Sniffer的程序，就能輕易得到他人電子郵箱的用戶名和密碼，進(jìn)而進(jìn)入到受害者的郵箱中查看郵件。試想如果單位或者部門的重要領(lǐng)導(dǎo)的郵箱密碼被竊，竊密者就可以長期查閱該領(lǐng)導(dǎo)的郵件信息，其中極有可能包括涉密材料，這將是相當(dāng)危險(xiǎn)的。而且竊密者在掌握了他人的郵箱后，就可以冒充他人名義發(fā)送郵件，造成不可預(yù)料的結(jié)果。而所有這一切都可以在我們毫無察覺的情況下發(fā)生。

　　2 加密技術(shù)與PGP

　　加密技術(shù)的本質(zhì)就是發(fā)送方將原始的明文打亂變形為密文，使得竊密者在網(wǎng)絡(luò)上得到了密文也無法了解信息的真實(shí)內(nèi)容，而接收方卻能解密還原出明文。現(xiàn)在密碼學(xué)中，依照加密解密使用的密鑰情況，加密技術(shù)分為對稱加密和非對稱加密。對稱加密使用相同的密鑰加密和解密數(shù)據(jù)，其運(yùn)算速度相當(dāng)快，但密鑰的安全管理很難解決。對稱加密算法主要有3DES、IDEA、AES等。非對稱加密使用兩個(gè)不同密鑰分別加密和解密數(shù)據(jù)。其運(yùn)算速度比對稱加密慢很多，但其密鑰管理比較方便，而且還能提供數(shù)字簽名等功能。非對稱加密算法主要有Diffie-Hellman、RSA、DSA等。

　　PGP是目前最好的電子郵件加密軟件，其作者Philip R. Zimmermann于1991年首次在Internet上免費(fèi)發(fā)布此軟件。他在PGP中選擇使用了對稱和非對稱兩類算法，利用這兩類算法各自的特性相互取長補(bǔ)短以實(shí)現(xiàn)信息加密、數(shù)字簽名、密鑰管理等功能，同時(shí)，他還免費(fèi)公開PGP的源代碼以避免隱藏后門的嫌疑。這里簡單介紹一下PGP使用的兩類加密算法中的代表算法：

　　RSA算法是一種基于大數(shù)不易質(zhì)因數(shù)分解假設(shè)的非對稱算法。簡單地說，就是找到兩個(gè)很大的質(zhì)數(shù)，一個(gè)稱之為“公鑰”對外公開，另一個(gè)稱為“私鑰”自己保存。這兩把密鑰組成一個(gè)密鑰對，用公鑰加密的密文可以用私鑰解密，反過來也一樣。但想由密鑰對中的一個(gè)推算出另一個(gè)是相當(dāng)困難甚至是不可能的。

　　AES算法是一種對稱加密算法，其加密和解密使用同一把密鑰。這個(gè)算法在2000年最終被確定并形成標(biāo)準(zhǔn)。當(dāng)采用128位長度密鑰加密數(shù)據(jù)時(shí)，即使用當(dāng)前世界上最快的計(jì)算機(jī)運(yùn)算，也需要約1023年才能破解。對于更重要的數(shù)據(jù)，還可以采用192位甚至256位的密鑰加密。

　　3 采用PGP保障電子郵件安全

　　⑴　創(chuàng)建密鑰對

　　在使用PGP加密簽名郵件之前，使用者必須創(chuàng)建自己的密鑰對。方法是打開密鑰創(chuàng)建向?qū)ВS向?qū)顚憥讉€(gè)相關(guān)參數(shù)，如使用者的名稱、電子郵箱、口令，程序經(jīng)過運(yùn)算后即創(chuàng)建出一個(gè)密鑰對。密鑰對創(chuàng)建之后，除非使用者特別需要，在一段時(shí)間內(nèi)不用再次創(chuàng)建新的密鑰對。創(chuàng)建后的密鑰對包括一個(gè)公鑰和一個(gè)私鑰。其中公鑰可以在網(wǎng)站或者BBS等任何地方公開，而私鑰絕對不要泄漏出去。因?yàn)樗借€本身有數(shù)千位的長度，用戶不可能直接記住，所以采用前面設(shè)定的口令進(jìn)行保護(hù)。保護(hù)私鑰的口令應(yīng)當(dāng)選擇容易記憶但不容易被猜測到的字母、數(shù)字和符號組合，建議采用10個(gè)以上字母長度的短語。

　　⑵　管理密鑰

　　安全有效的密鑰管理是PGP的一個(gè)很突出的特色。為了與他人進(jìn)行安全的電子郵件通信，需要將自己的公鑰發(fā)布出去，同時(shí)也需要獲得他人的公鑰。方法很簡單，通信雙方可以通過任何途徑將自己的公鑰發(fā)送給對方，哪怕傳送途徑并不安全，因?yàn)楣€本來就是公開給外界的。在獲得了他人的公鑰后，首先進(jìn)行“導(dǎo)入”操作，即將收到的公鑰保存到PGP軟件中以便今后使用。然后最好通過電話對收到的公鑰進(jìn)行一個(gè)“指紋”核實(shí)，以確定收到的公鑰的確就是對方的公鑰，避免第三方“中間人”進(jìn)行了替換。核實(shí)的方法是查看收到的公鑰的“屬性”，其中的“指紋”表現(xiàn)為數(shù)個(gè)單詞或者一串16進(jìn)制的數(shù)字。雙方在電話中核對這些單詞或者數(shù)字，如果一致，則公鑰未被篡改，可以安全使用。當(dāng)然，這種電話核實(shí)方式有時(shí)候無法實(shí)現(xiàn)。PGP也提供了另外一種“信任”關(guān)系的方法間接的核實(shí)收到的公鑰。簡單的說，A收到了B的公鑰，但無法電話核實(shí)。但A信任C，C對B的公鑰簽名表明C信任它。這樣A就能通過C間接的信任B的這個(gè)公鑰。這與生活中我們相信朋友的朋友是類似的。理論上看，全世界任何兩個(gè)人之間，最多通過6層信任關(guān)系，即可建立聯(lián)系。

　　⑶　加密與簽名

　　加密信息用以保證竊密者即使得到密文也無法知道實(shí)際內(nèi)容。當(dāng)發(fā)送者用PGP加密一段明文信息時(shí)，PGP先對明文進(jìn)行壓縮，然后隨機(jī)創(chuàng)建一個(gè)一次性會話密鑰，采用對稱加密算法(例如AES等)加密剛才壓縮后的明文，產(chǎn)生密文。然后用接收者的公鑰加密剛才的一次性會話密鑰，隨同密文一同傳輸給接收方。接收方收到信息后，首先用自己的私鑰解密獲得一次性會話密鑰，然后用這個(gè)會話密鑰解密密文得到最終的明文。PGP可以采用的加密算法包括：AES、CAST、3DES、IDEA、Twofish等。例如使用AES密鑰最長可達(dá)256bit，這已經(jīng)足夠安全了。

　　數(shù)字簽名保證接收者接收的信息沒有經(jīng)過未授權(quán)的第三方篡改，并確信收到的信息的確是來自發(fā)信者，同時(shí)發(fā)送者無法否認(rèn)他發(fā)送了此信息。PGP進(jìn)行數(shù)字簽名的過程是：發(fā)送者創(chuàng)建明文，使用散列算法生成散列代碼，然后使用自己的私鑰對散列代碼加密，并將結(jié)果放在明文前面。接收者使用發(fā)送者的公開密鑰解密得到散列代碼，然后與根據(jù)接收到的明文另外計(jì)算出的散列代碼比較，如果匹配，則認(rèn)可。目前，PGP使用的散列函數(shù)包括：SHA-2、SHA-1、RIPEMD、MD-5等。

　　大多數(shù)時(shí)候，我們會將加密與簽名結(jié)合起來使用。方法是先進(jìn)行簽名，再進(jìn)行加密。當(dāng)然，PGP軟件已經(jīng)提供了便利的操作方法，只需要使用者點(diǎn)擊幾下鼠標(biāo)即可完成。

　　⑷　收發(fā)郵件

　　微軟的Outlook Express作為一個(gè)專用電子郵件程序內(nèi)置在Windows 98/2000/XP中，很多用戶都用其收發(fā)電子郵件。PGP軟件專門為Outlook Express等流行的電子郵件程序提供了插件，這樣當(dāng)我們使用Outlook Express或其他電子郵件程序時(shí)，PGP將自動為我們的郵件進(jìn)行加密解密簽名等操作，這將大大方便我們的使用。

　　如果用戶使用的電子郵件程序沒有相應(yīng)的PGP插件，比如使用IE瀏覽器的時(shí)候，那么有兩種選擇：一個(gè)選擇是在記事本等文字編輯程序中書寫郵件內(nèi)容，然后加密，再以郵件附件文件的形式發(fā)送;另外一個(gè)更方便的方法是在瀏覽器中寫完內(nèi)容后，將內(nèi)容復(fù)制到剪貼板里，然后用PGP加密剪貼板，最后再把剪貼板中的密文粘貼覆蓋到瀏覽器中。這樣，保存在我們郵箱里的郵件內(nèi)容都是密文，即使竊密者得到了郵箱的密碼進(jìn)入郵箱，也無法了解郵件真正的內(nèi)容。他如果使用受害者的郵箱冒用其名義發(fā)送郵件，接收者經(jīng)過簽名認(rèn)證也能立刻察覺。

　　4 結(jié)束語

　　在實(shí)際使用中我們看到，因特網(wǎng)上每天都在出現(xiàn)新的病毒木馬，我們面臨著極為嚴(yán)峻的網(wǎng)絡(luò)的安全形勢。隨著網(wǎng)絡(luò)更深層次的滲透到我們的工作生活中，網(wǎng)絡(luò)信息的安全保密顯得越發(fā)的重要和迫切。

　　PGP軟件的加密和簽名功能不僅僅可以在電子郵件中使用，其擴(kuò)展功能可以覆蓋幾乎所有信息交流的方式。例如，PGP的數(shù)字簽名技術(shù)就可以用來實(shí)現(xiàn)“網(wǎng)絡(luò)實(shí)名”，這樣每個(gè)在網(wǎng)絡(luò)中的人都可以擁有不能被冒充不能自我否認(rèn)的身份，這將使整個(gè)網(wǎng)絡(luò)環(huán)境得到很大改善。可以說，PGP發(fā)展到今天，其功能和潛在的影響還遠(yuǎn)未被人們所了解。筆者相信，充分開發(fā)利用PGP必將對我們的網(wǎng)絡(luò)生活產(chǎn)生重要的影響。

　　參考資料

　　[1] 何明星,林昊. AES算法原理及其實(shí)現(xiàn). 計(jì)算機(jī)應(yīng)用研究 , 2002, (12)

　　[2] 王玉奇. 基于RSA的電子商務(wù)數(shù)字簽名技術(shù)[J].經(jīng)濟(jì)師 , 2005, (05)

　　[3] 丁文霞等. 保密通信系統(tǒng)中的密鑰管理. 信息安全與通信保密 , 2005, (02)

　　[4] 張秋江,. 涉密網(wǎng)的安全構(gòu)建. 信息安全與通信保密 , 2006, (03)