《信息安全技術(shù)基礎(chǔ)》課件 2.2非對稱加解密技術(shù)

第二單元加密與解密主要內(nèi)容任務(wù)2非對稱加解密技術(shù)任務(wù)2非對稱加解密技術(shù)齊威公司的銷售部王經(jīng)理想給遠在深圳的合作伙伴悠然公司李經(jīng)理發(fā)一份電子郵件，郵件內(nèi)容是雙方合作的合同，非常重要，但是又怕郵件泄密，找到小衛(wèi)，讓他給想想辦法。如果電子郵件沒有加密則是明文傳遞的，為了安全可以對電子郵件進行加密，可以使用PGP加密軟件?！緦W(xué)習(xí)情境】任務(wù)2非對稱加解密技術(shù)（1）非對稱加密體制與對稱密碼體制相對應(yīng)的是非對稱密碼體制，也叫公鑰加密。它使用了一對密鑰：公鑰（publickey）和私鑰（privatekey）。私鑰只能由一方安全保管，不能外泄，而公鑰則可以發(fā)給任何請求它的人。非對稱加密使用這對密鑰中的一個進行加密，而解密則需要另一個密鑰。比如，你向銀行請求公鑰，銀行將公鑰發(fā)給你，你使用公鑰對消息加密，那么只有私鑰的持有人--銀行才能對你的消息解密。與對稱加密不同的是，銀行不需要將私鑰通過網(wǎng)絡(luò)發(fā)送出去，因此安全性大大提高。【知識準備】任務(wù)2非對稱加解密技術(shù)（2）PGP加密工具前面介紹了Windows自帶的EFS加密方法，而實際應(yīng)用中可選的加密軟件非常多，在這些軟件中，較流行的電子郵件加密軟件是PGP(PrettyGoodPrivacy)，可以到上去下載。

PGP軟件是基于RSA公鑰加密體系的郵件加密軟件，可以用來對郵件保密以防止非授權(quán)者閱讀。PGP還能對用戶的郵件添加數(shù)字簽名，從而使收信人可以確認發(fā)信人的身份。PGP采用了非對稱的公鑰和私鑰加密體系，公鑰對外公開，私鑰個人保留，不為外人所知。也就是說用公鑰加密的密文只可以用私鑰解密，而不知道私鑰的話，即使是發(fā)信本人也不能解密。為了使收件人能夠確認發(fā)信人的身份，PGP使用數(shù)字簽名來確認發(fā)信人的身份?！局R準備】任務(wù)2非對稱加解密技術(shù)PGP使用兩個密鑰來管理數(shù)據(jù)：一個用以加密，稱為公鑰(PuNicKey)；另一個用以解密，稱為私鑰(PrivateKey)。公鑰和私鑰是緊密聯(lián)系在一起的，公鑰只能用來加密需要安全傳輸?shù)臄?shù)據(jù)，卻不能解密加密后的數(shù)據(jù)；相反，私鑰只能用來解密，卻不能加密數(shù)據(jù)。在項目中出于安全的考慮，需要對傳輸?shù)奈臋n進行加密，操作步驟如圖2-15所示：(1)齊威公司王經(jīng)理首先要把自己的公鑰發(fā)布給悠然公司的李經(jīng)理。(2)悠然公司的李經(jīng)理用王經(jīng)理發(fā)過來的公鑰對商業(yè)文件進行加密。(3)悠然公司的李經(jīng)理將加密文件發(fā)送給齊威公司王經(jīng)理。(4)齊威公司王經(jīng)理私鑰將文件解密，讀取文件內(nèi)容。【知識準備】下面就用安裝PGP軟件、PGP密鑰生成、PGP密鑰發(fā)布、加密電子郵件、接收郵件并解密、電子郵件內(nèi)容的加解密六個環(huán)節(jié)來解決學(xué)習(xí)情境中小衛(wèi)遇到的問題。1、安裝PGP軟件步驟1：通過網(wǎng)絡(luò)獲取PGP軟件，本次任務(wù)使用的版本是PGPDesktop10.1.0。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】步驟2：下載PGP軟件后，雙擊安裝文件進行安裝。此時進入安裝界面，顯示歡迎信息界而，單擊“下一步”按鈕，緊接著顯示許可協(xié)議界面，這里選擇“接受”，進入提示安裝PGP所需要的系統(tǒng)以及軟件配置情況的界面，建議用戶閱讀該界面上的信息，按照系統(tǒng)提示進行安裝，完成安裝后系統(tǒng)提示“重新啟動系統(tǒng)”，點擊進行重新啟動。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-16許可授權(quán)成功2、PGP密鑰生成在使用PGP之前，首先需要生成一對密鑰，這一對密鑰是同時生成的，將其中的一個密鑰分發(fā)給給公司的合作伙伴，也就是要接收文件的人，讓他用這個密鑰來加密文件，該密鑰即為“公鑰”。另一個密鑰由使用者自己保存，使用者用這個密鑰來解開用公鑰加密的文件，稱為私鑰。有兩種方法可以設(shè)置密鑰，第一種當(dāng)用戶成功輸入許可信息后，點擊下一步，就可以進入到“密鑰設(shè)置助手”界面，第二種啟動PGP軟件后在主界面點擊“文件”“新建PGP密鑰”，彈出對話框。兩種方法具體步驟一致，如下：任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】步驟1：安裝過程中，進入“PGP密鑰生成助手”對話框，點擊“下一步”，進入到“分配名稱和郵件對話框”如圖2-17所示，填寫關(guān)聯(lián)的名字和主要郵件地址，也可以填寫多個，單擊下一步按鈕。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-17分配名字和郵件步驟2：在彈出的在對話框輸入口令的文本框中設(shè)置一個不少于8位的密碼，這項設(shè)置是為密鑰對中的私鑰配置保護密碼。在重輸入口令文本框中再輸入一遍剛才設(shè)置的密碼。如果選中Showkeystrokes復(fù)選框，剛才輸入的密碼就會在相應(yīng)的對話框中顯現(xiàn)出來；最好取消該選項，以免別人能看到你的密碼。而且在輸入的時候下面的進度條會反映的你的密碼強度。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-18創(chuàng)建口令提示：在輸入口令文本框中設(shè)置的這個密碼非常重要，在使用密鑰時將通過這個密碼來驗證身份的合法性，因此不能太過簡單，也不能丟棄或忘記，如果有人取得了這個密碼，他就有可能獲取密鑰中的私鑰，這樣就會輕易地把你的加密文件解密。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】步驟3：單擊“下一步”按鈕，進入“密鑰生成進程”，等待主密鑰(Key)和次密鑰(Subkey)生成完畢。單擊“下一步’’按鈕完成密鑰生成向?qū)В鐖D2-19所示。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-19密鑰生成進度對話框步驟4：單擊“下一步“按鈕，會進入PGPGlobalDirectoryAssistant對話框，可單擊SKIP按鈕跳過，直到慶祝對話框出現(xiàn)，單擊“完成”按鈕，整個設(shè)置向?qū)瓿?。PGP的主頁看到了剛剛設(shè)置完成的密鑰及關(guān)聯(lián)的電子郵件和用戶。如圖2-20所示。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-20完成密鑰的配置效果3．PGP密鑰發(fā)布王經(jīng)理自己導(dǎo)出公鑰文件。要發(fā)布公鑰，首先必須將公鑰從證書中導(dǎo)出。下面詳細介紹如何導(dǎo)出公鑰。步驟1：王經(jīng)理啟動PGP，然后用鼠標右鍵單擊用來發(fā)送加密電子郵件的密鑰，在彈出的菜單中單擊選擇“導(dǎo)出”選項，如圖2:21所示。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-21選擇要導(dǎo)出的密鑰步驟2：打開如圖2-22所示的對話框，將擴展名為.asc的user.asc文件導(dǎo)出。選擇一個目錄在單擊“保存”即可導(dǎo)出你的公鑰，擴展名為.asc。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-22導(dǎo)出公鑰到文件對話框提示：如果上圖中選中了“包含私鑰”復(fù)選框，則同時會導(dǎo)出私鑰。但是私鑰不能讓別人知道，因此在導(dǎo)出用來發(fā)送給郵件接收者得公鑰中不要包含私鑰，即不要選擇該復(fù)選框。公鑰導(dǎo)出后，就可以將它放在你的網(wǎng)站上(如果有的話)，或者將擴展名為．a(chǎn)sc的user.asc文件直接發(fā)給悠然公司的李經(jīng)理了。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】4、加密電子郵件。提示：悠然公司的李經(jīng)理同樣需安裝PGP軟件。步驟1：將來自齊威公司王經(jīng)理的公鑰下載到自己的計算機上，雙擊對方發(fā)過來的擴展名為．a(chǎn)sc的公鑰文件，進入“選擇密鑰”對話框(見圖2-23)，可看到該公鑰的基本屬性，如Validit3r(有效性，PGP系統(tǒng)檢查是否符合要求，如符合，就顯示為綠色)、Trust(信任度)、Size(大小)、I)escr·iption(描述)、Ke)rID(密鑰ID)、Creation(創(chuàng)建時間)、Expiration(到期時間)等，以便從中了解是否該導(dǎo)人此公鑰。如果當(dāng)前顯示的屬性中沒有這么多信息，則可以使用菜單組里的vIEW菜單，并選中里面的全部選項。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】步驟2：選中需要導(dǎo)入的公鑰(也就是PGP中顯示出的對方的E-mail地址)，單擊“導(dǎo)人”按鈕，即可導(dǎo)入該公鑰。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-23“選擇密鑰”對話框步驟3：選中導(dǎo)入的公鑰，鼠標右鍵單擊，選擇簽名選項，如圖2-24所示，出現(xiàn)PGP簽名密鑰對話框，如圖2-25所示。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-24標簽選項圖2-25PGP簽名密鑰對話框步驟4：單擊確定按鈕，出現(xiàn)要求為該公鑰輸入Passphrase的對話框，輸入你設(shè)置用戶時的那個密碼短語，然后繼續(xù)單擊確定按鈕，即完成簽名操作。查看密碼列表里該公鑰的屬性，應(yīng)該在“Validity(有效性)”欄顯示為綠色，表示該密鑰有效，如下圖2-26所示。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-26PGP簽名密鑰對話框步驟5：選中導(dǎo)入的公鑰，鼠標右鍵單擊，選擇密鑰屬性選項。信任度處不再為灰色，這說明這個公鑰被PGP加密系統(tǒng)正式接受，可以投入使用了。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】3、悠然公司的李經(jīng)理將加密文件發(fā)送給齊威公司王經(jīng)理。 步驟1：選中要加密的文件“商業(yè)秘密.txt”，鼠標右鍵單擊，在安裝PGP程序后，彈出的菜單中會出現(xiàn)PGP相應(yīng)程序命令，選擇“使用密鑰保護商業(yè)秘密.txt”，如圖2-27所示。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-27加密快捷菜單項步驟2：打開密鑰選擇對話框，選擇上部窗格中用于加密文件的公鑰，然后雙擊該公鑰添加到下部窗格中，單擊“下一步”按鈕，彈出添加用戶密鑰窗口如2-28所示，在彈出的窗口上點擊添加按鈕，添加接收加密文件的用戶名及電子郵件地址。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-28添加用戶密鑰提示：默認本地的用戶和電子郵件在這里，要進行刪除操作。步驟3：選擇簽名并保存，可以用簽名辨明真?zhèn)?，并選擇文件的保存位置，然后點擊下一步，開始用對方提供的公鑰進行加密，生成加密后的文件擴展名為“pgp”，如圖2-29所示。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-29簽名并保存5.接收郵件并解密。齊威公司的王經(jīng)理收到李經(jīng)理發(fā)的文件后，雙擊這個文件，彈出一個對話框，如圖2-30所示，上面可以看出確實是用用戶user和郵箱hzqqcyy@163.com建立的公鑰，下面輸入建立私鑰時的口令。點擊確定進入到PGP的主頁面，現(xiàn)在文件還不能看，右鍵點擊解密后的文件選擇“提取”（見圖2-31），就可把本件保存在一個文件夾中，這是就可以查看了。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】圖2-31提取加密文件圖2-30輸入私鑰口令

6．電子郵件內(nèi)容的加解密 步驟1：發(fā)送加密的郵件。重新啟動OutLookExpress，在工具欄中會出現(xiàn)Encrypt(加密)、Sign(簽名)和Lcumch(導(dǎo)人)幾個按鈕。如果沒有，請選擇“查看”“具欄”“自定義”。寫一封測試信，單擊工具欄中的Encrypt和Sign按鈕，單擊“發(fā)送”按鈕，出現(xiàn)填寫密碼的對話框，在對話框中輸入密鑰設(shè)置的正確密碼，單擊OK按鈕，就可發(fā)送一封加密的郵件。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】

6．電子郵件內(nèi)容的加解密 步驟1：發(fā)送加密的郵件。重新啟動OutLookExpress，在工具欄中會出現(xiàn)Encrypt(加密)、Sign(簽名)和Lcumch(導(dǎo)人)幾個按鈕。如果沒有，請選擇“查看”“具欄”“自定義”。寫一封測試信，單擊工具欄中的Encrypt和Sign按鈕，單擊“發(fā)送”按鈕，出現(xiàn)填寫密碼的對話框，在對話框中輸入密鑰設(shè)置的正確密碼，單擊OK按鈕，就可發(fā)送一封加密的郵件。任務(wù)2非對稱加解密技術(shù)【任務(wù)實施】步驟2：接收郵件。郵件接收者在接到剛