用途
概況
PGP 10.0.2最終中文紀念版您公司可能有許多方法來保護信息。例如,可能利用上鎖的門,
在建築物里隔出一個封閉的空間,然後只允許被授權的人出入
公司也可以要求員工必須使用個人賬號以及密碼來登錄網路,
同時架設防火牆伺服器來監控所有公司內部與外部間信息傳輸。
這些機制都是為了要加強信息的保密。
PGP 能夠提供獨立計算機上的信息保護功能,使得這個保密系統
更加完備。它提供了這些功能:數據加密,包括電子郵件、
任何儲存起來的檔案、還有即時通訊(例如ICQ之類)。
數據加密功能讓使用者可以保護他們傳送的信息─像是電子郵件
還有他們儲存在計算機上的信息。檔案和信息通過使用者的密鑰,
通過複雜的算法運算後編碼,只有它們的接收人才能把這些檔案
和信息解碼。
功能
現在您應該對 PGP 已經有個大概的了解了,讓我們看看 PGP 實際上具有哪些功能: PGP使用加密以及效驗的方式,提供了多種的功能和工具,幫助您保證您的電子郵件、檔案、磁碟、以及網路通訊的安全。您可以使用 PGP 做這些事:
1、在任何軟體中進行加密/簽名以及解密/效驗。通過 PGP 選項和電子郵件外掛程式,您可以在任何軟體當中使用 PGP 的功能。
2、創建以及管理密鑰。使用 PGPkeys 來創建、查看、和維護您自己的 PGP密鑰對;以及把任何人的公鑰加入您的公鑰庫中。
3、創建自解密壓縮文檔 (self-decrypting archives, SDA)。您可以建立一個自動解密的執行檔。任何人不需要事先安裝 PGP ,只要得知該檔案的加密密碼,就可以把這個檔案解密。這個功能尤其在需要把檔案傳送給沒有安裝 PGP 的人時特別好用。並且,此功能還能對內嵌其中的檔案進行壓縮,壓縮率與ZIP相似,比RAR略低(某些時候略高,比如含有大量文本)。總的來說,該功能是相當出色的。
4、創建PGPdisk加密檔案。該功能可以創建一個.pgd的檔案,此檔案用PGP Disk功能載入後,將以新分區的形式出現,您可以在此分區內放入需要保密的任何檔案。其使用私鑰和密碼兩者共用的方式保存加密數據,保密性堅不可摧,但需要注意的是,一定要在重灌系統前記得備份“我的文檔”中的“PGP”資料夾里的所有檔案,以備重裝後恢復您的私鑰。切記切記,否則將永遠沒有可能再次打開曾經在該系統下創建的任何加密檔案!
5、永久的粉碎銷毀檔案、資料夾,並釋放出磁碟空間。您可以使用PGP粉碎工具來永久地刪除那些敏感的檔案和資料夾,而不會遺留任何的數據片段在硬碟上。您也可以使用PGP自由空間粉碎器來再次清除已經被刪除的檔案實際占用的硬碟空間。這兩個工具都是要確保您所刪除的數據將永遠不可能被別有用心的人恢復。
6、9.x新增:全盤加密,也稱完整磁碟加密。該功能可將您的整個硬碟上所有數據加密,甚至包括作業系統本身。提供極高的安全性,沒有密碼之人絕無可能使用您的系統或查看硬碟裡面存放的檔案、資料夾等數據。即便是硬碟被拆卸到另外的計算機上,該功能仍將忠實的保護您的數據、加密後的數據維持原有的結構,檔案和資料夾的位置都不會改變。
7、9.x增強:即時訊息工具加密。該功能可將支持的即時訊息工具(IM,也稱即時通訊工具、聊天工具)所傳送的信息完全經由PGP處理,只有擁有對應私鑰的和密碼的對方才可以解開訊息的內容。任何人截獲到也沒有任何意義,僅僅是一堆亂碼。
8、9.x新增:PGP zip,PGP壓縮檔。該功能可以創建類似其他壓縮軟體打包壓縮後的檔案包,但不同的是其擁有堅不可摧的安全性。
PGP10.02主界面9、9.x增強:網路共享。可以使用PGP接管您的已分享檔案夾本身以及其中的檔案,安全性遠遠高於作業系統本身提供的帳號驗證功能。並且可以方便的管理允許的授權用戶可以進行的操作。極大的方便了需要經常在內部網路中已分享檔案的企業用戶,免於受蠕蟲病毒和黑客的侵襲。
10、10.x新增:創建可移動加密介質(USB/CD/DVD)產品:PGP Portable。曾經獨立的該產品已包含在其中,但使用時需要另購許可證。
密鑰管理機制
PGP是一種供大眾使用的加密軟體。電子郵件通過開放的網路傳輸,網路上的其他人都可以監聽或者截取郵件,來獲得郵件的內容,因而郵件的安全問題就比較突出了。保護信息不被第三者獲得,這就需要加密技術。還有一個問題就是信息認證,如何讓收信人確信郵件沒有被第三者篡改,這就需要數字簽名技術。RSA公鑰體系的特點使它非常適合用來滿足上述兩個要求:保密性(Privacy)和認證性(Authentication)。
RSA(Rivest-Shamir-Adleman)算法是一種基於大數不可能質因數分解假設的公匙體系。簡單地說就是找兩個很大的質數,一個公開即公鑰,另一個不告訴任何人,即私鑰。這兩個密匙是互補的,就是說用公匙加密的密文可以用私匙解密,反過來也一樣。
假設甲要寄信給乙,他們互相知道對方的公匙。甲就用乙的公匙加密郵件寄出,乙收到後就可以用自己的私匙解密出甲的原文。由於沒別人知道乙的私匙,所以即使是甲本人也無法解密那封信,這就解決了信件保密的問題。另一方面由於每個人都知道乙的公匙,他們都可以給乙發信,那么乙就無法確信是不是甲的來信。這時候就需要用數字簽名來認證。
在說明數字簽名前先要解釋一下什麼是“郵件文摘”(message digest)。郵件文摘就是對一封郵件用某種算法算出一個最能體現這封郵件特徵的數來,一旦郵件有任何改變這個數都會變化,那么這個數加上作者的名字(實際上在作者的密匙里)還有日期等等,就可以作為一個簽名了。PGP是用一個128位的二進制數作為“郵件文摘”的,用來產生它的算法叫MD5(message digest 5)。 MD5是一種單向散列算法,它不像CRC校驗碼,很難找到一份替代的郵件與原件具有同樣的MD5特徵值。
回到數字簽名上來,甲用自己的私匙將上述的128位的特徵值加密,附加在郵件後,再用乙的公匙將整個郵件加密。這樣這份密文被乙收到以後,乙用自己的私匙將郵件解密,得到甲的原文和簽名,乙的PGP也從原文計算出一個128位的特徵值來和用甲的公匙解密簽名所得到的數比較,如果符合就說明這份郵件確實是甲寄來的。這樣兩個安全性要求都得到了滿足。
PGP還可以用來只簽名而不(使用對方公鑰)加密整個郵件,這適用於公開發表聲明時,聲明人為了證實自己的身份,可以用自己的私匙簽名。這樣就可以讓收件人能確認發信人的身份,也可以防止發信人抵賴自己的聲明。這一點在商業領域有很大的套用前途,它可以防止發信人抵賴和信件被途中篡改。
產品
伺服器
伺服器/網關級產品
PGP Universal Server(PGP通用伺服器)
越來越多企業開始建置加密系統,以保護敏感的企業機密,很遺憾的,為了解決各種加密的問題,保護郵件、硬碟、文檔…等等,建置了不同的平台,導致管理上的困難,且浪費企業預算!PGP Universal Server通過集中操控的安全策略,來保護機密數據、避免財務損失、避免衍生法律問題、避免因機密外泄而商業信譽受損。PGP加密平台–PGP Universal Server,提供郵件、文檔、硬碟、網路已分享檔案夾的加密保護,並有以下特色:
·密鑰管理-創建,分配和存放加密密鑰而保持只有組織允許的授權人員訪問加密的數據。
· 策略執行-傳送集中操控的策略配置且移除不一致的或不正確的策略配置危險。
· 報告和記錄-提供可見的加密保護當前狀態以幫助和滿足管理員和審查員的要求。
· 擴展架構-通過消除管理系統多餘的各部分未來的加密軟體購置費用減少時間和成本。
·密鑰的集中管理–自動生成密鑰、導入/導出公鑰或密鑰對。
· 完全自主的策略定製–通過加密網頁操控全公司的策略,擁有完全的自主權,最終用戶完全不需要參與策略的制定過程。
· 完善的報告及記錄功能–自動傳送報告數據給系統管理者,每一封郵件的進出皆有詳細的紀錄檔案可供查詢。
PGP Universal Gateway Email(PGP通用網關郵件)
· 簡單的自動操作–保護敏感電子郵件,無需改變用戶體驗。
· 強制安全策略–根據集中操控策略自動強制執行數據保護。
· 加速部署–使用現有基礎設施進行傳送郵件加密。
* PGP Universal Gateway Email是PGP Universal Server的郵件外掛程式
桌面級
客戶端/桌面級產品
PGP Desktop Email(PGP桌面電子郵件版)
· 自動訊息保護–自動加密、解密、數字簽名並校驗電子郵件訊息。可依照本機獨立或受PGP Universal Server控制的中央管理策略工作。
· 多重方法保護數據–可使用PGP壓縮檔(PGPzip)、PGP自解密文檔(PGP SDA,PGP Self-Decrypting Archive),以及PGP虛擬磁碟(PGP Virtual Disk)保存和保護您的敏感數據。
· 安全檔案擦除–從你的磁碟安全且永久的擦除易被發現的敏感檔案所有痕跡。
PGP NetShare(PGP網路共享版)
· 遠程應用程式傳送支持–保護Citrix 和微軟終端服務(Microsoft Terminal Server)會話數據。
· 同步檔案–確保檔案在網路中、伺服器中、備份中都保持加密狀態。。
· 角色分隔–在保證安全性的情況下為滿足一般用戶,檔案擁有者和管理員的不同需求,將採用不同的許可權分配,限制每個使用者的操作能力到所需的最小值。
PGP Whole Disk Encryption(PGP全盤加密版)
· 多平台磁碟加密–為Mac OS和Windows(兩種系統的針對性PGP軟體是需要分別購買的)提供包含預引導認證的全盤加密(開機便要求驗證密鑰密碼,否則整個磁碟的數據都被PGP加密後保護著)
· 擴展國際鍵盤支持–使用超過30個國際鍵盤的預引導認證。
·單點登錄–使用當前已經存在Windows密碼進行驗證以簡化登錄操作
· 多重方法保護數據–可使用PGP壓縮檔(PGPzip)、PGP自解密文檔(PGP SDA,PGP Self-Decrypting Archive),以及PGP虛擬磁碟(PGP Virtual Disk)保存和保護您的敏感數據。
PGP Desktop Professional(PGP桌面專業版)
· 此版本的功能等於:Desktop Email+Whole Disk Encryption
PGP Desktop Storage(PGP桌面存儲版)
· 此版本的功能等於:Desktop Email+NetShare
PGP Desktop Corporate(PGP桌面企業版)
· 此版本的功能等於:Desktop Email+Whole Disk Encryption+NetShare
PGP Endpoint Device Control(PGP終端設備控制)
· 簡單、自動操作–保護特殊許可和授權移動存儲使用安全,不改變用戶體驗或減少生產力。
· 強制安全策略–通過USB、火線、Wi-Fi和藍牙連線的設備強制執行安全策略。自動以加密移動存儲策略為基礎;還可以記錄使用情況和遵守安全審計驗證。
· 加速部署–減少了安裝時間和速度的企業保護,無需用戶干預,並可利用現有的企業目錄中的基礎設施。
PGP Endpoint Application Control(PGP終端應用程式控制)
· 減少數據突破口風險–保證敏感的公司數據沒有因未批准和惡意的軟體減弱。
· 前端自動保護–減少幫助台和行政負擔。提供自動零日防護,免受已知和未知套用威脅。
· 支持服從–詳細的應用程式執行審計,協助示範服從制度。
·業務連續性–防止商業停機時間的惡意軟體的擴散造成的危害。
· 透明用戶體驗–自動的後台操作,確保用戶的工作效率不受影響。
PGP Portable(PGP便攜加密)
· 保護所有設備或所有介質–適用於可移動存儲設備或光學介質的基於軟體的加密技術。 使用了正在申請專利的擴展驗證與可信賴AES 256位PGP®虛擬磁碟技術。
· 共享,分發,協作–可用Microsoft® Windows和Apple® Mac OS X訪問被加密的數據,無需安裝另外的軟體。 提供就地閱讀和編輯,無需更改本地用戶體驗。
· 輕鬆整合企業工作流程–為自動化和供應提供支持和口令管理,使企業獲得數據的安全且不中斷用戶工作效率的策略。
PGP Mobile(Window Moblie 6、7專用,另有BlackBerry手機使用的支持包)
· PGP虛擬磁碟–自動加密解密存儲在磁碟卷內的內容。與PGP Desktop客戶端兼容。
· PGP 壓縮檔–簡單的創建加密的數據檔案。使用密碼或證書對多個用戶保護正在傳送的數據。與PGP Desktop客戶端兼容。
· 自解密文檔–允許快速加密存儲為Windows下的執行檔包,以用於沒有運行PGP軟體的數據交換環境。
原理
PGP加密系統是採用公開密鑰加密與傳統密鑰加密相結合的一種加密技術。它使用一對數學上相關的鑰匙,其中一個(公鑰)用來加密信息,另一個(私鑰)用來解密信息。
PGP採用的傳統加密技術部分所使用的密鑰稱為“會話密鑰”(sek)。每次使用時,PGP都隨機產生一個128位的IDEA會話密鑰,用來加密報文。公開密鑰加密技術中的公鑰和私鑰則用來加密會話密鑰,並通過它間接地保護報文內容。
PGP中的每個公鑰和私鑰都伴隨著一個密鑰證書。它一般包含以下內容:
密鑰內容(用長達百位的大數字表示的密鑰)
密鑰類型(表示該密鑰為公鑰還是私鑰)
密鑰長度(密鑰的長度,以二進制位表示)
密鑰編號(用以唯一標識該密鑰)
創建時間
用戶標識(密鑰創建人的信息,如姓名、電子郵件等)
密鑰指紋(為128位的數字,是密鑰內容的提要表示密鑰唯一的特徵)
中介人簽名(中介人的數字簽名,聲明該密鑰及其所有者的真實性,
包括中介人的密鑰編號和標識信息)
PGP把公鑰和私鑰存放在密鑰環(KEYR)檔案中。PGP提供有效的算法查找用戶需要的密鑰。
PGP在多處需要用到口令,它主要起到保護私鑰的作用。由於私鑰太長且無規律,
所以難以記憶。PGP把它用口令加密後存入密鑰環,這樣用戶可以用易記的口令間接使用私鑰。
PGP的每個私鑰都由一個相應的口令加密。PGP主要在3處需要用戶輸入口令:
需要解開收到的加密信息時,PGP需要用戶輸入口令,取出私鑰解密信息
當用戶需要為檔案或信息簽字時,用戶輸入口令,取出私鑰加密
對磁碟上的檔案進行傳統加密時,需要用戶輸入口令
公鑰、私鑰加密特性
在pgp系統里經常遇到公鑰、私鑰,大家如果不理解就無法使用了。公鑰、私鑰只是個代號而已,我們這裡稱它們為a鑰、b鑰。
a、b鑰就像一對密碼本,但是它很特殊:
1.用a加密的東西只能用b來解,b加密的東西只能用a解。
2.a不能解密a自己加密的東西。b不能解密b自己加密的東西。
3.a有且僅有一個b與自己配對。b有且僅有一個a與自己配對。不存在第三者。
如果我們把a留給自己用,把b發給大家(別人),那a就稱為“私鑰”(),b就稱為“公鑰”。當然,反過來那b就稱為“私鑰”,a就稱為“公鑰”。系統只是自動給了個名稱,防止你以後亂不清到底是把a當公鑰發給別人了,還是把b當公鑰發給別人了。
公鑰、私鑰使用原理
它很複雜,很強大,但也就一加密而已。加密軟體多了去了,我用一般的加密軟體不就行了。把密碼告訴對方不就行了,別人不知道密碼內容很安全了嘛。
好,我下達一個任務:
1.你是一個領導,需要給殺手們發布一個追殺令。
2.殺手中有叛徒,他會修改你的追殺令。
3.你與殺手們無法直接接觸,只能通過網路公告。
4.你與殺手們只有一次事先約定暗號的機會。
假如我們使用一般加密軟體,比如rar。加密發出去了,大家依靠你事先給的密碼能得到正確的信息。但是有個問題,密碼大家都知道。也就是說,殺手中誰想加密冒充你傳送指令都可以。
當然,你可以一個殺手一個密碼,讓他們彼此都不知道。但你與殺手不能直接接觸,你也不可能一對一的給出密碼。就算可以,還有一個最大的問題。殺手們變成各自為號——因為誰也無法確定對方的命令出自你手。
這可以用秘鑰對a、b來完成。a我們自己拿著,b發布出去(利用一次約定的機會)。
我們用a加密的東西,所有持有b的人都能解密。但持有b 的人用b加密的東西只有a能看,其它人解密不了。也就是說,你加密的東西是唯一的,其它人持有b也不能偽造為是你在加密。
任務再升級一點。你需要殺手隨時向你匯報情況(比如哪些人接了任務,執行情況):
1.為了安全,你依然不能與殺手直接接觸。只能通過網路的公共平台。
2.防止叛徒出賣情報,情報只能你與傳送者知道,其它人不能了解。
殺手們就可以用b加密情報,傳送到指定伺服器。當然任何人都能下載這些加密情報,但是只有持有a的你能解密(它們自己也不能解密自己傳送的情報)。殺手們不知道彼此傳送的信息。
但這還不行,因為叛徒能利用它知道的信息,偽裝成別人發錯誤的情報給你。
解決辦法,當然包括你給每一個殺手配備一個,秘鑰對。但還有一個更好的辦法:數字簽名。
數字簽名使用原理
這裡我們舉一個新例子。你是總公司宣傳部,需要向員工宣傳一些公司福利、政策。因為公司非常大,全球都有,你只能通過公司網站來發布信息。但是有黑客跟你對著幹,把你發布的信息改得面目全非,讓公司上下人心惶惶。你需要向所有人表明,哪些信息是你發的,且沒有被更改過。
你就需要一個簽名,而且只有你能發這個簽名。
我們同樣利用秘鑰對a、b。我們把b發表出去,並對要發表的信息做總結並用a加密(軟體自動完成)稱為“簽名”附在信息後面。所有接到信息的人都用b解密“簽名”,並把總結與發表的內容作對比(軟體自動完成)。
只要這個信息改動了一個字,“簽名”驗證就會失敗。
你應該注意到了,不同的信息“簽名”的內容完全不同。複製、貼上,那是不可能地!它甚至比手寫的簽名還要可靠,因為數字簽名模仿了也沒用。數字簽名,是數字辦公的關鍵。領導審批,那是要公開但不能被仿製的。
一些網銀操作,也需要通過數字簽名來保證操作來自用戶,而不是李鬼。出了問題,也可以司法取證(銀行是無法偽造用戶操作的,因為它的鑰只能解密)。但可惜的是,國內銀行沒有第三方機構管理。國內都是銀行自編自演,自己生成密鑰對給用戶 。我們知道,密鑰只應該由用戶自己生成,把公鑰交給銀行與第三方(類似公證機構),確保私鑰僅被自己使用。現在銀行即有你的私鑰又有你的公鑰,它當然能把所有責任都推到你頭上(你操作不當),它還能偽造你的操作。它還不把公鑰“公證”,即便有問題,你也沒有證據!
使用篇
1、公鑰、私鑰和密鑰環等是什麼意思,分別用來乾什麼的?
通俗的來說,公鑰就是鎖,私鑰是鑰匙。公鑰用來加密或簽名校驗,私鑰用來解密。密鑰對則是包含鎖和鑰匙的套裝。密鑰環相當於密鑰對和他人公鑰的存儲倉庫,包含1個或更多地密鑰對以及公鑰。
2、*.asc這些PGP相關的擴展名是什麼東西?
*.asc,按照PGP的標準解釋,叫做“PGP Armored File-PGP裝甲檔案”,意為PGP強力保護功能所用的檔案。用途是作為導出的公鑰或私鑰擴展名。
*.skr,*.prvkr,“PGP Private Keyring-PGP私鑰環”,意為保存計算機中PGP生成或導入的所有私鑰的倉庫。也叫私人密鑰環或私有密鑰環。
*.pkr,*.pubkr,“PGP Public Keyring-PGP公鑰環”,意為保存計算機中PGP生成或導入的所有公鑰的倉庫。也叫公共密鑰環或公有密鑰環。
*.sig,“PGP Detached Signature File-PGP獨立簽名檔案”,意為PGP為用作數字簽名或校驗生成的獨立簽名檔案。
*.shf,“PGP共享”,意為PGP密鑰共享時所用的專用擴展名。
*.rnd,“PGP隨機種子”,意為用於加密、生成密鑰等PGP操作所需要而產生的隨機種子檔案。
*.pgp,“PGP Encrypted File-PGP加密檔案”,意為PGP加密壓縮過的獨有檔案格式。
*.pgd,“PGPdisk Volume-PGP磁碟卷”,意為PGP虛擬磁碟功能生成的保存有加密檔案的虛擬磁碟分卷,將用來載入到PGP中作為獨立分區使用。
*.pem,*.p12“X.509 Certificate-PGP X.509證書”,意為PGP可使用的X.509標準數字證書。
*.krb,“PGP Key Reconstruction-PGP密鑰重建”,意為PGP密鑰恢復功能:“密鑰重建”,生成的獨有重建檔案,非常重要。用於口令或密鑰丟失時重新恢復所用。
*.gpg,“GPG Encrypted File-GPG加密檔案”,意為PGP可以兼容的開源類PGP軟體GPG的加密格式。
*.bexpk,“PGP Binary Extracted Public Key-PGP二進制提取公鑰”,意為特殊套用狀態下PGP將生成的公鑰格式。
*.aexpk,“PGP Armored Extracted Public Key-PGP裝甲提取公鑰”,意為特殊套用狀態下PGP將生成的公鑰格式。
3、PGP到底能幹什麼?
能對郵件、檔案、資料夾、整個硬碟加密,全網段加密許可權和訪問許可權控制等。根據不同PGP系列產品功能有所不同的區分。
4、PGP能夠被破解嗎?為什麼PGP自身有破解的版本可以用?
PGP的程式本身和PGP的加密機制是不同概念,請不要混淆。PGP程式的保護,並非使用的是PGP的混合型加密體系。破解程式容易,破解PGP加密的數據難。通常均以10年以上計算,但是最終也有被暴力破解的可能。只不過破解時間很長,可能是數十年,也可能是數百年。根據加密者的使用方法不同,強度也有不同。加密和破譯,是有相對的時間關係,當一個加密體系所達到的加密強度,超出該檔案的保密時間,就是成功的(如一個檔案保密時間為10年,經過加密後,被破譯的時間達到了10年零一天,破譯即便完成,也沒有絲毫意義。而PGP,便是為了這種需要而誕生。
5、PGP加密的檔案為何可以被刪除和複製?難道沒有保護措施嗎?
PGP的桌面級產品,並未對刪除和複製做單獨的保護。因為它的誕生目的,是保護數據不被不被授權的人看到真實內容,而不是不讓它被拿走或刪除。且這是建立在一個良好的保密制度的前提下,如專機專用,非授權人員不能輕易的訪問有加密數據的計算機。且在系統中的所謂防刪除和複製,都具有相當大的可能性被繞過而導致最終的刪除或複製問題,所以,PGP沒有設定這兩項功能。
6、生成密鑰的時候提示“令牌”,什麼是令牌,乾什麼用的?
令牌/電子令牌:Token,這是PGP支持的一項硬體安全功能,不少銀行的U盾,也是一種電子令牌,且因為是令牌生產廠商阿拉丁公司的晶片製作,故也可以被PGP兼容(如工行U盾)。令牌可以用於PGP創建密鑰時使用,來實現憑藉令牌和口令兩者來加密保護數據。令牌的存儲大小都比較小,通常只能放置1024或2048尺寸的PGP密鑰。
7、為何我安裝的PGP無法啟動?一閃就沒了?
根據使用者的反饋和我們的研究所知,這個現象常出現在全新安裝10.x版本中,而使用者的計算機安裝的是修改過的系統, 如番茄花園/深度等,或是GHOST恢復的系統。解決方法是安裝9.12版,再升級安裝10.x,即可解決。故障原因尚未查明。
8、重灌系統前,曾經用PGP加密了數據,需要注意些什麼?
首先,請備份“我的文檔”或“文檔”下的“PGP”資料夾,內有PGP最為重要的密鑰環檔案,“pubring.pkr和secring.skr”,或帶有-bak的檔案(此為PGP自動創建的備份密鑰環)。重灌系統前,備份好它們,然後記得當初加密的密鑰所用的口令,就可以了。重裝完成後,複製這些檔案到新系統的同樣路徑下,替換同名的0位元組檔案即可。如果PGP提示沒有找到,請在PGP的“所有密鑰”上點擊右鍵〉屬性中指定位置,或選單中的“密鑰〉密鑰環屬性”中重新指定一下這個位置即可。
9、為什麼打開PGP後,別人的中文版顯示的“所有密鑰”這些中文,而我的是All Keys?
這是因為你曾經安裝了PGP英文版或早期的中文版,而這個參數是可以自行修改的,PGP重新安裝或升級安裝後,並不能自動更正為新的翻譯,請在所需的位置點擊右鍵〉重命名,輸入對應中文名稱或其他名稱即可。不修改也不影響使用和兼容性,僅僅是一個標識名稱。
10、我擔心會忘記密鑰的口令或不小心丟失了密鑰,有什麼方法能減少這種可能性?
可使用PGP內置的“密鑰重建”功能解決,方法如下: 打開PGP Desktop,選中你需要的密鑰對(別人的公鑰或自己導入的單一公鑰不可以使用此功能,因為你沒可能重新創建一個完整的他人密鑰對,否則就沒有加密意義了),然後在選單處依次點擊密鑰〉創建我的PGP提問,然後輸入這個密鑰的口令,再根據提示選擇預設的許多問題或輸入你自己想要設定的問題,然後完成操作,即可生成一個.krb檔案,這個檔案就是可以用來幫助你恢復密鑰口令或重建丟失的密鑰所用的“密鑰重建檔案”,如果有此需要,使用它進行密鑰的重建或口令更改恢復。但請務必記得創建的5個提問的答案,並保存好這個檔案,否則同樣不能解決問題。
11、為什麼我的“PGP 訊息”功能處,“安全策略”,是一堆英文的東西?能修改嗎?
同樣是由於曾經安裝了英文版,然後直接升級安裝中文版導致,可以點擊兩次“編輯策略”按鈕,進入編輯模式,再逐個點擊“恢復到默認”按鈕,進行重寫策略信息,然後點擊完成按鈕,即可讓英文的策略信息變成中文,如需特殊的PGP訊息操作,也可以在此處根據選項中的提示進行修改,以實現所需的目的。 12、我收到一封PGP加密格式的郵件,用PGP閱讀器打開後,要求輸入口令是怎么回事?
這是由於這封PGP郵件還附帶了一個.pgp的加密附屬檔案,PGP閱讀器為了使用方便,默認要求解密郵件原文時就直接詢問附屬檔案的口令,關閉這個對話框或取消不輸入即可,因為這個口令可能在郵件原文中,導出附屬檔案後輸入也是可以的。如果你需要這樣的方式來傳送加密郵件,直接加入一個PGP加密的.pgp附屬檔案,就可以了。
13、我的PGP在使用一段時間後,發現桌面圖示不見了,PGP托盤也不啟動,怎么回事?
原因有幾個可能,可能是清理系統時刪除了PGP創建的臨時啟動檔案或某些檔案丟失等。建議直接運行PGP的安裝檔案,然後選擇“修復”,等待完成後重啟,應該可以解決問題。如果還不能,建議卸載後重新安裝一次。
14、為什麼我的PGP磁碟和其他解密操作不需要輸入口令就能打開了?
應該是由於PGP的快取口令功能導致,默認快取2分鐘剛才輸入過的口令,具體時間可在PGP選項中自行設定。推薦使用2分鐘的即可。
15、為什麼我加密數據時,總是有個密鑰自動被加入到密鑰列表中?
這是因為你將這個密鑰設為了“主密鑰”,PGP就會默認每次在需要密鑰操作時加入它,如果你不需要這么做,進入PGP選項〉主密鑰,添加別的密鑰或刪除現有的密鑰即可。
16、密鑰方式加密和口令方式加密,優缺點在哪?
密鑰方式加密,也叫“非對稱式加密體系”,口令方式加密,也叫“對稱加密體系”,兩者的強度不同,前者具有更高的安全性,後者相對弱。前者根據所用的密鑰的性質,又有不同的安全性能,主要跟密鑰長度(如1028位,4096位)、密鑰算法、哈希算法、密鑰口令長度和複雜度有關。後者僅跟口令長度和複雜度有關。密鑰長度越大,算法越強,口令長度越複雜,加密的安全性越大,防破解性能越好。推薦2048位以上的密鑰長度。密鑰方式因為所需的加密方式更加複雜,從加密和解密所需的時間來看,比單純的口令加密要長。具體使用,根據數據加密要求和個人方便度進行考量後選擇。
17、為什麼我傳送郵件時,PGP總是提示什麼"是否保護XXX" 的東西?
這是因為你沒有配置這個信箱使用PGP訊息功能進行自動加密保護,請進入PGP訊息按照提示和信箱的設定進行配置,有時候PGP自動添加好的配置就可以正常,但更多時候還是不能正確設定好信箱的信息,所以建議手動配置。如果不想要使用這個功能,可在PGP選項〉 訊息,取消“安全郵件”的複選框,如果不想要每次都提示有新信箱需要保護,也可在設定好需要自動加密的信箱後,只取消“探索新帳號”的複選框即可。
18、PGP支持哪些郵件客戶端?
PGP Desktop 10.0.2目前宣稱支持如下郵件客戶端:Microsoft Outlook 2010 (Outlook 14)、 Microsoft Outlook 2007 SP1 (Outlook 12) 、Microsoft Outlook 2003 SP3、 Microsoft Outlook XP SP3、Windows Mail 6.0.6000.16386、 Microsoft Outlook Express 6 SP1、Windows Live Mail version 2009、Lotus Notes 6.5.6, 7.0.3, 8.0.2, 8.5、Mozilla Thunderbird 2.0、Novell GroupWise 6.5.1。理論上支持所有標準協定:IMAP/POP/SMTP形式通信的郵件客戶端,如DreamMail等。只要信箱配置和PGP配置一致,即可正常使用。另外,如SSL/TLS加密通信的信箱,需要在郵件客戶端中取消SSL/TLS配置,並在PGP中開啟SSL/TLS支持才可以用。
19、PGP的拳頭功能“全盤加密”,有些什麼系統要求?
PGP公司提供的系統需求如下,不能滿足條件的,請勿使用:
系統要求:
Microsoft Windows 2000 (SP4)
Windows Server 2003 (SP1和2)
Windows XP 32-bit version (SP2或3)
Windows XP 64-bit version (SP2)
Windows Vista (所有32位和64位) 包含SP1/SP2
Windows 7 (所有32位和64位)
Microsoft Windows XP Tablet PC Edition 2005 (需要附加鍵盤)
Windows Server 2003 SP 2 (所有32位和64位)
Windows Server 2008 SP 1和2 (所有32位和64位)
Windows Server 2008 R2 (所有32位和64位)
硬體最低要求:
512 MB記憶體
64 MB硬碟
PGP全盤加密支持RAID-1和RAID-5,動態磁碟和軟體RAID等不支持。
20、為什麼我的PGP提示“不能連線到PGPSDK服務”?
這種現象可能是由於防毒軟體或某些保護軟體和PGP啟動項有衝突,導致沒能正常啟動。可先嘗試手動進入控制臺〉管理工具〉服務,找到PGP SDK服務,啟動它,如PGP托盤也沒能啟動,請再手動打開PGP Desktop捷徑。如果還是不行,建議重啟計算機。
21、PGP全球名錄是什麼東西?創建密鑰時提示要上傳公鑰到上面去,怎么操作啊?
PGP全球名錄-PGP Global Directory,這是PGP公司提供的一個免費密鑰伺服器,用來進行方便的公鑰驗證/發布/自動搜尋加密這些功能,如對方的公鑰已經上傳到了該伺服器,那么你給他傳送加密郵件時,便不需要要求對方單獨發一次密鑰給你導入,PGP內置功能會自動連線並完成對應信箱公鑰的下載/驗證/簽名的操作,減少人工干預次數,提高易用性。創建密鑰時,會提示發布公鑰到PGP全球名錄,根據提示,會傳送一份驗證郵件到你綁定在密鑰中的信箱里,請訪問這個信箱完成驗證過程,即可開始正常使用PGP全球名錄提供的服務。
22、我的PGP安裝有問題,卸載也卸載不乾淨,怎么清除殘留後重裝?
開機按F8進入安全模式,刪除如下的資料夾即可。以下的C:為舉例的系統盤符,請根據自己的實際情況修改。以下路徑,進入後找到PGP Desktop或PGP開頭的資料夾,刪除即可。
如下是程式和語言檔案統一路徑和各系統對應路徑的位置(剩餘的註冊表項不建議手動清除):
C:\Program Files
C:\Program Files\Common Files
C:\WINDOWS\System32和Syswow64下的PGP開頭檔案
Windows XP
C:\Documents and Settings\%username%\Application Data
C:\Documents and Settings\%username%\Local Settings\Application Data
Windows Vista/Windows 7
C:\Users\%username%\AppData\Roaming
C:\Users\%username%\AppData\Local
23、我使用了全盤加密功能,系統出現問題時可以直接修復而不先解密嗎?
PGP公司不建議如此,必須先解密你加密的分區,然後再恢復,否則可能出現PGP全盤加密功能故障,導致無法解密。需要繁瑣的使用PGP恢復盤進行修復解密引導後才能正常解密。另外,如果是破解版的PGP,這項功能和“網路共享”功能都不穩定,建議不要使用,否則後悔莫及。
技巧篇
資料加密的必要性
根據Forrester Research研究,過去大家都把資安重點放在IT環境(Infrastructure-level)的層層防護上(例如防火牆、入侵偵測、防毒等),而忽略了數據(Data-level)的防護,未來無論是企業或個人,以資料為中心的(Data Centric)防衛策略會越來越重要。
筆記型計算機遺失或被偷、硬碟被盜、隨身碟遺失、計算機送修時數據被複製出去、磁帶或光碟寄送過程中遺失、電子郵件或FTP傳檔案中被攔截竊取…等等每日層出不窮的新聞報導,讓大家對計算機既喜愛又怕受傷害。其實只要一些很簡單的方法與工具,就可免除這些數據遺失或外泄的風險。將數據加密起來,讓不相干的人即使拿到也毫無用處,這是數據安全最簡單也是最根本的做法。
加密的方法
所謂數據加密,就是透過某種方法將明文數據亂碼化,讓人看不懂;當本人要使用時再把它解密回來。至於這亂碼過的資料是否容易被破解?這就涉及使用的「亂碼方法」(Cryptography密碼學)了。一般加密方法分為兩類,一是對稱式加密,使用同一把金鑰(Key)來加密與解密,常見的對稱式算法如DES, 3DES, AES等;另一類是非對稱式算法,使用一對金鑰(公鑰與私鑰)來加解密,用公鑰加密過資料只有用其對應的私鑰才能解得回來,而用私鑰加密過資料只有用其對應的公鑰才能解得回來;公鑰可以公開出去,私鑰則必須好好保管在自己的計算機里,常見的非對稱式算法如RSA, DSA等。這兩類加密算法主要用途不同,在此不再細述。加密的強度(容不容意被破解)還依靠使用金鑰的長度及如何產生及保管金鑰。金鑰如果是隨機產生(Random)而不是人為選擇的,通常只能用「暴力」法來破解,這就要看需要花多少時間與成本了。
如何選擇好的加密工具
一個好的加密工具軟體至少需俱備:
1.支持最新最安全的主流加密算法;
2.支持最大公鑰長度;
3.容易使用的操作接口及金鑰管理;
4.經過長時間眾多使用者的粹練;
5.可以同時用在email加密, 檔案加密等不同目的。
加密軟體
PGP加密軟體從早期的免費版本到近年來的商業版本,十多年來已有超過三百萬個使用者,尤其在商務套用上,全球百大企業80%使用它在內部人員計算機以及外部商業夥伴的機密數據往來。
PGP Desktop軟體功能眾多,但使用上非常容易。因為PGP主要使用非對稱式加密, 所以要先產生一組Key Pair, 你可以選擇金鑰長度,越長越安全,但相對地加解密越花時間;內定是2048bit RSA Key,這key pair 包括一支公鑰及一支私鑰,
你也可以產生很多key pair,可以一個key pair對應一個email賬戶,或不需要email賬戶,如果你想用在其它加密用途,但是太多key pair 只會混亂自己,除非你記憶力很好。到這裡你已經可以保護自己計算機裡面的數據了,如果你想與別人分享私密數據,你必須與他們交換公鑰。你可以Export自己的公鑰寄給你的親朋好友, 也可以上傳到PGP的公鑰伺服器(PGP Global Directory Key Server),想要與您「親密」往來的人可以下載您的公鑰。這些動作都是在PGP工具畫面下可以完成的。
接下來你要將別人的公鑰Import進來, PGP 畫面里的All Keys 就是讓你管理所有的公鑰;你也可以將key pair (或私鑰)放在USB Token里,當你要使用私鑰時,必須插入此Token,並輸入密碼驗證,這樣做更安全。
一電子郵件加密
擔心寄出的電子郵件內容被人看光光? 會不會收到偽冒的電子郵件? PGP可以自
動地幫您做eMail加密及簽章。
你可以自己設定各種安全政策,例如收件人是誰、主旨內容為何時就需要加密與簽章,其它情況可以只簽章(證明這信是我本人發的)而不加密;你只要將 PGP Mail Proxy service打勾,PGP就依照您設定的政策自動執行,PGP會找出收件人的公鑰,使用此公鑰來加密郵件內容,再用你自己的私鑰來簽章這郵件;對方PGP收到這郵件時,會先用你的公鑰來驗證這郵件確是你寄出的,然後用他自己的私鑰來解開這郵件內容。這所有動作都由PGP在背後自動執行。
你也可以不用 PGP Mail Proxy Service,你自己可以先用Notepad之類的工具編寫郵件內文,然後按PGP Icon 選擇 [Current Window], 再選擇 [Encrypt & Sign] 或 [Encrypt],就會出現你計算機里所有公鑰的人讓你選擇,你可以選取多個人,這些人就是可以解密你加密的內容。
加過密的數據就如下圖所示,再把它貼到eMail里寄出即可。
如果你只是要附屬檔案檔案加密,例如一張自拍照(圖檔),或是研發中的CAD/CAM檔, 或是一般機密的Office檔案,你可以直接在檔案總管下按滑鼠右鍵,選擇[PGP Desktop],然後選舉 [Secure … with key…],PGP視窗跳出讓你選擇可解開此加密檔的人(金鑰),這檔案就被加密起來。萬一你不小心寄錯人了,因為此收件人不
在你選擇的解密人名單里,他也無法打開它。
二虛擬磁碟驅動器
如果您只是想要加密計算機里的私密數據,除了您本人(或加上您指定的人)沒有其人可以解密這些數據。所以即使計算機遺失、計算機被盜用、甚或檢調單位來搜,也不用擔心這些私密資料外泄。通常,最安全的方法伴隨的是不方便使用,但是PGP的虛擬磁碟驅動器加密功能可以安全又好用。
您可以指定硬碟某空間來做為一加密磁碟驅動器,在這磁碟驅動器里的檔案及數據夾都是加密過的,只有你自己或是被您指定可出示私鑰或使用者代號密碼才能解密這些數據。任何你認為機密的檔案都可以擺到裡面,加過密的磁碟其操作如同一般檔案總管,您依舊使用Word, Excel, Photoshop等軟體包或應用程式來打開它,完全不受影響,因為PGP自動處理進出這磁碟驅動器的加解密工作。
MSN及 Skype等實時訊息軟體通常會將聊天記錄保留下來,這也成了許多捉姦的證據之一。試試看把這些聊天記錄的位置改到加密磁碟驅動器里。
電子郵件軟體如Outlook、Outlook Express等,無論是收件匣或寄件備份,其實都是檔案而已,例如Outlook是.pst檔案,這些電子郵件檔案通常包括了很多機密內容。想想看,它們可不可能被人Copy走呢?
三加密與壓縮功能
如果你只是想將部份目錄或檔案加密然後傳給別人(eMail或FTP等),你當然可以用WinZip或WinRAR等工具里的密碼保護,但其加密算法較弱,同時密碼也可能被猜到,這對於要傳送極機密的檔案數據是有風險的。PGP則提供較高安全的類似工具,如果對方有PGP,你應該使用對方的公鑰來加密,如果要將加密檔送給多人,就加入多個公鑰,擁有任何一個公鑰所對應的私鑰可以解密這些檔案,這是使用RSA 2048 bit加密算法(內定),所以比較安全;加完密後再用自己的私鑰來簽章,PGP同時幫你將檔案壓縮。
如果對方沒有PGP時,你可以使用Self-Decrypting Archive(SDA),PGP會要求你輸入加密密碼,然後使用這密碼來加密檔案,並產生可自動解密的執行檔,當然, 您必須另外告知對方解密的密碼。
四整顆硬碟加密
(Whole Disk Encryption,WDE)
大部份人都知道,Windows的登入密碼只是防君子不防小人的。當你的計算機遺失時,「撿到的人」可以用別的方式開機進入你的計算機看硬碟內容,對於安全要求比較高的某些人來說,只有檔案加密可能還是不夠。另外,隨身碟是最容易搞丟的東西,一不小心,重要數據就落入競爭者手中。
PGP 全硬碟加密可以針對隨身碟、外接式硬碟、硬碟Partition、整顆硬碟加密。硬碟加密是將所有扇區都亂碼化(加密),必須經過另一道驗證手續才能還原。
如果是整顆硬碟加密,在開機時(Boot)會要求另外輸入密碼(或插入USB Token), 如果是外接硬碟或Partition加密,則可使用PGP金鑰還原。
五網路磁碟加密
以上所談都限於個人使用的計算機(Desktop & Notebook),如果是工作群組使用的檔案伺服器或共享數據夾要如何保護及加密呢? 你當然可以花大筆銀子建立一套PKI-like的安全系統,雖然安全但很不好用。PGP NetShare 是一個容易使用的加密工具,加密網路磁碟就如同加密本機磁碟一樣,首先選擇共享數據夾路徑,再選擇允許解密這數據夾的使用者公鑰,然後選擇是否要簽章(證明這事是你做的),PGP就將你所選擇的數據夾加密,只有被授權的使用者(擁有被選定之公鑰對應之私鑰者)才能看到裡面的內容。
六徹底刪除資料
你一定知道, Windows的刪除檔案的動作並不是真的從磁碟里抹除,它只是被丟到「資源回收桶」,可以隨時再取回來。你可能也知道,按[shift]鍵再Delete時,Windows會問你是否要永久刪除檔案,但這真的刪除了嗎? 隨便找一個反刪除或檔案救回工具軟體,如FinalData,都可以再把檔案找回來;即使是格式化(Format), 尤其是快速格式化,都不見得可以完全將檔案從磁碟里抹除,何況你不會只為了徹底刪除幾個檔案就要將硬碟整個Format吧!
PGP Shredder工具可以將檔案內容完全抹除,即使你使用FinalData等工具要來找回檔案,可能看得到檔案名稱稱,可是內容絕對是一堆無意義的亂碼。使用PGP Shredder很容易,將要刪除的檔案拖放到桌面的PGP Shredder Icon,或是直接在檔案總管按滑鼠右鍵,再選擇[PGP Desktop] [PGP Shred這個檔案]即可。
結論
最後,企業使用數據加密時還會關心一個問題:如果員工離職,如何解開他計算機里的加密檔案? 或是如果您的私鑰遺失,或密碼忘了,是否就沒救了? PGP有個專利技術,ADK(Additional Decrypting Key),好好保管這支鑰匙。
對了,如果您是使用Apple Mac機器,PGP Desktop 也支持Mac OS的作業系統,而且操作方式與界面與Windows是一樣的。
信息安全是沒有滿分的,對於個人計算機環境(Desktop)與點對點(End-to-End)的數據安全的需求來說,PGP Desktop工具是不錯的選擇。
安全篇
安全程式的使用不能保證你的通信就是安全的。就算你在房子前門安裝一個最安全的鎖,小偷仍然可以從開著的窗戶爬進來。同樣,即使使用了PGP,你的計算機也仍可能很脆弱。
有許多有名的對PGP的攻擊;下面的部分就介紹這些攻擊。然而,這些決不是一個完整的清單。將來的攻擊很可能會攻破所有的公鑰加密技術。這份清單只是讓你了解一下保護通信時需要做些什麼。
蠻力攻擊
對PGP最直接的攻擊是蠻力攻擊使用的密鑰。因為PGP 2.6.2使用的兩個加密算法,所以要看看這兩個算法的安全性。對於公鑰加密技術,PGP使用RSA算法;對於私鑰加密技術,它使用IDEA。
(1)蠻力攻擊RSA密鑰
對於RSA密鑰,已知最好的蠻力攻擊是分解它們。RSA密鑰產生時就使得它們難於分解。而且,分解大的數仍然是一門很新的藝術。
最近,最大的一個被分解的RSA密鑰是RSA-129,它於1994年4月被分解。RSA-129是在設計RSA算法時於1977年創建的原始RSA提問。它是一個129位的十進制RSA密鑰,相當於425位。分解這個數動員了全世界範圍的力量,使用了1600台計算機,實際耗費時間超過8個月。
它處理了4600MIPS年的數據;1MIPS年是1MIPS的機器一年所能處理的數據量。例如,一個Pentium 100大約是125MIPS(根據Intel)。如果一個Pentium 100機器為解決一個問題一年時間不停地運行,它就貢獻了125MIPS年。按照這種速度,一台機器要花37年才能破解RSA-129。如果使用100台機器,只需要4個月就能破譯這個代碼,只是實際項目一半的時間。
當前,PGP 2.6.2 版使用從512到2048位的密鑰。密鑰越大,分解越困難。同時,增加密鑰長度也會增加使用密鑰的時間。從日期來說,據認為一個512位的密鑰能夠給予1年的安全性;訪問100台Pentium 100機器要花至少一年才能破譯出512位的RSA密鑰。如果這是真的,那么一個1024位的密鑰,若使用今天最新的算法,假設在技術上沒有提高的話,在以後10000年都是安全的。如果技術上有所提高,需要的時間就會少些。然而,看起來技術可能一直在進展。
(2)蠻力攻擊IDEA密鑰
現在還沒聽說有人攻擊IDEA密鑰。最好是嘗試2^128或3.4×10^38個密鑰。由於完成這一測試的困難性,嘗試破譯PGP中用於加密IDEA密鑰的RSA密鑰更容易。據估計破譯IDEA的困難如同分解3000位RSA密鑰的困難相當。
私鑰和通過短語
PGP私鑰環的安全性基於兩件事:對私鑰環數據的訪問和對用於加密每個私鑰的通過短語的了解。使用私鑰要擁有這兩部分。然而,這也引起了許多攻擊。
如果PGP用於多用戶系統中,就可能訪問私鑰環。通過快取檔案,網路窺視或者許多其他的攻擊,可以利用監視網路或者讀取磁碟得到私鑰環。這樣就只剩下通過短語用來保護私鑰環中的數據了,這就意味著只要獲得通過短語就能攻破PGP的安全。
而且,在一個多用戶系統中,鍵盤和CPU之間的鏈路可能是不安全的。如果有人能夠物理上訪問連線用戶鍵盤和主機的網路,監視擊鍵是很容易的。例如,用戶可能從一群公共的客戶終端上登錄,這時就可以窺探連線網路得到通過短語。另外,用戶還可能通過數據機拔叫,在這種情況下竊賊就可以監聽鍵盤擊鍵。在任何一種情況下,在一個多用戶的機器
上運行PGP都是不安全的。
當然,運行PGP最安全的方法是在一台沒有其他人使用而且不連網的個人機上運行;也就是說,一台膝上型或家庭計算機。用戶必須在安全環境的代價和安全通信的代價之間找到一種平衡。使用PGP的推薦方法是:總是在安全環境下的安全機器上動用,這樣用戶就可以控制整個機器。
最好的安全性關鍵在於鍵盤和CPU之間的連線是安全的。這既可以通過加密來完成,或者更好一點通過直接、無中斷的連線實現。工作站、PC、Mac、膝上型機器都屬於安全的機器。
安全的環境更難於顯示,這裡沒有加以探討。
對公鑰環的攻擊
由於公鑰環(公有密鑰環)的重要性和對它的依賴性,PGP受到許多針對密鑰環的攻擊。首先,只有當密鑰環改變時才被檢查。當添加新的密鑰或簽名時,PGP驗證它們。然而,它會標記密鑰環中已檢查過的簽名,這樣就不會再去驗證它們。如果有人修改了密鑰環,並且設定了簽名中相應的位,就不會被檢查出來。
對PGP密鑰環的另一種攻擊集中於PGP使用的進程,它對密鑰有效性設定1位。當到達一個密鑰的新簽名時,PGP就使用前面描述過的信任網路值計算該密鑰的有效位。然後PGP在公有密鑰環中快取這個有效位。一個攻擊者可能會在密鑰環中修改這位,從而迫使得用戶相信一個無效密鑰是有效的。例如,通過設定這個標誌,攻擊者能夠使得用戶相信一個密鑰屬於Alice,儘管沒有足夠的簽名證明這個密鑰的有效性。
也可能發生對PGP公鑰環的另一種攻擊,因為作為介紹人的密鑰信任也快取在公有密鑰環中。這個值定義密鑰的簽名有多少信任度,因此如果使用帶有無效參數的密鑰簽名就可能使PGP把無效密鑰作為有效密鑰接受。如果一個密鑰被修改為完全受託的介紹人,那么用這個密鑰簽名的任何密鑰都被信任為有效的。因此,一個攻擊者如果用一個修改過的密鑰為另一個密鑰簽名,就會使得用戶相信它是有效的。
公鑰環最大的問題是所有這些位不僅在公鑰環中快取,而且密鑰環中沒有任何保護。
讀過PGP原始碼而且能夠訪問公鑰環的任何人都可以使用一個二進制檔案編輯器修改任何一位,而密鑰環的所有者卻無法注意到這個修改。幸運的是,PGP提供一種方法重新檢查密鑰環中的密鑰。通過聯合使 -kc 和 -km 選項,用戶可告訴PGP執行對整個密鑰環的密鑰維護。
前一個選項告訴PGP檢查密鑰和簽名。PGP會查看整個密鑰環,重新檢查每一個簽名。當檢查了所有簽名之後,PGP將執行一個維護性檢查(-km),重新計算所有密鑰的有效性。
不幸的是,沒有一種辦法能夠完全重新檢查密鑰中的所有信任位元組。這是一個漏洞。應當有一個命令告訴PGP忽略所有信任位元組,從終極密鑰,即私鑰環中的密鑰,向用戶詢問信任性。
或許PGP將來的版本會改正這個問題。如果一個密鑰被改成是可信任的介紹人,你沒有辦法找到修改之處並改正它。運行密鑰和維護檢查只能恢復密鑰的有效性,但不是信任值。只有對一個密鑰運行PGP -ke才能編輯信任參數,而這不能自動完成。
程式的安全性
如果有人能夠訪問PGP程式的二進制檔案,他就可以改變它,讓它做他想做的任何事。
如果這個介入者能夠從你的鼻子底下替換你的PGP二進制檔案,你對PGP的信任就建立在你對這個人的信任和你實際驗證這個程式的能力上。例如,一個能夠進行這種訪問的攻擊者可能會改變PGP,使得它總是驗證簽名,甚至簽名是無效的。PGP可能被修改,總是向NSA傳送所有訊息的純文本複製。這些攻擊很難檢測,而且難於對付。PGP需要成為受託代碼基礎的一部分;如果你不信任你的PGP二進制檔案,那就不要信任它的輸出。
相信PGP二進制檔案最好的辦法就是自己從原始碼建立它。然而,這並不總是可能的。
其他辦法包括在它建立時監視它或者從一個受託的來源得到它。查看二進制檔案的大小和日期很有幫助。使用其他受託的程式,像md5sum能有所幫助。但這只是把問題壓到了另一層。如果你不信任PGP程式,就沒有太多做的了。
對PGP的其他攻擊
對PGP可能還有其他攻擊,但是這裡不做討論。從來沒有證明過PGP使用的加密算法是安全的。PGP所使用的數學雖然被認為是安全的,但是有可能很容易攻破。對RSA的分解攻擊可能得到改進、或者有人可能在IDEA中找到一個漏洞。
要想知道什麼安全、什麼不安全,對密碼技術所運用的數學知識了解得還不夠。實際上,據知任何事都不是完全安全的,如果有足夠的計算能力,任何形式的密碼技術都可以攻破。
問題是破譯代碼所花費的時間和精力與被保護的數據價值相比是否值得。注意破譯代碼所花費的力量將隨著時間不斷地減少,因為計算機的能力不斷增強,而價格不斷地下降。到現在為止,密碼專家仍然超前於破譯者。
心得
1.PGP全盤加密注意事項
在全盤加密下,不能使用第三方磁碟軟體處理已加密的硬碟,如:不要重建或恢復MBR(主引導記錄),不要重建或恢復分區表,不要格式化,不要調整分區大小等。總之,就是不要用就是了,切記。
不要安裝和使用會更改MBR的恢復軟體(所有會改MBR的軟體都不要安裝和使用),如:一鍵ghost,廠家自己的一鍵恢復軟體,Acronis True Image(F11鍵),雨過天晴等。切記!
最後說一點:只要做到不對MBR和硬碟分區作任何更改,PGPWDE是安全的!
2.PGP全盤加密失敗(如斷電,當機等)去除電腦開機輸入密碼方法
當用PGP進行全盤加密的時候,如果不幸遇到斷電或者當機,而你又不幸沒有選上斷電保護,電腦被迫重啟後,全盤加密未完成的情況,電腦開機會叫輸入之前全盤加密選項裡面的用戶開機口令,這時候,想要去除全盤加密可以用MBR TOOL等MBR重寫工具進行硬碟引導區重寫,PGP的開機加密是以代碼形式寫入了硬碟引導區(MBR)里,所以只要重寫了硬碟引導區就可以去掉PGP的全盤加密設定及其開機加密密碼,具體重寫入步驟請百度下。
3.PGP密鑰注意事項
一般PGP在你重灌系統後密鑰容易出問題,其它時候都很安全。重灌系統一定要備份密鑰環檔案,順便把私鑰檔案(密鑰對)也備份出來。重裝好後裝PGP它會有提示,這時你需要導入密鑰環或者密鑰對,而不是簡單的複製貼上到PGP的資料夾中。
使用範圍
本產品是美國國防部專用加密軟體,同時美國政府對此軟體下達了出口禁令,不允許出口128bit及以上的版本,也就是說,在美國本土以外使用的PGP程式大多都是64bit的。美國政府可以更加高效和快速的破解檔案
PGP新解
關於PGP的其他解釋
PGP又被作為一種全新的網際網路盈利模式的簡稱,中文闡釋是“精準導購平台”(Precision guide platform),簡稱PGP。這種模式是基於門戶網為平台,通過具有針對性的、對顧客具有實際幫助的、具有引導和促進顧客購買慾望的海量資訊+圖片為基礎,結合B2C、C2C平台進行購物分成。
PGP是2013年剛剛興起的一種商業模式,主要集中於時尚入口網站、奢侈品入口網站、女性入口網站等,是淘寶客的升級版商業模式。
盤點密碼學相關知識
| 盤點密碼學相關知識,密碼學是研究編制密碼和破譯密碼的技術科學。 |
