爱华网PGP(Pretty GoodPrivacy),是一个基于RSA公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。它可以可以提供一种安全的通讯方式,而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法,用于数字签名的邮件文摘算法,加密前压缩等,还有一个良好的人机工程设计。它的功能强大,有很快的速度。而且它的源代码是免费的。
PGP-更好的保护你的隐私
PGP是英文Pretty Good Privacy(更好的保护隐私)的简称,是一个基于RSA公钥&私钥及AES等加密算法的加密软件系列[1]。
常用的版本是PGP DesktopProfessional(PGP专业桌面版),它包含邮件加密与身份确认,资料公钥&私钥加密,硬盘及移动盘全盘密码保护,网络共享资料加密,PGP自解压文档创建,资料安全擦除等众多功能。最终版本:PGP10.02[build13](PGP SDK4.0.0)。由于赛门铁克的公司的收购影响,PGP从10.0.2以后,将不再单独放出PGP版本的独立安装包形式,将会以安全插件等的形式集成于诺顿等赛门铁克公司安全产品里。
用途
概况
PGP 10.0.2最终中文纪念版
您公司可能有许多方法来保护信息。例如,可能利用上锁的门,在建筑物里隔出一个封闭的空间,然后只允许被授权的人出入 公司也可以要求员工必须使用个人账号以及密码来登录网络,同时架设防火墙服务器来监控所有公司内部与外部间信息传输。这些机制都是为了要加强信息的保密。PGP能够提供独立计算机上的信息保护功能,使得这个保密系统更加完备。它提供了这些功能:数据加密,包括电子邮件、任何储存起来的文件、还有即时通讯(例如ICQ之类)。 数据加密功能让使用者可以保护他们发送的信息─像是电子邮件还有他们储存在计算机上的信息。文件和信息通过使用者的密钥,通过复杂的算法运算后编码,只有它们的接收人才能把这些文件和信息解码。
功能
现在您应该对 PGP 已经有个大概的了解了,让我们看看 PGP 实际上具有哪些功能:PGP使用加密以及效验的方式,提供了多种的功能和工具,帮助您保证您的电子邮件、文件、磁盘、以及网络通讯的安全。您可以使用 PGP做这些事:
1、在任何软件中进行加密/签名以及解密/效验。通过 PGP 选项和电子邮件插件,您可以在任何软件当中使用 PGP的功能。
2、创建以及管理密钥。使用 PGPkeys 来创建、查看、和维护您自己的 PGP密钥对;以及把任何人的公钥加入您的公钥库中。
3、创建自解密压缩文档 (self-decrypting archives,SDA)。您可以建立一个自动解密的可执行文件。任何人不需要事先安装 PGP,只要得知该文件的加密密码,就可以把这个文件解密。这个功能尤其在需要把文件发送给没有安装 PGP的人时特别好用。并且,此功能还能对内嵌其中的文件进行压缩,压缩率与ZIP相似,比RAR略低(某些时候略高,比如含有大量文本)。总的来说,该功能是相当出色的。
4、创建PGPdisk加密文件。该功能可以创建一个.pgd的文件,此文件用PGPDisk功能加载后,将以新分区的形式出现,您可以在此分区内放入需要保密的任何文件。其使用私钥和密码两者共用的方式保存加密数据,保密性坚不可摧,但需要注意的是,一定要在重装系统前记得备份“我的文档”中的“PGP”文件夹里的所有文件,以备重装后恢复您的私钥。切记切记,否则将永远没有可能再次打开曾经在该系统下创建的任何加密文件!
5、永久的粉碎销毁文件、文件夹,并释放出磁盘空间。您可以使用PGP粉碎工具来永久地删除那些敏感的文件和文件夹,而不会遗留任何的数据片段在硬盘上。您也可以使用PGP自由空间粉碎器来再次清除已经被删除的文件实际占用的硬盘空间。这两个工具都是要确保您所删除的数据将永远不可能被别有用心的人恢复。
6、9.x新增:全盘加密,也称完整磁盘加密。该功能可将您的整个硬盘上所有数据加密,甚至包括操作系统本身。提供极高的安全性,没有密码之人绝无可能使用您的系统或查看硬盘里面存放的文件、文件夹等数据。即便是硬盘被拆卸到另外的计算机上,该功能仍将忠实的保护您的数据、加密后的数据维持原有的结构,文件和文件夹的位置都不会改变。
7、9.x增强:即时消息工具加密。该功能可将支持的即时消息工具(IM,也称即时通讯工具、聊天工具)所发送的信息完全经由PGP处理,只有拥有对应私钥的和密码的对方才可以解开消息的内容。任何人截获到也没有任何意义,仅仅是一堆乱码。
8、9.x新增:PGPzip,PGP压缩包。该功能可以创建类似其他压缩软件打包压缩后的文件包,但不同的是其拥有坚不可摧的安全性。
9、9.x增强:网络共享。可以使用PGP接管您的共享文件夹本身以及其中的文件,安全性远远高于操作系统本身提供的帐号验证功能。并且可以方便的管理允许的授权用户可以进行的操作。极大的方便了需要经常在内部网络中共享文件的企业用户,免于受蠕虫病毒和黑客的侵袭。
10、10.x新增:创建可移动加密介质(USB/CD/DVD)产品:PGPPortable。曾经独立的该产品已包含在其中,但使用时需要另购许可证。
PGP加密、解密方法以及PGP的密钥管理机制
PGP是一种供大众使用的加密软件。电子邮件通过开放的网络传输,网络上的其他人都可以监听或者截取邮件,来获得邮件的内容,因而邮件的安全问题就比较突出了。保护信息不被第三者获得,这就需要加密技术。还有一个问题就是信息认证,如何让收信人确信邮件没有被第三者篡改,这就需要数字签名技术。RSA公钥体系的特点使它非常适合用来满足上述两个要求:保密性(Privacy)和认证性(Authentication)。
RSA(Rivest-Shamir-Adleman)算法是一种基于大数不可能质因数分解假设的公匙体系。简单地说就是找两个很大的质数,一个公开即公钥,另一个不告诉任何人,即私钥。这两个密匙是互补的,就是说用公匙加密的密文可以用私匙解密,反过来也一样。 假设甲要寄信给乙,他们互相知道对方的公匙。甲就用乙的公匙加密邮件寄出,乙收到后就可以用自己的私匙解密出甲的原文。由于没别人知道乙的私匙,所以即使是甲本人也无法解密那封信,这就解决了信件保密的问题。另一方面由于每个人都知道乙的公匙,他们都可以给乙发信,那么乙就无法确信是不是甲的来信。这时候就需要用数字签名来认证。
在说明数字签名前先要解释一下什么是“邮件文摘”(messagedigest)。邮件文摘就是对一封邮件用某种算法算出一个最能体现这封邮件特征的数来,一旦邮件有任何改变这个数都会变化,那么这个数加上作者的名字(实际上在作者的密匙里)还有日期等等,就可以作为一个签名了。PGP是用一个128位的二进制数作为“邮件文摘”的,用来产生它的算法叫MD5(messagedigest 5)。MD5是一种单向散列算法,它不像CRC校验码,很难找到一份替代的邮件与原件具有同样的MD5特征值。 回到数字签名上来,甲用自己的私匙将上述的128位的特征值加密,附加在邮件后,再用乙的公匙将整个邮件加密。这样这份密文被乙收到以后,乙用自己的私匙将邮件解密,得到甲的原文和签名,乙的PGP也从原文计算出一个128位的特征值来和用甲的公匙解密签名所得到的数比较,如果符合就说明这份邮件确实是甲寄来的。这样两个安全性要求都得到了满足。 PGP还可以用来只签名而不(使用对方公钥)加密整个邮件,这适用于公开发表声明时,声明人为了证实自己的身份,可以用自己的私匙签名。这样就可以让收件人能确认发信人的身份,也可以防止发信人抵赖自己的声明。这一点在商业领域有很大的应用前途,它可以防止发信人抵赖和信件被途中篡改。
服务器
服务器/网关级产品
PGP Universal Server(PGP通用服务器)
越来越多企业开始建置加密系统,以保护敏感的企业机密,很遗憾的,为了解决各种加密的问题,保护邮件、硬盘、文档…等等,建置了不同的平台,导致管理上的困难,且浪费企业预算!PGPUniversalServer通过集中操控的安全策略,来保护机密数据、避免财务损失、避免衍生法律问题、避免因机密外泄而商业信誉受损。PGP加密平台–PGPUniversal Server,提供邮件、文档、硬盘、网络共享文件夹的加密保护,并有以下特色: •密钥管理-创建,分配和存放加密密钥而保持只有组织允许的授权人员访问加密的数据。
• 策略执行-传送集中操控的策略配置且移除不一致的或不正确的策略配置危险。
• 报告和记录-提供可见的加密保护当前状态以帮助和满足管理员和审查员的要求。
• 扩展架构-通过消除管理系统多余的各部分未来的加密软件购置费用减少时间和成本。
• 密钥的集中管理–自动生成密钥、导入/导出公钥或密钥对。
• 完全自主的策略定制–通过加密网页操控全公司的策略,拥有完全的自主权,最终用户完全不需要参与策略的制定过程。
• 完善的报告及记录功能–自动发送报告数据给系统管理者,每一封邮件的进出皆有详细的纪录文件可供查询。
PGP Universal Gateway Email(PGP通用网关邮件)
• 简单的自动操作–保护敏感电子邮件,无需改变用户体验。
• 强制安全策略–根据集中操控策略自动强制执行数据保护。
• 加速部署–使用现有基础设施进行传送邮件加密。
* PGP Universal Gateway Email是PGP Universal Server的邮件插件
桌面级
客户端/桌面级产品 PGP Desktop Email(PGP桌面电子邮件版)
• 自动消息保护–自动加密、解密、数字签名并校验电子邮件消息。可依照本机独立或受PGP UniversalServer控制的中央管理策略工作。
• 多重方法保护数据–可使用PGP压缩包(PGPzip)、PGP自解密文档(PGP SDA,PGPSelf-Decrypting Archive),以及PGP虚拟磁盘(PGP VirtualDisk)保存和保护您的敏感数据。
• 安全文件擦除–从你的磁盘安全且永久的擦除易被发现的敏感文件所有痕迹。
PGP NetShare(PGP网络共享版)
• 远程应用程序传送支持–保护Citrix 和微软终端服务(Microsoft TerminalServer)会话数据。
• 同步文件–确保文件在网络中、服务器中、备份中都保持加密状态。。
•角色分隔–在保证安全性的情况下为满足一般用户,文件拥有者和管理员的不同需求,将采用不同的权限分配,限制每个使用者的操作能力到所需的最小值。
PGP Whole Disk Encryption(PGP全盘加密版)
• 多平台磁盘加密–为MacOS和Windows(两种系统的针对性PGP软件是需要分别购买的)提供包含预引导认证的全盘加密(开机便要求验证密钥密码,否则整个磁盘的数据都被PGP加密后保护着)
• 扩展国际键盘支持–使用超过30个国际键盘的预引导认证。
• 单点登录–使用当前已经存在Windows密码进行验证以简化登录操作
• 多重方法保护数据–可使用PGP压缩包(PGPzip)、PGP自解密文档(PGP SDA,PGPSelf-Decrypting Archive),以及PGP虚拟磁盘(PGP VirtualDisk)保存和保护您的敏感数据。
PGP Desktop Professional(PGP桌面专业版)
• 此版本的功能等于:Desktop Email+Whole Disk Encryption PGP DesktopStorage(PGP桌面存储版)
• 此版本的功能等于:Desktop Email+NetShare PGP DesktopCorporate(PGP桌面企业版)
• 此版本的功能等于:Desktop Email+Whole Disk Encryption+NetShare PGPEndpoint Device Control(PGP终端设备控制)
• 简单、自动操作–保护特殊许可和授权移动存储使用安全,不改变用户体验或减少生产力。
•强制安全策略–通过USB、火线、Wi-Fi和蓝牙连接的设备强制执行安全策略。自动以加密移动存储策略为基础;还可以记录使用情况和遵守安全审计验证。
• 加速部署–减少了安装时间和速度的企业保护,无需用户干预,并可利用现有的企业目录中的基础设施。
PGP Endpoint Application Control(PGP终端应用程序控制)
• 减少数据突破口风险–保证敏感的公司数据没有因未批准和恶意的软件减弱。
• 前端自动保护–减少帮助台和行政负担。提供自动零日防护,免受已知和未知应用威胁。
• 支持服从–详细的应用程序执行审计,协助示范服从制度。 •业务连续性–防止商业停机时间的恶意软件的扩散造成的危害。
• 透明用户体验–自动的后台操作,确保用户的工作效率不受影响。 PGP Portable(PGP便携加密)
• 保护所有设备或所有介质–适用于可移动存储设备或光学介质的基于软件的加密技术。 使用了正在申请专利的扩展验证与可信赖AES256位PGP®虚拟磁盘技术。 • 共享,分发,协作–可用Microsoft® Windows和Apple® Mac OSX访问被加密的数据,无需安装另外的软件。 提供就地阅读和编辑,无需更改本地用户体验。
• 轻松整合企业工作流程–为自动化和供应提供支持和口令管理,使企业获得数据的安全且不中断用户工作效率的策略。
PGP Mobile(Window Moblie 6、7专用,另有BlackBerry手机使用的支持包)
• PGP 虚拟磁盘–自动加密解密存储在磁盘卷内的内容。与PGP Desktop客户端兼容。 • PGP压缩包–简单的创建加密的数据文件。使用密码或证书对多个用户保护正在传送的数据。与PGP Desktop客户端兼容。
• 自解密文档–允许快速加密存储为Windows下的可执行文件包,以用于没有运行PGP软件的数据交换环境。
原理
PGP加密系统是采用公开密钥加密与传统密钥加密相结合的一种加密技术。它使用一对数学上相关的钥匙,其中一个(公钥)用来加密信息,另一个(私钥)用来解密信息。
PGP采用的传统加密技术部分所使用的密钥称为“会话密钥”(sek)。每次使用时,PGP都随机产生一个128位的IDEA会话密钥,用来加密报文。公开密钥加密技术中的公钥和私钥则用来加密会话密钥,并通过它间接地保护报文内容。 PGP中的每个公钥和私钥都伴随着一个密钥证书。它一般包含以下内容:
密钥内容(用长达百位的大数字表示的密钥) 密钥类型(表示该密钥为公钥还是私钥) 密钥长度(密钥的长度,以二进制位表示) 密钥编号(用以唯一标识该密钥) 创建时间 用户标识(密钥创建人的信息,如姓名、电子邮件等) 密钥指纹(为128位的数字,是密钥内容的提要表示密钥唯一的特征) 中介人签名(中介人的数字签名,声明该密钥及其所有者的真实性,包括中介人的密钥编号和标识信息)
PGP把公钥和私钥存放在密钥环(KEYR)文件中。PGP提供有效的算法查找用户需要的密钥。PGP在多处需要用到口令,它主要起到保护私钥的作用。由于私钥太长且无规律,所以难以记忆。PGP把它用口令加密后存入密钥环,这样用户可以用易记的口令间接使用私钥。
PGP的每个私钥都由一个相应的口令加密。PGP主要在3处需要用户输入口令: 需要解开收到的加密信息时,PGP需要用户输入口令,取出私钥解密信息 当用户需要为文件或信息签字时,用户输入口令,取出私钥加密 对磁盘上的文件进行传统加密时,需要用户输入口令
编辑本段使用篇
1、公钥、私钥和密钥环等是什么意思,分别用来干什么的?[2] 通俗的来说,公钥就是锁,私钥是钥匙。公钥用来加密或签名校验,私钥用来解密。密钥对则是包含锁和钥匙的套装。密钥环相当于密钥对和他人公钥的存储仓库,包含1个或更多地密钥对以及公钥。 2、*.asc这些PGP相关的扩展名是什么东西?
*.asc,按照PGP的标准解释,叫做“PGP ArmoredFile-PGP装甲文件”,意为PGP强力保护功能所用的文件。用途是作为导出的公钥或私钥扩展名。 *.skr,*.prvkr,“PGPPrivateKeyring-PGP私钥环”,意为保存计算机中PGP生成或导入的所有私钥的仓库。也叫私人密钥环或私有密钥环。 *.pkr,*.pubkr,“PGPPublicKeyring-PGP公钥环”,意为保存计算机中PGP生成或导入的所有公钥的仓库。也叫公共密钥环或公有密钥环。 *.sig,“PGPDetached SignatureFile-PGP独立签名文件”,意为PGP为用作数字签名或校验生成的独立签名文件。 *.shf,“PGP共享”,意为PGP密钥共享时所用的专用扩展名。 *.rnd,“PGP随机种子”,意为用于加密、生成密钥等PGP操作所需要而产生的随机种子文件。 *.pgp,“PGPEncrypted File-PGP加密文件”,意为PGP加密压缩过的独有文件格式。 *.pgd,“PGPdiskVolume-PGP磁盘卷”,意为PGP虚拟磁盘功能生成的保存有加密文件的虚拟磁盘分卷,将用来载入到PGP中作为独立分区使用。 *.pem,*.p12“X.509Certificate-PGP X.509证书”,意为PGP可使用的X.509标准数字证书。 *.krb,“PGP KeyReconstruction-PGP密钥重建”,意为PGP密钥恢复功能:“密钥重建”,生成的独有重建文件,非常重要。用于口令或密钥丢失时重新恢复所用。 *.gpg,“GPGEncrypted File-GPG加密文件”,意为PGP可以兼容的开源类PGP软件GPG的加密格式。 *.bexpk,“PGPBinary Extracted PublicKey-PGP二进制提取公钥”,意为特殊应用状态下PGP将生成的公钥格式。 *.aexpk,“PGP ArmoredExtracted PublicKey-PGP装甲提取公钥”,意为特殊应用状态下PGP将生成的公钥格式。 3、PGP到底能干什么?
能对邮件、文件、文件夹、整个硬盘加密,全网段加密权限和访问权限控制等。根据不同PGP系列产品功能有所不同的区分。 4、PGP能够被破解吗?为什么PGP自身有破解的版本可以用?
PGP的程序本身和PGP的加密机制是不同概念,请不要混淆。PGP程序的保护,并非使用的是PGP的混合型加密体系。破解程序容易,破解PGP加密的数据难。通常均以10年以上计算,但是最终也有被暴力破解的可能。只不过破解时间很长,可能是数十年,也可能是数百年。根据加密者的使用方法不同,强度也有不同。加密和破译,是有相对的时间关系,当一个加密体系所达到的加密强度,超出该文件的保密时间,就是成功的(如一个文件保密时间为10年,经过加密后,被破译的时间达到了10年零一天,破译即便完成,也没有丝毫意义。而PGP,便是为了这种需要而诞生。 5、PGP加密的文件为何可以被删除和复制?难道没有保护措施吗?
PGP的桌面级产品,并未对删除和复制做单独的保护。因为它的诞生目的,是保护数据不被不被授权的人看到真实内容,而不是不让它被拿走或删除。且这是建立在一个良好的保密制度的前提下,如专机专用,非授权人员不能轻易的访问有加密数据的计算机。且在系统中的所谓防删除和复制,都具有相当大的可能性被绕过而导致最终的删除或复制问题,所以,PGP没有设置这两项功能。 6、生成密钥的时候提示“令牌”,什么是令牌,干什么用的? 令牌/电子令牌:Token,这是PGP支持的一项硬件安全功能,不少银行的U盾,也是一种电子令牌,且因为是令牌生产厂商阿拉丁公司的芯片制作,故也可以被PGP兼容(如工行U盾)。令牌可以用于PGP创建密钥时使用,来实现凭借令牌和口令两者来加密保护数据。令牌的存储大小都比较小,通常只能放置1024或2048尺寸的PGP密钥。 7、为何我安装的PGP无法启动?一闪就没了?
根据使用者的反馈和我们的研究所知,这个现象常出现在全新安装10.x版本中,而使用者的计算机安装的是修改过的系统,如番茄花园/深度等,或是GHOST恢复的系统。解决方法是安装9.12版,再升级安装10.x,即可解决。故障原因尚未查明。 8、重装系统前,曾经用PGP加密了数据,需要注意些什么? 首先,请备份“我的文档”或“文档”下的“PGP”文件夹,内有PGP最为重要的密钥环文件,“pubring.pkr和secring.skr”,或带有-bak的文件(此为PGP自动创建的备份密钥环)。重装系统前,备份好它们,然后记得当初加密的密钥所用的口令,就可以了。重装完成后,复制这些文件到新系统的同样路径下,替换同名的0字节文件即可。如果PGP提示没有找到,请在PGP的“所有密钥”上点击右键〉属性中指定位置,或菜单中的“密钥〉密钥环属性”中重新指定一下这个位置即可。 9、为什么打开PGP后,别人的中文版显示的“所有密钥”这些中文,而我的是AllKeys? 这是因为你曾经安装了PGP英文版或早期的中文版,而这个参数是可以自行修改的,PGP重新安装或升级安装后,并不能自动更正为新的翻译,请在所需的位置点击右键〉重命名,输入对应中文名称或其他名称即可。不修改也不影响使用和兼容性,仅仅是一个标识名称。 10、我担心会忘记密钥的口令或不小心丢失了密钥,有什么方法能减少这种可能性? 可使用PGP内置的“密钥重建”功能解决,方法如下:打开PGPDesktop,选中你需要的密钥对(别人的公钥或自己导入的单一公钥不可以使用此功能,因为你没可能重新创建一个完整的他人密钥对,否则就没有加密意义了),然后在菜单处依次点击密钥〉创建我的PGP提问,然后输入这个密钥的口令,再根据提示选择预设的许多问题或输入你自己想要设定的问题,然后完成操作,即可生成一个.krb文件,这个文件就是可以用来帮助你恢复密钥口令或重建丢失的密钥所用的“密钥重建文件”,如果有此需要,使用它进行密钥的重建或口令更改恢复。但请务必记得创建的5个提问的答案,并保存好这个文件,否则同样不能解决问题。 11、为什么我的“PGP消息”功能处,“安全策略”,是一堆英文的东西?能修改吗? 同样是由于曾经安装了英文版,然后直接升级安装中文版导致,可以点击两次“编辑策略”按钮,进入编辑模式,再逐个点击“恢复到默认”按钮,进行重写策略信息,然后点击完成按钮,即可让英文的策略信息变成中文,如需特殊的PGP消息操作,也可以在此处根据选项中的提示进行修改,以实现所需的目的。12、我收到一封PGP加密格式的邮件,用PGP阅读器打开后,要求输入口令是怎么回事? 这是由于这封PGP邮件还附带了一个.pgp的加密附件,PGP阅读器为了使用方便,默认要求解密邮件原文时就直接询问附件的口令,关闭这个对话框或取消不输入即可,因为这个口令可能在邮件原文中,导出附件后输入也是可以的。如果你需要这样的方式来发送加密邮件,直接加入一个PGP加密的.pgp附件,就可以了。 13、我的PGP在使用一段时间后,发现桌面图标不见了,PGP托盘也不启动,怎么回事? 原因有几个可能,可能是清理系统时删除了PGP创建的临时启动文件或某些文件丢失等。建议直接运行PGP的安装文件,然后选择“修复”,等待完成后重启,应该可以解决问题。如果还不能,建议卸载后重新安装一次。 14、为什么我的PGP磁盘和其他解密操作不需要输入口令就能打开了? 应该是由于PGP的缓存口令功能导致,默认缓存2分钟刚才输入过的口令,具体时间可在PGP选项中自行设定。推荐使用2分钟的即可。 15、为什么我加密数据时,总是有个密钥自动被加入到密钥列表中? 这是因为你将这个密钥设为了“主密钥”,PGP就会默认每次在需要密钥操作时加入它,如果你不需要这么做,进入PGP选项〉主密钥,添加别的密钥或删除现有的密钥即可。 16、密钥方式加密和口令方式加密,优缺点在哪? 密钥方式加密,也叫“非对称式加密体系”,口令方式加密,也叫“对称加密体系”,两者的强度不同,前者具有更高的安全性,后者相对弱。前者根据所用的密钥的性质,又有不同的安全性能,主要跟密钥长度(如1028位,4096位)、密钥算法、哈希算法、密钥口令长度和复杂度有关。后者仅跟口令长度和复杂度有关。密钥长度越大,算法越强,口令长度越复杂,加密的安全性越大,防破解性能越好。推荐2048位以上的密钥长度。密钥方式因为所需的加密方式更加复杂,从加密和解密所需的时间来看,比单纯的口令加密要长。具体使用,根据数据加密要求和个人方便度进行考量后选择。 17、为什么我发送邮件时,PGP总是提示什么"是否保护XXX"的东西? 这是因为你没有配置这个信箱使用PGP消息功能进行自动加密保护,请进入PGP消息按照提示和信箱的设定进行配置,有时候PGP自动添加好的配置就可以正常,但更多时候还是不能正确设置好信箱的信息,所以建议手动配置。如果不想要使用这个功能,可在PGP选项〉消息,取消“安全邮件”的复选框,如果不想要每次都提示有新信箱需要保护,也可在设定好需要自动加密的邮箱后,只取消“探索新帐号”的复选框即可。 18、PGP支持哪些邮件客户端? PGPDesktop 10.0.2目前宣称支持如下邮件客户端:Microsoft Outlook 2010 (Outlook 14)、Microsoft Outlook 2007 SP1 (Outlook 12) 、Microsoft Outlook 2003SP3、 Microsoft Outlook XP SP3、Windows Mail 6.0.6000.16386、Microsoft Outlook Express 6 SP1、Windows Live Mail version2009、Lotus Notes 6.5.6, 7.0.3, 8.0.2, 8.5、Mozilla Thunderbird2.0、Novell GroupWise6.5.1。理论上支持所有标准协议:IMAP/POP/SMTP形式通信的邮件客户端,如DreamMail等。只要邮箱配置和PGP配置一致,即可正常使用。另外,如SSL/TLS加密通信的邮箱,需要在邮件客户端中取消SSL/TLS配置,并在PGP中开启SSL/TLS支持才可以用。 19、PGP的拳头功能“全盘加密”,有些什么系统要求? PGP公司提供的系统需求如下,不能满足条件的,请勿使用: 系统要求: MicrosoftWindows 2000 (SP4) Windows Server 2003 (SP1和2) Windows XP 32-bitversion (SP2或3) Windows XP 64-bit version (SP2) Windows Vista(所有32位和64位) 包含SP1/SP2 Windows 7 (所有32位和64位) Microsoft Windows XPTablet PC Edition 2005 (需要附加键盘) Windows Server 2003 SP 2(所有32位和64位) Windows Server 2008 SP 1和2 (所有32位和64位) Windows Server2008 R2 (所有32位和64位) 硬件最低要求: 512 MB内存 64MB硬盘 PGP全盘加密支持RAID-1和RAID-5,动态磁盘和软件RAID等不支持。 20、为什么我的PGP提示“不能连接到PGPSDK服务”? 这种现象可能是由于杀毒软件或某些保护软件和PGP启动项有冲突,导致没能正常启动。可先尝试手动进入控制面板〉管理工具〉服务,找到PGPSDK服务,启动它,如PGP托盘也没能启动,请再手动打开PGPDesktop快捷方式。如果还是不行,建议重启计算机。 21、PGP全球名录是什么东西?创建密钥时提示要上传公钥到上面去,怎么操作啊? PGP全球名录-PGPGlobalDirectory,这是PGP公司提供的一个免费密钥服务器,用来进行方便的公钥验证/发布/自动搜索加密这些功能,如对方的公钥已经上传到了该服务器,那么你给他发送加密邮件时,便不需要要求对方单独发一次密钥给你导入,PGP内置功能会自动连接并完成对应信箱公钥的下载/验证/签名的操作,减少人工干预次数,提高易用性。创建密钥时,会提示发布公钥到PGP全球名录,根据提示,会发送一份验证邮件到你绑定在密钥中的邮箱里,请访问这个邮箱完成验证过程,即可开始正常使用PGP全球名录提供的服务。 22、我的PGP安装有问题,卸载也卸载不干净,怎么清除残留后重装? 开机按F8进入安全模式,删除如下的文件夹即可。以下的C:为举例的系统盘符,请根据自己的实际情况修改。以下路径,进入后找到PGPDesktop或PGP开头的文件夹,删除即可。 如下是程序和语言文件统一路径和各系统对应路径的位置(剩余的注册表项不建议手动清除): C:ProgramFiles C:Program FilesCommonFiles C:WINDOWSSystem32和Syswow64下的PGP开头文件 WindowsXP C:Documents and Settings%username%ApplicationData C:Documents and Settings%username%LocalSettingsApplication Data Windows Vista/Windows7 C:Users%username%AppDataRoaming C:Users%username%AppDataLocal 23、我使用了全盘加密功能,系统出现问题时可以直接修复而不先解密吗? PGP公司不建议如此,必须先解密你加密的分区,然后再恢复,否则可能出现PGP全盘加密功能故障,导致无法解密。需要繁琐的使用PGP恢复盘进行修复解密引导后才能正常解密。另外,如果是破解版的PGP,这项功能和“网络共享”功能都不稳定,建议不要使用,否则后悔莫及。
编辑本段技巧篇
资料加密的必要性
根据ForresterResearch研究,过去大家都把资安重点放在IT环境(Infrastructure-level)的层层防护上(例如防火墙、入侵侦测、防毒等),而忽略了数据(Data-level)的防护,未来无论是企业或个人,以资料为中心的(DataCentric)防卫策略会越来越重要。 笔记型计算机遗失或被偷、硬盘被盗、随身碟遗失、计算机送修时数据被复制出去、磁带或光盘寄送过程中遗失、电子邮件或FTP传文件中被拦截窃取…等等每日层出不穷的新闻报导,让大家对计算机既喜爱又怕受伤害。其实只要一些很简单的方法与工具,就可免除这些数据遗失或外泄的风险。将数据加密起来,让不相干的人即使拿到也毫无用处,这是数据安全最简单也是最根本的做法。
加密的方法
所谓数据加密,就是透过某种方法将明文数据乱码化,让人看不懂;当本人要使用时再把它解密回来。至于这乱码过的资料是否容易被破解?这就涉及使用的「乱码方法」(Cryptography密码学)了。一般加密方法分为两类,一是对称式加密,使用同一把金钥(Key)来加密与解密,常见的对称式算法如DES,3DES,AES等;另一类是非对称式算法,使用一对金钥(公钥与私钥)来加解密,用公钥加密过资料只有用其对应的私钥才能解得回来,而用私钥加密过资料只有用其对应的公钥才能解得回来;公钥可以公开出去,私钥则必须好好保管在自己的计算机里,常见的非对称式算法如RSA,DSA等。这两类加密算法主要用途不同,在此不再细述。加密的强度(容不容意被破解)还依靠使用金钥的长度及如何产生及保管金钥。金钥如果是随机产生(Random)而不是人为选择的,通常只能用「暴力」法来破解,这就要看需要花多少时间与成本了。
如何选择好的加密工具
一个好的加密工具软件至少需俱备:
1.支持最新最安全的主流加密算法;
2.支持最大公钥长度;
3.容易使用的操作接口及金钥管理;
4.经过长时间众多使用者的粹练;
5.可以同时用在email加密, 档案加密等不同目的。
PGP加密工具软件
PGP加密软件从早期的免费版本到近年来的商业版本,十多年来已有超过三百万个使用者,尤其在商务应用上,全球百大企业80%使用它在内部人员计算机以及外部商业伙伴的机密数据往来。 PGPDesktop软件功能众多,但使用上非常容易。因为PGP主要使用非对称式加密, 所以要先产生一组KeyPair,你可以选择金钥长度,越长越安全,但相对地加解密越花时间;内定是2048bit RSA Key,这key pair包括一支公钥及一支私钥, 你也可以产生很多key pair,可以一个keypair对应一个email账户,或不需要email账户,如果你想用在其它加密用途,但是太多key pair只会混乱自己,除非你记忆力很好。到这里你已经可以保护自己计算机里面的数据了,如果你想与别人分享私密数据,你必须与他们交换公钥。你可以Export自己的公钥寄给你的亲朋好友,也可以上传到PGP的公钥服务器(PGPGlobal Directory KeyServer),想要与您「亲密」往来的人可以下载您的公钥。这些动作都是在PGP工具画面下可以完成的。 接下来你要将别人的公钥Import进来,PGP 画面里的All Keys 就是让你管理所有的公钥;你也可以将key pair (或私钥)放在USBToken里,当你要使用私钥时,必须插入此Token,并输入密码验证,这样做更安全。
一:电子邮件加密
担心寄出的电子邮件内容被人看光光? 会不会收到伪冒的电子邮件? PGP可以自 动地帮您做eMail加密及签章。
你可以自己设定各种安全政策,例如收件人是谁、主旨内容为何时就需要加密与签章,其它情况可以只签章(证明这信是我本人发的)而不加密;你只要将PGP Mail Proxyservice打勾,PGP就依照您设定的政策自动执行,PGP会找出收件人的公钥,使用此公钥来加密邮件内容,再用你自己的私钥来签章这邮件;对方PGP收到这邮件时,会先用你的公钥来验证这邮件确是你寄出的,然后用他自己的私钥来解开这邮件内容。这所有动作都由PGP在背后自动执行。 你也可以不用PGP Mail Proxy Service,你自己可以先用Notepad之类的工具编写邮件内文,然后按PGP Icon 选择[Current Window], 再选择 [Encrypt & Sign] 或[Encrypt],就会出现你计算机里所有公钥的人让你选择,你可以选取多个人,这些人就是可以解密你加密的内容。 加过密的数据就如下图所示,再把它贴到eMail里寄出即可。
如果你只是要附件文件加密,例如一张自拍照(图档),或是研发中的CAD/CAM档,或是一般机密的Office档案,你可以直接在档案总管下按鼠标右键,选择[PGPDesktop],然后选举 [Secure … withkey…],PGP窗口跳出让你选择可解开此加密档的人(金钥),这档案就被加密起来。万一你不小心寄错人了,因为此收件人不 在你选择的解密人名单里,他也无法打开它。
二:利用虚拟磁盘驱动器(Virtual Disk)
如果您只是想要加密计算机里的私密数据,除了您本人(或加上您指定的人)没有其人可以解密这些数据。所以即使计算机遗失、计算机被盗用、甚或检调单位来搜,也不用担心这些私密资料外泄。通常,最安全的方法伴随的是不方便使用,但是PGP的虚拟磁盘驱动器加密功能可以安全又好用。 您可以指定硬盘某空间来做为一加密磁盘驱动器,在这磁盘驱动器里的档案及数据夹都是加密过的,只有你自己或是被您指定可出示私钥或使用者代号密码才能解密这些数据。任何你认为机密的档案都可以摆到里面,加过密的磁盘其操作如同一般档案总管,您依旧使用Word,Excel, Photoshop等软件包或应用程序来打开它,完全不受影响,因为PGP自动处理进出这磁盘驱动器的加解密工作。 MSN及Skype等实时讯息软件通常会将聊天记录保留下来,这也成了许多捉奸的证据之一。试试看把这些聊天记录的位置改到加密磁盘驱动器里。
电子邮件软件如Outlook、OutlookExpress等,无论是收件匣或寄件备份,其实都是档案而已,例如Outlook是.pst文件,这些电子邮件档案通常包括了很多机密内容。想想看,它们可不可能被人Copy走呢?
三:档案加密与压缩功能
如果你只是想将部份目录或档案加密然后传给别人(eMail或FTP等),你当然可以用WinZip或WinRAR等工具里的密码保护,但其加密算法较弱,同时密码也可能被猜到,这对于要传送极机密的档案数据是有风险的。PGP则提供较高安全的类似工具,如果对方有PGP,你应该使用对方的公钥来加密,如果要将加密档送给多人,就加入多个公钥,拥有任何一个公钥所对应的私钥可以解密这些档案,这是使用RSA2048bit加密算法(内定),所以比较安全;加完密后再用自己的私钥来签章,PGP同时帮你将档案压缩。 如果对方没有PGP时,你可以使用Self-DecryptingArchive(SDA),PGP会要求你输入加密密码,然后使用这密码来加密档案,并产生可自动解密的执行档,当然,您必须另外告知对方解密的密码。
四:整颗硬盘加密
(Whole Disk Encryption,WDE)
大部份人都知道,Windows的登入密码只是防君子不防小人的。当你的计算机遗失时,「捡到的人」可以用别的方式开机进入你的计算机看硬盘内容,对于安全要求比较高的某些人来说,只有档案加密可能还是不够。另外,随身碟是最容易搞丢的东西,一不小心,重要数据就落入竞争者手中。
PGP全硬盘加密可以针对随身碟、外接式硬盘、硬盘Partition、整颗硬盘加密。硬盘加密是将所有扇区都乱码化(加密),必须经过另一道验证手续才能还原。
如果是整颗硬盘加密,在开机时(Boot)会要求另外输入密码(或插入USBToken),如果是外接硬盘或Partition加密,则可使用PGP金钥还原。
五:网络磁盘加密
以上所谈都限于个人使用的计算机(Desktop &Notebook),如果是工作群组使用的档案服务器或共享数据夹要如何保护及加密呢?你当然可以花大笔银子建立一套PKI-like的安全系统,虽然安全但很不好用。PGP NetShare是一个容易使用的加密工具,加密网络磁盘就如同加密本机磁盘一样,首先选择共享数据夹路径,再选择允许解密这数据夹的使用者公钥,然后选择是否要签章(证明这事是你做的),PGP就将你所选择的数据夹加密,只有被授权的使用者(拥有被选定之公钥对应之私钥者)才能看到里面的内容。
六:彻底删除资料
你一定知道,Windows的删除档案的动作并不是真的从磁盘里抹除,它只是被丢到「资源回收桶」,可以随时再取回来。你可能也知道,按[shift]键再Delete时,Windows会问你是否要永久删除档案,但这真的删除了吗?随便找一个反删除或档案救回工具软件,如FinalData,都可以再把档案找回来;即使是格式化(Format),尤其是快速格式化,都不见得可以完全将档案从磁盘里抹除,何况你不会只为了彻底删除几个档案就要将硬盘整个Format吧! PGPShredder工具可以将档案内容完全抹除,即使你使用FinalData等工具要来找回档案,可能看得到文件名称,可是内容绝对是一堆无意义的乱码。使用PGPShredder很容易,将要删除的档案拖放到桌面的PGP Shredder Icon,或是直接在档案总管按鼠标右键,再选择[PGPDesktop] [PGP Shred这个档案]即可。
结论
最后,企业使用数据加密时还会关心一个问题:如果员工离职,如何解开他计算机里的加密档案?或是如果您的私钥遗失,或密码忘了,是否就没救了? PGP有个专利技术,ADK(Additional DecryptingKey),好好保管这支钥匙。
对了,如果您是使用Apple Mac机器,PGP Desktop 也支持MacOS的操作系统,而且操作方式与界面与Windows是一样的。
信息安全是没有满分的,对于个人计算机环境(Desktop)与点对点(End-to-End)的数据安全的需求来说,PGPDesktop工具是不错的选择。
安全篇
安全程序的使用不能保证你的通信就是安全的。就算你在房子前门安装一个最安全的锁,小偷仍然可以从开着的窗户爬进来。同样,即使使用了PGP,你的计算机也仍可能很脆弱。 有许多有名的对PGP的攻击;下面的部分就介绍这些攻击。然而,这些决不是一个完整的清单。将来的攻击很可能会攻破所有的公钥加密技术。这份清单只是让你了解一下保护通信时需要做些什么。
1.蛮力攻击
对PGP最直接的攻击是蛮力攻击使用的密钥。因为PGP2.6.2使用的两个加密算法,所以要看看这两个算法的安全性。对于公钥加密技术,PGP使用RSA算法;对于私钥加密技术,它使用IDEA。
(1)蛮力攻击RSA密钥 对于RSA密钥,已知最好的蛮力攻击是分解它们。RSA密钥产生时就使得它们难于分解。而且,分解大的数仍然是一门很新的艺术。 最近,最大的一个被分解的RSA密钥是RSA-129,它于1994年4月被分解。RSA-129是在设计RSA算法时于1977年创建的原始RSA提问。它是一个129位的十进制RSA密钥,相当于425位。分解这个数动员了全世界范围的力量,使用了1600台计算机,实际耗费时间超过8个月。
它处理了4600MIPS年的数据;1MIPS年是1MIPS的机器一年所能处理的数据量。例如,一个Pentium100大约是125MIPS(根据Intel)。如果一个Pentium100机器为解决一个问题一年时间不停地运行,它就贡献了125MIPS年。按照这种速度,一台机器要花37年才能破解RSA-129。如果使用100台机器,只需要4个月就能破译这个代码,只是实际项目一半的时间。
当前,PGP 2.6.2版使用从512到2048位的密钥。密钥越大,分解越困难。同时,增加密钥长度也会增加使用密钥的时间。从日期来说,据认为一个512位的密钥能够给予1年的安全性;访问100台Pentium100机器要花至少一年才能破译出512位的RSA密钥。如果这是真的,那么一个1024位的密钥,若使用今天最新的算法,假设在技术上没有提高的话,在以后10000年都是安全的。如果技术上有所提高,需要的时间就会少些。然而,看起来技术可能一直在进展。
(2)蛮力攻击IDEA密钥 现在还没听说有人攻击IDEA密钥。最好是尝试2^128或3.4×10^38个密钥。由于完成这一测试的困难性,尝试破译PGP中用于加密IDEA密钥的RSA密钥更容易。据估计破译IDEA的困难如同分解3000位RSA密钥的困难相当。
2.私钥和通过短语
PGP私钥环的安全性基于两件事:对私钥环数据的访问和对用于加密每个私钥的通过短语的了解。使用私钥要拥有这两部分。然而,这也引起了许多攻击。 如果PGP用于多用户系统中,就可能访问私钥环。通过缓存文件,网络窥视或者许多其他的攻击,可以利用监视网络或者读取磁盘得到私钥环。这样就只剩下通过短语用来保护私钥环中的数据了,这就意味着只要获得通过短语就能攻破PGP的安全。 而且,在一个多用户系统中,键盘和CPU之间的链路可能是不安全的。如果有人能够物理上访问连接用户键盘和主机的网络,监视击键是很容易的。例如,用户可能从一群公共的客户终端上登录,这时就可以窥探连接网络得到通过短语。另外,用户还可能通过调制解调器拔叫,在这种情况下窃贼就可以监听键盘击键。在任何一种情况下,在一个多用户的机器 上运行PGP都是不安全的。 当然,运行PGP最安全的方法是在一台没有其他人使用而且不连网的个人机上运行;也就是说,一台膝上型或家庭计算机。用户必须在安全环境的代价和安全通信的代价之间找到一种平衡。使用PGP的推荐方法是:总是在安全环境下的安全机器上动用,这样用户就可以控制整个机器。 最好的安全性关键在于键盘和CPU之间的连接是安全的。这既可以通过加密来完成,或者更好一点通过直接、无中断的连接实现。工作站、PC、Mac、膝上型机器都属于安全的机器。 安全的环境更难于显示,这里没有加以探讨。
3.对公钥环的攻击
由于公钥环(公有密钥环)的重要性和对它的依赖性,PGP受到许多针对密钥环的攻击。首先,只有当密钥环改变时才被检查。当添加新的密钥或签名时,PGP验证它们。然而,它会标记密钥环中已检查过的签名,这样就不会再去验证它们。如果有人修改了密钥环,并且设置了签名中相应的位,就不会被检查出来。 对PGP密钥环的另一种攻击集中于PGP使用的进程,它对密钥有效性设置1位。当到达一个密钥的新签名时,PGP就使用前面描述过的信任网络值计算该密钥的有效位。然后PGP在公有密钥环中缓存这个有效位。一个攻击者可能会在密钥环中修改这位,从而迫使得用户相信一个无效密钥是有效的。例如,通过设置这个标志,攻击者能够使得用户相信一个密钥属于Alice,尽管没有足够的签名证明这个密钥的有效性。 也可能发生对PGP公钥环的另一种攻击,因为作为介绍人的密钥信任也缓存在公有密钥环中。这个值定义密钥的签名有多少信任度,因此如果使用带有无效参数的密钥签名就可能使PGP把无效密钥作为有效密钥接受。如果一个密钥被修改为完全受托的介绍人,那么用这个密钥签名的任何密钥都被信任为有效的。因此,一个攻击者如果用一个修改过的密钥为另一个密钥签名,就会使得用户相信它是有效的。 公钥环最大的问题是所有这些位不仅在公钥环中缓存,而且密钥环中没有任何保护。 读过PGP源代码而且能够访问公钥环的任何人都可以使用一个二进制文件编辑器修改任何一位,而密钥环的所有者却无法注意到这个修改。幸运的是,PGP提供一种方法重新检查密钥环中的密钥。通过联合使-kc 和 -km选项,用户可告诉PGP执行对整个密钥环的密钥维护。 前一个选项告诉PGP检查密钥和签名。PGP会查看整个密钥环,重新检查每一个签名。当检查了所有签名之后,PGP将执行一个维护性检查(-km),重新计算所有密钥的有效性。 不幸的是,没有一种办法能够完全重新检查密钥中的所有信任字节。这是一个漏洞。应当有一个命令告诉PGP忽略所有信任字节,从终极密钥,即私钥环中的密钥,向用户询问信任性。 或许PGP将来的版本会改正这个问题。如果一个密钥被改成是可信任的介绍人,你没有办法找到修改之处并改正它。运行密钥和维护检查只能恢复密钥的有效性,但不是信任值。只有对一个密钥运行PGP-ke才能编辑信任参数,而这不能自动完成。
4.程序的安全性
如果有人能够访问PGP程序的二进制文件,他就可以改变它,让它做他想做的任何事。 如果这个介入者能够从你的鼻子底下替换你的PGP二进制文件,你对PGP的信任就建立在你对这个人的信任和你实际验证这个程序的能力上。例如,一个能够进行这种访问的攻击者可能会改变PGP,使得它总是验证签名,甚至签名是无效的。PGP可能被修改,总是向NSA发送所有消息的纯文本复制。这些攻击很难检测,而且难于对付。PGP需要成为受托代码基础的一部分;如果你不信任你的PGP二进制文件,那就不要信任它的输出。 相信PGP二进制文件最好的办法就是自己从源代码建立它。然而,这并不总是可能的。 其他办法包括在它建立时监视它或者从一个受托的来源得到它。查看二进制文件的大小和日期很有帮助。使用其他受托的程序,像md5sum能有所帮助。但这只是把问题压到了另一层。如果你不信任PGP程序,就没有太多做的了。
5.对PGP的其他攻击
对PGP可能还有其他攻击,但是这里不做讨论。从来没有证明过PGP使用的加密算法是安全的。PGP所使用的数学虽然被认为是安全的,但是有可能很容易攻破。对RSA的分解攻击可能得到改进、或者有人可能在IDEA中找到一个漏洞。 要想知道什么安全、什么不安全,对密码技术所运用的数学知识了解得还不够。实际上,据知任何事都不是完全安全的,如果有足够的计算能力,任何形式的密码技术都可以攻破。 问题是破译代码所花费的时间和精力与被保护的数据价值相比是否值得。注意破译代码所花费的力量将随着时间不断地减少,因为计算机的能力不断增强,而价格不断地下降。到现在为止,密码专家仍然超前于破译者。
心得
1.PGP全盘加密注意事项 在全盘加密下,不能使用第三方磁盘软件处理已加密的硬盘,如:不要重建或恢复MBR(主引导记录),不要重建或恢复分区表,不要格式化,不要调整分区大小等。总之,就是不要用就是了,切记。 不要安装和使用会更改MBR的恢复软件(所有会改MBR的软件都不要安装和使用),如:一键ghost,厂家自己的一键恢复软件,AcronisTrueImage(F11键),雨过天晴等。切记! 最后说一点:只要做到不对MBR和硬盘分区作任何更改,PGPWDE是安全的! 2.PGP全盘加密失败(如断电,死机等)去除电脑开机输入密码方法 当用PGP进行全盘加密的时候,如果不幸遇到断电或者死机,而你又不幸没有选上断电保护,电脑被迫重启后,全盘加密未完成的情况,电脑开机会叫输入之前全盘加密选项里面的用户开机口令,这时候,想要去除全盘加密可以用MBRTOOL等MBR重写工具进行硬盘引导区重写,PGP的开机加密是以代码形式写入了硬盘引导区(MBR)里,所以只要重写了硬盘引导区就可以去掉PGP的全盘加密设置及其开机加密密码,具体重写入步骤请百度下。 3.PGP密钥注意事项 一般PGP在你重装系统后密钥容易出问题,其它时候都很安全。重装系统一定要备份密钥环文件,顺便把私钥文件(密钥对)也备份出来。重装好后装PGP它会有提示,这时你需要导入密钥环或者密钥对,而不是简单的复制粘贴到PGP的文件夹中。
