PGP的使用

第1部分 PGP的安装及密钥的生成与管理

注意：

1．实验前先到校园网教师课件里下载PGP软件（文件名为：PGP810-PF-W.ZIP），安装后再做实验。 2．在没有做完规定的实验以前，任何人不得做与实验毫无相关的事。谢谢大家合作！

一、实验目的

掌握密码理论与技术（对称密码技术和非对称密码技术）的原理；能够比较透切地PGP使用公钥密码技术的机理；掌握PGP加密软件在密钥生成及管理。

二、实验内容

1．安装

PGP 8.1 的免费版，可以在www.pgp.com上可以下载。

PGP的安装很简单，和平时的软件安装一样，只须按提示一步步“Next”完成即可。其中在以下的画面你可以选择要安装的选件，如果选择了“PGPnetVirtualPrivateNetworking”虚拟网，再选择相应的Plugin，如“PGPMicrosoftOutlookExpressPlugin”，就可以在OutlookExpress中直接用PGP加密邮件，这里指的是加密邮件的内容，具体操作我们在后面会详细说到。

如前所述请下载文件文件：PGP8.exe。然后直接执行，即可进入PGP程序安装画面，请依屏幕指示操作机可。

2．操作方式1——密钥的生成

使用PGP之前，首先需要生成一对密钥，这一对密钥其实是同时生成的，其中的一个我们称为公钥，意思是公共的密钥，你可以把它分发给你的朋友们，让他们用这个密钥来加密文件，另一个我们称为私钥，这个密钥由你保存，你是用这个密钥来解开加密文件的。打开“开始”中“PGP”的“PGPKEYS”，可看到以下的画面。点击图标或者用菜单key>newkey开始生成密钥。PGP有一个很好的密钥生成向导，只要跟着它一步一步做下去就可以生成密钥，ok,let’sgo！

☆操作时请注意：

（1）Fullname是个人公钥字段格式。 （2）Email地址请填写正确。

注：PGP5.0以后建议编码方式改用Diffie-Hellman/DSS算法，安全性比较高。而且在PGP6.0以后将不支持RSA编码了。请大家按PGP的建议吧!

请对自己的私钥设定一组密码，在激活私钥时都需加以核对，以增加安全性，但一直输入密码也很讨厌，因此PGP有很人性化的考虑，他会自动判断需不需要核对密码。

图3-1 设定PGP Public Key Information

图3-2设定PGP Private Key密码

注：在产生公钥/私钥的过程中，请记得要不断的移动鼠标，制造随机数，才能完成喔!

图3-2 产生PGP Private及Public Key

在图3-2中生成完成后，单击“下一步”按钮，出现入图3-3所示的对话框，随即Private及Public Key生成完成。

图3-3

图3-4 完成自己的PGPKey制作

2．操作方式2——Public Key传送到预设的KeyServer

个人的PGP私钥及密码在PGP机制中是最重要的部份，一定要妥善保管，万一遗失或担心已经泄露，可将公钥也一并作废(Revoke)，重新制作一组公钥及私钥。个人的PGP公錀最好透过安全的管道传送给自己的亲朋好友，让对方用来加密文件寄给自己。除了您主动交付公钥给对方之外，PGP机制中还有PGP Key Server的功能，让使用者公布个人公钥并开放给任何人下载。

操作步骤见“PGP® Desktop for Windows User’s Guide”的P27。

3．操作方式3——密钥认证特性的一些设置

双击“PGPKeys”中的公钥项，出现如图3-5所示的对话框，即可以进行。

图3-5

在图3-5中单击“Show Signing Key Properties”按钮，出现如图3-6所示的对话框，然后进行相应的设置（比如可以将密钥的Expire（期限）、Revoke（作废）等）。

图3-6

4．操作方式4——输出文字文件的PublicKey

汇出公钥及私钥的步骤，非常简单，在PGP keys的[Keys]选单内有[Export]功能，会帮你将公钥或私钥产生ASCII格式的文件，这个ASCII格式的文件就是您的公钥了，可用来公布在Key Server上或和你的朋友互相交换。

图3-6 输出文字文件格式的PGP Public Key

除了产生公钥的文字文件之外，若您勾选了「ExportPrivateKey」，将同时产生私钥的文字文件，扩展名习惯上都是*.asc，当然私钥的文字文件请小心保管，可别到处流传喔!

图3-7 设定PGP Public Key文字文件文件名

5．操作方式5——设定PGPKeyServer

该功能能直接传送公钥、搜寻、更新公钥，和邮件软件的配合更是天衣无缝，作为用户可以在PGP内设定KeyServer。建议各位在还未习惯PGP各种操作前，先别将自己的公钥传送其它的KeyServer，免得将来要异动时很麻烦(所有的KeyServer都不能让使用者自行删除公钥!)。

◇请选择[Edit]/[Options……]

图3-8 进入PGP的其它设定部份

◇请选择[Servers]类别，并且将右边[Listed]的“”去掉。

图3-9 设定PGP Key Server

图3-10 建立一组新的PGP Key Server

6．PGP的认证方式

PGP的基本规则是:要利用别人的公钥送加密文件给对方之前，必需先将对方的公钥加入到自己的公钥环(PublicKeyRing)。

您可以透过各种妥善管道取得对方的公钥，例如直接由对方交付、或由网络传送等等，最重要的您一定要确定这把公钥真的是对方所有的!否则你们之间的通讯安全就无法保证了。因为PGP是以相互签名方式来验证公钥的真伪，我们要先接受第一个朋友的公钥，然后透过第一个朋友的签名验证后，才能接受其它的公钥。因此，千万别轻易为别人签名，除非确实是自己可信赖的人，免得因为PGP层层签名的制度而产生安全漏洞。总之，PGP也等于自己在网络世界的信用指数，可别随便拿自己的名誉开玩笑喔!

7．搜寻/加入别人的PublicKey

在中研院的KeyServer(http://pks.sinica.edu.tw)上可搜寻到所有的公钥，但是不能直接下载，必需利用Copy/Paste方式将对方的公钥存成文字文件，再加入到自己的公钥环之中。

这版的PGP提供更简易的操作，直接在PGP中搜寻KeyServer上的公钥，找到后再决定是否加入自己的公钥环中，程序大致如下，是不是非常方便呢?

◇选择[Server]/[Search]

图3-11 由Key Server搜寻别人的Public Key

◇请输入搜寻条件，例如以「bernd」，想列出其所有的公钥。

图3-12 设定搜寻字符串条件

◇PGP将会自动到预设的KeyServer查询符合的公钥（图略）。

图3-13

◇加入别人公钥到公钥环的步骤： （1）选择想加入的公钥。

（2）按鼠标右键选择「Import to Local Keyring」

图3-14 将别人的PublicKey加入自己的KeyRing

◇加入了其它公钥的公钥环状况

图3-15 完成后KeyRing内所有的PublicKey

第2部分 PGP加密与数字签名的使用

一、实验目的

1．掌握密码理论与技术（对称密码技术和非对称密码技术）的加密与数字签名的原理。

2．掌握PGP加密软件加密及数字签名的两种操作方式。

二、实验内容

PGP加密与数字签名一般有两种操作方式：其一对文件内容利用剪贴簿的【复制/贴上】功能达成，其二对文件则以鼠标右键激活PGP功能。分别详述如下：

1．剪贴簿（复制/贴上）

当安装了PGP之后，PGP就会自动激活。并且在Windows下方状态列的右边会出现一个小符号如『』，

在这个符号上按左键会出现PGP菜单，你可以选择EncryptClipboard(将剪贴簿内资料加密)、SignClipboard(将剪贴簿内资料签名)、Encrypt&SignClipboard(将剪贴簿内资料加密并签名)、Decrypt/VerifyClipboard(将剪贴簿内资料解密或验证签名)等功能，这种透过剪贴簿来操作PGP功能的操作方式，适用于电子邮件，例如:NetscapeMail(注)。

◆信件加密/签名程序◆

（1）当信件内容输入完成后，在[Edit]功能内选[Select All]，或按Ctrl+A。选择全部信件内容。 （2）在[Edit]功能内选[Copy]，或按Ctrl+C。将信件内容复制到剪贴簿。

图4-1 选择信件内容后复制到剪贴簿

（3）在『』符号上按左键，点出PGP菜单。

（4）选择[Encrypt Clipboard]只做加密，或选择[Encrypt&SignClipboard]加密又签名名。

图4-2 选择PGPtray的[Encrypt&SignClipboard]

（5）选择收信人的公钥。

图4-3 选择收信人的公钥

☆在PGPforOutlook中有另一项很方便的功能,若对方的公钥尚未加入到你的钥匙环中，PGP会自动到指定的KeyServer查询并下载。

（6）若选择签名，则还要输入私钥密码以执行签名功能。

图4-4 输入私钥密码执行签名

（7）PGP完成动作后，会将加密/签名的结果自动更新到剪贴簿。

（8）回到信件编辑状态时，只需在[Edit]功能内选[Paste]，或按Ctrl+V，就会变成信件加密/签名后的密码型式了。

图4-5 将加密后密文贴在信件之中

（9）传送信件给对方。 ◆收信人解密/验证程序◆

☆在此以NetscapeMail利用PGP读取\"加密电子化薪资单\"为例。 （1）[Edit]功能内选[SelectAll]，或按Ctrl+A。选择全部信件内容。

（2）在[Edit]功能内选[Copy]，或按Ctrl+C。将信件内容复制到剪贴簿。

图4-6 将信件内容复制到剪贴簿

（3）选择Decrypt/VerifyClipboard(将剪贴簿内资料解密或验证签名)。

图4-7 选择PGPtray的[Decrypt/VerifyClipboard]功能

（4）输入个人私钥的密码，进行解密；输入发送方的公钥进行签名验证。

图4-8 输入私钥密码

（5）得到解密结果。

图4-9 解密结果（TextViewer窗口内容显示明文）

（6）观看解密后的信件内容。PGP会自动出现「TextViewer」窗口（如上图所示），这里遇到中文有点小麻烦，因为窗口字型不是细明体，每一行均无法对齐，请按下

功能。关闭

「TextViewer」窗口。

请开启文书软件(例如:笔记本Notepad)，再执行『贴上』功能，即可看到整齐的内容（如下图所示）。

图4-10 粘贴到记事本显示明文

2．文件的加密/签名(按右键)

这种方式适合对文件做加密/签名，而且操作程序更简单，只需在该文件上按鼠标右键，然后点[PGP]会出现:Encrypt(加密)、Sign(签名)、Encryp&Sign(加密并签名)、Wipe(清除原始文件)等功能，请选择执行即可（如图4-11）。假如加密签名的文件是：test.txt。

图4-11 按鼠标右键执行PGP功能

选择加密用的公钥/签名用的私钥，如图4-12所示。

图4-12

在图4-13中输入加密用的公钥。

图4-13

在图4-14中的对话框中输入签名用的私钥。

图4-14

随后就将加密并签名的的文件保存为：test.txt.asc

注意：新产生的加密/签名档，PGP会自动加上不同的扩展名作为区别。加密后的新档为*.*.pgp、签名后的验证档为*.*.sig、加密又签名后的新档为*.*.asc。

3．文件的解密/验证签名(按右键)

解密/验证签名的方法也是与前类似，只要在经过加密/签名的文件上，按鼠标右键，然后择选[PGP]内的Decrypt/Verify功能，再输入自己的私钥密码即可还原。

下面仅仅以加密的文件为例进行讲解。

图4-15

在图4-16中输入签名验证用的公钥/解密用的私钥，随后单击“OK”按钮，并出现如图4-17所示的保存解密后文件的对话框。

图4-16

图4-17

◇请留意「PGPlog」窗口，验证结果以符号及消息显示（如图4-18）。

图4-18