PGP(Pretty GoodPrivacy)，是一個基于RSA公匙加密體系的郵件加密軟件?？梢杂盟鼘︵]件保密以防止非授權(quán)者閱讀，它還能對郵件加上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者，并能確信郵件沒有被篡改。它可以可以提供一種安全的通訊方式，而事先并不需要任何保密的渠道用來傳遞密匙。它采用了一種RSA和傳統(tǒng)加密的雜合算法，用于數(shù)字簽名的郵件文摘算法，加密前壓縮等，還有一個良好的人機工程設(shè)計。它的功能強大，有很快的速度。而且它的源代碼是免費的。

PGP-更好的保護你的隱私

PGP是英文Pretty Good Privacy(更好的保護隱私)的簡稱，是一個基于RSA公鑰&私鑰及AES等加密算法的加密軟件系列[1]。

常用的版本是PGP DesktopProfessional(PGP專業(yè)桌面版)，它包含郵件加密與身份確認(rèn)，資料公鑰&私鑰加密，硬盤及移動盤全盤密碼保護，網(wǎng)絡(luò)共享資料加密，PGP自解壓文檔創(chuàng)建，資料安全擦除等眾多功能。最終版本：PGP10.02［build13］（PGP SDK4.0.0）。由于賽門鐵克的公司的收購影響，PGP從10.0.2以后，將不再單獨放出PGP版本的獨立安裝包形式，將會以安全插件等的形式集成于諾頓等賽門鐵克公司安全產(chǎn)品里。

用途

概況

PGP 10.0.2最終中文紀(jì)念版

您公司可能有許多方法來保護信息。例如，可能利用上鎖的門，在建筑物里隔出一個封閉的空間，然后只允許被授權(quán)的人出入　　公司也可以要求員工必須使用個人賬號以及密碼來登錄網(wǎng)絡(luò)，同時架設(shè)防火墻服務(wù)器來監(jiān)控所有公司內(nèi)部與外部間信息傳輸。這些機制都是為了要加強信息的保密。PGP能夠提供獨立計算機上的信息保護功能，使得這個保密系統(tǒng)更加完備。它提供了這些功能：數(shù)據(jù)加密，包括電子郵件、任何儲存起來的文件、還有即時通訊（例如ICQ之類）?！?shù)據(jù)加密功能讓使用者可以保護他們發(fā)送的信息─像是電子郵件還有他們儲存在計算機上的信息。文件和信息通過使用者的密鑰，通過復(fù)雜的算法運算后編碼，只有它們的接收人才能把這些文件和信息解碼。

功能

現(xiàn)在您應(yīng)該對 PGP 已經(jīng)有個大概的了解了，讓我們看看 PGP 實際上具有哪些功能：PGP使用加密以及效驗的方式，提供了多種的功能和工具，幫助您保證您的電子郵件、文件、磁盤、以及網(wǎng)絡(luò)通訊的安全。您可以使用 PGP做這些事：

　　1、在任何軟件中進行加密/簽名以及解密/效驗。通過 PGP 選項和電子郵件插件，您可以在任何軟件當(dāng)中使用 PGP的功能。

　　2、創(chuàng)建以及管理密鑰。使用 PGPkeys 來創(chuàng)建、查看、和維護您自己的 PGP密鑰對；以及把任何人的公鑰加入您的公鑰庫中。

　　3、創(chuàng)建自解密壓縮文檔 (self-decrypting archives,SDA)。您可以建立一個自動解密的可執(zhí)行文件。任何人不需要事先安裝 PGP，只要得知該文件的加密密碼，就可以把這個文件解密。這個功能尤其在需要把文件發(fā)送給沒有安裝 PGP的人時特別好用。并且，此功能還能對內(nèi)嵌其中的文件進行壓縮，壓縮率與ZIP相似，比RAR略低（某些時候略高，比如含有大量文本）。總的來說，該功能是相當(dāng)出色的。

　　4、創(chuàng)建PGPdisk加密文件。該功能可以創(chuàng)建一個.pgd的文件，此文件用PGPDisk功能加載后，將以新分區(qū)的形式出現(xiàn)，您可以在此分區(qū)內(nèi)放入需要保密的任何文件。其使用私鑰和密碼兩者共用的方式保存加密數(shù)據(jù)，保密性堅不可摧，但需要注意的是，一定要在重裝系統(tǒng)前記得備份“我的文檔”中的“PGP”文件夾里的所有文件，以備重裝后恢復(fù)您的私鑰。切記切記，否則將永遠(yuǎn)沒有可能再次打開曾經(jīng)在該系統(tǒng)下創(chuàng)建的任何加密文件！

　　5、永久的粉碎銷毀文件、文件夾，并釋放出磁盤空間。您可以使用PGP粉碎工具來永久地刪除那些敏感的文件和文件夾，而不會遺留任何的數(shù)據(jù)片段在硬盤上。您也可以使用PGP自由空間粉碎器來再次清除已經(jīng)被刪除的文件實際占用的硬盤空間。這兩個工具都是要確保您所刪除的數(shù)據(jù)將永遠(yuǎn)不可能被別有用心的人恢復(fù)。

　　6、9.x新增：全盤加密，也稱完整磁盤加密。該功能可將您的整個硬盤上所有數(shù)據(jù)加密，甚至包括操作系統(tǒng)本身。提供極高的安全性，沒有密碼之人絕無可能使用您的系統(tǒng)或查看硬盤里面存放的文件、文件夾等數(shù)據(jù)。即便是硬盤被拆卸到另外的計算機上，該功能仍將忠實的保護您的數(shù)據(jù)、加密后的數(shù)據(jù)維持原有的結(jié)構(gòu)，文件和文件夾的位置都不會改變。

　　7、9.x增強：即時消息工具加密。該功能可將支持的即時消息工具（IM，也稱即時通訊工具、聊天工具）所發(fā)送的信息完全經(jīng)由PGP處理，只有擁有對應(yīng)私鑰的和密碼的對方才可以解開消息的內(nèi)容。任何人截獲到也沒有任何意義，僅僅是一堆亂碼。

　　8、9.x新增：PGPzip，PGP壓縮包。該功能可以創(chuàng)建類似其他壓縮軟件打包壓縮后的文件包，但不同的是其擁有堅不可摧的安全性。

9、9.x增強：網(wǎng)絡(luò)共享。可以使用PGP接管您的共享文件夾本身以及其中的文件，安全性遠(yuǎn)遠(yuǎn)高于操作系統(tǒng)本身提供的帳號驗證功能。并且可以方便的管理允許的授權(quán)用戶可以進行的操作。極大的方便了需要經(jīng)常在內(nèi)部網(wǎng)絡(luò)中共享文件的企業(yè)用戶，免于受蠕蟲病毒和黑客的侵襲。

　　10、10.x新增：創(chuàng)建可移動加密介質(zhì)（USB/CD/DVD）產(chǎn)品：PGPPortable。曾經(jīng)獨立的該產(chǎn)品已包含在其中，但使用時需要另購許可證。

PGP加密、解密方法以及PGP的密鑰管理機制

PGP是一種供大眾使用的加密軟件。電子郵件通過開放的網(wǎng)絡(luò)傳輸，網(wǎng)絡(luò)上的其他人都可以監(jiān)聽或者截取郵件，來獲得郵件的內(nèi)容，因而郵件的安全問題就比較突出了。保護信息不被第三者獲得，這就需要加密技術(shù)。還有一個問題就是信息認(rèn)證，如何讓收信人確信郵件沒有被第三者篡改，這就需要數(shù)字簽名技術(shù)。RSA公鑰體系的特點使它非常適合用來滿足上述兩個要求：保密性（Privacy)和認(rèn)證性（Authentication）。

　　RSA（Rivest-Shamir-Adleman）算法是一種基于大數(shù)不可能質(zhì)因數(shù)分解假設(shè)的公匙體系。簡單地說就是找兩個很大的質(zhì)數(shù)，一個公開即公鑰，另一個不告訴任何人，即私鑰。這兩個密匙是互補的，就是說用公匙加密的密文可以用私匙解密，反過來也一樣。　　假設(shè)甲要寄信給乙，他們互相知道對方的公匙。甲就用乙的公匙加密郵件寄出，乙收到后就可以用自己的私匙解密出甲的原文。由于沒別人知道乙的私匙，所以即使是甲本人也無法解密那封信，這就解決了信件保密的問題。另一方面由于每個人都知道乙的公匙，他們都可以給乙發(fā)信，那么乙就無法確信是不是甲的來信。這時候就需要用數(shù)字簽名來認(rèn)證。

　　在說明數(shù)字簽名前先要解釋一下什么是“郵件文摘”(messagedigest)。郵件文摘就是對一封郵件用某種算法算出一個最能體現(xiàn)這封郵件特征的數(shù)來，一旦郵件有任何改變這個數(shù)都會變化，那么這個數(shù)加上作者的名字（實際上在作者的密匙里）還有日期等等，就可以作為一個簽名了。PGP是用一個128位的二進制數(shù)作為“郵件文摘”的，用來產(chǎn)生它的算法叫MD5(messagedigest 5)。MD5是一種單向散列算法，它不像CRC校驗碼，很難找到一份替代的郵件與原件具有同樣的MD5特征值。　　回到數(shù)字簽名上來，甲用自己的私匙將上述的128位的特征值加密，附加在郵件后，再用乙的公匙將整個郵件加密。這樣這份密文被乙收到以后，乙用自己的私匙將郵件解密，得到甲的原文和簽名，乙的PGP也從原文計算出一個128位的特征值來和用甲的公匙解密簽名所得到的數(shù)比較，如果符合就說明這份郵件確實是甲寄來的。這樣兩個安全性要求都得到了滿足?！　GP還可以用來只簽名而不(使用對方公鑰)加密整個郵件，這適用于公開發(fā)表聲明時，聲明人為了證實自己的身份，可以用自己的私匙簽名。這樣就可以讓收件人能確認(rèn)發(fā)信人的身份，也可以防止發(fā)信人抵賴自己的聲明。這一點在商業(yè)領(lǐng)域有很大的應(yīng)用前途，它可以防止發(fā)信人抵賴和信件被途中篡改。

服務(wù)器

服務(wù)器/網(wǎng)關(guān)級產(chǎn)品

　　PGP Universal Server(PGP通用服務(wù)器)

　　越來越多企業(yè)開始建置加密系統(tǒng)，以保護敏感的企業(yè)機密，很遺憾的，為了解決各種加密的問題，保護郵件、硬盤、文檔…等等，建置了不同的平臺，導(dǎo)致管理上的困難，且浪費企業(yè)預(yù)算！PGPUniversalServer通過集中操控的安全策略，來保護機密數(shù)據(jù)、避免財務(wù)損失、避免衍生法律問題、避免因機密外泄而商業(yè)信譽受損。PGP加密平臺–PGPUniversal Server，提供郵件、文檔、硬盤、網(wǎng)絡(luò)共享文件夾的加密保護，并有以下特色：　　•密鑰管理-創(chuàng)建，分配和存放加密密鑰而保持只有組織允許的授權(quán)人員訪問加密的數(shù)據(jù)。

　　• 策略執(zhí)行-傳送集中操控的策略配置且移除不一致的或不正確的策略配置危險。

　　• 報告和記錄-提供可見的加密保護當(dāng)前狀態(tài)以幫助和滿足管理員和審查員的要求。

　　• 擴展架構(gòu)-通過消除管理系統(tǒng)多余的各部分未來的加密軟件購置費用減少時間和成本。

　　• 密鑰的集中管理–自動生成密鑰、導(dǎo)入/導(dǎo)出公鑰或密鑰對。

　　• 完全自主的策略定制–通過加密網(wǎng)頁操控全公司的策略，擁有完全的自主權(quán)，最終用戶完全不需要參與策略的制定過程。

　　• 完善的報告及記錄功能–自動發(fā)送報告數(shù)據(jù)給系統(tǒng)管理者，每一封郵件的進出皆有詳細(xì)的紀(jì)錄文件可供查詢。

　　PGP Universal Gateway Email（PGP通用網(wǎng)關(guān)郵件）

　　• 簡單的自動操作–保護敏感電子郵件，無需改變用戶體驗。

　　• 強制安全策略–根據(jù)集中操控策略自動強制執(zhí)行數(shù)據(jù)保護。

　　• 加速部署–使用現(xiàn)有基礎(chǔ)設(shè)施進行傳送郵件加密。

　　* PGP Universal Gateway Email是PGP Universal Server的郵件插件

桌面級

客戶端/桌面級產(chǎn)品　　PGP Desktop Email（PGP桌面電子郵件版）

　　• 自動消息保護–自動加密、解密、數(shù)字簽名并校驗電子郵件消息?？梢勒毡緳C獨立或受PGP UniversalServer控制的中央管理策略工作。

　　• 多重方法保護數(shù)據(jù)–可使用PGP壓縮包（PGPzip）、PGP自解密文檔（PGP SDA，PGPSelf-Decrypting Archive），以及PGP虛擬磁盤（PGP VirtualDisk）保存和保護您的敏感數(shù)據(jù)。

　　• 安全文件擦除–從你的磁盤安全且永久的擦除易被發(fā)現(xiàn)的敏感文件所有痕跡。

　　PGP NetShare（PGP網(wǎng)絡(luò)共享版）

　　• 遠(yuǎn)程應(yīng)用程序傳送支持–保護Citrix 和微軟終端服務(wù)（Microsoft TerminalServer）會話數(shù)據(jù)。

　　• 同步文件–確保文件在網(wǎng)絡(luò)中、服務(wù)器中、備份中都保持加密狀態(tài)。。

　　•角色分隔–在保證安全性的情況下為滿足一般用戶，文件擁有者和管理員的不同需求，將采用不同的權(quán)限分配，限制每個使用者的操作能力到所需的最小值。

　　PGP Whole Disk Encryption（PGP全盤加密版）

　　• 多平臺磁盤加密–為MacOS和Windows（兩種系統(tǒng)的針對性PGP軟件是需要分別購買的）提供包含預(yù)引導(dǎo)認(rèn)證的全盤加密（開機便要求驗證密鑰密碼，否則整個磁盤的數(shù)據(jù)都被PGP加密后保護著）

　　• 擴展國際鍵盤支持–使用超過30個國際鍵盤的預(yù)引導(dǎo)認(rèn)證。

　　• 單點登錄–使用當(dāng)前已經(jīng)存在Windows密碼進行驗證以簡化登錄操作

　　• 多重方法保護數(shù)據(jù)–可使用PGP壓縮包（PGPzip）、PGP自解密文檔（PGP SDA，PGPSelf-Decrypting Archive），以及PGP虛擬磁盤（PGP VirtualDisk）保存和保護您的敏感數(shù)據(jù)。

　　PGP Desktop Professional（PGP桌面專業(yè)版）

　　• 此版本的功能等于：Desktop Email+Whole Disk Encryption　　PGP DesktopStorage（PGP桌面存儲版）

　　• 此版本的功能等于：Desktop Email+NetShare　　PGP DesktopCorporate（PGP桌面企業(yè)版）

　　• 此版本的功能等于：Desktop Email+Whole Disk Encryption+NetShare　　PGPEndpoint Device Control（PGP終端設(shè)備控制）

　　• 簡單、自動操作–保護特殊許可和授權(quán)移動存儲使用安全，不改變用戶體驗或減少生產(chǎn)力。

　　•強制安全策略–通過USB、火線、Wi-Fi和藍(lán)牙連接的設(shè)備強制執(zhí)行安全策略。自動以加密移動存儲策略為基礎(chǔ)；還可以記錄使用情況和遵守安全審計驗證。

　　• 加速部署–減少了安裝時間和速度的企業(yè)保護，無需用戶干預(yù)，并可利用現(xiàn)有的企業(yè)目錄中的基礎(chǔ)設(shè)施。

　　PGP Endpoint Application Control（PGP終端應(yīng)用程序控制）

　　• 減少數(shù)據(jù)突破口風(fēng)險–保證敏感的公司數(shù)據(jù)沒有因未批準(zhǔn)和惡意的軟件減弱。

　　• 前端自動保護–減少幫助臺和行政負(fù)擔(dān)。提供自動零日防護，免受已知和未知應(yīng)用威脅。

　　• 支持服從–詳細(xì)的應(yīng)用程序執(zhí)行審計，協(xié)助示范服從制度?！　?#8226;業(yè)務(wù)連續(xù)性–防止商業(yè)停機時間的惡意軟件的擴散造成的危害。

　　• 透明用戶體驗–自動的后臺操作，確保用戶的工作效率不受影響?！　GP Portable（PGP便攜加密）

　　• 保護所有設(shè)備或所有介質(zhì)–適用于可移動存儲設(shè)備或光學(xué)介質(zhì)的基于軟件的加密技術(shù)。 使用了正在申請專利的擴展驗證與可信賴AES256位PGP®虛擬磁盤技術(shù)。　　• 共享，分發(fā)，協(xié)作–可用Microsoft® Windows和Apple® Mac OSX訪問被加密的數(shù)據(jù)，無需安裝另外的軟件。 提供就地閱讀和編輯，無需更改本地用戶體驗。

　　• 輕松整合企業(yè)工作流程–為自動化和供應(yīng)提供支持和口令管理，使企業(yè)獲得數(shù)據(jù)的安全且不中斷用戶工作效率的策略。

　　PGP Mobile（Window Moblie 6、7專用，另有BlackBerry手機使用的支持包）

　　• PGP 虛擬磁盤–自動加密解密存儲在磁盤卷內(nèi)的內(nèi)容。與PGP Desktop客戶端兼容?！　?#8226; PGP壓縮包–簡單的創(chuàng)建加密的數(shù)據(jù)文件。使用密碼或證書對多個用戶保護正在傳送的數(shù)據(jù)。與PGP Desktop客戶端兼容。

　　• 自解密文檔–允許快速加密存儲為Windows下的可執(zhí)行文件包，以用于沒有運行PGP軟件的數(shù)據(jù)交換環(huán)境。

原理

PGP加密系統(tǒng)是采用公開密鑰加密與傳統(tǒng)密鑰加密相結(jié)合的一種加密技術(shù)。它使用一對數(shù)學(xué)上相關(guān)的鑰匙，其中一個（公鑰）用來加密信息，另一個（私鑰）用來解密信息。

　　PGP采用的傳統(tǒng)加密技術(shù)部分所使用的密鑰稱為“會話密鑰”（sek）。每次使用時，PGP都隨機產(chǎn)生一個128位的IDEA會話密鑰，用來加密報文。公開密鑰加密技術(shù)中的公鑰和私鑰則用來加密會話密鑰，并通過它間接地保護報文內(nèi)容?！　GP中的每個公鑰和私鑰都伴隨著一個密鑰證書。它一般包含以下內(nèi)容：

　　密鑰內(nèi)容(用長達百位的大數(shù)字表示的密鑰)　　密鑰類型(表示該密鑰為公鑰還是私鑰)　　密鑰長度(密鑰的長度，以二進制位表示)　　密鑰編號(用以唯一標(biāo)識該密鑰)　　創(chuàng)建時間　　用戶標(biāo)識(密鑰創(chuàng)建人的信息，如姓名、電子郵件等)　　密鑰指紋(為128位的數(shù)字，是密鑰內(nèi)容的提要表示密鑰唯一的特征)　　中介人簽名(中介人的數(shù)字簽名，聲明該密鑰及其所有者的真實性，包括中介人的密鑰編號和標(biāo)識信息)

PGP把公鑰和私鑰存放在密鑰環(huán)(KEYR)文件中。PGP提供有效的算法查找用戶需要的密鑰。PGP在多處需要用到口令，它主要起到保護私鑰的作用。由于私鑰太長且無規(guī)律，所以難以記憶。PGP把它用口令加密后存入密鑰環(huán)，這樣用戶可以用易記的口令間接使用私鑰。

　　PGP的每個私鑰都由一個相應(yīng)的口令加密。PGP主要在3處需要用戶輸入口令：　　需要解開收到的加密信息時，PGP需要用戶輸入口令，取出私鑰解密信息　　當(dāng)用戶需要為文件或信息簽字時，用戶輸入口令，取出私鑰加密　　對磁盤上的文件進行傳統(tǒng)加密時，需要用戶輸入口令

編輯本段使用篇

1、公鑰、私鑰和密鑰環(huán)等是什么意思，分別用來干什么的？[2]　　通俗的來說，公鑰就是鎖，私鑰是鑰匙。公鑰用來加密或簽名校驗，私鑰用來解密。密鑰對則是包含鎖和鑰匙的套裝。密鑰環(huán)相當(dāng)于密鑰對和他人公鑰的存儲倉庫，包含1個或更多地密鑰對以及公鑰?！　?、*.asc這些PGP相關(guān)的擴展名是什么東西？

*.asc，按照PGP的標(biāo)準(zhǔn)解釋，叫做“PGP ArmoredFile-PGP裝甲文件”，意為PGP強力保護功能所用的文件。用途是作為導(dǎo)出的公鑰或私鑰擴展名?！　?.skr，*.prvkr，“PGPPrivateKeyring-PGP私鑰環(huán)”，意為保存計算機中PGP生成或?qū)氲乃兴借€的倉庫。也叫私人密鑰環(huán)或私有密鑰環(huán)。　　*.pkr，*.pubkr，“PGPPublicKeyring-PGP公鑰環(huán)”，意為保存計算機中PGP生成或?qū)氲乃泄€的倉庫。也叫公共密鑰環(huán)或公有密鑰環(huán)。　　*.sig，“PGPDetached SignatureFile-PGP獨立簽名文件”，意為PGP為用作數(shù)字簽名或校驗生成的獨立簽名文件。　　*.shf，“PGP共享”，意為PGP密鑰共享時所用的專用擴展名。　　*.rnd，“PGP隨機種子”，意為用于加密、生成密鑰等PGP操作所需要而產(chǎn)生的隨機種子文件?！　?.pgp，“PGPEncrypted File-PGP加密文件”，意為PGP加密壓縮過的獨有文件格式?！　?.pgd，“PGPdiskVolume-PGP磁盤卷”，意為PGP虛擬磁盤功能生成的保存有加密文件的虛擬磁盤分卷，將用來載入到PGP中作為獨立分區(qū)使用。　　*.pem，*.p12“X.509Certificate-PGP X.509證書”，意為PGP可使用的X.509標(biāo)準(zhǔn)數(shù)字證書。　　*.krb，“PGP KeyReconstruction-PGP密鑰重建”，意為PGP密鑰恢復(fù)功能：“密鑰重建”，生成的獨有重建文件，非常重要。用于口令或密鑰丟失時重新恢復(fù)所用?！　?.gpg，“GPGEncrypted File-GPG加密文件”，意為PGP可以兼容的開源類PGP軟件GPG的加密格式?！　?.bexpk，“PGPBinary Extracted PublicKey-PGP二進制提取公鑰”，意為特殊應(yīng)用狀態(tài)下PGP將生成的公鑰格式?！　?.aexpk，“PGP ArmoredExtracted PublicKey-PGP裝甲提取公鑰”，意為特殊應(yīng)用狀態(tài)下PGP將生成的公鑰格式?！　?、PGP到底能干什么？

能對郵件、文件、文件夾、整個硬盤加密，全網(wǎng)段加密權(quán)限和訪問權(quán)限控制等。根據(jù)不同PGP系列產(chǎn)品功能有所不同的區(qū)分?！　?、PGP能夠被破解嗎？為什么PGP自身有破解的版本可以用？

PGP的程序本身和PGP的加密機制是不同概念，請不要混淆。PGP程序的保護，并非使用的是PGP的混合型加密體系。破解程序容易，破解PGP加密的數(shù)據(jù)難。通常均以10年以上計算，但是最終也有被暴力破解的可能。只不過破解時間很長，可能是數(shù)十年，也可能是數(shù)百年。根據(jù)加密者的使用方法不同，強度也有不同。加密和破譯，是有相對的時間關(guān)系，當(dāng)一個加密體系所達到的加密強度，超出該文件的保密時間，就是成功的（如一個文件保密時間為10年，經(jīng)過加密后，被破譯的時間達到了10年零一天，破譯即便完成，也沒有絲毫意義。而PGP，便是為了這種需要而誕生。　　5、PGP加密的文件為何可以被刪除和復(fù)制？難道沒有保護措施嗎？

PGP的桌面級產(chǎn)品，并未對刪除和復(fù)制做單獨的保護。因為它的誕生目的，是保護數(shù)據(jù)不被不被授權(quán)的人看到真實內(nèi)容，而不是不讓它被拿走或刪除。且這是建立在一個良好的保密制度的前提下，如專機專用，非授權(quán)人員不能輕易的訪問有加密數(shù)據(jù)的計算機。且在系統(tǒng)中的所謂防刪除和復(fù)制，都具有相當(dāng)大的可能性被繞過而導(dǎo)致最終的刪除或復(fù)制問題，所以，PGP沒有設(shè)置這兩項功能?！　?、生成密鑰的時候提示“令牌”，什么是令牌，干什么用的？　　令牌/電子令牌：Token，這是PGP支持的一項硬件安全功能，不少銀行的U盾，也是一種電子令牌，且因為是令牌生產(chǎn)廠商阿拉丁公司的芯片制作，故也可以被PGP兼容（如工行U盾）。令牌可以用于PGP創(chuàng)建密鑰時使用，來實現(xiàn)憑借令牌和口令兩者來加密保護數(shù)據(jù)。令牌的存儲大小都比較小，通常只能放置1024或2048尺寸的PGP密鑰。　　7、為何我安裝的PGP無法啟動？一閃就沒了？

根據(jù)使用者的反饋和我們的研究所知，這個現(xiàn)象常出現(xiàn)在全新安裝10.x版本中，而使用者的計算機安裝的是修改過的系統(tǒng)，如番茄花園/深度等，或是GHOST恢復(fù)的系統(tǒng)。解決方法是安裝9.12版，再升級安裝10.x，即可解決。故障原因尚未查明?！　?、重裝系統(tǒng)前，曾經(jīng)用PGP加密了數(shù)據(jù)，需要注意些什么？　　首先，請備份“我的文檔”或“文檔”下的“PGP”文件夾，內(nèi)有PGP最為重要的密鑰環(huán)文件，“pubring.pkr和secring.skr”，或帶有-bak的文件（此為PGP自動創(chuàng)建的備份密鑰環(huán)）。重裝系統(tǒng)前，備份好它們，然后記得當(dāng)初加密的密鑰所用的口令，就可以了。重裝完成后，復(fù)制這些文件到新系統(tǒng)的同樣路徑下，替換同名的0字節(jié)文件即可。如果PGP提示沒有找到，請在PGP的“所有密鑰”上點擊右鍵〉屬性中指定位置，或菜單中的“密鑰〉密鑰環(huán)屬性”中重新指定一下這個位置即可。　　9、為什么打開PGP后，別人的中文版顯示的“所有密鑰”這些中文，而我的是AllKeys？　　這是因為你曾經(jīng)安裝了PGP英文版或早期的中文版，而這個參數(shù)是可以自行修改的，PGP重新安裝或升級安裝后，并不能自動更正為新的翻譯，請在所需的位置點擊右鍵〉重命名，輸入對應(yīng)中文名稱或其他名稱即可。不修改也不影響使用和兼容性，僅僅是一個標(biāo)識名稱?！　?0、我擔(dān)心會忘記密鑰的口令或不小心丟失了密鑰，有什么方法能減少這種可能性？　　可使用PGP內(nèi)置的“密鑰重建”功能解決，方法如下：打開PGPDesktop，選中你需要的密鑰對（別人的公鑰或自己導(dǎo)入的單一公鑰不可以使用此功能，因為你沒可能重新創(chuàng)建一個完整的他人密鑰對，否則就沒有加密意義了），然后在菜單處依次點擊密鑰〉創(chuàng)建我的PGP提問，然后輸入這個密鑰的口令，再根據(jù)提示選擇預(yù)設(shè)的許多問題或輸入你自己想要設(shè)定的問題，然后完成操作，即可生成一個.krb文件，這個文件就是可以用來幫助你恢復(fù)密鑰口令或重建丟失的密鑰所用的“密鑰重建文件”，如果有此需要，使用它進行密鑰的重建或口令更改恢復(fù)。但請務(wù)必記得創(chuàng)建的5個提問的答案，并保存好這個文件，否則同樣不能解決問題?！　?1、為什么我的“PGP消息”功能處，“安全策略”，是一堆英文的東西？能修改嗎？　　同樣是由于曾經(jīng)安裝了英文版，然后直接升級安裝中文版導(dǎo)致，可以點擊兩次“編輯策略”按鈕，進入編輯模式，再逐個點擊“恢復(fù)到默認(rèn)”按鈕，進行重寫策略信息，然后點擊完成按鈕，即可讓英文的策略信息變成中文，如需特殊的PGP消息操作，也可以在此處根據(jù)選項中的提示進行修改，以實現(xiàn)所需的目的。12、我收到一封PGP加密格式的郵件，用PGP閱讀器打開后，要求輸入口令是怎么回事？　　這是由于這封PGP郵件還附帶了一個.pgp的加密附件，PGP閱讀器為了使用方便，默認(rèn)要求解密郵件原文時就直接詢問附件的口令，關(guān)閉這個對話框或取消不輸入即可，因為這個口令可能在郵件原文中，導(dǎo)出附件后輸入也是可以的。如果你需要這樣的方式來發(fā)送加密郵件，直接加入一個PGP加密的.pgp附件，就可以了。　　13、我的PGP在使用一段時間后，發(fā)現(xiàn)桌面圖標(biāo)不見了，PGP托盤也不啟動，怎么回事？　　原因有幾個可能，可能是清理系統(tǒng)時刪除了PGP創(chuàng)建的臨時啟動文件或某些文件丟失等。建議直接運行PGP的安裝文件，然后選擇“修復(fù)”，等待完成后重啟，應(yīng)該可以解決問題。如果還不能，建議卸載后重新安裝一次?！　?4、為什么我的PGP磁盤和其他解密操作不需要輸入口令就能打開了？　　應(yīng)該是由于PGP的緩存口令功能導(dǎo)致，默認(rèn)緩存2分鐘剛才輸入過的口令，具體時間可在PGP選項中自行設(shè)定。推薦使用2分鐘的即可?！　?5、為什么我加密數(shù)據(jù)時，總是有個密鑰自動被加入到密鑰列表中？　　這是因為你將這個密鑰設(shè)為了“主密鑰”，PGP就會默認(rèn)每次在需要密鑰操作時加入它，如果你不需要這么做，進入PGP選項〉主密鑰，添加別的密鑰或刪除現(xiàn)有的密鑰即可。　　16、密鑰方式加密和口令方式加密，優(yōu)缺點在哪？　　密鑰方式加密，也叫“非對稱式加密體系”，口令方式加密，也叫“對稱加密體系”，兩者的強度不同，前者具有更高的安全性，后者相對弱。前者根據(jù)所用的密鑰的性質(zhì)，又有不同的安全性能，主要跟密鑰長度（如1028位，4096位）、密鑰算法、哈希算法、密鑰口令長度和復(fù)雜度有關(guān)。后者僅跟口令長度和復(fù)雜度有關(guān)。密鑰長度越大，算法越強，口令長度越復(fù)雜，加密的安全性越大，防破解性能越好。推薦2048位以上的密鑰長度。密鑰方式因為所需的加密方式更加復(fù)雜，從加密和解密所需的時間來看，比單純的口令加密要長。具體使用，根據(jù)數(shù)據(jù)加密要求和個人方便度進行考量后選擇。　　17、為什么我發(fā)送郵件時，PGP總是提示什么"是否保護XXX"的東西？　　這是因為你沒有配置這個信箱使用PGP消息功能進行自動加密保護，請進入PGP消息按照提示和信箱的設(shè)定進行配置，有時候PGP自動添加好的配置就可以正常，但更多時候還是不能正確設(shè)置好信箱的信息，所以建議手動配置。如果不想要使用這個功能，可在PGP選項〉消息，取消“安全郵件”的復(fù)選框，如果不想要每次都提示有新信箱需要保護，也可在設(shè)定好需要自動加密的郵箱后，只取消“探索新帳號”的復(fù)選框即可。　　18、PGP支持哪些郵件客戶端？　　PGPDesktop 10.0.2目前宣稱支持如下郵件客戶端:Microsoft Outlook 2010 (Outlook 14)、Microsoft Outlook 2007 SP1 (Outlook 12) 、Microsoft Outlook 2003SP3、 Microsoft Outlook XP SP3、Windows Mail 6.0.6000.16386、Microsoft Outlook Express 6 SP1、Windows Live Mail version2009、Lotus Notes 6.5.6, 7.0.3, 8.0.2, 8.5、Mozilla Thunderbird2.0、Novell GroupWise6.5.1。理論上支持所有標(biāo)準(zhǔn)協(xié)議：IMAP/POP/SMTP形式通信的郵件客戶端，如DreamMail等。只要郵箱配置和PGP配置一致，即可正常使用。另外，如SSL/TLS加密通信的郵箱，需要在郵件客戶端中取消SSL/TLS配置，并在PGP中開啟SSL/TLS支持才可以用。　　19、PGP的拳頭功能“全盤加密”，有些什么系統(tǒng)要求？　　PGP公司提供的系統(tǒng)需求如下，不能滿足條件的，請勿使用：　　系統(tǒng)要求：　　MicrosoftWindows 2000 (SP4)　　Windows Server 2003 (SP1和2)　　Windows XP 32-bitversion (SP2或3)　　Windows XP 64-bit version (SP2)　　Windows Vista(所有32位和64位) 包含SP1/SP2　　Windows 7 (所有32位和64位)　　Microsoft Windows XPTablet PC Edition 2005 (需要附加鍵盤)　　Windows Server 2003 SP 2(所有32位和64位)　　Windows Server 2008 SP 1和2 (所有32位和64位)　　Windows Server2008 R2 (所有32位和64位)　　硬件最低要求：　　512 MB內(nèi)存　　64MB硬盤　　PGP全盤加密支持RAID-1和RAID-5，動態(tài)磁盤和軟件RAID等不支持?！　?0、為什么我的PGP提示“不能連接到PGPSDK服務(wù)”？　　這種現(xiàn)象可能是由于殺毒軟件或某些保護軟件和PGP啟動項有沖突，導(dǎo)致沒能正常啟動?？上葒L試手動進入控制面板〉管理工具〉服務(wù)，找到PGPSDK服務(wù)，啟動它，如PGP托盤也沒能啟動，請再手動打開PGPDesktop快捷方式。如果還是不行，建議重啟計算機?！　?1、PGP全球名錄是什么東西？創(chuàng)建密鑰時提示要上傳公鑰到上面去，怎么操作啊？　　PGP全球名錄-PGPGlobalDirectory，這是PGP公司提供的一個免費密鑰服務(wù)器，用來進行方便的公鑰驗證/發(fā)布/自動搜索加密這些功能，如對方的公鑰已經(jīng)上傳到了該服務(wù)器，那么你給他發(fā)送加密郵件時，便不需要要求對方單獨發(fā)一次密鑰給你導(dǎo)入，PGP內(nèi)置功能會自動連接并完成對應(yīng)信箱公鑰的下載/驗證/簽名的操作，減少人工干預(yù)次數(shù)，提高易用性。創(chuàng)建密鑰時，會提示發(fā)布公鑰到PGP全球名錄，根據(jù)提示，會發(fā)送一份驗證郵件到你綁定在密鑰中的郵箱里，請訪問這個郵箱完成驗證過程，即可開始正常使用PGP全球名錄提供的服務(wù)。　　22、我的PGP安裝有問題，卸載也卸載不干凈，怎么清除殘留后重裝？　　開機按F8進入安全模式，刪除如下的文件夾即可。以下的C:為舉例的系統(tǒng)盤符，請根據(jù)自己的實際情況修改。以下路徑，進入后找到PGPDesktop或PGP開頭的文件夾，刪除即可?！　∪缦率浅绦蚝驼Z言文件統(tǒng)一路徑和各系統(tǒng)對應(yīng)路徑的位置（剩余的注冊表項不建議手動清除）:　　C:ProgramFiles　　C:Program FilesCommonFiles　　C:WINDOWSSystem32和Syswow64下的PGP開頭文件　　WindowsXP　　C:Documents and Settings%username%ApplicationData　　C:Documents and Settings%username%LocalSettingsApplication Data　　Windows Vista/Windows7　　C:Users%username%AppDataRoaming　　C:Users%username%AppDataLocal　　23、我使用了全盤加密功能，系統(tǒng)出現(xiàn)問題時可以直接修復(fù)而不先解密嗎？　　PGP公司不建議如此，必須先解密你加密的分區(qū)，然后再恢復(fù)，否則可能出現(xiàn)PGP全盤加密功能故障，導(dǎo)致無法解密。需要繁瑣的使用PGP恢復(fù)盤進行修復(fù)解密引導(dǎo)后才能正常解密。另外，如果是破解版的PGP，這項功能和“網(wǎng)絡(luò)共享”功能都不穩(wěn)定，建議不要使用，否則后悔莫及。

編輯本段技巧篇

資料加密的必要性

根據(jù)ForresterResearch研究，過去大家都把資安重點放在IT環(huán)境(Infrastructure-level)的層層防護上(例如防火墻、入侵偵測、防毒等)，而忽略了數(shù)據(jù)(Data-level)的防護，未來無論是企業(yè)或個人，以資料為中心的(DataCentric)防衛(wèi)策略會越來越重要?！　」P記型計算機遺失或被偷、硬盤被盜、隨身碟遺失、計算機送修時數(shù)據(jù)被復(fù)制出去、磁帶或光盤寄送過程中遺失、電子郵件或FTP傳文件中被攔截竊取…等等每日層出不窮的新聞報導(dǎo)，讓大家對計算機既喜愛又怕受傷害。其實只要一些很簡單的方法與工具，就可免除這些數(shù)據(jù)遺失或外泄的風(fēng)險。將數(shù)據(jù)加密起來，讓不相干的人即使拿到也毫無用處，這是數(shù)據(jù)安全最簡單也是最根本的做法。

加密的方法

所謂數(shù)據(jù)加密，就是透過某種方法將明文數(shù)據(jù)亂碼化，讓人看不懂；當(dāng)本人要使用時再把它解密回來。至于這亂碼過的資料是否容易被破解？這就涉及使用的「亂碼方法」(Cryptography密碼學(xué))了。一般加密方法分為兩類，一是對稱式加密，使用同一把金鑰(Key)來加密與解密，常見的對稱式算法如DES,3DES,AES等；另一類是非對稱式算法，使用一對金鑰(公鑰與私鑰)來加解密，用公鑰加密過資料只有用其對應(yīng)的私鑰才能解得回來，而用私鑰加密過資料只有用其對應(yīng)的公鑰才能解得回來；公鑰可以公開出去，私鑰則必須好好保管在自己的計算機里，常見的非對稱式算法如RSA,DSA等。這兩類加密算法主要用途不同，在此不再細(xì)述。加密的強度(容不容意被破解)還依靠使用金鑰的長度及如何產(chǎn)生及保管金鑰。金鑰如果是隨機產(chǎn)生(Random)而不是人為選擇的，通常只能用「暴力」法來破解，這就要看需要花多少時間與成本了。

如何選擇好的加密工具

一個好的加密工具軟件至少需俱備：

1.支持最新最安全的主流加密算法；

2.支持最大公鑰長度；

3.容易使用的操作接口及金鑰管理；

4.經(jīng)過長時間眾多使用者的粹練；

5.可以同時用在email加密, 檔案加密等不同目的。

PGP加密工具軟件

PGP加密軟件從早期的免費版本到近年來的商業(yè)版本，十多年來已有超過三百萬個使用者，尤其在商務(wù)應(yīng)用上，全球百大企業(yè)80%使用它在內(nèi)部人員計算機以及外部商業(yè)伙伴的機密數(shù)據(jù)往來?！　GPDesktop軟件功能眾多，但使用上非常容易。因為PGP主要使用非對稱式加密, 所以要先產(chǎn)生一組KeyPair，你可以選擇金鑰長度，越長越安全，但相對地加解密越花時間；內(nèi)定是2048bit RSA Key，這key pair包括一支公鑰及一支私鑰，　　你也可以產(chǎn)生很多key pair，可以一個keypair對應(yīng)一個email賬戶，或不需要email賬戶，如果你想用在其它加密用途，但是太多key pair只會混亂自己，除非你記憶力很好。到這里你已經(jīng)可以保護自己計算機里面的數(shù)據(jù)了，如果你想與別人分享私密數(shù)據(jù)，你必須與他們交換公鑰。你可以Export自己的公鑰寄給你的親朋好友，也可以上傳到PGP的公鑰服務(wù)器(PGPGlobal Directory KeyServer)，想要與您「親密」往來的人可以下載您的公鑰。這些動作都是在PGP工具畫面下可以完成的。　　接下來你要將別人的公鑰Import進來，PGP 畫面里的All Keys 就是讓你管理所有的公鑰；你也可以將key pair (或私鑰)放在USBToken里，當(dāng)你要使用私鑰時，必須插入此Token，并輸入密碼驗證，這樣做更安全。

一：電子郵件加密

擔(dān)心寄出的電子郵件內(nèi)容被人看光光? 會不會收到偽冒的電子郵件? PGP可以自　　動地幫您做eMail加密及簽章。

你可以自己設(shè)定各種安全政策，例如收件人是誰、主旨內(nèi)容為何時就需要加密與簽章，其它情況可以只簽章(證明這信是我本人發(fā)的)而不加密；你只要將PGP Mail Proxyservice打勾，PGP就依照您設(shè)定的政策自動執(zhí)行，PGP會找出收件人的公鑰，使用此公鑰來加密郵件內(nèi)容，再用你自己的私鑰來簽章這郵件；對方PGP收到這郵件時，會先用你的公鑰來驗證這郵件確是你寄出的，然后用他自己的私鑰來解開這郵件內(nèi)容。這所有動作都由PGP在背后自動執(zhí)行?！　∧阋部梢圆挥肞GP Mail Proxy Service，你自己可以先用Notepad之類的工具編寫郵件內(nèi)文，然后按PGP Icon 選擇[Current Window]， 再選擇 [Encrypt & Sign] 或[Encrypt]，就會出現(xiàn)你計算機里所有公鑰的人讓你選擇，你可以選取多個人，這些人就是可以解密你加密的內(nèi)容?！　〖舆^密的數(shù)據(jù)就如下圖所示，再把它貼到eMail里寄出即可。

如果你只是要附件文件加密，例如一張自拍照(圖檔)，或是研發(fā)中的CAD/CAM檔，或是一般機密的Office檔案，你可以直接在檔案總管下按鼠標(biāo)右鍵，選擇[PGPDesktop]，然后選舉 [Secure … withkey…]，PGP窗口跳出讓你選擇可解開此加密檔的人(金鑰)，這檔案就被加密起來。萬一你不小心寄錯人了，因為此收件人不　　在你選擇的解密人名單里，他也無法打開它。

二：利用虛擬磁盤驅(qū)動器(Virtual Disk)

如果您只是想要加密計算機里的私密數(shù)據(jù)，除了您本人(或加上您指定的人)沒有其人可以解密這些數(shù)據(jù)。所以即使計算機遺失、計算機被盜用、甚或檢調(diào)單位來搜，也不用擔(dān)心這些私密資料外泄。通常，最安全的方法伴隨的是不方便使用，但是PGP的虛擬磁盤驅(qū)動器加密功能可以安全又好用?！　∧梢灾付ㄓ脖P某空間來做為一加密磁盤驅(qū)動器，在這磁盤驅(qū)動器里的檔案及數(shù)據(jù)夾都是加密過的，只有你自己或是被您指定可出示私鑰或使用者代號密碼才能解密這些數(shù)據(jù)。任何你認(rèn)為機密的檔案都可以擺到里面，加過密的磁盤其操作如同一般檔案總管，您依舊使用Word,Excel, Photoshop等軟件包或應(yīng)用程序來打開它，完全不受影響，因為PGP自動處理進出這磁盤驅(qū)動器的加解密工作?！　SN及Skype等實時訊息軟件通常會將聊天記錄保留下來，這也成了許多捉奸的證據(jù)之一。試試看把這些聊天記錄的位置改到加密磁盤驅(qū)動器里。

電子郵件軟件如Outlook、OutlookExpress等，無論是收件匣或寄件備份，其實都是檔案而已，例如Outlook是.pst文件，這些電子郵件檔案通常包括了很多機密內(nèi)容。想想看，它們可不可能被人Copy走呢?

三：檔案加密與壓縮功能

如果你只是想將部份目錄或檔案加密然后傳給別人(eMail或FTP等)，你當(dāng)然可以用WinZip或WinRAR等工具里的密碼保護，但其加密算法較弱，同時密碼也可能被猜到，這對于要傳送極機密的檔案數(shù)據(jù)是有風(fēng)險的。PGP則提供較高安全的類似工具，如果對方有PGP，你應(yīng)該使用對方的公鑰來加密，如果要將加密檔送給多人，就加入多個公鑰，擁有任何一個公鑰所對應(yīng)的私鑰可以解密這些檔案，這是使用RSA2048bit加密算法(內(nèi)定)，所以比較安全；加完密后再用自己的私鑰來簽章，PGP同時幫你將檔案壓縮?！　∪绻麑Ψ?jīng)]有PGP時，你可以使用Self-DecryptingArchive(SDA)，PGP會要求你輸入加密密碼，然后使用這密碼來加密檔案，并產(chǎn)生可自動解密的執(zhí)行檔，當(dāng)然，您必須另外告知對方解密的密碼。

四：整顆硬盤加密

(Whole Disk Encryption,WDE)

大部份人都知道，Windows的登入密碼只是防君子不防小人的。當(dāng)你的計算機遺失時，「撿到的人」可以用別的方式開機進入你的計算機看硬盤內(nèi)容，對于安全要求比較高的某些人來說，只有檔案加密可能還是不夠。另外，隨身碟是最容易搞丟的東西，一不小心，重要數(shù)據(jù)就落入競爭者手中。

PGP全硬盤加密可以針對隨身碟、外接式硬盤、硬盤Partition、整顆硬盤加密。硬盤加密是將所有扇區(qū)都亂碼化(加密)，必須經(jīng)過另一道驗證手續(xù)才能還原。

如果是整顆硬盤加密，在開機時(Boot)會要求另外輸入密碼(或插入USBToken)，如果是外接硬盤或Partition加密，則可使用PGP金鑰還原。

五：網(wǎng)絡(luò)磁盤加密

以上所談都限于個人使用的計算機(Desktop &Notebook)，如果是工作群組使用的檔案服務(wù)器或共享數(shù)據(jù)夾要如何保護及加密呢?你當(dāng)然可以花大筆銀子建立一套PKI-like的安全系統(tǒng)，雖然安全但很不好用。PGP NetShare是一個容易使用的加密工具，加密網(wǎng)絡(luò)磁盤就如同加密本機磁盤一樣，首先選擇共享數(shù)據(jù)夾路徑，再選擇允許解密這數(shù)據(jù)夾的使用者公鑰，然后選擇是否要簽章(證明這事是你做的)，PGP就將你所選擇的數(shù)據(jù)夾加密，只有被授權(quán)的使用者(擁有被選定之公鑰對應(yīng)之私鑰者)才能看到里面的內(nèi)容。

六：徹底刪除資料

你一定知道，Windows的刪除檔案的動作并不是真的從磁盤里抹除，它只是被丟到「資源回收桶」，可以隨時再取回來。你可能也知道，按[shift]鍵再Delete時，Windows會問你是否要永久刪除檔案，但這真的刪除了嗎?隨便找一個反刪除或檔案救回工具軟件，如FinalData，都可以再把檔案找回來；即使是格式化(Format)，尤其是快速格式化，都不見得可以完全將檔案從磁盤里抹除，何況你不會只為了徹底刪除幾個檔案就要將硬盤整個Format吧!　　PGPShredder工具可以將檔案內(nèi)容完全抹除，即使你使用FinalData等工具要來找回檔案，可能看得到文件名稱，可是內(nèi)容絕對是一堆無意義的亂碼。使用PGPShredder很容易，將要刪除的檔案拖放到桌面的PGP Shredder Icon，或是直接在檔案總管按鼠標(biāo)右鍵，再選擇[PGPDesktop] [PGP Shred這個檔案]即可。

結(jié)論

最后，企業(yè)使用數(shù)據(jù)加密時還會關(guān)心一個問題：如果員工離職，如何解開他計算機里的加密檔案?或是如果您的私鑰遺失，或密碼忘了，是否就沒救了? PGP有個專利技術(shù)，ADK(Additional DecryptingKey)，好好保管這支鑰匙。

對了，如果您是使用Apple Mac機器，PGP Desktop 也支持MacOS的操作系統(tǒng)，而且操作方式與界面與Windows是一樣的。

信息安全是沒有滿分的，對于個人計算機環(huán)境(Desktop)與點對點(End-to-End)的數(shù)據(jù)安全的需求來說，PGPDesktop工具是不錯的選擇。

安全篇

安全程序的使用不能保證你的通信就是安全的。就算你在房子前門安裝一個最安全的鎖，小偷仍然可以從開著的窗戶爬進來。同樣，即使使用了PGP，你的計算機也仍可能很脆弱?！　∮性S多有名的對PGP的攻擊；下面的部分就介紹這些攻擊。然而，這些決不是一個完整的清單。將來的攻擊很可能會攻破所有的公鑰加密技術(shù)。這份清單只是讓你了解一下保護通信時需要做些什么。

1.蠻力攻擊

對PGP最直接的攻擊是蠻力攻擊使用的密鑰。因為PGP2.6.2使用的兩個加密算法，所以要看看這兩個算法的安全性。對于公鑰加密技術(shù)，PGP使用RSA算法；對于私鑰加密技術(shù)，它使用IDEA。

　　(1)蠻力攻擊RSA密鑰　　對于RSA密鑰，已知最好的蠻力攻擊是分解它們。RSA密鑰產(chǎn)生時就使得它們難于分解。而且，分解大的數(shù)仍然是一門很新的藝術(shù)。　　最近，最大的一個被分解的RSA密鑰是RSA-129，它于1994年4月被分解。RSA-129是在設(shè)計RSA算法時于1977年創(chuàng)建的原始RSA提問。它是一個129位的十進制RSA密鑰，相當(dāng)于425位。分解這個數(shù)動員了全世界范圍的力量，使用了1600臺計算機，實際耗費時間超過8個月。

　　它處理了4600MIPS年的數(shù)據(jù)；1MIPS年是1MIPS的機器一年所能處理的數(shù)據(jù)量。例如，一個Pentium100大約是125MIPS（根據(jù)Intel）。如果一個Pentium100機器為解決一個問題一年時間不停地運行，它就貢獻了125MIPS年。按照這種速度，一臺機器要花37年才能破解RSA-129。如果使用100臺機器，只需要4個月就能破譯這個代碼，只是實際項目一半的時間。

　　當(dāng)前，PGP 2.6.2版使用從512到2048位的密鑰。密鑰越大，分解越困難。同時，增加密鑰長度也會增加使用密鑰的時間。從日期來說，據(jù)認(rèn)為一個512位的密鑰能夠給予1年的安全性；訪問100臺Pentium100機器要花至少一年才能破譯出512位的RSA密鑰。如果這是真的，那么一個1024位的密鑰，若使用今天最新的算法，假設(shè)在技術(shù)上沒有提高的話，在以后10000年都是安全的。如果技術(shù)上有所提高，需要的時間就會少些。然而，看起來技術(shù)可能一直在進展。

　　(2)蠻力攻擊IDEA密鑰　　現(xiàn)在還沒聽說有人攻擊IDEA密鑰。最好是嘗試2^128或3.4×10^38個密鑰。由于完成這一測試的困難性，嘗試破譯PGP中用于加密IDEA密鑰的RSA密鑰更容易。據(jù)估計破譯IDEA的困難如同分解3000位RSA密鑰的困難相當(dāng)。

2.私鑰和通過短語

PGP私鑰環(huán)的安全性基于兩件事：對私鑰環(huán)數(shù)據(jù)的訪問和對用于加密每個私鑰的通過短語的了解。使用私鑰要擁有這兩部分。然而，這也引起了許多攻擊。　　如果PGP用于多用戶系統(tǒng)中，就可能訪問私鑰環(huán)。通過緩存文件，網(wǎng)絡(luò)窺視或者許多其他的攻擊，可以利用監(jiān)視網(wǎng)絡(luò)或者讀取磁盤得到私鑰環(huán)。這樣就只剩下通過短語用來保護私鑰環(huán)中的數(shù)據(jù)了，這就意味著只要獲得通過短語就能攻破PGP的安全。　　而且，在一個多用戶系統(tǒng)中，鍵盤和CPU之間的鏈路可能是不安全的。如果有人能夠物理上訪問連接用戶鍵盤和主機的網(wǎng)絡(luò)，監(jiān)視擊鍵是很容易的。例如，用戶可能從一群公共的客戶終端上登錄，這時就可以窺探連接網(wǎng)絡(luò)得到通過短語。另外，用戶還可能通過調(diào)制解調(diào)器拔叫，在這種情況下竊賊就可以監(jiān)聽鍵盤擊鍵。在任何一種情況下，在一個多用戶的機器　　上運行PGP都是不安全的?！　‘?dāng)然，運行PGP最安全的方法是在一臺沒有其他人使用而且不連網(wǎng)的個人機上運行；也就是說，一臺膝上型或家庭計算機。用戶必須在安全環(huán)境的代價和安全通信的代價之間找到一種平衡。使用PGP的推薦方法是：總是在安全環(huán)境下的安全機器上動用，這樣用戶就可以控制整個機器?！　∽詈玫陌踩躁P(guān)鍵在于鍵盤和CPU之間的連接是安全的。這既可以通過加密來完成，或者更好一點通過直接、無中斷的連接實現(xiàn)。工作站、PC、Mac、膝上型機器都屬于安全的機器?！　“踩沫h(huán)境更難于顯示，這里沒有加以探討。

3.對公鑰環(huán)的攻擊

由于公鑰環(huán)（公有密鑰環(huán)）的重要性和對它的依賴性，PGP受到許多針對密鑰環(huán)的攻擊。首先，只有當(dāng)密鑰環(huán)改變時才被檢查。當(dāng)添加新的密鑰或簽名時，PGP驗證它們。然而，它會標(biāo)記密鑰環(huán)中已檢查過的簽名，這樣就不會再去驗證它們。如果有人修改了密鑰環(huán)，并且設(shè)置了簽名中相應(yīng)的位，就不會被檢查出來。　　對PGP密鑰環(huán)的另一種攻擊集中于PGP使用的進程，它對密鑰有效性設(shè)置1位。當(dāng)?shù)竭_一個密鑰的新簽名時，PGP就使用前面描述過的信任網(wǎng)絡(luò)值計算該密鑰的有效位。然后PGP在公有密鑰環(huán)中緩存這個有效位。一個攻擊者可能會在密鑰環(huán)中修改這位，從而迫使得用戶相信一個無效密鑰是有效的。例如，通過設(shè)置這個標(biāo)志，攻擊者能夠使得用戶相信一個密鑰屬于Alice，盡管沒有足夠的簽名證明這個密鑰的有效性?！　∫部赡馨l(fā)生對PGP公鑰環(huán)的另一種攻擊，因為作為介紹人的密鑰信任也緩存在公有密鑰環(huán)中。這個值定義密鑰的簽名有多少信任度，因此如果使用帶有無效參數(shù)的密鑰簽名就可能使PGP把無效密鑰作為有效密鑰接受。如果一個密鑰被修改為完全受托的介紹人，那么用這個密鑰簽名的任何密鑰都被信任為有效的。因此，一個攻擊者如果用一個修改過的密鑰為另一個密鑰簽名，就會使得用戶相信它是有效的。　　公鑰環(huán)最大的問題是所有這些位不僅在公鑰環(huán)中緩存，而且密鑰環(huán)中沒有任何保護。　　讀過PGP源代碼而且能夠訪問公鑰環(huán)的任何人都可以使用一個二進制文件編輯器修改任何一位，而密鑰環(huán)的所有者卻無法注意到這個修改。幸運的是，PGP提供一種方法重新檢查密鑰環(huán)中的密鑰。通過聯(lián)合使-kc 和 -km選項，用戶可告訴PGP執(zhí)行對整個密鑰環(huán)的密鑰維護。　　前一個選項告訴PGP檢查密鑰和簽名。PGP會查看整個密鑰環(huán)，重新檢查每一個簽名。當(dāng)檢查了所有簽名之后，PGP將執(zhí)行一個維護性檢查（-km），重新計算所有密鑰的有效性?！　〔恍业氖?，沒有一種辦法能夠完全重新檢查密鑰中的所有信任字節(jié)。這是一個漏洞。應(yīng)當(dāng)有一個命令告訴PGP忽略所有信任字節(jié)，從終極密鑰，即私鑰環(huán)中的密鑰，向用戶詢問信任性?！　』蛟SPGP將來的版本會改正這個問題。如果一個密鑰被改成是可信任的介紹人，你沒有辦法找到修改之處并改正它。運行密鑰和維護檢查只能恢復(fù)密鑰的有效性，但不是信任值。只有對一個密鑰運行PGP-ke才能編輯信任參數(shù)，而這不能自動完成。

4.程序的安全性

如果有人能夠訪問PGP程序的二進制文件，他就可以改變它，讓它做他想做的任何事。　　如果這個介入者能夠從你的鼻子底下替換你的PGP二進制文件，你對PGP的信任就建立在你對這個人的信任和你實際驗證這個程序的能力上。例如，一個能夠進行這種訪問的攻擊者可能會改變PGP，使得它總是驗證簽名，甚至簽名是無效的。PGP可能被修改，總是向NSA發(fā)送所有消息的純文本復(fù)制。這些攻擊很難檢測，而且難于對付。PGP需要成為受托代碼基礎(chǔ)的一部分；如果你不信任你的PGP二進制文件，那就不要信任它的輸出?！　∠嘈臥GP二進制文件最好的辦法就是自己從源代碼建立它。然而，這并不總是可能的?！　∑渌k法包括在它建立時監(jiān)視它或者從一個受托的來源得到它。查看二進制文件的大小和日期很有幫助。使用其他受托的程序，像md5sum能有所幫助。但這只是把問題壓到了另一層。如果你不信任PGP程序，就沒有太多做的了。

5.對PGP的其他攻擊

對PGP可能還有其他攻擊，但是這里不做討論。從來沒有證明過PGP使用的加密算法是安全的。PGP所使用的數(shù)學(xué)雖然被認(rèn)為是安全的，但是有可能很容易攻破。對RSA的分解攻擊可能得到改進、或者有人可能在IDEA中找到一個漏洞。　　要想知道什么安全、什么不安全，對密碼技術(shù)所運用的數(shù)學(xué)知識了解得還不夠。實際上，據(jù)知任何事都不是完全安全的，如果有足夠的計算能力，任何形式的密碼技術(shù)都可以攻破。　　問題是破譯代碼所花費的時間和精力與被保護的數(shù)據(jù)價值相比是否值得。注意破譯代碼所花費的力量將隨著時間不斷地減少，因為計算機的能力不斷增強，而價格不斷地下降。到現(xiàn)在為止，密碼專家仍然超前于破譯者。

心得

1.PGP全盤加密注意事項　　在全盤加密下，不能使用第三方磁盤軟件處理已加密的硬盤，如：不要重建或恢復(fù)MBR（主引導(dǎo)記錄），不要重建或恢復(fù)分區(qū)表，不要格式化，不要調(diào)整分區(qū)大小等。總之，就是不要用就是了，切記?！　〔灰惭b和使用會更改MBR的恢復(fù)軟件（所有會改MBR的軟件都不要安裝和使用），如：一鍵ghost，廠家自己的一鍵恢復(fù)軟件，AcronisTrueImage（F11鍵），雨過天晴等。切記！　　最后說一點：只要做到不對MBR和硬盤分區(qū)作任何更改，PGPWDE是安全的！　　2.PGP全盤加密失敗（如斷電，死機等）去除電腦開機輸入密碼方法　　當(dāng)用PGP進行全盤加密的時候，如果不幸遇到斷電或者死機，而你又不幸沒有選上斷電保護，電腦被迫重啟后，全盤加密未完成的情況，電腦開機會叫輸入之前全盤加密選項里面的用戶開機口令，這時候，想要去除全盤加密可以用MBRTOOL等MBR重寫工具進行硬盤引導(dǎo)區(qū)重寫，PGP的開機加密是以代碼形式寫入了硬盤引導(dǎo)區(qū)（MBR）里，所以只要重寫了硬盤引導(dǎo)區(qū)就可以去掉PGP的全盤加密設(shè)置及其開機加密密碼，具體重寫入步驟請百度下。　　3.PGP密鑰注意事項　　一般PGP在你重裝系統(tǒng)后密鑰容易出問題，其它時候都很安全。重裝系統(tǒng)一定要備份密鑰環(huán)文件，順便把私鑰文件（密鑰對）也備份出來。重裝好后裝PGP它會有提示，這時你需要導(dǎo)入密鑰環(huán)或者密鑰對，而不是簡單的復(fù)制粘貼到PGP的文件夾中。

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101014/211418.html