软件水平考试网络工程师复习指导：PGP简介(2)

pgp还可以只签名而不加密，这适用于公开发表声明时， 声明人为了证实 自己的身份（在网络上只能如此了），可以用自己的私匙签名。这样就可以让 收件人能确认发信人的身份，也可以防止发信人抵赖自己的声明。这一点在商 业领域有很大的应用前途，它可以防止发信人抵赖和信件被途中篡改。 那么为什么说pgp用的是rsa和传统加密的杂合算法呢？ 因为rsa算法计算 量极大，在速度上不适合加密大量数据，所以pgp实际上用来加密的不是rsa本 身，而是采用了一种叫idea的传统加密算法。我先解释一下什么叫传统加密， 简单地说就是用一个密匙加密明文，然后用同样的密匙解密。这种方法的代表 是des （us federal data encryption standard），也就是乘法加密，它的主 要缺点就是密匙的传递渠道解决不了安全性问题，不适合网络环境邮件加密需 要。idea是一个有专利的算法， 专利持有者是eth和一个瑞士公司ascom-tech ag。非商业用途的idea实现不用向他们交纳费用。idea的加（解）密速度比rsa 快得多， 所以实际上pgp是用一个随机生成密匙（每次加密不同）用idea算法 对明文加密，然后用rsa算法对该密匙加密。这样收件人同样是用rsa解密出这 个随机密匙，再用idea解密邮件本身。 这样的链式加密就做到了既有rsa体系 的保密性，又有idea算法的快捷性。 rsa体系70年代就已提出，但由于速度问 题一直没有推广应用，pgp的正好解决了这个问题，pgp的创意有一半就在这一点上了。那么pgp创意的另一半在哪儿呢？下面我再谈pgp的密匙管理。

　　一个成熟的加密体系必然要有一个成熟的密匙管理机制配套。公匙体制的 提出就是为了解决传统加密体系的密匙分配难保密的缺点。比如网络 hacker们 常用的手段之一就是“监听”，如果密匙是通过网络传送就太危险了。举个例 子：novell netware 的老版本中，用户的密码是以明文在线路中传输的， 这 样监听者轻易就获得了他人的密码。当然 netware 4.1中数据包头的用户密码 现在是加密的了。对pgp来说公匙本来就要公开，就没有防监听的问题。 但公 匙的发布中仍然存在安全性问题，例如公匙的被篡改（public key tampering）， 这可能是公匙密码体系中的漏洞，因为大多数新手不能很快发现这一点。 你必须确信你拿到的公匙属于它看上去属于的那个人。为了把这个问题说清楚， 我举个例子，然后再说如何正确地用pgp堵住这个漏洞。 以你和alice的通信为例，假设你想给alice发封信，那你必须有alice的公 匙， 你从bbs上下载了alice的公匙，并用它加密了信件用bbs的email功能发给 了alice。不幸地，你和alice都不知道，另一个用户叫charlie的用户潜入bbs， 把他自己用alice的名字生成的密匙对中的公匙替换了alice的公匙。 那你用来 发信的公匙就不是alice的而是charlie 的， 一切看来都很正常，因为你拿到的 公匙的用户名是“alice”。于是charlie就可以用他手中的私匙来解密你给alice 的信， 甚至他还可以用alice真正的公匙来转发你给alice的信，这样谁都不会 起疑心，他如果想改动你给alice的信也没问题。更有甚者，他还可以伪造 alice 的签名给你或其他人发信，因为你们手中的公匙是伪造的，你们会以为真是alice 的来信。 防止这种情况出现的办法是避免让任何其他人有机会篡改公匙，比如 直接从alice手中得到她的公匙，然而当她在千里之外或无法见到时， 这是很 困难的。pgp发展了一种公匙介绍机制来解决这个问题。 举例来说：如果你和 alice有一个共同的朋友david，而david知道他手中alice的公匙是正确的（关 于如何认证公匙，pgp还有一种方法，后面会谈到，这里假设david已经和alice 认证过她的公匙）。这样david可以用他自己的私匙在alice的公匙上签名（就 是用上面讲的签名方法），表示他担保这个公匙属于alice。当然你需要用david 的公匙来校验他给你的alice的公匙，同样david也可以向alice认证你的公匙， 这样david就成为你和alice之间的“介绍人”。这样alice或david就可以放心 地把david签过字的alice的公匙上载到 bbs上让你去拿， 没人可能去篡改它而 不被你发现，即使是bbs的管理员。这就是从公共渠道传递公匙的安全手段。