PGP工作原理及其安全体制

  信息安全

现代信息社会里,当电子邮件广受欢迎的同时,其安全性问题也很突出。实际上,电子邮件的传递过程是邮件在网络上反复复制的过程,其网络传输路径不确定,很容易遭到不明身份者的窃取、篡改、冒用甚至恶意破坏,给收发双方带来麻烦。进行信息加密,保障电子邮件的传输安全已经成为广大E-mail用户的迫切要求。PGP的出现与应用很好地解决了电子邮件的安全传输问题。将传统的对称性加密与公开密钥方法结合起来,兼备了两者的优点。PGP提供了一种机密性和鉴别的服务,支持1024位的公开密钥与128位的传统加密算法,可以用于军事目的,完全能够满足电子邮件对于安全性能的要求。

1 操作描述

PGP的实际操作由五种服务组成:鉴别、机密性、电子邮件的兼容性、压缩、分段和重装。

1.1 鉴别

如图1。步骤如下:

(1)发送者创建报文;

(2)发送者使用SHA-1生成报文的160bit散列代码(邮件文摘);

(3)发送者使用自己的私有密钥,采用RSA算法对散列代码进行加密,串接在报文的前面;

(4)接收者使用发送者的公开密钥,采用RSA解密和恢复散列代码;

(5)接收者为报文生成新的散列代码,并与被解密的散列代码相比较。如果两者匹配,则报文作为已鉴别的报文而接收。

另外,签名是可以分离的。例如法律合同,需要多方签名,每个人的签名是独立的,因而可以仅应用到文档上。否则,签名将只能递归使用,第二个签名对文档的第一个签名进行签名,依此类推。

1.2 机密性

在PGP中,每个常规密钥只使用一次,即对每个报文生成新的128bit的随机数。为了保护密钥,使用接收者的公开密钥对它进行加密。图2显示了这一步骤,描述如下:

(1)发送者生成报文和用作该报文会话密钥的128bit随机数;

(2)发送者采用CAST-128加密算法,使用会话密钥对报文进行加密。也可使用IDEA或3DES;

(3)发送者采用RSA算法,使用接收者的公开密钥对会话密钥进行加密,并附加到报文前面;

(4)接收者采用RSA算法,使用自己的私有密钥解密和恢复会话密钥;

(5)接收者使用会话密钥解密报文。

除了使用RSA算法加密外,PGP还提供了DiffieHellman的变体EIGamal算法。

1.3 常规加密和公开密钥结合的好处

(1)常规加密和公开密钥加密相结合使用比直接使用RSA或E1Gamal要快得多。

(2)使用公开密钥算法解决了会话密钥分配问题。

(3)由于电子邮件的存储转发特性,使用握手协议来保证双方具有相同会话密钥的方法是不现实的,而使用一次性的常规密钥加强了已经是很强的常规加密方法。

1.4 机密性与鉴别

如图3所示,对报文可以同时使用两个服务。首先为明文生成签名并附加到报文首部;然后使用CAST-128(或IDEA、3DES)对明文报文和签名进行加密,再使用RSA(或E1Gamal)对会话密钥进行加密。在这里要注意次序,如果先加密再签名的话,别人可以将签名去掉后签上自己的签名,从而篡改签名。

1.5 电子邮件的兼容性

当使用PGP时,至少传输报文的一部分需要加密,因此部分或全部的结果报文由任意8bit字节流组成。但由于很多的电子邮件系统只允许使用由ASCII正文组成的块,所以PGP提供了radix-64(就是MIME的BASE 64格式)转换方案,将原始二进制流转化为可打印的ASCII字符。

1.6 压缩

PGP在加密前进行预压缩处理,PGP内核使用PKZIP算法压缩加密前的明文。一方面对电子邮件而言,压缩后再经过radix-64编码有可能比明文更短,这就节省了网络传输的时间和存储空间;另一方面,明文经过压缩,实际上相当于经过一次变换,对明文攻击的抵御能力更强。

1.7 分段和重装

电子邮件设施经常受限于最大报文长度(50000个)八位组的限制。分段是在所有其他的处理(包括radix-64转换)完成后才进行的,因此,会话密钥部分和签名部分只在第一个报文段的开始位置出现一次。在接收端,PGP必须剥掉所在的电子邮件首部,并且重新装配成原来的完整的分组。

2 加密密钥和密钥环

2.1 会话密钥的生成

PGP的会话密钥是个随机数,它是基于ANSI X.917的算法由随机数生成器产生的。随机数生成器从用户敲键盘的时间间隔上取得随机数种子。对于磁盘上的randseed.bin文件是采用和邮件同样强度的加密。这有效地防止了他人从randseed.bin文件中分析出实际加密密钥的规律。

2.2 密钥标志符

允许用户拥有多个公开/私有密钥对:(1)不时改变密钥对;(2)同一时刻,多个密钥对在不同的通信组交互。所以用户和他们的密钥对之间不存在一一对应关系。假设A给B发信,B就不知道用哪个私钥和哪个公钥认证。因此,PGP给每个用户公钥指定一个密钥ID,这在用户ID中可能是唯一的。它由公钥的最低64bit组成(Kua mod 2 64),这个长度足以使密钥ID重复概率非常小。

2.3 密钥环

密钥需要以一种系统化的方法来存储和组织,以便有效和高效地使用。PGP在每个结点提供一对数据结构,一个是存储该结点年月的公开/私有密钥对(私有密钥环);另一个是存储该结点知道的其他所有用户的公开密钥。相应地,这些数据结构被称为私有密钥环和公开密钥环。

3 公开密钥管理

3.1 公开密钥管理机制

一个成熟的加密体系必然要有一个成熟的密钥管理机制配磁。公钥体制的提出就是为了解决传统加密体系的密钥分配过程不安全、不方便的缺点。例如网络黑客们常用的手段之一就是“监听”,通过网络传送的密钥很容易被截获。对PGP来说,公钥本来就是要公开,就没有防监听的问题。但公钥的发布仍然可能存在安全性问题,例如公钥被篡改(public key tampering),使得使用公钥与公钥持有人的公钥不一致。这在公钥密码体系中是很严重的安全问题。因此必须帮助用户确信使用的公钥是与他通信的对方的公钥。

以用户A和用户B通信为例,现假设用户A想给用户B发信。首先用户A就必须获取用户B的公钥,用户A从BBS上下载或通过其它途径得到B的公钥,并用它加密信件发给B。不幸的是,用户A和B都不知道,攻击者C潜入BBS或网络中,侦听或截取到用户B的公钥,然后在自己的PGP系统中以用户B的名字生成密钥对中的公钥,替换了用户B的公钥,并放在BBS上或直接以用户B的身份把更换后的用户B的“公钥”发给用户A。那A用来发信的公钥是已经更改过的,实际上是C伪装B生成的另一个公钥(A得到的B的公钥实际上是C的公钥/密钥对,用户名为B)。这样一来B收到A的来信后就不能用自己的私钥解密了。更可恶的是,用户C还可伪造用户B的签名给A或其他人发信,因为A手中的B的公钥是仿造的,用户A会以为真是用户B的来信。于是C就可以用他手中的私钥来解密A给B的信,还可以用B真正的公钥来转发A给B的信,甚至还可以改动A给B的信。

3.2 防止篡改公钥的方法

(1)直接从B手中得到其公钥,这种方法有局限性。

(2)通过电话认证密钥:在电话上以radix-64的形式口述密钥或密钥指纹。密钥指纹(keys fingerprint)就是PGP生成密钥的160bit的SHA-1摘要(16个8位十六进制)。

(3)从双方信任的D那里获得B的公钥。如果A和B有一个共同的朋友D,而D知道他手中的B的公钥是正确的。D签名的B的公钥上载到BBS上让用户去拿,A想要获得B的公钥就必须先获取D的公钥来解密BBS或网上经过D签名的B的公钥,这样就等于加了双重保险,一般没有可能去篡改而不被用户发现,即使是BBS管理员。这就是从公共渠道传递公钥的安全手段。有可能A拿到的D或其他签名的朋友的公钥也是假的,但这就要求攻击者C必须对三人甚至很多人都很熟悉,这样的可能性不大,而且必需经过长时间的策划。

只通过一个签名证力度可能是小了一点,于是PGP把用不同私钥签名的公钥收集在一起,发送到公共场合,希望大部分从至少认识其中一个,从而间接认证了用户(A)的公钥。同样用户(D)签了朋友(A)的公钥后应该寄回给他(A)(朋友),这样可以让他(A)通过该用户(D)被该用户(D)的其他朋友所认证。与现实中人的交往一样。PGP会自动根据用户拿到的公钥分析出哪些是朋友介绍来的签名的公钥,把它们赋以不同的信任级别,供用户参考决定对它们的信任程度。也可指定某人有几层转介公钥的能力,这种能力随着认证的传递而递减的。

(4)由一个普通信任的机构担当第三方,即“认证机构”。这样的“认证机构”适合由非个人控制的组织或政府机构充当,来注册和管理用户的密钥对。现在已经有等级认证制定的机构存在,如广东省电子商务电子认证中心(WWW.cnca.net)就是一个这样的认证机构。对于那些非常分散的用户,PGP更赞成使用私人方式的密钥转介。

3.3 信任的使用

PGP确实为公开密钥附加侂任和开发信任信息提供了一种方便的方法使用信任。

公开密钥环的每个实体都是一个公开的密钥证书。与每个这亲的实体相联系的是密钥合法性字段,用来指示PGP信任“这是这个用户合法的公开密钥”的程度;信任程度越高,这个用户ID与这个密钥的绑定越紧密。这个字段由PGP计算。与每个实体相联系的还有用户收集的多个签名。反过来,每个签名都带有签名信任字段,用来指示该PGP用户信任签名者对这个公开密钥证明的程度。密钥合法性字段是从这个实体的一组签名信任字节中推导出来的。最后,每个实体定义了与特定的拥有者相联系的公开密钥,包括拥有者信任字段,用来指示这个公开密钥对其他公开密钥证书进行签名的信任程度(这个信任程度是由该用户指定的)。可以把签名信任字段看成是来自于其他实体的拥有者信任字段的副本。

例如正在处理用户A的公开密钥环,操作描述如(1)当A在公开密钥环中插入了新的公开密钥时,PGP为与这个公开密钥拥有者相关联的信任标志赋值,插入KUa,则赋值=1终极信任;否则,需说明这个拥有者是未知的、不可任信的、少量信任的和完全可信的等,赋以相应的权重值1/x、1/y等。

   (2)当新的公开密钥输入后,可以在它上面附加一个或多个签名,以后还可以增加更多的签名。在实体中插入签名时,PGP在公开密钥环中搜索,查看这个签名的作者是否属于已知的公开密钥拥有者。如果是,为这个签名的SIGTRUST字段赋以该拥的者的OWNERTRUST值。否则,赋以不认识的用户值。

(3)密钥合法性字段的值是在这个实体的签名信任字段的基础上计算的。如果至少一个签名具有终极信任的值,那么密钥合法性字段的设置为完全;否则,PGP计算信任值的权重和。对于总是可信任的签名赋以1/x的权重,对于通常可信任的签名赋以权重1/y,其中x和y都是用户可配置的参数。当介绍者的密钥/用户ID绑定的权重总达到1时,绑定被认为是值得信任的,密钥合法性被设置为完全。因此,在没有终极信任的情况下,需要至少x个签名总是可信的,或者至少y个签名是可信的,或者上述两种情况的某种组合。如图4所示。
总之,PGP采用了RSA和传统加密的杂合算法,用于数字签名的邮件文摘算法、加密前压缩等,可以用来加密文件,还可以代替Uuencode生成RADIX 64格式(就是MIME的BASE 64格式)的编码文件。PGP创造性地把RSA公钥体系的方便和传统加密体系的高速度结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计。这是目前最难破译的密码体系之一。
用户通过PGP的软件加密程序,可以在不安全的通信链路上创建安全的消息和通信。PGP协议已经成为公钥加密技术和全球范围内消息安全性的事实标准。因为所有人都能看到它的源代码,从而查找出故障和安全性漏局。