欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

1.加密的歷史作為保障數據安全的一種方式，對于信息的加密技巧起源于歐洲，公元前2000年，埃及人是最先使用象形文字作為信息編碼的人。隨著(zhù)時(shí)間推移，巴比倫、美索不達米亞和希臘文明都開(kāi)始使用一些方法來(lái)保護他們的書(shū)面信息（明文）。后來(lái)，被Julias Caesar（凱撒大帝）使用，也曾用于歷次戰爭中，包括美國獨立戰爭、美國內戰和兩次世界大戰。最廣為人知的編碼機器是德國的German Enigma，在第二次世界大戰中德國人利用它創(chuàng )建了加密信息系統，從而解決軍事信息的保密通訊問(wèn)題。此后，由于A(yíng)lan Turing和Ultra計劃以及其他工程技術(shù)人員的不泄努力，盟軍終于對德國人的密碼成功破譯了，進(jìn)而導致第二次世界大戰結束。當初，美國人對于計算機的研究，主要目的是用于破解德國人的通訊密碼，這在當時(shí)，人們并沒(méi)有意識到計算機技術(shù)此后的發(fā)展會(huì )影響世界歷史進(jìn)程，從而在全球引發(fā)了一場(chǎng)信息革命。隨著(zhù)計算機的發(fā)展，運算能力的增強，傳統的密碼知識和技能都變得十分簡(jiǎn)單了而很容易被人破解，于是人們又不斷地研究出了新的數據加密方式，如私有密鑰算法和公共密鑰算法?？梢哉f(shuō)，是計算機技術(shù)的飛速發(fā)展在推動(dòng)了數據加密技術(shù)的發(fā)展。2.什么是數據加密盡管加密技術(shù)被首先使用在軍事通信領(lǐng)域，但是人們或許出于安全的考量，開(kāi)始逐漸對于商業(yè)機密、政府文件等重要信息實(shí)施加密手段。數據加密應運而生。其基本原理是：對明文（可讀懂的信息）進(jìn)行翻譯，使用不同的算法對明文以代碼形式（密碼）實(shí)施加密。該過(guò)程的逆過(guò)程稱(chēng)為解密，即將該編碼信息轉化為明文的過(guò)程。從事數據加密研究的人稱(chēng)為密碼編碼者（Cryptographer）,而從事對密碼解密的專(zhuān)業(yè)人士稱(chēng)為密碼分析者（Cryptanalyst）。如今數據加密技術(shù)被廣泛地應用與國民經(jīng)濟各個(gè)領(lǐng)域，特別是政府機關(guān)和國防情報部門(mén)，此外才是科學(xué)研究機關(guān)、商業(yè)部門(mén)、新聞出版、金融證券、交通管制與電力輸送等部門(mén)。3.為什么需要對數據進(jìn)行加密？因特網(wǎng)是不安全的信息傳輸載體，它所遵循的通訊協(xié)議（TCP/IP協(xié)議）是脆弱的，當初設計該協(xié)議的初衷并非是對信息安全的考慮，而是出于對通信自由的考量。因此，一些基于TCP/IP協(xié)議的服務(wù)也是極不安全；另一方面，因特網(wǎng)給眾多的商家帶來(lái)了無(wú)限的商機，許多網(wǎng)絡(luò )黑客依照經(jīng)濟利益或個(gè)人愛(ài)好，往往專(zhuān)門(mén)跟蹤Internet的特殊群體或個(gè)別敏感用戶(hù)，盜取他們的網(wǎng)絡(luò )身份或銀行帳戶(hù)信息，再冒充合法用戶(hù)的身份，進(jìn)一步侵入信息系統，非法盜取經(jīng)濟、政治、軍事機密。為了保證因特網(wǎng)的安全和充分發(fā)揮其商業(yè)信息交換的價(jià)值，人們選擇了數據加密技術(shù)的對訪(fǎng)問(wèn)Internet網(wǎng)絡(luò )的用戶(hù)實(shí)施身份認證。加密技術(shù)在網(wǎng)絡(luò )上的應用概括起來(lái)有：①數據加密 ②身份認證 ③數字簽名和防止個(gè)人的否認事實(shí)（撒謊）行為。其次就是對于黑客的非法入侵行為在網(wǎng)絡(luò )上進(jìn)行攔截。許多安全防護體系是基于密碼的，密碼一旦泄露出去可以導致很多的安全隱患，甚至導致網(wǎng)絡(luò )的全面崩潰。當人在網(wǎng)絡(luò )上進(jìn)行訪(fǎng)問(wèn)時(shí)必須進(jìn)入第一道門(mén)口——登錄，你所鍵入的密碼（Password）以明文的形式被傳輸到用戶(hù)服務(wù)器上，系統自動(dòng)對你的用戶(hù)身份進(jìn)行鑒別，這就是身份認證。確定你的身份后才容許你訪(fǎng)問(wèn)或通訊。在網(wǎng)絡(luò )上的竊聽(tīng)是一件極為容易的事情，今天在Internet網(wǎng)上到處充斥著(zhù)各種各樣的黑客程序，很多是基于訪(fǎng)問(wèn)控制的攻擊型程序。因此很有可能會(huì )有黑客嗅探并竊得用戶(hù)的密碼，如果用戶(hù)是Root用戶(hù)或Administrator用戶(hù)，那后果將是極為嚴重的。網(wǎng)絡(luò )上的數據被嗅探和劫持必將或給網(wǎng)絡(luò )帶來(lái)安全隱患。解決類(lèi)似的網(wǎng)絡(luò )攻擊行為的防護措施之一就是對數據加密，加密的口令即使被黑客獲得也是不可讀的，除非加密密鑰或加密方式十分脆弱，黑客很容易破解。不管怎樣，加密的使用使黑客不會(huì )輕易獲得口令。身份認證是基于加密技術(shù)的，它的作用就是用來(lái)確定用戶(hù)是否是真實(shí)的。簡(jiǎn)單的例子就是電子郵件，當用戶(hù)收到一封電子郵件時(shí)，郵件上面標有發(fā)信人的姓名和信箱地址，很多人可能會(huì )簡(jiǎn)單地認為發(fā)信人就是信上說(shuō)明的那個(gè)人，但實(shí)際上偽造一封電子郵件對于一個(gè)通常人來(lái)說(shuō)是極為容易的事。在這種情況下，用戶(hù)需要用電子郵件源身份認證技術(shù)來(lái)防止電子郵件偽造，這樣就有理由用戶(hù)寫(xiě)信的人就是信頭上說(shuō)明的人，有些站點(diǎn)提供入站FTP和WWW服務(wù)，當然用戶(hù)通常接觸的這類(lèi)服務(wù)是匿名服務(wù)，用戶(hù)的權力要受到限制，但也有的這類(lèi)服務(wù)不是匿名的，如公司為了信息交流提供用戶(hù)的合作伙伴非匿名的FTP服務(wù)，或開(kāi)發(fā)小組把他們的Web網(wǎng)頁(yè)上載到用戶(hù)的WWW服務(wù)器上，現在的問(wèn)題就是，用戶(hù)如何確定正在訪(fǎng)問(wèn)用戶(hù)服務(wù)器的人就是合法用戶(hù)呢？采用身份認證便可以解決這個(gè)問(wèn)題。有些時(shí)候，用戶(hù)可能需要對一些機密文件進(jìn)行加密，并不一定因為要在網(wǎng)絡(luò )間進(jìn)行傳輸，而是要防止別人竊得計算機密碼而獲得該機密文件，因此要對數據實(shí)行加密，從而實(shí)現多重保護。例如，在UNIX系統中可以用crypt(3)命令對文件進(jìn)行加密，盡管這種加密手段如今已不是那么先進(jìn)，甚至有被破解的可能，但是最起碼可以保證文件的完整無(wú)誤地傳輸到信息接受方。4.加密密鑰加密算法通常是公開(kāi)的，比較常用的密碼體制有DES和IDEA等。一般把受保護的原始信息稱(chēng)為明文，編碼后的數據就是密文。盡管大家都知道加密方法是公開(kāi)的，但對密文進(jìn)行破譯是需要專(zhuān)一的密鑰的，密鑰是保密的不是任何人都可以輕易拿到的。一旦你獲得專(zhuān)一的密鑰秘密對于你就是公開(kāi)的了。（一）保密密鑰和公開(kāi)（私有）密鑰有兩類(lèi)基本的加密算法可供對文件加密者選擇：保密密鑰和公開(kāi)/私有密鑰。在保密密鑰中，加密者和解密者使用相同的密鑰，被稱(chēng)為非對稱(chēng)密鑰，這類(lèi)算法有DES和IDEA。這種加密算法的問(wèn)題是，用戶(hù)必須讓接收信息者知道自己所使用的密鑰，這個(gè)密鑰需要雙方共同保密，任何一方的失誤都會(huì )導致機密的泄露。而且在告訴收件人密鑰過(guò)程中，還需要的防止任何人發(fā)現或竊取密鑰，這個(gè)過(guò)程被稱(chēng)為密鑰發(fā)布。有些認證系統在會(huì )話(huà)初期用明文傳送密鑰，這就存在密鑰被截獲的可能性。需要使用保密密鑰對加密密鑰的信息再加密。另一類(lèi)加密技術(shù)是公開(kāi)/私有密鑰，與非對稱(chēng)密鑰體制不同的是，它使用相互關(guān)聯(lián)的一對密鑰，一個(gè)是公開(kāi)的密鑰，任何人都可以知道，另一個(gè)是私有密鑰（專(zhuān)一密鑰），只有擁有該對密鑰的人才有，其他人并沒(méi)有保管它。假如某甲發(fā)信給保存專(zhuān)一密鑰的乙方，乙接收到加密信息后，就用他自己保存的密鑰進(jìn)行解密，而且只有乙方持有的私有密鑰可以解密。這種加密方式的好處顯而易見(jiàn)。密鑰只有一個(gè)人持有，也就更加容易進(jìn)行保密，因為不需在網(wǎng)絡(luò )上傳送私人密鑰，也就不用擔心別人在認證會(huì )話(huà)初期劫持密鑰。下面把公開(kāi)/私有密鑰技術(shù)總結為以下三個(gè)要點(diǎn)：1、公開(kāi)鑰/私有密鑰有兩個(gè)相互關(guān)聯(lián)的密鑰。2、公開(kāi)密鑰加密的文件只有私有密鑰能解開(kāi)。3、私有密鑰加密的文件只有公開(kāi)密鑰能解開(kāi)，這一特點(diǎn)被用于PGP（pretty good privacy）。（二）摘要函數（MD2、MD4和MD5）-----數字簽名摘要是一種防止數據被私自改動(dòng)的方法，其中用到的函數叫摘要函數。這些函數的輸入可以是任意大小的消息，而輸出是一個(gè)固定長(cháng)度的摘要。摘要有這樣一個(gè)性質(zhì)，如果改變了輸入消息中的任何東西，甚至只有一位，輸出的摘要將會(huì )發(fā)生不可預測的改變，也就是說(shuō)輸入消息的每一位數字對輸出摘要都會(huì )有影響?？傊?，摘要算法從給定的文本塊中產(chǎn)生一個(gè)數字簽名（fingerprint或message digest），數字簽名可以用于防止有人從一個(gè)簽名上獲取文本信息或改變文本信息內容。摘要算法的數字簽名原理在很多加密算法中都被使用，如S/KEY和PGP（pretty good privacy）。現在流行的摘要函數有MD4和MD5，下面就來(lái)討論一下它們。記住，客戶(hù)機和服務(wù)器必須使用相同的算法，無(wú)論是MD4還是MD5,MD4客戶(hù)機不能和MD5服務(wù)器交互。MD2摘要算法的設計是出于下面的考慮：利用32位RISC結構來(lái)最大其吞吐量，而不需要大量的替換表（substitution table）。MD4算法是把消息的給予，對長(cháng)度而言作為一個(gè)輸入，產(chǎn)生一個(gè)128位的"指紋"或"消息化"。要產(chǎn)生兩個(gè)具有相同消息化的文字塊或者產(chǎn)生任何具有預先給定"指紋"的消息，都被認為在計算上是不可能的。MD5摘要算法是個(gè)數據認證標準。MD5的設計思想是要找出速度更快但更不安全的MD4中潛在的不安全，MD5的設計者通過(guò)使MD5在計算上慢下來(lái)，以及對這些計算做了一些基礎性的改動(dòng)來(lái)解決這個(gè)問(wèn)題。MD5在RFC1321中給出文檔描述，是MD4算法的一個(gè)擴展。5.密鑰的管理和分發(fā)一、使用同樣密鑰的時(shí)間范圍用戶(hù)可以一次又一次地使用同樣原密鑰與別人交換信息，但要考慮以下的情況：1.如果某人偶然地接觸到了用戶(hù)的密鑰，那么用戶(hù)曾經(jīng)和另一個(gè)人交換的每一條消息都不再是保密的了。2.使用一個(gè)特定密鑰加密的信息越多，提供給竊聽(tīng)者的材料也就越多，這就增加了他們成功的機會(huì )。因此，一般強調僅將一個(gè)對話(huà)密鑰用于一條信息中或一次對話(huà)中，或者建立一種按時(shí)更換密鑰的機制，以減小密鑰暴露的可能性。二、保密密鑰的分發(fā)假設在某機構中有100個(gè)人，如果他們任意兩人之間可以進(jìn)行秘密對話(huà)，那么總共需要多少密鑰呢？每個(gè)人需要知道多少密鑰呢？很容易得出答案，十個(gè)連網(wǎng)用戶(hù)需要45個(gè)密鑰，如果是100人中的任意兩人之間要用不同的密鑰對話(huà)，則該群體總共需要4950對密鑰，而且每個(gè)人應記住99個(gè)密鑰。如果機構的人數是1000、10000人或更多呢，顯然這種方式過(guò)于愚蠢了，管理密鑰將是一件可怕的事情。Kerberos提供了一種較好的密鑰管理解決方案，它是由美國MTI (麻省理工學(xué)院)發(fā)明的，使密鑰的管理和分發(fā)變得十分方便，但該方法本身還存在一定的缺陷。為能在因特網(wǎng)上提供一個(gè)實(shí)用的解決方案 Kerberos建立了一個(gè)安全的、可信任的密鑰分發(fā)中心（Key Distribution Center, KDC），每個(gè)用戶(hù)只要知道一個(gè)和KDC進(jìn)行通訊的密鑰就可以了，而不需要知道成百上千個(gè)不同的密鑰。發(fā)放密鑰和生成密鑰由KDC負責。方式如下：假設A想要和B進(jìn)行秘密通信，則A先和KDC通信，使用只有A和KDC知道的密鑰進(jìn)行加密 ，A告訴KDC他想和B通信，KDC會(huì )為A和B之間的會(huì )話(huà)隨機選擇一對對話(huà)密鑰，比如“wa6lkj9ds5bc”，并生成一個(gè)標簽，這個(gè)標簽由KDC和B之間的密鑰進(jìn)行加密，并在A(yíng)啟動(dòng)與B對話(huà)時(shí)，A會(huì )把這個(gè)標簽交給B。為什么會(huì )生成這樣一個(gè)標簽呢？這個(gè)標簽的作用是讓A確信和他交談的人就是B，而不是冒充者。因為這個(gè)標簽是由只有B和KDC知道的密鑰進(jìn)行加密的，所以即使冒充者得到A發(fā)出的標簽也不可能進(jìn)行解密，只有B收到后才能夠進(jìn)行解密，從而確定了與A對話(huà)的人就是B。當KDC生成標簽和隨機發(fā)放，就會(huì )把它們用只有A和KDC知道的密鑰進(jìn)行加密，然后把標簽和發(fā)放的密鑰傳給A，加密的結果可以確保只有A能得到這個(gè)信息，只有A能利用這個(gè)會(huì )話(huà)密鑰和B進(jìn)行通話(huà)（唯一性）。同理，KDC會(huì )把會(huì )話(huà)密碼用只有KDC和B知道的密鑰加密，并把會(huì )話(huà)密鑰傳給B。A會(huì )啟動(dòng)一個(gè)和B的會(huì )話(huà)行為，并用得到的會(huì )話(huà)密鑰加密自己和B的會(huì )話(huà)，于此同時(shí)還要把KDC傳給A的標簽再發(fā)給B，以確定B 的身份。然后A和B之間就可以用會(huì )話(huà)密鑰進(jìn)行安全會(huì )話(huà)了，而且為了保證安全，這個(gè)會(huì )話(huà)密鑰是一次性的，這樣黑客就更難進(jìn)行破解了。6.一次性密碼通常使用的計算機口令是靜態(tài)的，也就是說(shuō)在一定時(shí)間內是不變的，而且可重復使用。前面已經(jīng)提到過(guò)，口令極易被網(wǎng)上嗅探劫持，有鑒于此，人們發(fā)明的一次性密碼。難道在每次會(huì )話(huà)后修改一次密碼嗎？顯然這樣做是極其愚蠢的，那樣太累人了。事實(shí)上，人們已經(jīng)發(fā)明了一種產(chǎn)生一次性口令的技術(shù)，稱(chēng)之為挑戰/ 回答（challenge/response）。口令，不管是靜態(tài)口令還是一次性口令，都是基于"用戶(hù)知道什么"這一理論的。比如說(shuō)，靜態(tài)密碼是用戶(hù)和機器之間共享的一種信息，而其他人不知道，這樣用戶(hù)若知道這個(gè)口令，就說(shuō)明用戶(hù)是機器所確認的那個(gè)人。一次性口令也一樣，用戶(hù)和機器之間必須共知一條通行短語(yǔ)，而這條通行短語(yǔ)對外界是完全保密的。和靜態(tài)口令不同的是，這個(gè)通行短語(yǔ)并不在網(wǎng)絡(luò )上進(jìn)行傳輸，所以黑客通過(guò)網(wǎng)絡(luò )竊聽(tīng)是絕對截獲不了的。每次的口令是三個(gè)因數按一定算法計算得到的結果，這三個(gè)因子分別是種子、迭代值和通行短語(yǔ)。種子（seed）：決定于用戶(hù)，一般在一臺機器上，一個(gè)種子對應于一個(gè)用戶(hù)，也就是說(shuō)，種子在一個(gè)系統中應具有唯一性，這是秘密的而是公開(kāi)的。迭代值（iteration）：迭代值是不斷變化的，而種子和通行短語(yǔ)是相對不變的，所以迭代值的作用就是使口令發(fā)生變化。通行短語(yǔ)（phrase）：通行短語(yǔ)是保密的，而迭代值是公開(kāi)的，這樣就決定了口令的機密性。當用戶(hù)登錄時(shí)，系統會(huì )向用戶(hù)提出挑戰，包括種子和迭代值，然后用戶(hù)用得到的種子和迭代值再加上自己知道的通行短語(yǔ)計算出一個(gè)答復，并傳送給系統，因為系統也知道這個(gè)通行短語(yǔ)，所以系統可以驗證答復正確與否。7.數據加密標準Data Encryption Standard最著(zhù)名的保密密鑰（或對稱(chēng)密鑰）加密算法DES (Data Encryption Standard ) 是由IBM公司在70年代發(fā)展起來(lái)的，并經(jīng)政府的加密標準篩選后，于1976年11月被美國政府采用，DES隨后被美國國家標準局和美國國家標準協(xié)會(huì )（American National Standard Institute,ANSI）承認并給予公布。DES使用56位密鑰對64位的數據塊進(jìn)行加密，并對64位的數據塊進(jìn)行16輪編碼。與每輪編碼時(shí)，一個(gè)48位的"每輪"密鑰值由56位的完整密鑰得出來(lái)。DES用軟件進(jìn)行解碼需用很長(cháng)時(shí)間，而用硬件解碼速度非?？?。幸運的是，當時(shí)大多數黑客并沒(méi)有足夠的設備制造出這種硬件設備。在1977年，人們估計要耗資兩千萬(wàn)美元才能建成一個(gè)專(zhuān)門(mén)計算機用于DES的解密，而且需要12個(gè)小時(shí)的破解才能得到結果。當時(shí)DES被認為是一種十分強壯的加密方法。但是，當今的計算機速度越來(lái)越快了，制造一臺這樣特殊的機器的花費已經(jīng)降到了十萬(wàn)美元左右，而用它來(lái)保護十億美元的銀行間線(xiàn)纜時(shí)，就要仔細斟酌了。另一方面，如果只用它來(lái)保護一臺服務(wù)器，那么DES確實(shí)是一種好的辦法，因為黑客絕不會(huì )僅僅為入侵一個(gè)服務(wù)器而花那么多的錢(qián)破解DES密文。由于現在已經(jīng)能用二十萬(wàn)美元制造一臺破譯DES的特殊的計算機，所以現在對要求"強壯"的加密場(chǎng)合已經(jīng)不再適用了。三重DES確定一種新的加密體制是否真正的安全是極為困難的事情，何況DES的密碼學(xué)缺點(diǎn)是密鑰長(cháng)度相對比較短，現階段之所以人們并沒(méi)有完全放棄使用DES，是它的優(yōu)勢還很明顯。改進(jìn)其長(cháng)度的方法，就是采用三重DES，。這種方法用兩個(gè)密鑰對明文進(jìn)行三次加密，假設兩個(gè)密鑰是K1和K2。加密方法是：1.用密鑰K1進(jìn)行DES解密。2.用K2對步驟1結果進(jìn)行DES解密。3.用步驟2的結果使用密鑰K1進(jìn)行DES加密。這種方法的缺點(diǎn)，是要花費原來(lái)三倍，但從另一方面來(lái)看，三重DES的112位密鑰長(cháng)度是很"強壯"的加密方式了。8.電子商務(wù)與加密技術(shù)電子商務(wù)（E-business）的最大特點(diǎn)就是顧客可以在網(wǎng)上進(jìn)行交易，不必擔心自己的信用卡會(huì )被人盜用。但是，假如用戶(hù)的號碼和合同被竊賊獲到，盜竊者便可通過(guò)電話(huà)訂貨，而且冒用用戶(hù)的名義使用信用卡進(jìn)行結算。這種交易的高風(fēng)險性長(cháng)期阻礙著(zhù)電子商務(wù)的發(fā)展，于是人們開(kāi)始用RSA（一種公開(kāi)/私有密鑰）提高信用卡交易的安全性，從而使電子商務(wù)走向實(shí)用成為可能。許多人認為NETSCAPE公司是Internet商業(yè)中領(lǐng)先技術(shù)的提供者，該公司提供了一種基于RSA和保密密鑰的應用于因特網(wǎng)的技術(shù)，被稱(chēng)為安全插座層（Secure Sockets Layer,SSL）。也許很多人知道Socket,它是一個(gè)編程界面，并不提供任何安全措施，而SSL不但提供編程界面，而且向上提供一種安全的服務(wù)，SSL3.0現在已經(jīng)應用到了服務(wù)器和瀏覽器上，SSL2.0則只能應用于服務(wù)器端。SSL3.0用一種電子證書(shū)（electric certificate）的措施來(lái)實(shí)行身份認證，之后，雙方就可以用保密密鑰進(jìn)行安全的會(huì )話(huà)了。基于SSL3.0提供的安全保障，用戶(hù)就可以自由的從商務(wù)網(wǎng)站訂購商品，并且輸入信用卡號，也可以在網(wǎng)上和合作伙伴交流商業(yè)信息并且讓供應商把訂單和收貨單從網(wǎng)上發(fā)送過(guò)來(lái)，這樣可以節省大量的紙張，降低商品銷(xiāo)售成本，并為公司節省大量的電話(huà)、傳真費用。在過(guò)去，電子信息交換（Electric Data Interchange,EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在專(zhuān)用網(wǎng)絡(luò )上完成的，使用專(zhuān)用網(wǎng)的費用大大高于因特網(wǎng)。正是由于Internet的巨大誘惑，才使人們開(kāi)始發(fā)展因特網(wǎng)上的電子商務(wù)，但不要忘記數據加密。9.虛擬專(zhuān)用網(wǎng)絡(luò )（VPN，Virtual Private Network）現在，越多越多的公司走向國際化，一個(gè)公司可能在多個(gè)國家都有辦事機構或銷(xiāo)售中心，每一個(gè)機構都有自己的LAN（Local Area Network局域網(wǎng)），但人們不會(huì )只滿(mǎn)足這此。用戶(hù)可能會(huì )要求將這些LAN連結在一起組成一個(gè)跨越地區和國界的公司廣域網(wǎng)。事實(shí)上，今天的IBM、微軟等國際知名企業(yè)公司都已經(jīng)這樣做了，但他們一般使用租用線(xiàn)路（leased line）來(lái)連結這些局域網(wǎng) ，因為他們考慮到網(wǎng)絡(luò )安全問(wèn)題?，F在具有加密/解密功能的路由器使人們使用因特網(wǎng)作為連接這些局域網(wǎng)的通道成為可能，這就是虛擬專(zhuān)用網(wǎng)絡(luò )的概念（Virtual Private Network ,VPN）。當數據離開(kāi)發(fā)送者所在的局域網(wǎng)時(shí)，這些數據被連接到因特網(wǎng)路由器上進(jìn)行加密，數據在Internet上是以加密的形式傳送，當加密數據到達目的LAN的路由器時(shí)，該路由器自動(dòng)地對加密數據進(jìn)行解密，這樣目標LAN中的用戶(hù)就可以看到真實(shí)的信息了。10.PGP加密軟件 具有非常好的隱秘性PGP（Pretty Good Privacy）是一個(gè)基于RSA公鑰加密體制的郵件加密軟件?？捎盟鼘︵]件加密以防止非授權者閱讀，PGP還能對用戶(hù)的郵件加上數字簽名（fingerprint，指紋），從而使收信人可以確信該郵件是由該用戶(hù)發(fā)出的。它讓用戶(hù)可以安全地和從未見(jiàn)過(guò)面的人們通信，事先并不需要任何保密通道來(lái)傳遞密鑰。PGP采用以下技術(shù)：審慎的密鑰管理、一種RSA和傳統加密的雜合算法，用于數字簽名的郵件摘要函數算法和加密的雜合算法、用于數字簽名的郵件往往不加密前壓縮等，還有一個(gè)良好的人機工程設計。它功能強大、速度很快，而且其源代碼是免費的。實(shí)際上PGP的功能還不止上面說(shuō)的，PGP可以用來(lái)加密文件，還可以用PGP代替UUencode生成RADIX64格式（就是MIME的BASE 64格式）的編碼文件。PGP的創(chuàng )始人是美國的Phil Zimmermann。他的創(chuàng )造性在于他把RSA公鑰體系的方便和傳統加密體系的高速度結合起來(lái)，并且在數字簽名和密鑰認證管理機制上有巧妙的設計。因此PGP成為幾乎最流行的公鑰加密軟件包。PGP是一種供大眾使用的加密軟件。加密是為了安全，私私權是一種基本人權。在現代社會(huì )里，電子郵件和網(wǎng)絡(luò )上的文件傳輸已經(jīng)成為生活的一部分。郵件的安全問(wèn)題也就突出了，大家都知道在因特網(wǎng)上傳輸的數據是不保密的。如果用戶(hù)不采取相應措施，來(lái)保護自己的數據，第三者（或黑客）就會(huì )輕易獲得用戶(hù)的隱私，進(jìn)一步達到要挾或恐嚇正常用戶(hù)的目的。還有一個(gè)問(wèn)題就是信息認證，如何讓收信人確信郵件沒(méi)有被第三者篡改，就需要使用數字簽名技術(shù)。RSA公鑰體制的特點(diǎn)使它非常適合用來(lái)滿(mǎn)足上述兩個(gè)要求：保密性（privacy）和認證性（authentication）。RSA(Rivest-Shamir-Adleman)算法基于大數不可能被質(zhì)因數分解假設的公鑰體系。簡(jiǎn)單地說(shuō)就是找兩個(gè)很大的質(zhì)數。一個(gè)公開(kāi)給世界，一個(gè)不告訴任何人。一個(gè)稱(chēng)為"公鑰"，另一個(gè)叫"私鑰"（Prblic key & Secret key or Private key）。這兩個(gè)密鑰是互補的，也就是說(shuō)用公鑰加密的密文可以用私鑰解密。反之同理。假設甲要寄信給乙，他們互相知道對方的公鑰。甲就用乙的公鑰加密郵件寄出，乙收到后就可以用自己的私鑰解密出甲的原文。由于別人不知道乙的私鑰，所以即使是甲本人也無(wú)法解密那封信，這就解決了信件保密的問(wèn)題。另一方面，由于每個(gè)人都知道乙的公鑰，他們都可以給乙發(fā)信，那么乙確信是不是由甲發(fā)過(guò)來(lái)的信。認證便出現了，這時(shí)就要使用數字簽名。郵件文摘message digest在說(shuō)明數字簽名前，先要解釋一下什么是"郵件文摘"（message digest），簡(jiǎn)單地講就是對一封郵件用某種算法找出一個(gè)最能體現這封郵件屬性特征的的數來(lái)，一旦郵件有任何改變這個(gè)數都會(huì )跟著(zhù)起變化，那么這個(gè)數加上用戶(hù)的名字（實(shí)際上在用戶(hù)的密鑰里）和日期等等，就可以作為一個(gè)數字簽名。確切地說(shuō)PGP是用一個(gè)128位的二進(jìn)制數進(jìn)行為"郵件文摘"的，用它來(lái)產(chǎn)生的算法叫MD5(Message Digest 5)，MD5的提出者是Ron Rirest，PGP中使用的代碼是由Colin Plumb 編寫(xiě)的，MD5本身是公用軟件，所以PGP的法律條款中沒(méi)有提到它。MD5是一種單向散列算法，（它不像校驗碼），可獲得一份替代的郵件與原件具有同樣的MD5特征值。假如，甲用自己的私鑰將上述的128位值加密（數字簽名），附加在郵件后，再用乙的公鑰將整個(gè)郵件加密（注意這里的次序，如果先加密再簽名的話(huà)，別人可以將簽名去掉后簽上自己的簽名，從而篡改了簽名）。當這份密文被乙收到后，乙必須用自己的專(zhuān)一密鑰對該郵件解密，得到甲的原文和數字簽名，乙的PGP也從原文計算出一個(gè)128位的特征值來(lái)和用甲的公鑰解密簽名所得到的數進(jìn)行比對，如果符合特征值，說(shuō)明這份郵件確實(shí)是由甲寄來(lái)的。這樣兩個(gè)安全性要求都得到滿(mǎn)足。數字簽名的不可抵賴(lài)性PGP還可以只簽名而不加密，這適用于公開(kāi)發(fā)表聲明時(shí)，聲明人為了證實(shí)自己的身份（在網(wǎng)絡(luò )上只能如此了），可用自己的私鑰簽名，這樣就可以讓收件人能確認發(fā)信人的身份，也可以防止發(fā)信人抵賴(lài)自己的聲明。這一點(diǎn)在商業(yè)領(lǐng)域有很大的應用前途，可以防止發(fā)信人對諸如商業(yè)合同、信譽(yù)擔保等文件的抵賴(lài)和該文件被途中篡改等。IDEA(國際數據加密算法)為什么說(shuō)PGP用的是RSA和傳統加密的雜合算法呢？因為RSA算法計算量很大而且在速度上也不適合加密大量數據，所以PGP實(shí)際上用來(lái)加密的不是RSA本身，而是采用了一種叫IDEA的傳統加密算法，首先解釋一下什么叫傳統加密，簡(jiǎn)單地說(shuō)就是用一個(gè)密鑰加密明文，然后用同樣的密鑰解密。這種方法的代表是DES(US Federal Data Encryption Standard),也就是乘法加密，它的主要缺點(diǎn)就是公共通訊傳輸網(wǎng)絡(luò )解決不了安全性問(wèn)題，不適合網(wǎng)絡(luò )環(huán)境郵件加密需要。IDEA是一個(gè)有專(zhuān)利的算法，專(zhuān)利持有者是ETH和一個(gè)瑞士公司：Ascom-Tech AG。非商業(yè)用途的IDEA實(shí)現不用向他們交納費用。IDEA的加（解）密速度比RSA快得多，（據文獻介紹測算出IDEA比DES快兩倍，比RSA算法快100倍）所以實(shí)際上PGP是以一個(gè)隨機生成的密鑰（每次加密）用IDEA算法對明文加密，然后再用RSA算法對該密鑰加密。這樣收件人同樣是用RSA解出這個(gè)隨機密鑰，再用IDEA解密郵件本身。這樣的鏈式加密就做到了既有RSA體系的保密性，又有IDEA算法的快捷性。PGP的鏈式加密就做到了既有RSA體系的保密性，又有IDEA算法的快捷性。PGP的創(chuàng )意有一半就在這一點(diǎn)上了，為什么RSA體系70年代就提出來(lái)，一直沒(méi)有推廣應用呢？速度太慢！那PGP創(chuàng )意的另一半在哪兒呢？PGP的密鑰管理一個(gè)成熟的加密體系必然要有一個(gè)成熟的密鑰管理機制配套。公鑰體制的提出就是為了解決傳統加密體系的密鑰分配過(guò)程中保密的缺陷。比如網(wǎng)絡(luò )黑客們常用的手段之一就是"監聽(tīng)"（monitor），如果密鑰是通過(guò)網(wǎng)絡(luò )傳送就太危險了。舉個(gè)例子：Novell Netware的老版本中，用戶(hù)的密碼是以明文在線(xiàn)路中傳輸的，這樣監聽(tīng)者輕易就獲得了他人的密碼。當然Netware4.1中數據包頭的用戶(hù)密碼現在是加密的。對PGP來(lái)說(shuō)公鑰本來(lái)就要公開(kāi)，就沒(méi)有防監聽(tīng)的問(wèn)題。但公鑰的發(fā)布中仍然存在安全性問(wèn)題，例如公鑰被篡改（public key tampering），這可能是公鑰密碼體系中最大漏洞 ，因為大多數新手不能很快發(fā)現這一點(diǎn)。用戶(hù)必須確信用戶(hù)的公鑰屬于它看上去屬于的那個(gè)人。為了把這個(gè)問(wèn)題說(shuō)清楚，先舉個(gè)例子進(jìn)行說(shuō)明，然后再說(shuō)如何正確使用PGP堵塞這個(gè)漏洞。以用戶(hù)和Alice通信為例，假設用戶(hù)想給Alice的公鑰，用戶(hù)從BBS上下載了Alice的公鑰，并用它加密信件，用BBS的Email功能發(fā)給了Alice。不幸的是，用戶(hù)和Alice都不知道，另一個(gè)叫Charlie的用戶(hù)潛入BBS，把他自己使用Alice的名字生成密鑰對中的公鑰偷偷更換了Alice的公鑰。那用戶(hù)用來(lái)發(fā)信的公鑰的用戶(hù)名"Alice"。于是Charlie的公鑰來(lái)轉發(fā)用戶(hù)給Alice的信，這樣誰(shuí)都不會(huì )起疑心他如果想找用戶(hù)發(fā)給Alice的信也是很容易的事，更有甚者，他還可偽造Alice的簽名給用戶(hù)或其他人發(fā)信，因為用戶(hù)手中的公鑰是Charlie偽造的，用戶(hù)會(huì )以為真是Alice的來(lái)信。介紹人確認公鑰——公共渠道傳遞公鑰的安全手段防止上述情況出現的最好辦法是避免讓任何其他人有機會(huì )篡改公鑰，比如直接從Alice手中得到她的公鑰。然而當她在千里之外或無(wú)法見(jiàn)到時(shí)，這是很困難的。PGP發(fā)展了一種公鑰介紹機制來(lái)解決這個(gè)問(wèn)題。舉例來(lái)說(shuō)：如果用戶(hù)和Alice有一個(gè)共同的朋友David，而David知道他手中的Alice的公鑰是正確的（關(guān)于如何認證公鑰，PGP還有一種方法，后面會(huì )談到，這里假設David已經(jīng)和Alice認證過(guò)她的公鑰）。這樣David就成為用戶(hù)和Alice之間的"介紹人"。這樣Alice或David就可放心地把經(jīng)過(guò)David簽過(guò)字的Alice的公鑰上載到BBS上供用戶(hù)去拿，沒(méi)人可能去篡改它而不被用戶(hù)發(fā)現，即使是BBS的管理員。這就是從公共渠道傳遞公鑰的安全手段。有人會(huì )問(wèn)：如何安全地得到David的公鑰呢。這是個(gè)先有雞還是先有蛋的問(wèn)題嗎？確實(shí)有可能用戶(hù)拿到的David的公鑰也是假的，但這就求這個(gè)搗蛋者參與整個(gè)過(guò)程，他必須對你們三人都很熟悉，還要策劃很久，這一般不可能，當然，PGP對這種可能也預防的建議，那就是由一個(gè)大家普遍信任的或機構擔當這個(gè)角色，他被稱(chēng)為"密鑰待者"或"認證權威"，每個(gè)由他簽字的公鑰都被認為是真的，這樣大家只要有他的公鑰就行了，證明此人的公鑰是方便的，因為他廣泛提供這種服務(wù)，假冒他的公鑰是極困難的，而因為他的公鑰流傳廣泛。這樣的"權威"適合由非個(gè)人控制的組織或政府機構充當，現在已經(jīng)有等級認證制度的機構存在。（CA認證機構）對于那些非常分散的用戶(hù)，PGP更贊成使用私人方式的密鑰轉介方式，因這樣有些非官方途徑更能反映出人們自然的社會(huì )交往，而且人們也能自由地選擇信任的人來(lái)介紹，總之和不認識的人們之間的交往一樣，每個(gè)公鑰至少有一個(gè)"用戶(hù)名"（User ID），請盡量用自己的全名，再加上本人的E-mail地址，以免混淆。轉介認證機制下面，介紹如何通過(guò)電話(huà)認證密鑰。每個(gè)密鑰有它們自己的標識（keyID），keyID是一個(gè)8位十六進(jìn)制數，兩個(gè)密鑰具有同keyID的可能性十億分之一，而且PGP還提供了一種更可靠的標識密鑰的方法：“密鑰指紋”( keys fingrprint ).每個(gè)密鑰對應一串數字（16個(gè)2位十六進(jìn)制數），這個(gè)指紋重復的可能就更微乎其微了。而且任何人無(wú)法指定生成一個(gè)具有某個(gè)指紋的密鑰，密鑰是隨機生成的，從指紋也無(wú)法反推出密鑰來(lái)。用戶(hù)拿到某人密鑰后，就可和他在電話(huà)上核對這個(gè)指紋，從而確認他的公鑰。這又引出一方法，就是把不同簽名自己的公鑰收集在一起，發(fā)送到公共場(chǎng)合，這樣可以希望大部分人至少認識其中一個(gè)，從而間接認證了用戶(hù)的公鑰。同樣用戶(hù)簽了朋友的公鑰后應該寄回給他，這樣就可以讓他通過(guò)用戶(hù)，被用戶(hù)的其他朋友所認證。有點(diǎn)意思吧，和現實(shí)社會(huì )中人們的交往一樣。PGP會(huì )自動(dòng)為用戶(hù)拿到的公鑰中有哪些是朋友介紹來(lái)的，它會(huì )把它們分為不同的信任級別，供用戶(hù)參考決定對它們的信任程度。也可指定某人有幾層轉介公鑰的能力，這種能力是隨著(zhù)認證的傳遞而遞減的。轉介認證機制具有傳遞性，是個(gè)有趣的問(wèn)題。PGP的作者Phil Zimmermann說(shuō)過(guò)一名話(huà)：“信賴(lài)不具：我有個(gè)我相信決不撒謊的朋友?？墒撬莻€(gè)認定不撒謊的傻瓜，很顯然我并不認為總統決不撒謊?！?div style="height:15px;">