天天综合精品,精品精品国产毛片在线看,麻豆电影在线播放

蜂鸟 — Sat, 23 Apr 2011 15:02:00 GMT

准备知识:
对称加密:
发送方: 010111 XOR 101100 = 111011   (101100为加密密�?
接收�? 111011 XOR 101100 = 010111
公钥加密:
发送方产生两把密钥:公钥(Public Key)&�U�钥(Private Key),也就是密钥对(Key Pair)
明文->公钥加密->密文->�U�钥解密->明文
数字�{�֐�:
....

-----------------------------发送方的操�?------------------------------------
sh# mkdir ~/.gnupg   //默认是把密钥对存在此目录
sh# gpg --gen-key //生成公钥pubring.gpg,�U�钥secring.gpg,邮箱是很重要�?br /> sh# gpg --list-keys //查看所有密�?如果生成了多个密钥对的话��有多个�?br /> sh# gpg --list-public-key //查看所有公�?注意pub后面�?号字�W�串,pub xxxxx/******** 2007-07-10,它就是以下可能用到的KEYID
sh# gpg --list-secret-key //查看所有密�?br /> sh# gpg --list-sig //查看所有签�?br /> sh# gpg --export-secret-keys -a -o secring.asc //导出�U�钥,作�ؓ备䆾
sh# gpg -a --export zjstandup@126.com >test.gpg //导出公钥,邮箱名是�W�一步填�?对应于zjstandup@126.com的公匙信息就保存��C��test.gpg文�g�?此文件可以由邮箱发送或上传臛_��钥服务器供别��Z��?如subkeys.pgp.net),有点像BT�U�子,哈哈

/**此处��演�C�怎么把公钥上传至公钥服务器上,可以直接�ȝ��站上�?也可以像以下�q�样用命令上�?br /> sh# gpg --send-keys KEYID //KEYID用以上那个代�?默认好像是传��C��subkeys.pgp.net,文�g名就不是test.gpg�?�q�些公钥服务器好像是全球同步更新!厉害�?

**/

sh# gedit test.txt //生成一个文�?里面输入点东�?用于以下��试

��演�C�Z��U�验证方式和一个数字签�?br /> 一�U�是公钥验证,大概是用于验证文件完整�?相当�?sh#md5sum ***;
另一�U�是�U�钥验证,控制只让那些知道密码的�h能打开�?br />
sh# gpg --clearsign test.txt //使用�U�匙�Ҏ��据进行签�?生成test.txt.asc,打开此文件还是可以看到内容的,只是多了一些东�?把这个发�l�其他�h,�q�个演示公钥验证
sh# gpg --output test.txt.gpg -r zjstandup@126.com -as --encrypt test.txt //导入�U�钥,数据被加密成了test.txt.gpg,打开此文件看不到原信息的,把这个发�l�对�?�q�个演示�U�钥验证
sh# gpg --output test.sig --sign test.txt //�q�个演示数字�{�֐�

---------------------------接收方的操作------------------------------------------
/**下蝲公钥,由邮件接收或者从服务器上下蝲,此处演示从服务器下蝲
sh# gpg --search-keys zjstandup@126.com //搜烦公钥,启动了全球搜�?!然后填入1��׃��?

**/
sh# gpg --import test.gpg //导入公钥��x��?test.gpg由发送方邮�g传输�q�来或从公钥服务器下载过来的

/**以下一�D�不太清�?好像是防止公钥被��改,验证公钥的完整�?br /> sh# gpg --fingerprint zjstandup@126.com //指纹取样,防伪造的公钥,执行后可以看到密钥指�U?可以通过其他通讯方式咨询�Ҏ��,是否是这个公�?应该是上方让大家注意的pub后面的字�W�串)
sh# gpg --sign-key zjstandup@126.com
sh# gpg --check-sigs zjstandup@126.com
sh# gpg --edit-key zjstandup@126.com
sh# trust
sh# quit
**/

1:公钥验证
sh# gpg --verify test.txt.asc //��有信息表明是完整的�{�֭�,假如改变了这个文仉��面的信息再执行此命��o,��出��C��同的�l�果�?

2:�U�钥验证
sh# gpg --decrypt test.txt.gpg > zjstandup.txt //执行,要输入正��的密码(在发送端生成密钥�Ҏ��的那�?才能生成txt

3;数字�{�֐�
sh# gpg --output sig.txt --decrypt test.sig //��显�C�完整的�{�֭��q�还原内容生成sig.txt

sh# gpg --help >> manule.txt
sh# gedit manule.txt

//��看��C��下说�?br /> gpg (GnuPG) 1.4.1
Copyright (C) 2005 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

Home: ~/.gnupg
支持的算法：
公钥�Q�RSA, RSA-E, RSA-S, ELG-E, DSA
对称加密�Q?DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH
散列�Q�MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512
压羃�Q�不压羃, ZIP, ZLIB, BZIP2

语法�Q�gpg [选项] [文�g名]
�{�֭�、检查、加密或解密
默认的操作依输入数据而定

指��o�Q?br />
-s, --sign [文�g名]           生成一份签�?br />      --clearsign [文�g名]      生成一份明文签�?br /> -b, --detach-sign             生成一份分��ȝ��{�֭�
-e, --encrypt                 加密数据
-c, --symmetric               仅��用对�U�加�?br /> -d, --decrypt                 解密数据(默认)
     --verify                  验证�{�֭�
     --list-keys               列出密钥
     --list-sigs               列出密钥和签�?br />      --check-sigs              列出�q�检查密钥签�?br />      --fingerprint             列出密钥和指�U?br /> -K, --list-secret-keys        列出�U�钥
     --gen-key                 生成一副新的密钥对
     --delete-keys             从公钥钥匙环里删除密�?br />      --delete-secret-keys      从私钥钥匙环里删除密�?br />      --sign-key                为某把密钥添加签�?br />      --lsign-key               为某把密钥添加本地签�?br />      --edit-key                �~�辑某把密钥或�ؓ其添加签�?br />      --gen-revoke              生成一份吊销证书
     --export                  导出密钥
     --send-keys               把密钥导出到某个公钥服务器上
     --recv-keys               从公钥服务器上导入密�?br />      --search-keys             在公钥服务器上搜��d��?br />      --refresh-keys            从公钥服务器更新所有的本地密钥
     --import                  导入/合�ƈ密钥
     --card-status             打印卡状�?br />      --card-edit               更改卡上的数�?br />      --change-pin              更改卡的 PIN
     --update-trustdb          更新信�Q度数据库
     --print-md ��法 [文�g]    使用指定的散列算法打印报文散列�?br />
选项�Q?br />
-a, --armor                   输出�l?ASCII ��装
-r, --recipient 某甲          为收件�?#8220;某甲”加密
-u, --local-user              使用�q�个用户标识来签字或解密
-z N                          讑֮�压羃�{��?N (0 表示不压�~?
     --textmode                使用标准的文本模�?br /> -o, --output                  指定输出文�g
-v, --verbose                 详细模式
-n, --dry-run                 不做��M��改变
-i, --interactive             覆盖前先询问
     --openpgp                 行�ؓ严格遵��@ OpenPGP 定义
     --pgp2                    生成�?PGP 2.x 兼容的报�?br />
(请参考在�U�说明以获得所有命令和选项的完整清�?

范例�Q?br />
-se -r Bob [文�g名]          �?Bob �q�个收�g人签字及加密
--clearsign [文�g名]         做出明文�{�֭�
--detach-sign [文�g名]       做出分离式签�?br /> --list-keys [某甲]           昄��密钥
--fingerprint [某甲]         昄��指纹

请向报告�E�序�~�陷�?br /> 请向反映��体中文翻译的问题�?/div>

蜂鸟 2011-04-23 23:02 发表评论

蜂鸟 — Sat, 23 Apr 2011 14:55:00 GMT

一、介�l?/span>

我们都知道，互联�|�是不安全的�Q�但其上所使用的大部分应用�Q�如Web、Email�{�一般都只提供明文传输方式（用https、smtps�{�例外）。所以，当我们需要传输重要文件时�Q�应该对当中的信息加密。非对称密码�pȝ��是其中一�U�常见的加密手段。而在��Z��PGP方式加密的中文介�l�少之又��，所以萌生了写一个完整教�E�的��x��Q�当然本文部分资料是我搜遍网�l�整理出来的�Q��ƈ不能保证癑ֈ�之百的原�?

GnuPG 是一个用来进行非对称加密(PGP)的免费��Y�Ӟ��U�GPG�Q�是不是有的童鞋已经被PGP和GPG�l�搞昏了�Q�。先说说什么是非对�U�加密。传�l�的加密手段往往是��用同一个密码进行加密和解密。例如你加密时用的密码是“abc”�Q?则解密时也要使用“abc”才行。这样就存在一个问题，你不能够把一�D�加密信息发送给你的朋友。试惻I��如果采用�q�种加密方式把信息发送给你的朋友�Ӟ��你的朋友必须要知道你的密码才能把你的信息解密出来。但你如何保证你的朋友是�l�对可靠的呢�Q�也��是��_��如果你的朋友把你的密码告诉了别�h�Q�你的密码就不再安全了�?br /> 非对�U�加密采用的是另一�U�思想。它会给你��生两个密钥，一个称�?#8220;公钥”�Q�另一个称�?#8220;�U�钥”。公钥是可以公开的，你尽��把它传�l�别人；�U�钥你一定要保管好不让其他�Q何�h知道。当某�h得到你的公钥后，他就可以�l�你发送加密信息了。具体来��_��他把他要发给你的信息用你的公钥加密后发给你，加密的信息只能用你的�U�钥去解密。这��P��因�ؓ世界上除了你以外没有别�h知道你的�U�钥�Q�所以即使别人看到发送给你的加密信息他也无法解密�Q�甚臌��发送�?本�h也不行。因��Z��不知道你的私钥。简单说来，��是用公钥去加密�Q�用对应的私钥去解密。想�l�谁发送加密信息，首先要得��C��的公钥�?br /> 支持�?对称加密的��Y件有多种�Q�最著名的可能是��国的PGP了，不过它是个商业��Y�Ӟ��h��不便宜。对于加密��Y�Ӟ��我反对��用破解��Y�Ӟ��因�ؓ如果信息需要加密的话，肯定是非帔R��要的信息�Q�破解��Y件无法保证加密的安全可靠。因此我��使用免费开源的GnuPG软�g�q�行信息的加密和解密�?/p>

二、��?

1.生成密钥�?/strong>
要��用GnuPG加密�Q�首先需要创建密钥对�Q�执行：

# gpg –gen-key
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

请选择您要使用的密钥种�c�：
(1) DSA �?ElGamal (默认)
(2) DSA (仅用于签�?
(5) RSA (仅用于签�?
您的选择�Q?1  ←只有1可以用于加密�Q�其他种�c�d��能用于签�?/span>
DSA 密钥对会�?1024 位�?br /> ELG-E 密钥长度应在 1024 位与 4096 位之间�?br /> 您想要用多大的密钥尺寸？(2048)  ←选择密码的位敎ͼ�位数��大�Q�越安全�Q�但速度��慢
您所要求的密钥尺寸是 2048 �?br /> 误��定这把密钥的有效期限�?br /> 0 = 密钥�怸��q�期
  = 密钥�?n 天后�q�期
w = 密钥�?n 周后�q�期
m = 密钥�?n 月后�q�期
y = 密钥�?n �q�后�q�期
密钥的有效期限是�Q?0) 0  ←�Ҏ��实际情况选择密钥期限
密钥永远不会�q�期
以上正确吗？(y/n)y  ←��认

您需要一个用��h��识来辨识您的密钥�Q�本软�g会用真实姓名、注释和电子邮�g地址�l�合
成用��h��识，如下所�C�：
“Heinrich Heine (Der Dichter) ”

真实姓名�Q�Hyphen Wang  ←请填入真实姓名，后面会用�?/span>
电子邮�g地址�Q�gpgencrypt@linuxfly.org  ←邮�g作�ؓ标记之一�Q�不能重�?/span>
注释�Q�Use for GPG Encrypt  ←仅是注释而已
您选定了这个用��h��识：
“Hyphen Wang (Use for GPG Encrypt) ”

更改姓名(N)、注�?C)、电子邮件地址(E)或确�?O)/退�?Q)�Q�O  ←输入“O”��认
您需要一个密码来保护您的�U�钥�?nbsp; ←输入两次用于讉K��U�钥的密码，紧记�Q�不能公开或丢�?/span>

我们需要生成大量的随机字节。这个时候您可以多做些琐�?像是敲打键盘、移�?br /> 鼠标、读写硬盘之�cȝ��)�Q�这会让随机数字发生器有更好的机会获得��够的熉|��?br /> ++++++++++…++++++++++..++++++++

随机字节不够多。请再做一些其他的琐事�Q�以使操作系�l�能搜集到更多的熉|��Q?br /> (�q�需�?74字节)  ←�q�行一些的�E�序�Q�以便在内存中获得更多随机数
我们需要生成大量的随机字节。这个时候您可以多做些琐�?像是敲打键盘、移�?br /> 鼠标、读写硬盘之�cȝ��)�Q�这会让随机数字发生器有更好的机会获得��够的熉|��?br /> +++++++++++++++++++++++++.+++++.+++++.++++++++++.+++<+++++..+++++^^^
gpg: 密钥 A3942296 被标��Cؓ�l�对信�Q  ←密钥ID
公钥和私钥已�l�生成�ƈ�l�签名�?/p>
gpg: 正在��查信��d��数据�?br /> gpg: 需�?3 份勉��Z��d�� 1 份完全信任，PGP 信�Q模型
gpg: 深度�Q? 有效性：  2 已签名：  0 信�Q度：0-�Q?q�Q?n�Q?m�Q?f�Q?u
pub   1024D/A3942296 2008-12-19
密钥指纹 = E95E 1F77 6C4E 33BD 740C  19AB EEF9 A67E A394 2296
uid                  Hyphen Wang (Use for GPG Encrypt)
sub   2048g/911E677B 2008-12-19

2.密钥的回�?/strong>

当您的密钥对生成之后�Q�您应该立即做一个公钥回收证书，如果您忘��C��您的�U�钥的口令或者您的私钥丢失或者被盗窃�Q�您可以发布�q�个证书来声明以前的公钥不再有效。生成回收证书的选项�?#8221;–gen-revoke”�?/div>

gpg –output revoke.asc –gen-revoke mykeyID

其中mykey 参数是可以表�C�的密钥标识�Q��生的回收证书攑֜�revoke.asc文�g里，一旦回收证书被发放�Q�以前的证书��׃��能再被其他用戯��问，因此以前的公钥也��失效了�?/p>
PS:如果一旦决定撤销已经上传的公钥，��需要将该密钥的回收证书上传臛_��钥服务器完成回收工作�?/span>

gpg –keyserver Server Address –send-keys mykeyID

3.密钥的上�?/span>

当上�q�工作完成以后，��Z��让尽可能多的��取您的公钥，您可以将公钥邮寄出去�Q�或者脓在自��q��个�h主页上，当然�q�有一�U�更好的�Ҏ��是上传到全球性的密钥服务器，其他用户可以通过您提供的公钥ID来搜索�ƈ获得您的公钥�?/p>
通过如下命��o可以��你的key发布到服务器上：

gpg –keyserver Server Address –send-keys mykeyID

PS:当然您也可以定义默认的服务器key server�Q�一般安装好后的默认key server都是subkeys.pgp.net。你也可以通过修改.gnupg/gpg.conf中的keyserver信息来改变你的key server�?/span>

4.密钥的导出／导入

我们通常需要导出公钥和�U�钥保存��h��Q�当然公钥是可以满世界的泼洒�Q�但是私钥请务必保存好，否则你的密钥对将会永久性的失去威力�?/div>

公钥的导出：

gpg -o keyfilename –export mykeyID

如果没有mykeyID则是备䆾所有的公钥�Q?span style="color: #ff0000">-o表示输出到文件keyfilename中，如果加上-a的参数则输出文本格式( ASCII )的信息，否则输出的是二进制格式信息�?/p>

�U�钥的导出：

gpg -o keyfilename –export-secret-keys mykeyID

如果没有mykeyID则是备䆾所有的�U�钥�Q?span style="color: #ff0000">-o表示输出到文件keyfilename中，如果加上-a的参数则输出文本格式的信息，否则输出的是二进制格式信息�?/p>

密钥的导入：

gpg –import filename

PS:用户可以使用gpg –list-keys命��o查看是否成功导入了密钥�?/span>

5.加密解密和数字签�?/span>

通过上述的密钥生成以及公钥分发后�Q�加密和解密数据变得非常�Ҏ��Q�用户可以通过使用该功能来辑ֈ�安全地在�|�络上传输自��q��隐密数据的目的�?/p>
如果用户patterson要给用户liyang发送一个加密文�Ӟ��则他可以使用liyang的公钥加密这个文�Ӟ��q�且�q�个文�g也只有liyang使用自己的密钥才可以解密查看。下面给出加解密的步骤：

用户patterson使用liyang的公钥加密文件test�Q��用下面的指��o�Q?

# gpg -e test

You did not specify a user ID. (you may use “-r”)

Enter the user ID. End with an empty line: liyang

Added 1024g/C50E455A 2006-01-02 “liyang (hello) < liyang@sina.com>”

�q�样�Q�就可以��gpg.conf文�g加密成test.gpg�Q�一般用��h��无法阅读�?/p>
PS:当然你也可以直接指定使用哪个用户的公钥进行加�?

gpg -e -r liyang test (-r 表示指定用户)

�q�可以加上参�?-a 来输出ASCII�~�码的文件test.asc(test.gpg是二�q�制�~�码的，不可用文本读)

gpg -ea -r liyang test

用户liyang 使用自己的私钥来解密该文�Ӟ��如下所�C�：

# gpg -d test.gpg

You need a passphrase to unlock the secret key for

user: “liyang (hello) < liyang@sina.com>”

1024-bit ELG-E key, ID C50E455A, created 2006-01-02 (main key ID 378D11AF)

GnuPG提示用户�Q�需要输入生成私钥��用的密码�Q?/p>
Enter passphrase:

gpg: encrypted with 1024-bit ELG-E key, ID C50E455A, created 2006-01-02

“liyang (hello) < liyang@sina.com>”

PS:无论加密解密�Q�都可以加上-o参数来指定加密和解密后的输出文�g�Q�例�?/p>
#gpg -o doc.gpg -er name doc
其中name是选择谁的公钥加密�Q�即谁是文�g的接收者�?br /> doc��加密的文�Ӟ��卛_��文�g
doc.gpg为命令执行后生成的加密的文�g�Q�这里要先指定好文�g�?/span>

�Ҏ��件进行签�?

1、数字签�?/span>
命��o格式�Q?br /> #gpg -o doc.sig -s doc
其中doc是原文�g�Q�doc.sig包含了原文�g和签名，是二�q�制的。这个命令会要求你输入你的私钥的密码句�?br /> #gpg -o doc.sig -ser name doc
既签名又加密

2、文本签�?/span>
#gpg -o doc.sig –clearsign doc
�q�样产生的doc.sig同样包含原文件和�{�֐��Q�其中签名是文本的，而原文�g不变�?/p>
3、分��d��{�֐�
#gpg -o doc.sig -ab doc
doc.sig仅包括签名，分离式签名的意思是原文件和�{�֐�是分开的�?br /> b 表示分离式签名detach-sign

4、验证签�?/span>
#gpg –verify doc.sig [doc]
验证之前必须导入文�g作者的公钥�Q�对于分��d��{�֐��Q�最后还要加上原文�g�Q�即后面的doc�?/p>

密匙�{�֐�和用户信�?�q�阶功能)

��管在理��Z��Ԍ��具备了公匙和�U�匙��可以实现安全的信息通讯�Q�但是在实际应用中，�q�必��d��公匙�q�行有效��认。因为，��实存在伪造公匙信息的可能�?/p>
由此�Q�在GPG中引入了一个复杂的信�Q�pȝ��Q�以帮助我们区分哪些密匙是真的，哪些密匙是假的。这个信�ȝ��l�是��Z��密匙的，主要包括密匙�{�֐��?/p>
当收到熟人的公匙�q�且GPG告知不存在�Q何实体可信信息附加于�q�个公匙后，首要的事情就是对�q�个密匙�q�行“指纹采样”�Q�fingerprint�Q�。例如，我们�Ҏ��自mike的公匙进行了导入操作�Q��ƈ且GPG告知我们不存在这个密匙的附加可信信息�Q�这时候，我们首先要做的工作就是对�q�个新密匙进�?#8220;指纹采样 ”�Q�相兛_��令及执行情况如下�Q?/p>

$ gpg –fingerprint mike@hairnet.orgpub 1024D/4F03BD39 2001-01-15 Mike Socks (I’m WIRED) Key fingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39sub 1024g/FDBB477D 2001-01-15$

�q�样�Q�就从密匙数据中生成了其指纹信息�Q��ƈ且应该是唯一的。然后，我们打电话给mike�Q�确认两件事情。首先，他是否发送给我们了密匙；其次�Q�他的公匙的指纹信息是什么。如果Mike��认了这两�g事情�Q�我们就可以��信�q�个密匙是合法的。接下来�Q�我们对密匙�q�行�{�֐�操作�Q�以表示�q�个密匙来自Mike而且我们对密匙的信�Q�Q�相兛_��令及执行情况如下�Q?/p>

$ gpg –sign-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: neversub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I’m WIRED) pub 1024D/4F03BD39 created: 2001-01-15 expires: neverFingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39Mike Socks (I’m WIRED) Are you really sure that you want to sign this keywith your key: Ima User (I’m just ME) Really sign? yYou need a passphrase to unlock the secret key foruser: Ima User (I’m just ME) 1024-bit DSA key, ID D9BAC463, created 2001-01-03Enter passphrase:$

执行到此�Q��用我们的�U�匙完成了对Mike的公匙的�{�֐�操作�Q��Q何持有我们的公匙的�h都可以查证签名确实属于我们自己。这个附加到Mike的公匙上的签名信息将随它环游Internet世界�Q�我们��用个��Z��誉，也就是我们自��q��U�匙�Q�保证了那个密匙��实属于Mike。这是一个多么感人的充满诚信的故事啊现实世界的�h们是否应该从�q�严格的技术标准中反思些什么呢�Q?/p>
�q�是回到�q�里。获取附加于一个公匙上的签名信息列表的命��o是：

gpg –check-sigs mike@hairnet.org

�{�֐�列表��长�Q�密匙的可信度越大。其实，正是�{�֐��pȝ��本��n提供了密匙查证功能。假设我们接收到一个签名�ؓMike的密匙，通过Mike的公匙，我们验证出签名确实属于Mike�Q�那么我们就信�Q了这个密匙。推而广之，我们��可以信任Mike�{�֐�的�Q何密匙�?/p>
��Z��更加�E�_��Q�GPG�q�引入了另一个附加功能：可信�U�别�Q�trust level�Q�。��用它�Q�我们可以�ؓ我们拥有的�Q何密匙的所有者指定可信��别。例如，即��我们知道Mike的公匙是可信的，但是事实上我们不能信任Mike在对其他密匙�{�֐�时的判断�Q�我们会惻I��Mike也许只对��数密匙�q�行了签名，但却没有好好地检查一遍�?/p>
讄��可信�U�别的命令及执行情况如下�Q?/p>

$ gpg –edit-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: never trust: -/fsub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I’m WIRED) Command> trust 1 = Don’t know 2 = I do NOT trust 3 = I trust marginally 4 = I trust fully s = please show me more information m = back to the main menuYour decision? 2Command> quit$

在命令编辑环境中执行trust�Q�然后选择�U�别2�Q�I do NOT trust�Q�，�q�样我们割断了�Q何信任链�Q��每个密匙都必��ȝ��q�Mike的签名�?/p>
6.删除密钥

从私钥钥匙环里删除密钥：

# gpg –delete-secret-keys hyphenwang@redflag-linux.com
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

sec  1024D/A3942296 2008-12-19 Hyphen Wang (Use for GPG Encrypt)

要从钥匙环里删除�q�把密钥吗？(y/N)y
�q�是一把私钥！――真的要删除吗？(y/N)y

必须先删除私钥，然后才能删除公钥�?br /> 从公钥钥匙环里删除密钥：

# gpg –delete-keys hyphenwang@redflag-linux.com
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

sec  1024D/A3942296 2008-12-19 Hyphen Wang (Use for GPG Encrypt)

要从钥匙环里删除�q�把密钥吗？(y/N)y

�?对称加密:

当然GPG同样具备普通的对称加密功能�Q�这时候就不需要密钥，直接用密码加密即可（注意�Q�这里的密码不一定是你私钥的密码�Q�您大可以随意设定）

gpg -o doc.gpg -c doc

�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q�－�Q?/p>
�?GPG常用参数:

语法�Q�gpg [选项] [文�g名]
�{�֭�、检查、加密或解密
默认的操作依输入数据而定

指��o�Q?/p>

-s, –sign [文�g名]           生成一份签�?br /> –clearsign [文�g名]      生成一份明文签�?br /> -b, –detach-sign             生成一份分��ȝ��{�֭�
-e, –encrypt                 加密数据
-c, –symmetric               仅��用对�U�加�?br /> -d, –decrypt                 解密数据(默认)
–verify                  验证�{�֭�
–list-keys               列出密钥
–list-sigs               列出密钥和签�?br /> –check-sigs              列出�q�检查密钥签�?br /> –fingerprint             列出密钥和指�U?br /> -K, –list-secret-keys        列出�U�钥
–gen-key                 生成一副新的密钥对
–delete-keys             从公钥钥匙环里删除密�?br /> –delete-secret-keys      从私钥钥匙环里删除密�?br /> –sign-key                为某把密钥添加签�?br /> –lsign-key               为某把密钥添加本地签�?br /> –edit-key                �~�辑某把密钥或�ؓ其添加签�?br /> –gen-revoke              生成一份吊销证书
–export                  导出密钥
–send-keys               把密钥导出到某个公钥服务器上
–recv-keys               从公钥服务器上导入密�?br /> –search-keys             在公钥服务器上搜��d��?br /> –refresh-keys            从公钥服务器更新所有的本地密钥
–import                  导入/合�ƈ密钥
–card-status             打印卡状�?br /> –card-edit               更改卡上的数�?br /> –change-pin              更改卡的 PIN
–update-trustdb          更新信�Q度数据库
–print-md ��法 [文�g]    使用指定的散列算法打印报文散列�?/p>
选项�Q?/p>
-a, –armor                   输出�l?ASCII ��装
-r, –recipient 某甲          为收件�?#8220;某甲”加密
-u, –local-user              使用�q�个用户标识来签字或解密
-z N                          讑֮�压羃�{��?N (0 表示不压�~?
–textmode                使用标准的文本模�?br /> -o, –output                  指定输出文�g
-v, –verbose                 详细模式
-n, –dry-run                 不做��M��改变
-i, –interactive             覆盖前先询问
–openpgp                 行�ؓ严格遵��@ OpenPGP 定义
–pgp2                    生成�?PGP 2.x 兼容的报�?/p>

(请参考在�U�说明以获得所有命令和选项的完整清�?

范例�Q?/p>
-se -r Bob [文�g名]          �?Bob �q�个收�g人签字及加密
–clearsign [文�g名]         做出明文�{�֭�
–detach-sign [文�g名]       做出分离式签�?br /> –list-keys [某甲]           昄��密钥
–fingerprint [某甲]         昄��指纹

——————————————————————————�?#8211;

蜂鸟 2011-04-23 22:55 发表评论

蜂鸟 — Sat, 23 Apr 2011 14:39:00 GMT

The GNU Privacy Guard

Private和public的钥匙是gpg加密和解密过�E�的主要部分,所以第一步就是创��Zؓ自己创徏一对密�?

生成�U�钥

$gpg --gen-key

你需要回�{�一些这个命令提出的问题

�U�钥的种�c�d��size�Q�这里缺省的�{�案已经��_��好了

�U�钥的有效期�Q�我通常选择不会�q�期�Q�呵�?/p>

你的真实的姓名和e-mail地址�Q�这些是用来从一大堆钥匙中找��C��的钥匙的

关于你的钥匙的comment�Q�可以�ؓ�I�，我一般填一个昵�U?/p>

钥匙的密�? 千万别忘了，否则所有你加密�q�的文�g都没用了

��Z��的私钥生成一个公�?文本文�g)�Q�这是我的：aubrey.asc.zip

$ gpg --armor --output public.key --export

你可以分发这个文件了�Q�给你的朋友�Q�或者脓��C��的个人网站上�Q?or whatever.

��己加密一个文�? �q�里--recipient可以是你的全名，也可以是你的邮�g地址

#gpg --encrypt --recipient 'Your Name' foo.txt

�?/span>密这个文�? �q�里不加--output选项的话,解密的内容将被送到屏幕�?/strong>

#gpg --output foo.txt --decrypt foo.txt.gpg

�?/span>别�h加密一个文�? �q�里首先要import别�h的公钥，然后加密。注意这里变化的只是--recipient选项

#gpg --import key.asc
#gpg --list-keys
#gpg --encrypt --recipient 'myfriend@his.isp.net' foo.txt

解密一个从别�h那里发来的文�? �q�个和本机加密的文�g解密没什么区�?

#gpg --output foo.txt --decrypt foo.txt.gpg

蜂鸟 2011-04-23 22:39 发表评论

Windows下��用RatProxy

蜂鸟 — Thu, 03 Mar 2011 07:52:00 GMT

Windows下��用RatProxy步骤:
1、安装Cygwin�Q?/strong>下蝲地址Cygwin(http://www.cygwin.com/)�q�行setup.exe�?lt;下一�?gt;...到Select Packages�Q�找到Devel节点�q�展开�q��上:
    1) make
    2) gcc-core
    3) openssl-devel
    然后在Libs或Net节点扑ֈ�openssl�q�先上它�Q��l�下一步直臛_��装完成�?nbsp;
2、生成RatProxy�Q?/strong>下蝲RatProxy�Q�随便解压到某一目录�Q�如c:\ratproxy�?br />     1) 用记事本打开Makefile文�g�Q�找�?#8220;CFLAGS = -Wall -O3 -Wno-pointer-sign -D_GNU_SOURCE”�Q�删�?#8220;-Wno-pointer-sign”(貌似跟编译器不兼容，需要删掉这个~)�Q?br />          最后变成这��P��CFLAGS = -Wall -O3 -D_GNU_SOURCE
    2) 从http://www.nowrap.de/download/flare06doswin.zip下蝲flare�q�解压到ratproxy的flare-dist子目录下
    3) �q�行cygwin.bat�Q�切换到c:\ratproxy
         cd “c:\ratproxy”
    4) 然后�q�行make�Q�编译完成�?
3、��用RatProxy�Q?/strong>
    1) �q�行命��o $ ./ratproxy -v . -w test.log -d test.com -lfscm
       说明�Q�其�?v参数��出日志文件的目录�Q?w为日志文件名�Q?d限定扫描的域名，更多的参数可以通过-h扑ֈ�说明�Q�或者通过它的在线文档�Q?br />         http://code.google.com/p/ratproxy/wiki/RatproxyDoc�?nbsp;
    2) 打开��览器，�q�设�|�代理�ؓ127.0.0.1�Q�端�?080(ratproxy默认端口)�?br />     3) 开始浏览你要检��的�|�站吧，它会�Ҏ��你浏览的��面生成相应的日志的�?br />     4) 通过在cygwin中执行以下命令：$ ./ratproxy-report.sh test.log > test.html
        作者的另一�Ƒַ�具skipfish��比较自动了�Q�可以体验了一下�?/p>

蜂鸟 2011-03-03 15:52 发表评论

蜂鸟 — Sat, 12 Feb 2011 05:34:00 GMT

电子商务的安全需�?/strong>

信息安全需求、信用安全需求、管理安全需求和法律保障安全需�?
1)信息的保密性；
2)信息的完整性；
3)信息的不可否认性；
4)交易者��n份的真实性；
5)�pȝ��的可靠性、可用性、可控�?

信息的保密性技�?/strong>

1、加�?解密技�?/strong>
1) 加密/解密技术是一�U�用来防止信息泄露的技术。电子商务中的信息在通过Internet传送之前，��Z��防止信息的内容被他�h有意或无意的知晓�Q�需要将它的内容通过一定的�Ҏ��转变成别人看不懂的信息，�q�个�q�程��是加密�Q�Encription�Q�；而将看不懂的信息再�{变还原成原始信息的过�E�称��?Decription)。这里，加密之前的信息被�U�Cؓ明文(plaintext)�Q�加密之后的内容�U�Cؓ密文�Q�加密通常要采用一些算法（对应着加密/解密的程序）�Q�而这些算法需要用��C��同的参数�Q�这些不同的参数�U�C��密钥�Q�密钥空间是所有密钥的集合�?br /> 2) �c�d��
按照历史发展阶段:�Q�手工加密、机械加密、电子机内�ؕ加密、计��机加密
按照保密�E�度�Q�理��Z��保密的加密、实际上保密的加密、不保密的加密三�U�类�?br /> 按照密钥使用方式�Q�对�U�加密和非对�U�加�?br />

i ) 对称加密
也叫�׃�n密钥加密或机密密钥加密，收发双方拥有相同的单个密钥，�q�把密钥既可用于加密�Q�也可用于解密，卛_��密和解密使用的是相同的一把密钥，此密钥又�U�Cؓ对称密钥或会话密钥�?br /> 常见的对�U�加密方法有DES�?DES、AES、BASE64�{?
DES(Data Encryption Standard) �Q?br /> ��法输入的是64比特的明文，�?4比特密钥的控制下产生64比特的密文；反之输入64比特的密文，输出64比特的明文�?4比特的密钥中含有8个比特的奇偶校验位，所以实际有效密钥长度�ؓ56比特 �?br /> 3DES�Q?br /> 是DES��法扩展其密钥长度的一�U�方法，可��加密密钥长度扩展�?28比特�Q�实际有效位�?12比特�Q�或192比特�Q�实际有效位�?68比特�Q�。其基本原理是将128比特的密钥分�?4比特的两�l�，�Ҏ��文多�ơ进行普通的DES加解密操作，从而增强加密强度�?br /> AES(Advanced Encryption Standard)�Q�AES处理�?28bit数据块�ؓ单位的对�U�密钥加密算法，可以用长�?28�?92�?56位的密钥加密�?br /> Base64 加密�Q�编码）:
先将要编码的信息内容�Q�明文）以二�q�制��的形式排成一行，从高位开始，�?位�ؓ一个单位进行排列。例如，信息内容为字�W�流“ABCD”�Q�在计算��Z��以ASCII码进行编码，因此对应的二�q�制��ؓ�Q?nbsp;
      01000001�Q?1000010�Q?1000011�Q?1000100
上述二进制流�?位�ؓ单位重新排列�Q�结果�ؓ�Q?br />       010000�Q?10100�Q?01001�Q?00011�Q?10001�Q?0
�׃��末尾一�l�不��?位，在不��_��位的后面补零�Q�组�?位，�l�果为：
      010000�Q?10100�Q?01001�Q?00011�Q?10001�Q?00000
�Ҏ��W�号到数字的映射表，�?位二�q�制��对应的数值分别�{化成相应的数字，重新整理成一个字�W�流

规定�~�码的原始字�W�流字节数应�?的整数倍，原始字符��?#8220;ABCD”�q�需要补��两个字节，�ȝ��字节数才能被3整除�Q��ؓ此后面需补上两个“=”字符�Q�所以原始字�W�流“ABCD”的最�l�Base64�~�码为：
QUJDRA==
�? 使用Openssl软�g包，�Ҏ��件进行BASE64�~�码与解�?
openssl enc -base64 -d -in 026h23fbase64.txt -out 026h23fplain.txt
ii ) 非对�U�加�?/strong>
非对�U�加密方法中使用一对密钥：公钥(public key)和私�?private key)�l�合。用公钥加密的密文只能用�U�钥解密�Q�反之，用私钥加密的密文只能用公钥解密。在操作�q�程中，公钥可向外界发布�Q�让其他人知道，�U�钥则自�׃��存，只有自己知道�?
RSA:
由Ron Rivest,Adi Shamir和Leonard Adleman三�h首创�Q�是一�U�公开密钥加密�Ҏ��Q?br /> 它的原理是：先由密钥��理中心产生一对公钥和�U�钥�Q�称为密钥对。��生方法如下：先��生两个��够大的强质数p、q。可得p与q的乘�U��ؓ n=p×q。再由p和q��出另一个数z=(p-1)×(q-1)�Q�然后再选取一个与z互素的奇数b�Q�称b为公开指数�Q�从�q�个b值可以找出另一个值a�Q��ƈ能满��b×a=1 (mod z)条�g。由此而得到的两组�?n�Q�b)�?p�Q�q�Q�a)分别被称为公开密钥和秘密密钥，或简�U�公钥和�U�钥。若�Ҏ��文信息x(0<=x RSA��法��Z��大整数因子分解这一著名的数学难�?br /> RSA特点�Q?br /> 优点�Q�能适应�|�络的开放性要求，密钥��理��单，�q�且可方便地实现数字�{�֐�和��n份认证等功能�Q�是目前电子商务�{�技术的核心基础�?br /> �~�点�Q�算法复杂，加密数据的速度和效率较低，只能对小扚w��的数据进行加密�?br /> 在实际应用中�Q�通常��对�U�加密算法和非对�U�加密算法结合��用，利用对称加密��法来进行大定w��数据的加密，而采用RSA�{�非对称加密��法来传递对�U�加密算法所使用的密钥，通过�q�种�Ҏ��可以有效地提高加密的效率�q�能��化对密钥的管理�?
�? 使用Openssl软�g�Q��生一对RSA非对�U�密钥（公钥与私钥）�Q��ƈ分别用它们来�Ҏ��个文件进行加密和解密�?br /> openssl genrsa -des3 -out myrsaCA.key 1024�Q�将会��生一个RSA�U�钥�Q�私钥放在myrsaCA.key文�g�?�Q?br /> 用公钥加密的文�g�Q�以后需要用�U�钥来解密（加密模式�Q�：
openssl rsautl -encrypt -in 026h23f.txt -inkey myrsaCA.key -out pub026h23f.enc
openssl rsautl -decrypt -in pub026h23f.enc -inkey myrsaCA.key -out newpub026h23f.txt
用私钥加密的文�g�Q�以后需要用公钥来解密（�{�֐�模式�Q�：
openssl rsautl -sign -in 026h23f.txt -inkey myrsaCA.key -out pri026h23f.enc
openssl rsautl -verify -in pri026h23f.enc -inkey myrsaCA.key -out newpri026h23f.txt

防火墙技�?/strong>

1、实��C��密的另外一�U�方法是�q�行存取讉K��控制�Q�对敏感数据的访问实行��n份验证，具备合法�w�䆾的允许其讉K��Q�不合法�w�䆾的禁止其讉K��Q�放火墙技术正是�ؓ实现�q�一目的而��生的�?
2�?#8220;防火�?#8221;是一�U��Ş象的说法, 其实它是一�U�由计算机硬件和软�g的组�? 使互联网与内部网之间建立起一个安全网�? scurity gateway), 从而保护内部网免受非法用户的��R入，它其实就是一个把互联�|�与内部�|�（通常�q�局域网或城域网�Q�隔开的屏�?

�c�d��
1)包过滤型�Q?br /> 包过滤型防火墙可以动态检查通过防火墙的TCP/IP报文头中的报文类型、源IP地址、目标IP地址、源端口��L��信息�Q�与预先保存在防火墙中的清单�q�行对照�Q�按预定的安全策略决定哪些报文可以通过、哪些报文不可以通过�?br /> 2)应用�|�关型：
使用代理技术，在内部网与外部网之间建立一个单独的子网�Q�该子网有一个代理主机，通过路由器和�|�关分别与内、外�|�连接，代理��L��对外部和内部用户的网�l�服务请求进行认证，对于合法用户的服务请求，代理��L��则连接内部网与外部网�Q�自�׃��为通信的中介，外部用户只能获得�l�过代理的内部网服务�Q�从而保护内部网�l�资源不受��R実�?

数据完整性技�?br style="font-family: " />
要保证数据的完整性，技术上可以采用信息摘要�Q�数字指�U�）的方法或者采用数字签名的�Ҏ��Q?br /> 数字摘要�Q?br /> 采用单向Hash函数�Q�如SHA�Q�MD5�{�）对要传送的信息内容�q�行某种变换�q�算�Q�得到固定长度的摘要信息

�? 使用Openssl软�g�Q�对某个文�g产生数字摘要 �?br /> openssl dgst -md5 -out 026h23f.md5 026h23f.txt

不可否认技�?/strong>

要达��C��可否认的目的�Q�可以采用数字签名和数字旉��戳等技�?�Q?br /> 数字�{�֐�

�? 使用Openssl软�g�Q�对某个文�g产生的数字摘要进行签名，�q��证签名�?br /> openssl dgst -md5 -out 026h23f.sign -sign 026h23f.key   026h23f.txt
openssl dgst -md5 -signature 026h23f.sign -prverify 026h23f.key   026h23f.txt
数字旉��?/strong>

�w�䆾认证技�?br style="font-family: " />
需要借助于数字证书的技术，讄��安全认证中心�Q�制定一�p�d��的安全协议等来实现�?br /> 1) 数字证书
数字证书�Q�Digital Certificate�Q�是一�U�权威性的电子文档�Q�提供了一�U�在Internet上验证��n份的方式�Q�其作用�c�M��于司机的��N��执照或日常生�z�M��的��n份证。它是利用数字签名技术由一个权威机构—CA证书认证(Certificate Authority)中心�{�֏��?
数字证书概念最早由MIT的Kohnfelder�?978�q�在他的本科毕业论文中提出，内容是通过数字�{�֐�来保护命名的证书�Q�名字／密钥对）�Q�从而可��公钥分散存攑֒�讉K��Q�克服将公钥集中存放��C��个数据库中而带来的讉K��性能问题�Q�因此，数字证书除了可用于网上证明交易者的�w�䆾�Q�还有另外一个作用，可以利用它来分发交易者的公钥�?br /> 2) 数字证书颁发�q�程
用户向注册中心RA提出甌��Q�注册中心首先�ؓ用户产生密钥对，然后生成一个称为csr�Q�数字证书请求）的文�Ӟ��内含公钥及部分用戯��n份信息；认证中心CA收到RA的csr文�g后，��执行一些必要的核实步骤�Q�以��信��h��是真实的�Q�然后进行签名，生成数字证书。这栯��证书内包含有用户的个��Z��息和他的公钥信息�Q�同时还附有认证中心的签名信息�?
数字证书�c�d��
按用途：个�h数字证书、服务器数字证书、代码签名证书；
按格式：X.509�?PGP�?SDSI/SPKI�?X9.59(AADS)�?AC�{�类型的证书�Q?br /> 按协议：SSL证书�Q�服务于银行对企业或企业对企业的电子商务�z�d��Q�、SET证书(服务于持卡消贏V��网上购�?�{��?br /> X.509数字证书的数据结�?

3) 认证中心
认证中心CA�Q�Certificate Authority�Q�，作�ؓ电子交易中受信�Q的第三方�Q�负责�ؓ电子商务环境中各个实体颁发数字证书，以证明各实体�w�䆾的真实性，�q�负责在交易中检验和��理证书 �?br /> CA认证中心的功能主要有�Q?/strong>证书发放、证书更新、证书撤销和证书验证�?br /> 具体为：
接收验证用户数字证书的申诗��?br /> ��定是否接受用户数字证书的申��P��卌��书的审批�?br /> 向申误��颁发（或拒�l�颁发）数字证书�?br /> 接收、处理用��L��数字证书更新��h��?br /> 接收用户数字证书的查询、撤销�?br /> 产生和发布证书的有效期�?br /> 数字证书的归档�?br /> 密钥归档�?br /> 历史数据归档�?br /> VeriSign 是最大的公共 CA �Q�中国数字认证网、中国商务在�U?
4) 数字证书的申请与应用
首先在认证中心的�|�站上下载�ƈ安装认证中心的根证书�Q�所谓根证书�Q�是指认证中心自�׃ؓ自己颁发的数字证书）�Q�然后填写相关的甌��表格�Q�提交相��x��料，提出甌��Q�认证中心收到申请后�Q�将为用��L��成一个��时的证书�Q��ƈ��证书的序列可��回给用户�Q�接下来�Q�认证中心对用户�w�䆾�q�行仔细核查�Q�核查通过后将为用户颁发由自己�{�过名的正式数字证书�Q�用户得到此证书后就可以�q�行譬如对电子邮件进行加密等操作�?�?br /> �? 利用Openssl软�g�Q��ؓ用户颁发数字证书

安全协议

常用的安全协�?安全套接层协议、安全电子交易协议、安全超文本传输协议、安全多媒体Internet邮�g扩展协议�{?�?br /> 安全套接层协议（SSL�Q�Secure Sockets Layer�Q?
SSL安全协议最初是由Netscape Communication公司设计开发；
SSL安全协议主要提供三方面的服务�Q?br /> 一是用户和服务器的合法性认证；
二是加密数据以隐藏被传送的数据�Q?br /> 三是保护数据的完整性�?br /> 安全套接层协议的通信�q�程 �Q?br /> 接通阶�D�：客户通过�|�络向服务商打招��|��服务商回应；
密码交换阶段�Q�客户与服务器之间交换双方认可的密码�Q�一般选用RSA密码��法�Q�也有的选用Diffie-Hellmanf和Fortezza-KEA密码��法�Q?nbsp;
会谈密码阶段�Q�客户与服务商间产生彼此交谈的会谈密码；
��验阶�D�：��验服务商取得的密码；
客户认证阶段�Q�验证客��L��可信度；
……加密资料传�?#8230;…
�l�束阶段�Q�客户与服务商之间相互交换结束的信息
安全套接层协议的�~�点 �Q?br /> i ) SSL协议�q�行的基�Ҏ��商家对客户信息保密的承诺。但在上�q�流�E�中我们也可以注意到�Q�SSL协议有利于商家而不利于客户。客��L��信息首先传到商家�Q�商安��d��再传至银行，�q�样�Q�客戯��料的安全性便受到威胁�?br /> 商家认证客户是必要的�Q�但整个�q�程中，�~�少了客户对商家的认证。在电子商务的开始阶�D�，�׃��参与电子商务的公司大都是一些大公司�Q�信誉较高，�q�个问题没有引�v��Z��的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题��来��突出，SSL协议的缺点完全暴露出来�?br /> 安全电子交易协议�Q�SET�Q�Secure Electronic Transaction�Q?
ii ) ��Z��克服SSL安全协议的缺点，满��电子交易持箋不断地增加的安全要求�Q��ؓ了达��C��易安全及合乎成本效益的市��求，VISA国际�l�织及其它公司如Master Card、Micro Soft、IBM�{�共同制定了安全电子交易协议。这是一个�ؓ在线交易而设立的一个开攄��、以电子货币为基��的电子付�Ƅ��l�规范，它采用公钥密码体制和X.509数字证书标准�Q�主要应用于BtoC模式中保障支付信息的安全性；
SET在保留对客户信用卡认证的前提下，又增加了对商家��n份的认证 �Q�双重签名）�Q?br /> SET协议比SSL协议复杂 �?br /> 安全电子交易协议要达到的目标
保证电子商务参与者信息的�怺�隔离。客��L��资料加密或打包后边过商家到达银行�Q�但是商家不能看到客��L��账户和密码信息；
保证信息在因特网上安全传输，防止数据被黑客或被内部�h员窃取；
解决多方认证问题�Q�不仅要�Ҏ��费者的信用卡认证，而且要对在线商店的信誉程度认证，同时�q�有消费者、在�U�商店与银行间的认证�Q?nbsp;
保证了网上交易的实时性，使所有的支付�q�程都是在线的；
规范协议和消息格式，促��不同厂家开发的软�g��h��兼容性和互操作功能，�q�且可以�q�行在不同的��g和操作系�l��^��C��?nbsp;
SET安全协议的工作原理主要包括以�?个步骤：
消费者利用已有的计算机通过因特�|�选定物品�Q��ƈ下电子订单；
通过电子商务服务器与�|�上商场联系�Q�网上商场做出应�{�，告诉消费者的订单的相��x��况；
消费者选择付款方式�Q�确认订单，�{�֏�付款指��o�Q�此时SET介入�Q�；
在SET中，消费者必��d��定单和付�ƾ指令进行数字签名，同时利用双重�{�֐�技术保证商家看不到消费者的账号信息�Q?nbsp;
在线商店接受定单后，向消费者所在银行请求支付认可，信息通过支付�|�关到收单银行，再到电子货币发行公司��认�Q�批准交易后�Q�返回确认信息给在线商店�Q?nbsp;
在线商店发送定单确认信息给消费者，消费者端软�g可记录交易日志，以备��来查询�Q?nbsp;
在线商店发送货物或提供服务�Q��ƈ通知收单银行��钱从消费者的账号转移到商店�̎��P��或通知发卡银行��h��支付�?br />
其他安全协议

安全��文本传输协议，即S-HTTP�Q�基于SSL�Q�通过密钥加密技术，保障了Web站点上信息的安全�Q��ؓWeb文档提供完整性、鉴别、不可抵赖和机密性等安全措施。支持S-HTTP协议的网站URL以shttp://标识开始�?br /> 安全多媒体Internet邮�g扩展协议�Q�S/MIME�Q�：用于安全��C��输电子邮�?nbsp;

PKI技�?/strong>

PKI体系�l�构采用证书来管理公钥，通过�W�三方的可信机构CA�Q�把用户的公钥和用户的其他标识信息（如名�U�、e-mail、��n份证��L��Q�捆�l�在一��P��在Internet�|�上验证用户的��n份；同时�Q�在PKI体系�l�构中，把公钥密码和对称密码�l�合��h��Q�以实现密钥的自动管理，保证�|�上数据的机密性、完整性�?
�q�义上，所有提供公钥加密和数字�{�֐�服务的系�l�，都可叫做PKI�pȝ�� ?br /> 狭义上，�W�合PKCS(公开钥密码标准，public-Key cryptography Standard)的系�l�。典型、完整、有效的PKI应用�pȝ��臛_��应具有以下部分：公钥密码证书��理、黑名单的发布和��理、密钥的备䆾和恢复、自动更新密钥、自动管理历史密钥、支持交叉认证�?

思�?

电子商务的安全需求有哪些�Q��ؓ保障安全�Q�各采用什么技术？
什么是信息安全�Q�其安全保障体系有哪几方面？
数据完整、不可否认的含义是什么？
��C��加密技术的�U�类有哪些？��L��Openssl软�g�Ҏ��个文件进行加密�?br /> 什么是对称加密�Q�什么是非对�U�加密？常见的对�U�加密与非对�U�加密算法有哪几�U�？
对称加密和非对称加密的优�~�点各是什么？
什么是数字�{�֐�?数字�{�֐�的作用是什么？写出数字�{�֐�的过�E��?br /> 什么是数字证书�Q�数字证书的颁发一般有哪些�q�程�Q?br /> 数字证书的作用是什么？CA的作用是什么？试用Openssl�l�某个用户颁发一份证书�?br /> Openssl命��o中与加密有关的命令有哪些�Q�与证书生成有关的命令有哪些�Q?br /> 常见的安全协议有哪些�Q�试比较SSL协议和SET协议�?br /> SSL协议有那些缺点？
上网甌��一份数字证书，�q�利用此证书�l�某人发一��签名的电子邮�g�?/p>

蜂鸟 2011-02-12 13:34 发表评论

openssl使用手册

蜂鸟 — Sat, 12 Feb 2011 02:28:00 GMT
openSSL有两�U�运行模式：交互模式和批处理模式�? 直接输入openssl回�R�q�入交互模式�Q�输入带命��o选项的openssl�q�入批处理模式�? (1) 配置文�g OpenSSL的默认配�|�文件位�|�不是很固定�Q�可以用openssl ca命��o得知�? 你也可以指定自己的配�|�文件�? 当前只有三个OpenSSL命��o会��用这个配�|�文�Ӟ��ca, req, x509。有望未来版本会有更多命令��用配�|�文件�? (2)消息摘要��法支持的算法包括：MD2, MD4, MD5, MDC2, SHA1(有时候叫做DSS1), RIPEMD-160。SHA1和RIPEMD-160产生160位哈西�?其他的��?28位。除非出于兼�Ҏ��考虑�Q�否则推荐��用SHA1或者RIPEMD-160�? 除了RIPEMD-160需要用rmd160命��o外，其他的算法都可用dgst命��o来执行�? OpenSSL对于SHA1的处理有点奇怪，有时候必��L��它称作DSS1来引用�? 消息摘要��法除了可计��哈西��|��q�可用于�{�֐�和验证签名。签名的时候，对于DSA生成的私匙必��要和DSS1(即SHA1)搭配。而对于RSA生成的私匙，��M��消息摘要��法都可使用�? ############################################################# # 消息摘要��法应用例子 # 用SHA1��法计算文�gfile.txt的哈西��|��输出到stdout $ openssl dgst -sha1 file.txt # 用SHA1��法计算文�gfile.txt的哈西�?输出到文件digest.txt $ openssl sha1 -out digest.txt file.txt # 用DSS1(SHA1)��法为文件file.txt�{�֐�,输出到文件dsasign.bin # �{�֐�的private key必须为DSA��法产生的，保存在文件dsakey.pem�? $ openssl dgst -dss1 -sign dsakey.pem -out dsasign.bin file.txt # 用dss1��法验证file.txt的数字签名dsasign.bin�Q? # 验证的private key为DSA��法产生的文件dsakey.pem $ openssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt # 用sha1��法为文件file.txt�{�֐�,输出到文件rsasign.bin # �{�֐�的private key为RSA��法产生的文件rsaprivate.pem $ openssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt # 用sha1��法验证file.txt的数字签名rsasign.bin�Q? # 验证的public key为RSA��法生成的rsapublic.pem $ openssl sha1 -verify rsapublic.pem -signature rsasign.bin file.txt (3) 对称密码 OpenSSL支持的对�U�密码包括Blowfish, CAST5, DES, 3DES(Triple DES), IDEA, RC2, RC4以及RC5。OpenSSL 0.9.7�q�新增了AES的支持。很多对�U�密码支持不同的模式�Q�包括CBC, CFB, ECB以及OFB。对于每一�U�密码，默认的模式��L��CBC。需要特别指出的是，��量避免使用ECB模式�Q�要惛_��全地使用它难以置信地困难�? enc命��o用来讉K��对称密码�Q�此外还可以用密码的名字作�ؓ命��o来访问。除了加解密�Q�base64可作为命令或者enc命��o选项�Ҏ��据进行base64�~�码/解码�? 当你指定口��o后，命��o行工具会把口令和一�?字节的salt(随机生成�?�q�行�l�合�Q�然后计��MD5 hash倹{��这个hash��D��切分成两部分�Q�加密钥�?key)和初始化向量(initialization vector)。当然加密钥匙和初始化向量也可以手工指定�Q�但是不推荐那样�Q�因为容易出错�? ############################################################# # 对称加密应用例子 # 用DES3��法的CBC模式加密文�gplaintext.doc�Q? # 加密�l�果输出到文件ciphertext.bin $ openssl enc -des3 -salt -in plaintext.doc -out ciphertext.bin # 用DES3��法的OFB模式解密文�gciphertext.bin�Q? # 提供的口令�ؓtrousers�Q�输出到文�gplaintext.doc # 注意�Q�因为模式不同，该命令不能对以上的文件进行解�? $ openssl enc -des-ede3-ofb -d -in ciphertext.bin -out plaintext.doc -pass pass:trousers # 用Blowfish的CFB模式加密plaintext.doc�Q�口令从环境变量PASSWORD中取 # 输出到文件ciphertext.bin $ openssl bf-cfb -salt -in plaintext.doc -out ciphertext.bin -pass env:PASSWORD # �l�文件ciphertext.bin用base64�~�码�Q�输出到文�gbase64.txt $ openssl base64 -in ciphertext.bin -out base64.txt # 用RC5��法的CBC模式加密文�gplaintext.doc # 输出到文件ciphertext.bin�Q? # salt、key和初始化向量(iv)在命令行指定 $ openssl rc5 -in plaintext.doc -out ciphertext.bin -S C62CB1D49F158ADC -iv E9EDACA1BD7090C6 -K 89D4B1678D604FAA3DBFFD030A314B29 (4)公匙密码 4.1 Diffie-Hellman 被用来做钥匙协商(key agreement)�Q�具有保�?secrecy)功能�Q�但是不��h��加密(encryption)或者认�?authentication)功能�Q�因此在�q�行协商前需用别的方式对另一方进行认证�? 首先�Q�Diffie-Hellman创徏一套双斚w��认可的参数集�Q�包括一个随机的素数和生成因�?generator value�Q�通常�?或�?)。基于这个参数集�Q�双斚w��计算��Z��个公钥匙和私钥匙�Q�公钥匙交给�Ҏ��Q�对方的公钥匙和自己的私钥匙用来计算�׃�n的钥匙�? OpenSSL 0.9.5 提供了dhparam命��o用来生成参数集，但是生成公钥匙和�U�钥匙的命��odh和gendh已不推荐使用。未来版本可能会加上�q�个功能�? ############################################################# # Diffie-Hellman应用例子 # 使用生成因子2和随机的1024-bit的素��C�生D0ffie-Hellman参数 # 输出保存到文件dhparam.pem $ openssl dhparam -out dhparam.pem -2 1024 # 从dhparam.pem中读取Diffie-Hell参数�Q�以C代码的�Ş�? # 输出到stdout $ openssl dhparam -in dhparam.pem -noout -C 4.2 数字�{�֐��法(Digital Signature Algorithm, DSA) 主要用来做认证，不能用来加密(encryption)或者保�?secrecy)�Q�因此它通常和Diffie-Hellman配合使用。在�q�行钥匙协商前先用DSA�q�行认证(authentication)�? 有三个命令可用来完成DSA��法提供的功能�? dsaparam命��o生成和检查DSA参数�Q�还可生成DSA�U�钥匙�? gendsa命��o用来��Z��套DSA参数生成�U�钥匙，�q�把�U�钥匙可明文保存�Q�也可指定加密选项加密保存。可采用DES�Q?DES�Q�或者IDEA�q�行加密�? dsa命��o用来从DSA的私钥匙中生成公钥匙�Q�还可以为私钥匙加解密，或者改变私钥匙加密的口令�? ############################################################# # DSA应用例子 # 生成1024位DSA参数集，�q�输出到文�gdsaparam.pem $ openssl dsaparam -out dsaparam.pem 1024 # 使用参数文�gdsaparam.pem生成DSA�U�钥匙， # 采用3DES加密后输出到文�gdsaprivatekey.pem $ openssl gendsa -out dsaprivatekey.pem -des3 dsaparam.pem # 使用�U�钥匙dsaprivatekey.pem生成公钥匙， # 输出到dsapublickey.pem $ openssl dsa -in dsaprivatekey.pem -pubout -out dsapublickey.pem # 从dsaprivatekey.pem中读取私钥匙�Q�解密�ƈ输入新口令进行加密， # 然后写回文�gdsaprivatekey.pem $ openssl dsa -in dsaprivatekey.pem -out dsaprivatekey.pem -des3 -passin 4.3 RSA RSA得名于它的三位创��：Ron Rivest, Adi Shamir, Leonard Adleman�? 目前之所以如此流行，是因为它集保密、认证、加密的功能于一体�? 不像Diffie-Hellman和DSA�Q�RSA��法不需要生成参数文�Ӟ��q�在很大�E�度上简化了操作�? 有三个命令可用来完成RSA提供的功能�? genrsa命��o生成新的RSA�U�匙�Q�推荐的�U�匙长度�?024位，不徏议低于该值或者高�?048位�? �~�省情况下私匙不被加密，但是可用DES�?DES或者IDEA加密�? rsa命��o可用来添加、修攏V��删除私匙的加密保护�Q�也可用来从�U�匙中生成RSA公匙�Q�或者用来显�C�私匙或公匙信息�? rsautl命��o提供RSA加密和签名功能。但是不推荐用它来加密大块数据，或者给大块数据�{�֐��Q�因��U�算法的速度较来慢。通常用它�l�对�U�密匙加密，然后通过enc命��o用对�U�密匙对大块数据加密�? ############################################################# # RSA应用例子 # 产生1024位RSA�U�匙�Q�用3DES加密它，口��o为trousers�Q? # 输出到文件rsaprivatekey.pem $ openssl genrsa -out rsaprivatekey.pem -passout pass:trousers -des3 1024 # 从文件rsaprivatekey.pem��d��U�匙�Q�用口��otrousers解密�Q? # 生成的公钥匙输出到文件rsapublickey.pem $ openssl rsa -in rsaprivatekey.pem -passin pass:trousers -pubout -out rsapubckey.pem # 用公钥匙rsapublickey.pem加密文�gplain.txt�Q? # 输出到文件cipher.txt $ openssl rsautl -encrypt -pubin -inkey rsapublickey.pem -in plain.txt -out cipher.txt # 使用�U�钥匙rsaprivatekey.pem解密密文cipher.txt�Q? # 输出到文件plain.txt $ openssl rsautl -decrypt -inkey rsaprivatekey.pem -in cipher.txt -out plain.txt # 用私钥匙rsaprivatekey.pem�l�文件plain.txt�{�֐��Q? # 输出到文件signature.bin $ openssl rsautl -sign -inkey rsaprivatekey.pem -in plain.txt -out signature.bin # 用公钥匙rsapublickey.pem验证�{�֐�signature.bin�Q? # 输出到文件plain.txt $ openssl rsautl -verify -pubin -inkey rsapublickey.pem -in signature.bin -out plain.txt (5) S/MIME[Secure Multipurpose Internet Mail Exchange] S/MIME应用于安全邮件交换，可用来认证和加密�Q�是PGP的竞争对手。与PGP不同的是�Q�它需要一套公匙体�p�d��立信��d��p�，而PGP只需直接�?某个地方获取�Ҏ��的公匙就可以。然而正因�ؓ�q�样�Q�它的扩展性比PGP要好。另一斚w��Q�S/MIME可以对多人群发安全消息，而PGP则不能�? 命��osmime可用来加解密、签名、验证S/MIME v2消息(对S/MIME v3的支持有限而且很可能不工作)。对于没有内�|�S/MIME支持的应用来��_��可通过smime来处理进�?incoming)和出�?outgoing)的消息�? ############################################################# # RSA应用例子 # 从X.509证书文�gcert.pem中获取公钥匙�Q? # �?DES加密mail.txt # 输出到文件mail.enc $ openssl smime -encrypt -in mail.txt -des3 -out mail.enc cert.pem # 从X.509证书文�gcert.pem中获取接收�h的公钥匙�Q? # 用私钥匙key.pem解密S/MIME消息mail.enc�Q? # �l�果输出到文件mail.txt $ openssl smime -decrypt -in mail.enc -recip cert.pem -inkey key.pem -out mail.txt # cert.pem为X.509证书文�g�Q�用�U�匙key,pem为mail.txt�{�֐��Q? # 证书被包含在S/MIME消息中，输出到文件mail.sgn $ openssl smime -sign -in mail.txt -signer cert.pem -inkey key.pem -out mail.sgn # 验证S/MIME消息mail.sgn�Q�输出到文�gmail.txt # �{�֐�者的证书应该作�ؓS/MIME消息的一部分包含在mail.sgn�? $ openssl smime -verify -in mail.sgn -out mail.txt (6) 口��o和口令输�?passphase) OpenSSL口��o选项名称不是很一��_��通常为passin和passout。可以指定各�U�各��L��口��o输入来源�Q�不同的来源所承担的风险取决于你的接受能力�? stdin �q�种方式不同于缺省方式，它允讔R��定向标准输入�Q�而缺省方式下是直接从真实的终端设�?TTY)��d��口��o的�? pass: 直接在命令行指定口��o为password。不推荐�q�样使用�? env: 从环境变量中获取口��o�Q�比pass方式安全了些�Q�但是进�E�环境仍可能被别有用心的�q�程��d��? file: 从文件中获取�Q�注意保护好文�g的安全性�? fd: 从文件描�q�符中读取。通常情况是父�q�程启动OpenSSL命��o行工��P��׃��OpenSSL�l�承了父�q�程的文件描�q�符�Q�因此可以从文�g描述�W�中��d��口��o�? (7) 重置伪随机数生成�?Seeding the Pseudorandom Number Generator) 对于OpenSSL�Q�正��地重置PRNG(Pseudo Random Number Generator)很重要�? 命��o行工具会试图重置PRNG�Q�当然这不是万无一��q��。如果错误发生，命��o行工具会生成一条警告，�q�意味着生成的随机数是可预料的，�q�时��应该采用一�U�更可靠的重�|�机制而不能是默认的�? 在Windows�pȝ��Q�重�|�PRNG的来源很多，比如屏幕内容。在Unix�pȝ��Q�通常通过讑֤�/dev/urandom来重�|�PRNG。从0.9.7开始，OpenSSL�q�试��N��过�q�接EGD套接字来重置PRNG�? 除了基本的重�|�来源，命��o行工兯��会查扑֌�含随机数据的文�g。假如环境变量RANDFILE被设�|�，它的值就可以用来重置PRNG。如果没有设�|�，则HOME目录下的.rnd文�g��会使用�? OpenSSL�q�提供了一个命令rand用来指定重置来源文�g。来源文件之间以操作�pȝ��的文件分割字�W�隔开。对于Unix�pȝ��Q�如果来源文件是EGD套接字，则会从EGD服务器获取随机数�? EGD服务器是用Perl写成的收集重�|�来源的daemon�Q�可�q�行在装了Perl的基于Unix的系�l�，见http://egd.sourceforge.net。如果没�?dev/random或�?dev/urandom�Q�EGD是一个不错的候选�? EGD不能�q�行在Windows�pȝ��中。对于Windows环境�Q�推荐��用EGADS(Entropy Gathering And Distribution System)。它可运行在Unix和Windows�pȝ��中，见http://www.securesw.com/egads�? (本文参考O’Reilly-Network Security with OpenSSL) OPENSSL SUPPORTED CIPHERS: base64 Base 64 bf-cbc Blowfish in CBC mode bf Alias for bf-cbc bf-cfb Blowfish in CFB mode bf-ecb Blowfish in ECB mode bf-ofb Blowfish in OFB mode cast-cbc CAST in CBC mode cast Alias for cast-cbc cast5-cbc CAST5 in CBC mode cast5-cfb CAST5 in CFB mode cast5-ecb CAST5 in ECB mode cast5-ofb CAST5 in OFB mode des-cbc DES in CBC mode des Alias for des-cbc des-cfb DES in CBC mode des-ofb DES in OFB mode des-ecb DES in ECB mode des-ede-cbc Two key triple DES EDE in CBC mode des-ede Two key triple DES EDE in ECB mode des-ede-cfb Two key triple DES EDE in CFB mode des-ede-ofb Two key triple DES EDE in OFB mode des-ede3-cbc Three key triple DES EDE in CBC mode des-ede3 Three key triple DES EDE in ECB mode des3 Alias for des-ede3-cbc des-ede3-cfb Three key triple DES EDE CFB mode des-ede3-ofb Three key triple DES EDE in OFB mode desx DESX algorithm. gost89 GOST 28147-89 in CFB mode (provided by ccgost engine) gost89-cnt `GOST 28147-89 in CNT mode (provided by ccgost engine) idea-cbc IDEA algorithm in CBC mode idea same as idea-cbc idea-cfb IDEA in CFB mode idea-ecb IDEA in ECB mode idea-ofb IDEA in OFB mode rc2-cbc 128 bit RC2 in CBC mode rc2 Alias for rc2-cbc rc2-cfb 128 bit RC2 in CFB mode rc2-ecb 128 bit RC2 in ECB mode rc2-ofb 128 bit RC2 in OFB mode rc2-64-cbc 64 bit RC2 in CBC mode rc2-40-cbc 40 bit RC2 in CBC mode rc4 128 bit RC4 rc4-64 64 bit RC4 rc4-40 40 bit RC4 rc5-cbc RC5 cipher in CBC mode rc5 Alias for rc5-cbc rc5-cfb RC5 cipher in CFB mode rc5-ecb RC5 cipher in ECB mode rc5-ofb RC5 cipher in OFB mode aes-[128|192|256]-cbc 128/192/256 bit AES in CBC mode aes-[128|192|256] Alias for aes-[128|192|256]-cbc aes-[128|192|256]-cfb 128/192/256 bit AES in 128 bit CFB mode aes-[128|192|256]-cfb1 128/192/256 bit AES in 1 bit CFB mode aes-[128|192|256]-cfb8 128/192/256 bit AES in 8 bit CFB mode aes-[128|192|256]-ecb 128/192/256 bit AES in ECB mode aes-[128|192|256]-ofb 128/192/256 bit AES in OFB mode

蜂鸟 2011-02-12 10:28 发表评论

天天综合精品,精品精品国产毛片在线看,麻豆电影在线播放

一、介�l?/span>

二、���?

�?对称加密:

�?GPG常用参数:

The GNU Privacy Guard

Windows下��用RatProxy

openssl使用手册

二、��?