中国科学技术大学：《现代密码学理论与实践》课程教学资源（PPT课件讲稿）第15章 电子邮件的安全

车衣 本章要点 15 PGP是保障电子邮件安全的免费开源软件包，提供使 用数字签名的认证、对称密码的保密、ZP的压缩、 基数64编码的兼容性，以及分段和组装长电子邮件的 功能。 ·PGP融合了开发公钥信任模型和公钥证书管理的工具 S/MlME是保障电子邮件安全的标准Internet协议，提 供了与PGP类似的功能。 平 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 2/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 2/61 本章要点 ⚫ PGP是保障电子邮件安全的免费开源软件包，提供使 用数字签名的认证、对称密码的保密、ZIP的压缩、 基数64编码的兼容性，以及分段和组装长电子邮件的 功能。 ⚫ PGP融合了开发公钥信任模型和公钥证书管理的工具 ⚫ S/MIME是保障电子邮件安全的标准Internet协议，提 供了与PGP类似的功能

安全电子邮件系统PGP (Pretty Good Privacy) 。PGP由个人发展起来 ●Phil Zimmermann(齐默尔曼) ·PGP为电子邮件和文件存储应用提供了认证和保密性服务 选择理想的密码算法 把算法很好地集成到通用应用中，独立于操作系统和微处理器 自由发放，包括文档、源代码等 ● 与商业公司(Network Associates)合作，提供一个全面兼容的、 低价位的商业版本PGP ·PGP历史 ● 1991年推出1.0版，1994年推出2.6版，现在9.6版等 算法的专利之争，困扰了3年多 与美国出口管理限制之争，长达5年时间的调查 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 3/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 3/61 安全电子邮件系统PGP (Pretty Good Privacy) ⚫ PGP由个人发展起来—— ⚫ Phil Zimmermann(齐默尔曼) ⚫ PGP为电子邮件和文件存储应用提供了认证和保密性服务 ⚫ 选择理想的密码算法 ⚫ 把算法很好地集成到通用应用中，独立于操作系统和微处理器 ⚫ 自由发放，包括文档、源代码等 ⚫ 与商业公司(Network Associates)合作，提供一个全面兼容的、 低价位的商业版本PGP ⚫ PGP历史 ⚫ 1991年推出1.0版，1994年推出2.6版，现在9.6版等 ⚫ 算法的专利之争，困扰了3年多 ⚫ 与美国出口管理限制之争，长达5年时间的调查

About Phil Zimmermann He was born in Camden,New Jersey.His father was a concrete mixer truck driver.Zimmermann received a B.S.degree in computer science from Florida Atlantic University in Boca Raton in 1978,and currently lives in the San Francisco Bay Area. In 1991,he wrote the popular Pretty Good Privacy(PGP)program,and made it available (together with its source code)through public FTP for download,the first widely available program implementing public-key cryptography.Shortly thereafter,it became available overseas via the Internet,though Zimmermann has said he had no part in its distribution outside the US. After a report from RSA Data Security,Inc.,who were in a licensing dispute with regard to use of the RSAalgorithm in PGP,the Customs Service started a criminal investigation of Zimmermann,for allegedly violating the Arms Export Control Act.The US Government had long regarded cryptographic software as a munition,and thus subject to arms trafficking export controls.At that time,the boundary between permitted ("low-strength")cryptography and impermissible ("high-strength")cryptography placed PGP well on the too-strong-to-export side (this boundary has since been relaxed).The investigation lasted three years,but was finally dropped without filing charges. In early 1996,Zimmermann founded PGP Inc.and released an updated version of PGP and some additional related products.That company was acquired by Network Associates(NAl)in December 1997,and Zimmermann stayed on for three years as a Senior Fellow.NAl decided to drop the product line and in 2002. PGP was acquired from NAl by a new company called PGP Corporation. Zimmermann now serves as a special advisor and consultant to that firm. Zimmermann is also a fellow at the Stanford Law School's Center for Internet and Society.He was a principal designer of the cryptographic key agreement protocol (the "association model")for the Wireless USB standard mn量 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 4/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 4/61 About Phil Zimmermann ⚫ He was born in Camden, New Jersey. His father was a concrete mixer truck driver. Zimmermann received a B.S. degree in computer science from Florida Atlantic University in Boca Raton in 1978, and currently lives in the San Francisco Bay Area. ⚫ In 1991, he wrote the popular Pretty Good Privacy (PGP) program, and made it available (together with its source code) through public FTP for download, the first widely available program implementing public-key cryptography. Shortly thereafter, it became available overseas via the Internet, though Zimmermann has said he had no part in its distribution outside the US. ⚫ After a report from RSA Data Security, Inc., who were in a licensing dispute with regard to use of the RSA algorithm in PGP, the Customs Service started a criminal investigation of Zimmermann, for allegedly violating the Arms Export Control Act. The US Government had long regarded cryptographic software as a munition, and thus subject to arms trafficking export controls. At that time, the boundary between permitted ("low-strength") cryptography and impermissible ("high-strength") cryptography placed PGP well on the too-strong-to-export side (this boundary has since been relaxed). The investigation lasted three years, but was finally dropped without filing charges. ⚫ In early 1996, Zimmermann founded PGP Inc. and released an updated version of PGP and some additional related products. That company was acquired by Network Associates (NAI) in December 1997, and Zimmermann stayed on for three years as a Senior Fellow. NAI decided to drop the product line and in 2002, PGP was acquired from NAI by a new company called PGP Corporation. Zimmermann now serves as a special advisor and consultant to that firm. Zimmermann is also a fellow at the Stanford Law School's Center for Internet and Society. He was a principal designer of the cryptographic key agreement protocol (the "association model") for the Wireless USB standard

海全系 15.1 PGP(Pretty Good Privacy) 15 。Philip R.Zimmerman的主要工作 ● 选择了最好的加密算法作为基础构件 ● 集成加密算法，形成通用的应用程序 ● 制作软件包和文档，包括源码，免费提供 ● 提供完全兼容的低价格的商用版本 ·PGP快速发展和流行的原因 。免费获得，运行于不同平台的多个版本 建立在普遍认为非常安全的算法的基础上，算法的安全性已 经得到了充分的论证，如公钥加密包括RSA、DSS、Diffie- Hellman,单钥加密包括CAST-128、IDEA、3DES、AES, 以及SHA-1散列算法 应用范围广泛，适用性强 不受任何组织和政府控制 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 5/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 5/61 15.1 PGP(Pretty Good Privacy) ⚫ Philip R. Zimmerman的主要工作 ⚫ 选择了最好的加密算法作为基础构件 ⚫ 集成加密算法，形成通用的应用程序 ⚫ 制作软件包和文档，包括源码，免费提供 ⚫ 提供完全兼容的低价格的商用版本 ⚫ PGP快速发展和流行的原因 ⚫ 免费获得，运行于不同平台的多个版本 ⚫ 建立在普遍认为非常安全的算法的基础上，算法的安全性已 经得到了充分的论证，如公钥加密包括RSA、DSS、Diffie￾Hellman，单钥加密包括CAST-128、IDEA、3DES、AES， 以及SHA-1散列算法 ⚫ 应用范围广泛，适用性强 ⚫ 不受任何组织和政府控制

PGP功能列表 海车起女 15 服务 采用算法 说明 数字签名 DSS/SHA或 用SHA-1创建散列码，用发送者的 RSA/SHA 私钥和DSS或RSA加密消息摘要 CAST或IDEA或 消息加密 消息用一次性会话密钥加密， 3DES、AES 会话密钥用接收方的公钥加密 及RSA或D-F 压缩 ZIP 消息用ZP算法压缩 邮件兼容性 Radix 64 邮件应用完全透明，加密后的 消息用Radix64转换 数据分段 为了适应邮件的大小限制， PGP支持分段和重组 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 6/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 6/61 PGP功能列表 为了适应邮件的大小限制， PGP支持分段和重组 数据分段 邮件应用完全透明，加密后的 消息用Radix 64转换 邮件兼容性 Radix 64 压缩 ZIP 消息用ZIP算法压缩 消息用一次性会话密钥加密， 会话密钥用接收方的公钥加密 CAST或IDEA或 3DES、AES 及RSA或D-F 消息加密 用SHA-1创建散列码，用发送者的 私钥和DSS或RSA加密消息摘要 DSS/SHA或 RSA/SHA 数字签名 服 务 采用算法 说 明

海拳衣 15.1.1PGP所使用的符号 15 Ks:常规加密中的会话密钥 KRa:公开密钥系统中用户A的私有密钥 KUa:公开密钥系统中用户A的公开密钥 EP:公开密钥加密 DP:公开密钥解密 EC:常规加密 DC:常规解密 H:散列函数 :串接操作（并置） Z: 使用ZIP算法进行压缩 R64:基数为64的ASC川格式转换 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 7/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 7/61 15.1.1 PGP所使用的符号 Ks：常规加密中的会话密钥 KRa：公开密钥系统中用户A的私有密钥 KUa：公开密钥系统中用户A的公开密钥 EP：公开密钥加密 DP：公开密钥解密 EC：常规加密 DC：常规解密 H： 散列函数 ||： 串接操作(并置) Z： 使用ZIP算法进行压缩 R64：基数为64的ASCII格式转换

15.1.2PGP操作描述 15 Table 15.1 Summary of PGP Services Function Algorithms Used Description A hash code of a message is created using Digital signature DSS/SHA or RSA/SHA SHA-1.This message digest is encrypted using DSS or RSA with the sender's private key and included with the message. A message is encrypted using CAST-128 or IDEA or 3DES with a one-time session Message encryption CAST or IDEA or Three-key Triple DES key generated by the sender.The session with Diffie-Hellman or key is encrypted using Diffie-Hellman or RSA RSA with the recipient's public key and included with the message. Compression ZIP A message may be compressed,for storage or transmission,using ZIP. To provide transparency for email Email compatibility Radix 64 conversion applications,an encrypted message may be converted to an ASCII string using radix 64 conversion. Segmentation To accommodate maximum message size limitations,PGP performs segmentation and reassembly. 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 8/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 8/61 15.1.2 PGP操作描述

Source A Destination B- EKR[H(M)] KUa KRa M DP EP) M Compare ((a)Authentication only Ekv[K;] KUb KRb DP -po M (b)Confidentiality only KUb EkU,[Ks] KRb EKR [H(M] KUa KRa K;-EP) DP M Compare (c)Confidentiality and authentication Figure 15.1 PGP Cryptographic Functions 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 9/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 9/61

PGP操作描述 15 数字签名与认证 发送者创建报文 使用SHA-1生成报文的160位散列码 使用发送者的私有密钥，用RSA算法对散列码加 密（签名），并置在报文前面 接收者使用发送者的公开密钥，用RSA解密和恢 复散列码 接收者计算报文的散列码，与解密得到的进行比 较，如果两者匹配，则报文通过鉴别 签名也可以使用DSS/SHA-1来生成 ·PGP也支持分离的数字签名 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 10/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 10/61 PGP操作描述 ⚫ 数字签名与认证 ⚫ 发送者创建报文 ⚫ 使用SHA-1生成报文的160位散列码 ⚫ 使用发送者的私有密钥，用RSA算法对散列码加 密(签名)，并置在报文前面 ⚫ 接收者使用发送者的公开密钥，用RSA解密和恢 复散列码 ⚫ 接收者计算报文的散列码，与解密得到的进行比 较，如果两者匹配，则报文通过鉴别 ⚫ 签名也可以使用DSS/SHA-1来生成 ⚫ PGP也支持分离的数字签名

功能：身份认证 车之 105 发送方 ●产生消息M 用SHA-1对M生成一个160位的散列码H ●用发送者的私钥对H加密，并与M连接 接收方 用发送者的公钥解密并恢复散列码H 对消息M生成一个新的散列码，与H比较。如果一 致，则消息M被认证。 Source A Destination B EKRa[H(M)] KUa KRa M DP Compare 甲四= 2022/10/9 现代密码学理论与实践-15：电子邮件的安全 11/61

2022/10/9 现代密码学理论与实践-15：电子邮件的安全 11/61 功能：身份认证 ⚫ 发送方 ⚫ 产生消息M ⚫ 用SHA-1对M生成一个160位的散列码H ⚫ 用发送者的私钥对H加密，并与M连接 ⚫ 接收方 ⚫ 用发送者的公钥解密并恢复散列码H ⚫ 对消息M生成一个新的散列码，与H比较。如果一 致，则消息M被认证