使用對(duì)稱加密技術(shù)

在 Linux中，可以使用GPG，Openssl enc來實(shí)現(xiàn)對(duì)稱加密。對(duì)于前者來說，在RedHat linux中 執(zhí)行“gpg-a --cipher-algo TWOFISH--outfile bankinfo.2f -c bankinfo.txt”命令，可以使用“TWOFISH”加密算法，對(duì)“bankibfo.txt”的文件進(jìn)行加密，輸入密碼后，得到的名為“bankinfo.2f”的加密文件。初次使用時(shí)，系統(tǒng)會(huì)提示“/root/.gnupg”等文件不存在，并自動(dòng)創(chuàng)建這些文件。

進(jìn)入“.gnupg”目錄后，可以看到其中的“pubring.gpg”和“secrig.gpg”就是密鑰數(shù)據(jù)庫(kù)文件，分別存放和公鑰和私鑰相關(guān)的內(nèi)容。這里使用的是對(duì)稱加密，所以這兩個(gè)文件的大小為零?！?-cipher-algo”參數(shù)說明使用的加密算法。執(zhí)行“gpg--versiom”命令，在幫助信息中的“Cipher”欄中顯示所有可用的加密算法，包括3DES、CAST5、BLOWFISH、AES、AES192、AES256、TWOFISH等。解密時(shí)，可以執(zhí)行“gpg--output bankinfo.txt -d bankibfo.2f”命令，輸入密鑰后，得到解密后的文件。

對(duì)于后者來說，可以執(zhí)行“openssl enc -aes128 -a-in jimi.txt -out jimi.aes”命令，根據(jù)提示輸入兩次密鑰，完成對(duì)“jimi.txt”文件的加密，得到加密后的 文件“jimi.aes”。“-aes128”參數(shù)表示使用128位的AES加密算法，“-a”參數(shù)表示生成的加密文件由ASCII碼組成，如果不使用該參數(shù)，生成的加密文件是二進(jìn)制狀態(tài)，無法直接查看。當(dāng)對(duì)方收到該文件后，執(zhí)行“openssl enc -d-aes128 -a -in jimi.aes-out jimi.txt”命令，輸入密碼后，可以對(duì)其解密。

實(shí)現(xiàn)文件透明加密

使用AES加密模塊對(duì)文件進(jìn)行加密，執(zhí)行“modprobe aes”命令，手工加載AES加密模塊。執(zhí)行“yum install dnsetup cryptsetup” 命令，安裝DMsetup工具包。執(zhí)行“modprobe dm-crypt” 命令，會(huì)使用Device-Mapper設(shè)備映射機(jī)制自動(dòng)完成注冊(cè)操作。Device mapper是Linux 2.6 內(nèi)核中提供的一種從邏輯設(shè)備到物理設(shè)備的映射框架機(jī)制，在該機(jī)制下，可以根據(jù)自己的需要制定實(shí)現(xiàn)存儲(chǔ)資源的管理策略。

執(zhí)行“dmsetup targets”命令，在輸出列表中可以看到Crypt的版本信息。要想實(shí)現(xiàn)加密操作，需要?jiǎng)?chuàng)建對(duì)應(yīng)的加密設(shè)備。利用dd命令創(chuàng)建一個(gè)空磁盤映像文件，加載為虛擬的存儲(chǔ)設(shè)備，就可以加密文件系統(tǒng)了。執(zhí)行“dd if=/dev/zero of=/xunijiami.img=1M count=200”命令，創(chuàng)建名稱為xunijiami.img、容量為200MB的映像文件。

執(zhí)行“l(fā)osetup /dev/loo0 /virtual.img”命令，得到路徑為“/dev/loop0”的虛擬存儲(chǔ)設(shè)備。之后執(zhí)行“cryptsetup -y create kp_vrd /dev/loop0”命令，系統(tǒng)會(huì)要求用戶輸入邏輯卷的密碼，這對(duì)于保護(hù)文件安全很重要。您可以在其中存儲(chǔ)機(jī)密文件，實(shí)現(xiàn)透明加密操作。 “y”參數(shù)的作用要求輸入兩次密碼，防止因?yàn)槭д`導(dǎo)致忘記密碼的情況。您可以在其中存儲(chǔ)機(jī)密文件，實(shí)現(xiàn)透明加密操作。也可以在物理存儲(chǔ)設(shè)備（例如“dev/hda1”等）上建立邏輯卷，實(shí)現(xiàn)與塊設(shè)備的綁定。

執(zhí)行“cryptsetup -y create kp_vrd /dev/hda1”命令，同樣可以用于加密文件的邏輯卷。執(zhí)行“dmsetup ls”命令，列出所有的邏輯卷信息。因?yàn)镈evice-Mapper機(jī)制會(huì)將虛擬設(shè)備裝載到“dev/mapper”位置，所以上述虛擬塊設(shè)備實(shí)際的位置應(yīng)為“dev/mapper/kp_vrd”。具體使用時(shí)，必須創(chuàng)建文件系 統(tǒng)，執(zhí)行“mkfs.Ext3 /dev/mapper/kp_vrd”命令即可。執(zhí)行“mkdir /mnt/kp_vrd /”命令，創(chuàng)建用于裝載的路徑，執(zhí)行“mount /dev/mapper/kp_vrd /mnt/ kp_vrd”命令，將虛擬設(shè)備加載到指定的裝載點(diǎn)中。

完成以上操作后，加密存儲(chǔ)設(shè)備就創(chuàng)建完成了。您可以像使用普通磁盤一樣，向“/mnt/kp_vrd”目 錄 存儲(chǔ)機(jī)密文件。在文件寫入該目錄之前，都經(jīng)過了透明的加密處理，之后才將其存放到該目錄中。如果直接讀取其中的文件，顯示的是加密過的內(nèi)容，無法查看其真實(shí)內(nèi)容。使用完畢后，執(zhí)行“cryptsetup remove kp_vrd”命令徹底卸載。

用OpenSSL實(shí)現(xiàn)非對(duì)稱加密

非對(duì)稱加密方式是使用私鑰對(duì)數(shù)據(jù)進(jìn)行簽名，使用公鑰對(duì)其進(jìn)行校驗(yàn)。對(duì)于非對(duì)稱加密，最常用的是RSA和EIGamal加密算法。RSA算法的特點(diǎn)是可以將公鑰嵌入到私鑰中，來形成鑰匙對(duì)。缺點(diǎn)是只能對(duì)小于100個(gè)字節(jié)的文本進(jìn)行加密，進(jìn)行大量數(shù)據(jù)加密時(shí)效率較低。使用RSA的方法是在公私鑰架構(gòu)的基礎(chǔ)上，來傳輸秘密的鑰匙（Session Key），當(dāng)傳輸完畢后再切換為更加高效的對(duì)稱加密方式。使用gpg，openssl rsautl等工具，實(shí)現(xiàn)非對(duì)稱加密。

例 如，用 戶User1使用“openssl genrsa 1024>secret.key”命令，生成長(zhǎng)度為1024的RSA私鑰，保存在“secret.key”文件中。因?yàn)楣€嵌入在私鑰中，所以執(zhí)行“openssl rsa -pubout-in scret.Key > public.key”命令，將公鑰提取到“public.key”文件中。對(duì)于用戶User2，也需要執(zhí)行同樣的操作，得到RSA公鑰和私鑰，例 如“secret2.key”和“public2.key”。當(dāng)需要對(duì)名為“jimi.txt”的文件進(jìn)行加密時(shí)，執(zhí)行“openssl rsautil-encrpyt -pubin -inkey public2.key -in jimi.txt-out jimi.enc”命令，使用User2的公鑰對(duì)該文件進(jìn)行加密，生成加密后的文件“jimi.enc”。用戶User1將該加密文件發(fā)送給用戶User2，用戶User2執(zhí)行“openssl rsautil-decrpyt -pubin -inkey secret1.key -in jimi.enc-out jimi.txt”命令，使用私鑰文件“secret1.key”對(duì)加密的文件進(jìn)行解密，得到所需的原文件。對(duì)應(yīng)的，當(dāng)User2對(duì)文件加密時(shí)，需要使用User1的公鑰，當(dāng)User1接收到加密文件后，使用自身的私鑰對(duì)其解密。

使用GPG實(shí)現(xiàn)非對(duì)稱加密

使用GPG也可以實(shí)現(xiàn)非對(duì)稱加密，例如User1用戶執(zhí)行“gpg --gen-key”命令，根據(jù)提示選擇加密類型，例如輸入“1”，表示使用“DSA and Elgamal”方式，即可以實(shí)現(xiàn)加密也可以實(shí)現(xiàn)簽名。輸入長(zhǎng)度（例如2048），設(shè)置密鑰長(zhǎng)度。根據(jù)提示輸入“0”，表示密鑰永不失效。在“Real name”欄中輸入使用者的名字，長(zhǎng)度不小于5個(gè)字符，這樣做的好處在于根據(jù)不同的名稱ID，來生成不同的私鑰，可以適用于不同的加密場(chǎng)合。之后輸入私鑰的密碼，這樣可以保護(hù)私鑰安全。當(dāng)確認(rèn)以上操作后，才可以生成公鑰（pubring.gpg）和私鑰（secring.gpg）。打開當(dāng)前賬戶目錄下“.gnupg”的隱藏目錄，可以看到這些公私鑰文件。

執(zhí)行“gpg --expert -a>user1.gpgpub”命令，將公鑰信息以ASCII格式導(dǎo)出為“user1.gpgpub”公鑰文件。對(duì)應(yīng)的，用戶User2也執(zhí)行同樣的操作，生成自己的鑰匙對(duì)，并將公鑰導(dǎo)出為“user2.gpgpub”文件。User2執(zhí)行“gpg--import user1.pgppub”命令，將User1的公鑰導(dǎo)入進(jìn)來。執(zhí)行“gpg --list-key”命令，可以看到User2擁有的密鑰列表。當(dāng)User2想傳輸一個(gè)機(jī)密文件給User1，為了防止中途被黑客攔截，需要對(duì)其進(jìn)行加密。執(zhí)行“gpg-r user1 -e jimi.txt”命令，使用User1的公鑰對(duì)文件進(jìn)行加密，“-r”參數(shù)指明使用誰的公鑰。將得到的加密文件“jimi.txt.gpg”發(fā)送給User1，User1執(zhí)行“gpg -d jimi.txt.gpg > jimi.txt”命令，使用自己的私鑰對(duì)該加密文件進(jìn)行解密。

使用數(shù)字簽名保證數(shù)據(jù)合法性

在非對(duì)稱加密架構(gòu)中，可以使用私鑰進(jìn)行數(shù)字簽名，防止信息被模仿。例如，當(dāng)用戶User1使用私鑰對(duì)發(fā)送的信息加密簽名，將其發(fā)送給User2。User2使用User1的公鑰將其打開后，那么User1將不可對(duì)其進(jìn)行否認(rèn)，這保證了數(shù)據(jù)的完整性和合法性。常用的簽名算法包括 RSAE、EIGamal、DSA等。例如，User1可以執(zhí)行“gpg -s kehao.txt” 命令，使用自己的GPG私鑰對(duì)文件“kehao.txt”進(jìn)行簽名，會(huì)在同一路徑下生成同名的后綴為“.gpg”的文件，在該文件包含了原文件和簽名信息。這里的命令格式適用于存在單個(gè)密鑰對(duì)的情況，如果存在多個(gè)密鑰對(duì)，需要使用“-r keyID”參數(shù)指明具體的私鑰。執(zhí)行“gpg --list-key”命令，可以查看當(dāng)前的密鑰信息。執(zhí)行“gpg --expert -a>user1.gpgpub”命令，將公鑰信息以ASCII格式導(dǎo)出為“user1.gpgpub”公鑰文件。

將簽名文件和公鑰文件發(fā)送給用戶User2，用戶User2執(zhí)行“gpg --import user1.pgppub” 命令， 將User1的公鑰導(dǎo)入進(jìn)來。當(dāng)User2收到“kehao.txt.gpg”文件后，執(zhí)行“gpg -o kahao.txt -d kehao.txt.gpgpub”命令，可以使用User1的公鑰對(duì)“kekao.txt”進(jìn)行校驗(yàn)，在校驗(yàn)信息中會(huì)顯示“Good signature from " User1"”內(nèi)容，說明該文件的確是User1發(fā)送來的。因?yàn)楹灻畔⑶度氲搅嗽募校灾罂梢詧?zhí)行“cat kehao.txt”，來查看原文件內(nèi)容。為了便于使用，可以將簽名信息單獨(dú)保存為文件，例如User1可以執(zhí)行“gpg -b-s kehao.txt”命令，得到單獨(dú)的簽名文件“kehao.txt.sig”。 將“kehao.txt” 和“kehao.txt.sig”文件發(fā)送給User2，User2除了可以直接查看原文件外，還可以執(zhí)行“gpg --verity kehao.txt.gpg kehao.txt”命令，同樣可以執(zhí)行簽名校驗(yàn)操作。