數(shù)據(jù)防護(hù)技術(shù)分析

在企業(yè)數(shù)據(jù)防護(hù)技術(shù)中，從本質(zhì)上來說包括2大類，一類是數(shù)據(jù)加密；另一類則是數(shù)據(jù)防泄露。前者是為了解決數(shù)據(jù)的機(jī)密性和一致性問題，通俗來說就是防止不該看的人看到數(shù)據(jù)和篡改數(shù)據(jù)；而后者主要是為了解決數(shù)據(jù)的機(jī)密性問題，是為了定向地發(fā)布數(shù)據(jù)，控制數(shù)據(jù)的流通渠道，從本質(zhì)上來說也是為了防止數(shù)據(jù)為非法或者不期望的用戶所獲得。

在今年引發(fā)的很多用戶帳號(hào)泄露、機(jī)密數(shù)據(jù)泄密等安全事件中，很多事件就是因?yàn)槿缦聨讉€(gè)原因造成的：

數(shù)據(jù)未加密：導(dǎo)致數(shù)據(jù)在傳輸通道（如有線網(wǎng)絡(luò)、wifi等）中或者物理服務(wù)器中被有意竊取和捕獲，如CSDN的用戶帳號(hào)泄露事件等。如果數(shù)據(jù)加密了，黑客和不法用戶即算捕獲和竊取了加密的數(shù)據(jù)，要解開他們還是有相當(dāng)?shù)碾y度的；

未做好數(shù)據(jù)防泄露工作：導(dǎo)致數(shù)據(jù)通過USB、郵箱、即時(shí)消息等媒體和途徑進(jìn)行傳播后，無法確保其僅能被有權(quán)限的人訪問，從而導(dǎo)致間接泄密。

本文將針對上述第一個(gè)問題，詳細(xì)介紹企業(yè)如何使用開源工具來進(jìn)行數(shù)據(jù)加密工作。

使用GnuPG進(jìn)行應(yīng)用數(shù)據(jù)加密

隨著網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的發(fā)展，數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)交換的安全性已經(jīng)變得越來越重要，加密技術(shù)已經(jīng)很早就用于數(shù)據(jù)存和數(shù)據(jù)交換。GnuPG（GNU Privacy Guard）就是用來加密數(shù)據(jù)與制作證書的一套工具，其作用與PGP類似。但是PGP使用了許多專利算法，屬于"臭名昭著"的美國加密出口限制之列。GnuPG是GPL軟件，并且沒有使用任何專利加密算法，所以使用起來有著更多的自由。

具體地說，GnuPG是實(shí)現(xiàn)安全通訊和數(shù)據(jù)存儲(chǔ)的一系列工具集，可以做加密數(shù)據(jù)和做數(shù)字簽名之用。在功能上，它和PGP是一樣的。由于PGP使用了IDEA專利算法，所以使用PGP會(huì)有許可證的麻煩。但是GnuPG并沒有使用這個(gè)算法，所以對用戶來說使用GnuPG沒有任何限制。GnuPG使用非對稱加密算法，安全程度比較高。所謂非對稱加密算法，就是每一個(gè)用戶都擁有一對密鑰：公鑰和私鑰。其中，密鑰由用戶保存，公鑰則由用戶盡可能地散發(fā)給其他人，以便用戶之間的通訊。該軟件可以從網(wǎng)站http://www.gnupg.org/上進(jìn)行下載安裝。

1、安裝GnuPG

很多開源系統(tǒng)已經(jīng)自帶了GnuPG的軟件安裝包，用戶可以在系統(tǒng)安裝時(shí)選擇安裝，也可以以后安裝。一般，在系統(tǒng)中會(huì)有兩個(gè)已經(jīng)安裝的GnuPG軟件包，一個(gè)是GnuPG 1.x，一個(gè)是GnuPG 2.x。后者是GnuPG的最新穩(wěn)定版本，它兼容OpenPGP和S/MIME，并且不會(huì)和已經(jīng)安裝的1.x系列有任何的沖突。相比1.x系列來說，由于有些新的功能（支持S/MIME）加入，所以其在運(yùn)行時(shí)間和軟件包大小上都比1.x系列要大。但是從功能實(shí)現(xiàn)上來說，與1.x相差無幾。為了解釋和討論的有效性和一致性，本系列將采用GnuPG 1.x系列進(jìn)行講解說明。

#p#副標(biāo)題#e#

2、GnuPG的基本命令

GnuPG支持的算法有如下：

公鑰：RSA， RSA-E， RSA-S， ELG-E， DSA

對稱加密：3DES， CAST5， BLOWFISH， AES， AES192， AES256， TWOFISH

散列：MD5， SHA1， RIPEMD160， SHA256， SHA384， SHA512

壓縮：不壓縮， ZIP， ZLIB， BZIP2

其使用的基本語法為：gpg [選項(xiàng)] [文件名]。其實(shí)現(xiàn)的功能包括簽名、檢查、加密或解密，默認(rèn)的操作依輸入數(shù)據(jù)而定。

3、詳細(xì)使用方法

（1）生成密鑰對

使用GnuPG之前必須生成密鑰對（公鑰和私鑰），參數(shù)選項(xiàng)"--gen-key"可以生成密鑰對。可按如下步驟操作，首先需要注意有如下幾個(gè)關(guān)鍵的步驟：

1）GnuPG要求輸入要生成的密鑰的算法：GnuPG可以生成多種密鑰對，這里有三種選擇。DSA密鑰是生成證書的最基本的密鑰格式。ElGamal密鑰對可以用來加密。第二種選擇與第一種相似，但是僅僅生成DSA密鑰對，第三種選擇可以生成供簽證和加密使用的ElGamal密鑰對。對大多數(shù)用戶來說，使用缺省的選擇是非常方便的。

2）選擇密鑰的長度，DSA密鑰的長度在512位～1024位之間，Elmagal密鑰的長度則沒有限制。生成一個(gè)很長的密鑰既有優(yōu)點(diǎn)也有缺點(diǎn)，長的密鑰無疑安全性非常高，但是會(huì)導(dǎo)致加密的過程變得緩慢，另外，密鑰過長，也會(huì)使證書的長度變大。缺省的密鑰長度1024位已經(jīng)夠用了，確定了密鑰的長度之后，就不能再改變它。

3）需要指定這個(gè)密鑰對的有效日期，如果選擇了生成ElGamal或者 DSA密鑰對，它們需要指定密鑰對的失效日期。對于大多數(shù)用戶來說，密鑰對沒有失效期限是可以的。雖然在密鑰對產(chǎn)生以后，可以改變它的有效日期，但是仍要謹(jǐn)慎選擇這個(gè)參數(shù)。因?yàn)楣€發(fā)送出去以后，很難再改變其他用戶擁有的您的公鑰。

完成上述步驟后，用戶還需要注意后續(xù)幾個(gè)關(guān)鍵步驟：

4）用戶需要指定一個(gè)用戶ID來標(biāo)識(shí)選擇的密鑰，GnuPG可以根據(jù)用戶的真實(shí)姓名、注釋和E-mail地址產(chǎn)生一個(gè)用戶ID。我們使用姓名（liyang），電子郵件地址（liyang@tsinghua.com）和注釋（liyang@tsinghua），并設(shè)定了密鑰的密碼，來完成了該步驟。這個(gè)口令的目的是用來加密用戶的私鑰，這樣，即使有人偷走了用戶的私鑰，沒有這個(gè)口令，也無法使用，這個(gè)口令的長度沒有限制，但是，正如我們所知道的，一個(gè)短的口令是很容易被破解的。同樣，如果用戶的口令是一個(gè)單詞，也很容易被破解。

5）在產(chǎn)生密鑰的過程中，GnuPG需要得到一些隨機(jī)的數(shù)字。這些隨機(jī)的數(shù)字可以從用戶的系統(tǒng)當(dāng)前狀態(tài)中得到，所以這時(shí)候，用戶可以隨機(jī)敲一下鍵盤或者移動(dòng)鼠標(biāo)，來產(chǎn)生高質(zhì)量的隨機(jī)數(shù)。

完成了上述5個(gè)關(guān)鍵步驟后，如果系統(tǒng)顯示成功界面，則生成密鑰成功，否則用戶需要再重復(fù)如上5個(gè)步驟。

#p#副標(biāo)題#e#

（2）為密鑰建立吊銷證書

當(dāng)用戶的密鑰對生成之后，用戶應(yīng)該立即做一個(gè)公鑰回收證書，如果忘記了私鑰的口令或者私鑰丟失或者被盜竊，用戶可以發(fā)布這個(gè)證書來聲明以前的公鑰不再有效。生成回收證書的選項(xiàng)是"--gen-revoke"。具體使用的命令是：

# gpg --output revoke.asc --gen-revoke mykey

其中mykey 參數(shù)是可以表示的密鑰標(biāo)識(shí)，產(chǎn)生的回收證書放在revoke.asc文件里，一旦回收證書被發(fā)放，以前的證書就不能再被其他用戶訪問，因此以前的公鑰也就失效了。在該過程中我們?yōu)橛脩鬺iyang的密鑰建立了一份吊銷證書，在建立過程中需要依次輸入吊銷理由和為密鑰設(shè)定的密碼才能成功建立：

（3）顯示密鑰列表

完成上述操作后可以使用 --list-keys 選項(xiàng)列出我們生成的密鑰，如下命令所示：

#gpg –list –keys

（4）輸出公鑰

用戶可以輸出您的公鑰供您的主頁使用，也可以把它放在密鑰服務(wù)器上，當(dāng)然，還可以使用于其他的途徑。在使用此公鑰之前用戶首先要導(dǎo)出它。選項(xiàng)--export可以實(shí)現(xiàn)這個(gè)功能，在使用這個(gè)選項(xiàng)時(shí)，還必須使用附加的選項(xiàng)指明用戶要輸出的公鑰。

下面的命令表示以二進(jìn)制格式輸出公鑰：

# gpg --output pubring.gpg --export samsunglinux@minigui.org

如下命令表示以ASCII字符格式輸出：

#gpg --output pubring.gpg --export--armor> liyang_public-key.asc

（5）導(dǎo)入公鑰

用戶可以把從第三方的公鑰數(shù)據(jù)庫中得到的公鑰導(dǎo)入自己的私有數(shù)據(jù)庫，在與他人進(jìn)行通訊時(shí)使用。命令如下：

#gpg --import < filename >

其中，參數(shù)filename為公鑰文件。

圖1給出了將用戶liyang的公鑰導(dǎo)入到用戶samsunglinux自己的私有數(shù)據(jù)庫的例子：

圖1  導(dǎo)入公鑰示例

（6）確認(rèn)密鑰

導(dǎo)入密鑰以后，使用數(shù)字簽名來驗(yàn)證此證書是否合法。查看數(shù)字簽名使用 --fingerprint 選項(xiàng)。其命令如下所示：

#gpg --fingerprint < UID >

其中，UID為用戶要驗(yàn)證的公鑰。

（7）密鑰簽名

導(dǎo)入密鑰之后，可以使用 --sign-key 選項(xiàng)進(jìn)行簽名，簽名的目的是證明用戶完全信任這個(gè)證書的合法性。其命令格式為：

# gpg --sign-key < UID >

其中，UID 是要簽名的公鑰。

（8）檢查簽名

用戶可以使用 --check-sigs選項(xiàng)來檢查在上面對密鑰所作的簽名。其命令格式為：

# gpg --check-sigs < UID >

這個(gè)選項(xiàng)可以列出此密鑰文件的所有的簽名。

（9）加密和解密

使用GnuPGP加密和解密一個(gè)文件非常容易，如果用戶要給對方用戶發(fā)送一個(gè)加密文件，可以使用對方用戶的公鑰加密這個(gè)文件，并且這個(gè)文件也只有對方用戶使用自己的密鑰才可以解密查看。

加密一個(gè)文件可以使用下面的指令

#gpg –r < UID > --encrypt < file >

其中，UID是對方的公鑰，file為要加密的文件。

對應(yīng)地，如果用戶要解開一個(gè)其他用戶發(fā)給您的文件可以使用下面的指令：

#gpg -d < file >

其中，file是要解密的文件。解密過程中，GnuPG會(huì)提示用戶輸入使用密鑰所需要的口令，也就是在產(chǎn)生私鑰時(shí)用戶所輸入的口令，否則，該文件將無法正常解密和為用戶進(jìn)行使用。圖2和圖3分別顯示了用戶samsung對文件gpg.conf進(jìn)行加密傳輸，用戶liyang對該加密文件gpg.conf.gpg進(jìn)行解密的過程。

圖2  用戶samsunglinux對文件gpg.conf進(jìn)行加密

圖3  用戶liyang對文件進(jìn)行解密并瀏覽（白色部分）