加密三剑客SSL、SET和PGP

　　SSL、SET和PGP是当前Internet (i)上比较常用的加密方法，它们在各自的应用范围内都拥有很大的用户群。本文将对这三种流行的加密方法做一较详细介绍。

　　■SSL（Secure Socket Layer）

　　SSL协议是由Netscape首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成，底层是建立在可靠的传输协议（例如：TCP）上的是SSL的记录层，用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前，能够通过特定的加密算法相互鉴别。SSL的先进之处在于它是一个独立的应用协议，其它更高层协议能够建立在SSL协议上。

　　目前大部分的Web Server及Browser大多支持SSL的资料加密传输协定。因此，可以利用这个功能，将部分具有机密性质的网页设定在加密的传输模式，如此即可避免资料在网络上传送时被其他人窃听。

　　SSL是利用公开密钥的加密技术（RSA）来作为用户端与主机端在传送机密资料时的加密通讯协定。目前，大部分的Web Server及Browser都广泛使用SSL 技术。

　　对消费者而言，SSL已经解决了大部分的问题。但是，对电子商务而言问题并没有完全解决，因为SSL只做能到资料保密，厂商无法确定是谁填下了这份资料，即使这一点做到了，还有和银行清算的问题。

　　■SET（Secure Electronic Transaction）

　　SET是IBM、信用卡国际组织（VISA/MasterCard）以及相关厂商针对网络电子交易共同制定的安全协议，它运用了RSA安全的公钥加密技术，具有资料保密性、资料完整性、资料来源可辨识性及不可否认性，是用来保护消费者在Internet持卡付款交易安全中的标准。SET 1.0版于1997年6月正式问世。现在，SET已成为国际上所公认的在Internet电子商业交易中的安全标准。

　　SET协议用在安全电子银行卡的支付系统中，使用客户端的浏览器，应用于从商业站点到商业银行中。网上银行使用已经存在的程序和设备通过确认信用卡，清算客户银行户头完成交易。SET协议则通过隐藏信用卡号来保证整个支付过程的安全。所以，SET必须保证信用卡持有者与银行在现存系统和网络上，能够保持持续的联系。SET协议为在不同的系统中使用信用卡创建了一套完整的解决办法。可靠的身份验证使SET成为一个非常好的在线支付系统。它使交易中每个合法参与者能够拥有一个合理的身份，而对持卡者的身份验证是由银行来进行的。当然这其中还包括其它服务，比如：身份认证、客户服务等。这是建立另外一个可靠的用户连接的方法。同时可以方便在发生纠纷时进行仲裁。

　　SET与SSL都是做消费者的认证工作的，也就是说不仅全球数据网购物站需要在认证单位进行认证，消费者也必须从认证机构获取认证。

　　SET是由Electronic Wallet（电子钱包）、Merchant Server（商店端服务机）、Payment Gateway（付款转接站）和Certification Authority（认证中心）组成的，它们构成了Internet 上符合SET标准的信用卡授权交易。

　　一般来说，在开放式网络上进行金融交易以SSL及SET交易协定为主，其中又以 SET被国际公认为最安全的。有鉴于此，VISA/MASTER在1997年6月提出了名为电子交易（SET：Secure Electronic Transaction）的网络交易安全规格，这个规格基本上也是利用与SSL同样的大数值编码技术，来保证资料保密与使用者认证的工作。

　　目前信用卡的安全交易标准SET仍在进行前期建设。在该系统尚未正式运作前，消费者在网络上利用信用卡进行购物时，仍须承担信用卡资料被盗用的风险。

　　敏感性资料在传递过程中被窃听，交易资料在传递过程中被篡改，交易的双方身份被假冒，完全相同的订单重复送出，这些问题即使对于目前SET安全交易标准来说仍旧有一定困难。利用WWW给用户提供机密性的资料时更多的会使用User Profile、SSL或CA，以避免资料在网络上传送时被其他人窃听。

　　■PGP（Pretty Good Privacy）

　　目前，还有一种非常好的连接网络与桌面的安全方法，PGP（Pretty Good Privacy）。

　　PGP是一个公钥加密程序，与以前的加密方法不同的是PGP公钥加密的信息只能用私钥解密。在传统的加密方法中，通常一个密钥既能加密也能解密。那么在开始传输数据前，如何通过一个不安全的信道传输密钥呢？使用PGP公钥加密法，你可以广泛传播公钥，同时安全地保存好私钥。由于只有你可拥有私钥，所以，任何人都可以用你的公钥加密写给你的信息，而不用担心信息被窃听。

　　使用PGP的另一个好处是可以在文档中使用数字签名。一个使用私钥加密的密钥只能用公钥解密。这样，如果人们阅读用你的公钥解密后的文件，他们就会确定只有你才能写出这个文件。

　　目前最新版本的PGP 2.6.3是美国和加拿大使用的版本，PGP 2.6.3i是一般Internet上使用的，它可以从www.pgpi.org下载。

　　PGP是一个软件加密程序，用户可以使用它在不安全的通信链路上创建安全的消息和通信。PGP协议已经成为公钥加密技术和全球范围消息安全性的事实标准。因为所有人都能看到它的源代码，从而查找出故障和安全性漏洞，所有的故障和漏洞都在发现后被改正了。