GPG使用詳解

1.GPG簡介

　　1991年，程式設計師Phil Zimmermann為了避開政府的監視，開發了加密軟體PGP。因為這個軟體非常好用，迅速流傳開來成為許多程式設計師的必備工具。但是，它是商業軟不能自由使用。所以，自由軟體基金會決定，開發一個PGP的替代品取名為GnuPG，因此GPG就誕生了。GPG是GNU Privacy Guard的縮寫，是自由軟體基金會的GNU計劃的一部分。它是一種基於金鑰的加密方式，使用了一對金鑰對訊息進行加密和解密，來保證訊息的安全傳輸。一開始，使用者通過數位憑證認證軟體生成一對公鑰和私鑰。任何其他想給該使用者傳送加密訊息的使用者，需要先從證書機構的公共目錄獲取接收者的公鑰，然後用公鑰加密資訊，再傳送給接收者。當接收者收到加密訊息後，他可以用自己的私鑰來解密，而私鑰是不應該被其他人拿到的。

2.安裝GPG

Linux作業系統：

   如今大多數的linux發行版都預設包含了gpg，可用如下命令進行檢查：

# gpg --version

 

 

　　若看到如圖所示的版本資訊，就可直接使用了。否則，你需要從你的發行版軟體倉庫裡安裝GPG。

（1）Mac作業系統：

安裝brew命令 $ ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 安裝gnupg $ brew install gnupg

 

 

 

 

 

 

（2）Windows作業系統：

　　Windows下可以借助gpg4win軟體來實現金鑰的生成，具體過程自己摸索，下載地址：https://www.gpg4win.org/

3.生成金鑰

# gpg --gen-key

 

 

　　生成金鑰時會出現一大段文字：先是關於軟體的介紹和一些版權資訊，然後詢問你選擇哪種加密演算法，我選擇預設的RSA and RSA，因為目前來說，RSA演算法是安全性最強的，它可以用來加密和解密，其他的只能給資訊簽名。

　　這一步會詢問金鑰長度，預設是2048，直接回車就ok，也可以自己選擇長度。如下所示：

　　接下來詢問你金鑰的有效期，預設值0代表永不過期，我選擇預設值。然後會讓你確認是否正確。選擇正確則輸入y，下一步要求你輸入個人資訊，軟體通過真實姓名、Email地址和注釋來構造使用者ID，其中註釋可以為空。

　　此時使用者ID就生成了，系統會向你確認資訊是否需要修改：輸入N修改姓名，C修改註釋，E修改Email，O表示確認，Q退出。我輸入字母o確認。

　　接下來系統會要求你輸入一個口令用裡保護你的私鑰，強烈建議新增口令！

　　然後系統會提示“需要生成大量隨機位元組”，你可以隨意進行一些操作，看看網頁啊，打打字什麼的，“這會得到足夠的熵”(熵在物理學中是微觀狀態混亂度的度量)。

　　如下所示：此時你的公、私鑰已經生成並簽名！

　　其中B9F82B1D是使用者ID的hash，可以代替使用者ID。最後，建議再生成一個復原證書，以便以後金鑰作廢時，請求公鑰伺服器復原你的公鑰：

# gpg --ken-revoke [使用者ID]

 

 

4.金鑰管理

（1）列出金鑰

# gpg --list-keys

 

 

（2）上傳公鑰至金鑰伺服器

　　金鑰伺服器是用來發布你的公鑰，並將其分發到其他人的伺服器，這樣其他使用者可以輕鬆的根據你資料庫中的名字（或者e-mail地址）來獲取你的公鑰，並給你傳送加密資訊。避免了把公鑰直接拷貝給其他人的過程。

1.上傳你的公鑰到秘鑰伺服器： # gpg --send-keys  [your pubID]  --keyserver [keyservers.address.com] （需要把keyservers.address.com替換成你選擇的伺服器（或者用mit.edu，它會跟其他伺服器做同步）） 2.加密檔案 法一： # gpg -o encrypted_file.gpg --encrypt -r key-id original.file 命令解釋： （1）-o encrypted_file.gpg = 指定輸出檔案 （2）--encrypt = 做加密 （3）-r = 接收者的KEY-ID，比如這裡就填你朋友的KEY-ID。 （4）original.file = 指定要加密的檔案 法二： # gpg --recipient [your pubID]--output out.file  --encrypt original.file

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

（3）上傳公鑰

# gpg  --send-keys [使用者ID]  --keyserver hkp://subkeys.pgp.net

 

 

（4）在另一台伺服器上搜尋剛才上傳的公鑰

# gpg --search-keys [使用者ID]

 

 

5.加密檔案

　　加密之前首先得知道對方的公鑰，用公鑰來加密檔案，對方用自己的私鑰來解密。可用對方的郵箱搜尋他的公鑰

# gpg --list-key wangd8836@gmail.com

 

 

加密法一：

# gpg --recipient 49FD19FB --output haha.txt --encrypt haha

 

 

加密法二：

# gpg -o encrypted_520.haha --encrypt -r 49FD19FB  haha

 

 

將加密後的檔案傳至另一台伺服器

6.解密檔案

# gpg --decrypt filename.gpg

 

 

7.刪除金鑰

（1）檢視金鑰

# gpg --list-keys

 

 

（2）刪除公鑰：

# gpg --delete-secret-keys 71FBED38

 

 

（3）檢視一次金鑰：

# gpg --list-keys

 

 

（4）發現要刪除的金鑰還在，因為你僅僅刪除了私鑰而已。此時再刪除公鑰：

# gpg --delete-key 71FBED38

 

 

（5）再次檢視金鑰：

# gpg --list-keys

 

 

 

8.簽名

# gpg --clearsign haha.txt

 

 

　　以上操作會在當前目錄下生成一個名為vps.asc的檔案，--clearsign參數列示生成ASCII形式的簽名檔案，而使用--sign引數生成的檔名為vps.gpg，以二進位制形式儲存。

　　通過--verify引數使用對方的公鑰進行簽名驗證：

# gpg --sign haha.txt

 

 

9.驗證檔案完整性

# gpg --verify haha.txt.asc

 

 

若出現上圖所示內容，則說明檔案傳輸過程中沒有被修改過

本文永久更新連結地址：http://www.linuxidc.com/Linux/2018-01/150215.htm