1.GPG簡介 1991年,程式員Phil Zimmermann為了避開政府的監視,開發了加密軟體PGP。因為這個軟體非常好用,迅速流傳開來成為許多程式員的必備工具。但是,它是商業軟不能自由使用。所以,自由軟體基金會決定,開發一個PGP的替代品取名為GnuPG,因此GPG就誕生了。GPG是GNU P ...
1.GPG簡介
1991年,程式員Phil Zimmermann為了避開政府的監視,開發了加密軟體PGP。因為這個軟體非常好用,迅速流傳開來成為許多程式員的必備工具。但是,它是商業軟不能自由使用。所以,自由軟體基金會決定,開發一個PGP的替代品取名為GnuPG,因此GPG就誕生了。GPG是GNU Privacy Guard的縮寫,是自由軟體基金會的GNU計劃的一部分。它是一種基於密鑰的加密方式,使用了一對密鑰對消息進行加密和解密,來保證消息的安全傳輸。一開始,用戶通過數字證書認證軟體生成一對公鑰和私鑰。任何其他想給該用戶發送加密消息的用戶,需要先從證書機構的公共目錄獲取接收者的公鑰,然後用公鑰加密信息,再發送給接收者。當接收者收到加密消息後,他可以用自己的私鑰來解密,而私鑰是不應該被其他人拿到的。
2.安裝GPG
Linux操作系統:
如今大多數的linux發行版都預設包含了gpg,可用如下命令進行檢查:
| # gpg --version |
若看到如圖所示的版本信息,就可直接使用了。否則,你需要從你的發行版軟體倉庫里安裝GPG。
(1)Mac操作系統:
|
安裝brew命令 $ ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 安裝gnupg $ brew install gnupg |
(2)Windows操作系統:
Windows下可以藉助gpg4win軟體來實現密鑰的生成,具體過程自己摸索,下載地址:https://www.gpg4win.org/
3.生成密鑰
|
# gpg --gen-key |
生成密鑰時會出現一大段文字:先是關於軟體的介紹和一些版權信息,然後詢問你選擇哪種加密演算法,我選擇預設的RSA and RSA,因為目前來說,RSA演算法是安全性最強的,它可以用來加密和解密,其他的只能給信息簽名。
這一步會詢問密鑰長度,預設是2048,直接回車就ok,也可以自己選擇長度。如下所示:
接下來詢問你密鑰的有效期,預設值0代表永不過期,我選擇預設值。然後會讓你確認是否正確。選擇正確則輸入y,下一步要求你輸入個人信息,軟體通過真實姓名、Email地址和註釋來構造用戶ID,其中註釋可以為空。
此時用戶ID就生成了,系統會向你確認信息是否需要修改:輸入N修改姓名,C修改註釋,E修改Email,O表示確認,Q退出。我輸入字母o確認。
接下來系統會要求你輸入一個口令用里保護你的私鑰,強烈建議添加口令!
然後系統會提示“需要生成大量隨機位元組”,你可以隨意進行一些操作,看看網頁啊,打打字什麼的,“這會得到足夠的熵”(熵在物理學中是微觀狀態混亂度的度量)。
如下所示:此時你的公、私鑰已經生成並簽名!
其中B9F82B1D是用戶ID的hash,可以代替用戶ID。最後,建議再生成一個撤銷證書,以便以後密鑰作廢時,請求公鑰伺服器撤銷你的公鑰:
|
# gpg --ken-revoke [用戶ID] |
4.密鑰管理
(1)列出密鑰
|
# gpg --list-keys |
(2)上傳公鑰至密鑰伺服器
密鑰伺服器是用來發佈你的公鑰,並將其分發到其他人的伺服器,這樣其他用戶可以輕鬆的根據你資料庫中的名字(或者e-mail地址)來獲取你的公鑰,並給你發送加密信息。避免了把公鑰直接拷貝給其他人的過程。
|
1.上傳你的公鑰到秘鑰伺服器: # gpg --send-keys [your pubID] --keyserver [keyservers.address.com] (需要把keyservers.address.com替換成你選擇的伺服器(或者用mit.edu,它會跟其他伺服器做同步)) 2.加密文件 法一: # gpg -o encrypted_file.gpg --encrypt -r key-id original.file 命令解釋: (1)-o encrypted_file.gpg = 指定輸出文件 (2)--encrypt = 做加密 (3)-r = 接收者的KEY-ID,比如這裡就填你朋友的KEY-ID。 (4)original.file = 指定要加密的文件 法二: # gpg --recipient [your pubID]--output out.file --encrypt original.file |
(3)上傳公鑰
|
# gpg --send-keys [用戶ID] --keyserver hkp://subkeys.pgp.net |
(4)在另一臺伺服器上搜索剛纔上傳的公鑰
|
# gpg --search-keys [用戶ID] |
5.加密文件
加密之前首先得知道對方的公鑰,用公鑰來加密文件,對方用自己的私鑰來解密。可用對方的郵箱搜索他的公鑰
| # gpg --list-key [email protected] |
加密法一:
|
# gpg --recipient 49FD19FB --output haha.txt --encrypt haha |
加密法二:
|
# gpg -o encrypted_520.haha --encrypt -r 49FD19FB haha |
將加密後的文件傳至另一臺伺服器
6.解密文件
|
# gpg --decrypt filename.gpg |
7.刪除密鑰
(1)查看密鑰
|
# gpg --list-keys |
(2)刪除公鑰:
|
# gpg --delete-secret-keys 71FBED38 |
(3)查看一次密鑰:
|
# gpg --list-keys |
(4)發現要刪除的密鑰還在,因為你僅僅刪除了私鑰而已。此時再刪除公鑰:
|
# gpg --delete-key 71FBED38 |
(5)再次查看密鑰:
|
# gpg --list-keys |
8.簽名
|
# gpg --clearsign haha.txt |
以上操作會在當前目錄下生成一個名為vps.asc的文件,--clearsign參數表示生成ASCII形式的簽名文件,而使用--sign參數生成的文件名為vps.gpg,以二進位形式存儲。
通過--verify參數使用對方的公鑰進行簽名驗證:
|
# gpg --sign haha.txt |
9.驗證文件完整性
|
# gpg --verify haha.txt.asc |
若出現上圖所示內容,則說明文件傳輸過程中沒有被修改過
