gpg使用說明

1.GPG簡介

　　1991年，程序員Phil Zimmermann爲了避開政府的監視，開發了加密軟件PGP。因爲這個軟件非常好用，迅速流傳開來成爲許多程序員的必備工具。但是，它是商業軟不能自由使用。所以，自由軟件基金會決定，開發一個PGP的替代品取名爲GnuPG，因此GPG就誕生了。GPG是GNU Privacy Guard的縮寫，是自由軟件基金會的GNU計劃的一部分。它是一種基於密鑰的加密方式，使用了一對密鑰對消息進行加密和解密，來保證消息的安全傳輸。一開始，用戶通過數字證書認證軟件生成一對公鑰和私鑰。任何其他想給該用戶發送加密消息的用戶，需要先從證書機構的公共目錄獲取接收者的公鑰，然後用公鑰加密信息，再發送給接收者。當接收者收到加密消息後，他可以用自己的私鑰來解密，而私鑰是不應該被其他人拿到的。

2.安裝GPG

Linux操作系統：

   如今大多數的linux發行版都默認包含了gpg，可用如下命令進行檢查：

# gpg --version

 

 

　　若看到如圖所示的版本信息，就可直接使用了。否則，你需要從你的發行版軟件倉庫裏安裝GPG。

（1）Mac操作系統：

安裝brew命令

$ ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

安裝gnupg

$ brew install gnupg

 

 

 

 

 

 

（2）Windows操作系統：

　　Windows下可以藉助gpg4win軟件來實現密鑰的生成，具體過程自己摸索，下載地址：https://www.gpg4win.org/

3.生成密鑰

# gpg --gen-key

 

 

　　生成密鑰時會出現一大段文字：先是關於軟件的介紹和一些版權信息，然後詢問你選擇哪種加密算法，我選擇默認的RSA and RSA，因爲目前來說，RSA算法是安全性最強的，它可以用來加密和解密，其他的只能給信息簽名。

　　這一步會詢問密鑰長度，默認是2048，直接回車就ok，也可以自己選擇長度。如下所示：

　　接下來詢問你密鑰的有效期，默認值0代表永不過期，我選擇默認值。然後會讓你確認是否正確。選擇正確則輸入y，下一步要求你輸入個人信息，軟件通過真實姓名、Email地址和註釋來構造用戶ID，其中註釋可以爲空。

　　此時用戶ID就生成了，系統會向你確認信息是否需要修改：輸入N修改姓名，C修改註釋，E修改Email，O表示確認，Q退出。我輸入字母o確認。

　　接下來系統會要求你輸入一個口令用裏保護你的私鑰，強烈建議添加口令！

　　然後系統會提示“需要生成大量隨機字節”，你可以隨意進行一些操作，看看網頁啊，打打字什麼的，“這會得到足夠的熵”(熵在物理學中是微觀狀態混亂度的度量)。

　　如下所示：此時你的公、私鑰已經生成並簽名！

　　其中B9F82B1D是用戶ID的hash，可以代替用戶ID。最後，建議再生成一個撤銷證書，以便以後密鑰作廢時，請求公鑰服務器撤銷你的公鑰：

# gpg --ken-revoke [用戶ID]

 

 

4.密鑰管理

（1）列出密鑰

# gpg --list-keys

 

 

（2）上傳公鑰至密鑰服務器

　　密鑰服務器是用來發布你的公鑰，並將其分發到其他人的服務器，這樣其他用戶可以輕鬆的根據你數據庫中的名字（或者e-mail地址）來獲取你的公鑰，並給你發送加密信息。避免了把公鑰直接拷貝給其他人的過程。

1.上傳你的公鑰到祕鑰服務器：

# gpg --send-keys  [your pubID]  --keyserver [keyservers.address.com]

（需要把keyservers.address.com替換成你選擇的服務器（或者用mit.edu，它會跟其他服務器做同步））

2.加密文件

法一：

# gpg -o encrypted_file.gpg --encrypt -r key-id original.file

命令解釋：

（1）-o encrypted_file.gpg = 指定輸出文件

（2）--encrypt = 做加密

（3）-r = 接收者的KEY-ID，比如這裏就填你朋友的KEY-ID。

（4）original.file = 指定要加密的文件

法二：

# gpg --recipient [your pubID]--output out.file  --encrypt original.file

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

（3）上傳公鑰

# gpg  --send-keys [用戶ID]  --keyserver hkp://subkeys.pgp.net 

 

 

（4）在另一臺服務器上搜索剛纔上傳的公鑰

# gpg --search-keys [用戶ID]

 

 

5.加密文件

　　加密之前首先得知道對方的公鑰，用公鑰來加密文件，對方用自己的私鑰來解密。可用對方的郵箱搜索他的公鑰

# gpg --list-key [email protected]

 

 

加密法一：

# gpg --recipient 49FD19FB --output haha.txt --encrypt haha

 

 

加密法二：

# gpg -o encrypted_520.haha --encrypt -r 49FD19FB  haha 

 

 

將加密後的文件傳至另一臺服務器

6.解密文件

# gpg --decrypt filename.gpg

 

 

7.刪除密鑰

（1）查看密鑰

# gpg --list-keys

 

 

（2）刪除公鑰：

# gpg --delete-secret-keys 71FBED38

 

 

（3）查看一次密鑰：

# gpg --list-keys

 

 

（4）發現要刪除的密鑰還在，因爲你僅僅刪除了私鑰而已。此時再刪除公鑰：

# gpg --delete-key 71FBED38

 

 

（5）再次查看密鑰：

# gpg --list-keys

 

 

 

8.簽名

# gpg --clearsign haha.txt

 

 

　　以上操作會在當前目錄下生成一個名爲vps.asc的文件，--clearsign參數表示生成ASCII形式的簽名文件，而使用--sign參數生成的文件名爲vps.gpg，以二進制形式存儲。

　　通過--verify參數使用對方的公鑰進行簽名驗證：

# gpg --sign haha.txt

 

 

9.驗證文件完整性

# gpg --verify haha.txt.asc

 

 

若出現上圖所示內容，則說明文件傳輸過程中沒有被修改過