1. 简介 1.1 用途 1.2 关键字: 1.3 相关软件 2. 安装配置 2.1 文件 2.2 命令与选项 3. 使用 3.1 生成密钥和吊销证书 3.1.1 创建密钥对 Create a key pair 3.1.2 生成密钥后,您应该做的第一件事就是创建吊销证书 3.1.3 查看密钥 3.2 导出导入公钥 3.2.1 导出您的公钥 3.2.2 导入公钥 Import a public key 3.3 使用keyserver密钥服务器 3.4 Web密钥目录 3.5 加密和解密 3.5.1 不对称 3.5.2. 对称 4 Key维护 4.1 备份私钥 Backup your private key 4.2 撤销你的密钥对 Revoke a key 4.3 编辑 key 4.4. 删除 key 5 签名 5.1 创建签名 5.2. 验证签名: 要验证签名,请使用--verify标志: 6 扩展阅读链接
1. 简介
https://gnupg.org/
GNU隐私卫士
GnuPG是RFC4880(也称为PGP)定义的OpenPGP标准的完整和免费实现。
GnuPG允许您对数据和通信进行加密和签名;它具有通用的密钥管理系统以及用于各种公钥目录的访问模块。GnuPG,也称为GPG,是一种命令行工具,具有易于与其他应用程序集成的功能。有大量的 前端应用程序和库。GnuPG还提供对S/MIME和Secure Shell(ssh)的支持。
1.1 用途
创作者使用: 制作签名sign
生成生成密钥(对)和吊销证书; 安全稳妥的保存私钥和吊销证书; 发布公钥(导出公钥文件public.key提供下载; 或者通过keyserver密钥服务器)
创建签名: 软件或文本配套的.sig签名文件提供下载, 使用户能够验证.
大部分普通用户: 验证verify
仅仅使用签名的验证部分, 比如下载某个软件, 用于确定是作者本人发布的.
获取公钥: 下载公钥文件public.key导入; 或者通过keyserver密钥服务器导入
获取签名文件: 下载软件配套的.sig签名文件; 使用命令验证.
敏感文件的加密和解密: encrypt or decrypt
1.2 关键字:
- 加密: encrypt
- 解密: decrypt
- 非对称: Asymmetric
- 对称: Symmetric
- 签名: signatures, [*.sig] 任何人都可以获取.
- 公钥: public key, [public.key], key-id, 密钥ID 任何人都可以获取.
- 私钥: secret-keys, [privkey.asc] 仅作者本人妥善保管.
- 吊销证书: revocation certificate [*.asc] 仅作者本人妥善保管.
- 指纹: fingerprint, 公钥指纹 (指纹是公钥的短形式)
1.3 相关软件
https://wiki.archlinux.org/index.php/List_of_applications/Security#Encryption,_signing,_steganography
https://wiki.archlinux.org/index.php/GnuPG
|| gnupg — The GNU project's complete and free implementation of the OpenPGP standard as defined by RFC4880. Free and Open Source replacement of PGP, mostly used for digital signing of packages.
https://gnupg.org/
|| gpg-crypter — Graphical front-end to GnuPG(GPG) using the GTK3 toolkit and GPGME library.
https://sourceforge.net/projects/gpg-crypter/
|| keybase — Key directory mapping social media identities, with cross platform encrypted chat, cloud storage, and git repositories.
https://keybase.io/
|| kgpg — Simple interface for GnuPG, for KDE.
https://www.kde.org/applications/utilities/kgpg/
|| kleopatra — Certificate Manager and Unified Crypto GUI for KDE. It supports managing X.509 and OpenPGP certificates in the GpgSM keybox and retrieving certificates from LDAP servers.
https://www.kde.org/applications/utilities/kleopatra/
|| minisign — Simple program that only inplements key signing
https://github.com/jedisct1/minisign
|| seahorse — GNOME application for managing encryption keys and passwords in the GNOME Keyring.
https://wiki.gnome.org/Apps/Seahorse
|| scrypt — Command-line encryption utility featuring the memory-hardened scrypt key derivation function.
https://www.tarsnap.com/scrypt.html
2. 安装配置
目录位置
$GNUPGHOME由GnuPG使用指向存储其配置文件的目录。默认情况下$GNUPGHOME未设置,$HOME而是使用your 。因此,您将~/.gnupg在安装后立即找到目录。
要更改默认位置,请以这种方式运行gpg 或设置环境变量。 $ gpg --homedir path/to/fileGNUPGHOME
配置文件
默认配置文件是~/.gnupg/gpg.conf和~/.gnupg/dirmngr.conf。
默认情况下,gnupg目录的权限设置为700,其中包含的文件的权限设置为600。只有目录的所有者才有权读取,写入和访问文件。这是出于安全目的,不应更改。如果此目录或其中的任何文件未遵循此安全措施,则将收到有关不安全文件和主目录权限的警告。
将任何所需的长选项附加到这些文件。不要写两个破折号,而只写选项名称和必需的参数。您将在中找到框架文件/usr/share/doc/gnupg/。如果这些文件在~/.gnupggpg中不存在,则将它们复制到首次运行。其他示例可在#See另请参见中。 https://wiki.archlinux.org/index.php/GnuPG#See_also
此外,pacman使用一组不同的配置文件来进行软件包签名验证。有关详细信息: https://wiki.archlinux.org/index.php/Pacman/Package_signing
2.1 文件
FILES | There are a few configuration files to control certain aspects of gpg's operation. Unless noted, they are expected in the current home directory (see: [option --homedir]). | 有一些配置文件可以控制gpg操作的某些方面. 除非另有说明, 否则它们应在当前主目录中(请参阅: [option --homedir]). |
gpg.conf | This is the standard configuration file read by gpg on startup. It may contain any valid long option; the leading two dashes may not be entered and the option may not be abbreviated. This default name may be changed on the command line (see: [gpg-option --options]). You should backup this file. | 这是gpg在启动时读取的标准配置文件. 它可以包含任何有效的长选项; 前两个破折号可能不会输入, 并且该选项可能不会缩写. 可以在命令行上更改此默认名称(请参阅: [gpg-option –options]). 您应该备份此文件. |
Note that on larger installations, it is useful to put predefined files into the directory ‘/etc/skel/.gnupg’ so that newly created users start up with a working configuration. For existing users a small helper script is provided to create these files (see: [addgnupghome]). | 请注意, 在较大的安装中, 将预定义的文件放入目录" /etc/skel/.gnupg”很有用, 以便新创建的用户以有效的配置启动. 对于现有用户, 提供了一个小的帮助程序脚本来创建这些文件(请参阅:[addgnupghome]). | |
For internal purposes gpg creates and maintains a few other files; They all live in the current home directory (see: [option --homedir]). Only the gpg program may modify these files. | 为了内部目的, gpg创建并维护了一些其他文件; 它们都位于当前主目录中(请参阅: [option --homedir]). 只有gpg程序可以修改这些文件. | |
~/.gnupg | This is the default home directory which is used if neither the environment variable GNUPGHOME nor the option --homedir is given. | 这是默认主目录, 如果既未提供环境变量GNUPGHOME也未提供选项--homedir, 则使用该默认主目录. |
~/.gnupg/pubring.gpg | The public keyring. You should backup this file. | 公共密钥环. 您应该备份此文件. |
~/.gnupg/pubring.gpg.lock | The lock file for the public keyring. | 公用密钥环的锁定文件. |
~/.gnupg/pubring.kbx | The public keyring using a different format. This file is shared with gpgsm. You should backup this file. | 公共密钥环使用其他格式. 该文件与gpgsm共享. 您应该备份此文件. |
~/.gnupg/pubring.kbx.lock | The lock file for ‘pubring.kbx’. | " pubring.kbx”的锁定文件. |
~/.gnupg/secring.gpg | A secret keyring as used by GnuPG versions before 2.1. It is not used by GnuPG 2.1 and later. | 2.1之前的GnuPG版本使用的秘密密钥环. GnuPG 2.1和更高版本不使用它. |
~/.gnupg/secring.gpg.lock | The lock file for the secret keyring. | 秘密密钥环的锁定文件. |
~/.gnupg/.gpg-v21-migrated | File indicating that a migration to GnuPG 2.1 has been done. | 表示已完成向GnuPG 2.1的迁移的文件. |
~/.gnupg/trustdb.gpg | The trust database. There is no need to backup this file; it is better to backup the ownertrust values (see: [option --export-ownertrust]). | 信任数据库. 无需备份此文件. 最好备份ownertrust值(请参阅: [option --export-ownertrust]). |
~/.gnupg/trustdb.gpg.lock | The lock file for the trust database. | 信任数据库的锁定文件. |
~/.gnupg/random_seed | A file used to preserve the state of the internal random pool. | 用于保留内部随机池状态的文件. |
~/.gnupg/openpgp-revocs.d/ | This is the directory where gpg stores pre-generated revocation certificates. The file name corresponds to the OpenPGP fingerprint of the respective key. It is suggested to backup those certificates and if the primary private key is not stored on the disk to move them to an external storage device. Anyone who can access theses files is able to revoke the corresponding key. You may want to print them out. You should backup all files in this directory and take care to keep this backup closed away. | 这是gpg存储预先生成的吊销证书的目录. 文件名对应于相应密钥的OpenPGP指纹. 建议备份这些证书, 如果主私钥未存储在磁盘上, 则将其移至外部存储设备. 任何可以访问这些文件的人都可以撤消相应的密钥. 您可能需要将它们打印出来. 您应该备份此目录中的所有文件, 并注意不要关闭此备份. |
Operation is further controlled by a few environment variables: | 操作由一些环境变量进一步控制: | |
HOME | Used to locate the default home directory. | 用于查找默认主目录. |
GNUPGHOME | If set directory used instead of "~/.gnupg". | 如果使用设置目录而不是"〜/.gnupg”. |
GPG_AGENT_INFO | This variable is obsolete; it was used by GnuPG versions before 2.1. | 该变量已过时; 2.1之前的GnuPG版本使用了它. |
PINENTRY_USER_DATA | This value is passed via gpg-agent to pinentry. It is useful to convey extra information to a custom pinentry. | 该值通过gpg-agent传递给pinentry. 将额外的信息传达给自定义的收藏夹很有用. |
COLUMNS | LINES Used to size some displays to the full size of the screen. | 线用于将某些显示器的尺寸调整为屏幕的整个尺寸. |
LANGUAGE | Apart from its use by GNU, it is used in the W32 version to override the language selection done through the Registry. If used and set to a valid and available language name (langid), the file with the translation is loaded from gpgdir/gnupg.nls/langid.mo. Here gpgdir is the directory out of which the gpg binary has been loaded. If it can't be loaded the Registry is tried and as last resort the native Windows locale system is used. | 除了GNU所使用, 它还用于W32版本中, 以覆盖通过注册表进行的语言选择. 如果使用并设置为有效和可用的语言名称(langid), 则从gpgdir/gnupg.nls/langid.mo加载包含翻译的文件. 这里的gpgdir是gpg二进制文件已从其中加载的目录. 如果无法加载, 请尝试使用注册表, 并且作为最后的选择, 使用本机Windows语言环境系统. |
When calling the gpg-agent component gpg sends a set of environment variables to gpg-agent. The names of these variables can be listed using the command: | 调用gpg-agent组件时, gpg会向gpg-agent发送一组环境变量. 可以使用以下命令列出这些变量的名称: | |
gpg-connect-agent 'getinfo std_env_names' /bye | awk '$1=="D" {print $2}' |
2.2 命令与选项
签名与验证
-s, --sign | make a signature | 签名 |
--clear-sign | make a clear text signature | 做出清晰的文字签名 |
-b, --detach-sign | make a detached signature | 做一个独立的签名 |
--verify | verify a signature | 验证签名 |
加密与解密
-e, --encrypt | encrypt data | 加密数据 |
-c, --symmetric | encryption only with symmetric cipher | 仅使用对称密码加密 |
-d, --decrypt | decrypt data (default) | 解密数据(默认) |
密钥命令
-k, --list-keys | list keys | 清单键 |
--list-signatures | list keys and signatures | 列出密钥和签名 |
--check-signatures | list and check key signatures | 列出并检查密钥签名 |
--fingerprint | list keys and fingerprints | 列出按键和指纹 |
-K, --list-secret-keys | list secret keys | 列出密钥 |
--generate-key --quick-generate-key | generate a new key pair Quickly | 生成一个新的密钥对 快速生成 |
--full-generate-key | full featured key pair generation | 全功能密钥对生成 |
--generate-revocation | generate a revocation certificate | 生成吊销证书 |
--delete-keys | remove keys from the public keyring | 从公共密钥环中删除密钥 |
--delete-secret-keys | remove keys from the secret keyring | 从秘密密钥环中删除密钥 |
--sign-key --quick-sign-key | sign a key Quickly | 签名钥匙 快速签名 |
--lsign-key --quick-lsign-key | sign a key locally Quickly | 在本地签名密钥 快速在本地签名 |
--edit-key | sign or edit a key | 签名或编辑密钥, 操作项目输入help |
--change-passphrase | change a passphrase | 更改密码 |
--quick-revoke-uid | quickly revoke a user-id | 快速撤消用户ID |
--quick-set-expire | quickly set a new expiration date | 快速设置新的到期日期 |
--quick-add-uid | quickly add a new user-id | 快速添加新的用户ID |
--export | export keys | 导出密钥 |
--import | import/merge keys | 导入/合并键 |
--send-keys | export keys to a keyserver | 将密钥导出到密钥服务器 |
--receive-keys | import keys from a keyserver | 从密钥服务器导入密钥 |
--search-keys | search for keys on a keyserver | 在密钥服务器上搜索密钥 |
--refresh-keys | update all keys from a keyserver | 更新密钥服务器中的所有密钥 |
其他命令
--card-status | print the card status | 打印卡状态 |
--edit-card | change data on a card | 更改卡上的数据 |
--change-pin | change a card's PIN | 更改卡的PIN码 |
--update-trustdb | update the trust database | 更新信任数据库 |
--print-md | print message digests | 打印消息摘要 |
--server | run in server mode | 在服务器模式下运行 |
--tofu-policy VALUE | set the TOFU policy for a key | 为钥匙设置豆腐政策 |
公用选项
-a, --armor | create ascii armored output | 创建ascii装甲输出 |
-r, --recipient USER-ID | encrypt for USER-ID | 加密USER-ID |
-u, --local-user USER-ID | use USER-ID to sign or decrypt | 使用USER-ID签名或解密 |
-z N | set compress level to N (0 disables) | 将压缩级别设置为N(0禁用) |
--textmode | use canonical text mode | 使用规范文本模式 |
-o, --output FILE | write output to FILE | 将输出写入FILE |
-v, --verbose | verbose | 冗长的 |
-n, --dry-run | do not make any changes | 不要做任何改变 |
-i, --interactive | prompt before overwriting | 覆盖前提示 |
--openpgp | use strict OpenPGP behavior | 使用严格的OpenPGP行为 |
几个例子
-se -r Bob [file] | sign and encrypt for user Bob | 为用户Bob签名并加密 |
--clear-sign [file] | make a clear text signature | 做出清晰的文字签名 |
--detach-sign [file] | make a detached signature | 做一个独立的签名 |
--list-keys [names] | show keys | 显示键 |
--fingerprint [names] | show fingerprints | 显示指纹 |
gpg -sb file | make a detached signature | 生成独立签名 |
gpg -u 0x12345678 -sb file | make a detached signature with the key 0x12345678 | 使用密钥0x12345678进行独立签名 |
gpg --verify pgpfile | ||
gpg --verify sigfile [datafile] | Verify the signature of the file but do not output the data unless requested. | 验证文件签名,但除非要求,否则不输出数据。 |
The second form is used for detached signatures, where sigfile is the detached signature (either ASCII armored or binary) and datafile are the signed data; if this is not given, the name of the file holding the signed data is constructed by cutting off the extension (".asc" or ".sig") of sigfile or by asking the user for the filename. | 第二种形式用于分离的签名,其中sigfile是分离的签名(ASCII铠装或二进制),而datafile是签名的数据;如果未指定,则通过截取sigfile的扩展名(“ .asc”或“ .sig”)或向用户询问文件名来构造包含签名数据的文件的名称。 | |
If the option --output is also used the signed data is written to the file specified by that option; use - to write the signed data to stdout. | 如果还使用了--output选项,则将签名数据写入该选项指定的文件;使用-将签名的数据写入stdout。 |
$ gpg --edit-key tom@tom.tom
gpg> help
quit | quit this menu | 退出此菜单 |
save | save and quit | 保存并退出 |
help | show this help | 显示此帮助 |
fpr | show key fingerprint | 显示钥匙指纹 |
grip | show the keygrip | 显示按键 |
list | list key and user IDs | 列出密钥和用户ID |
uid | select user ID N | 选择用户ID N |
key | select subkey N | 选择子项N |
check | check signatures | 检查签名 |
sign | sign selected user IDs [* see below for related commands] | 对选定的用户ID签名[*参见以下相关命令] |
lsign | sign selected user IDs locally | 在本地签名所选的用户ID |
tsign | sign selected user IDs with a trust signature | 使用信任签名对选定的用户ID进行签名 |
nrsign | sign selected user IDs with a non-revocable signature | 使用不可撤消的签名对选定的用户ID进行签名 |
adduid | add a user ID | 添加用户ID |
addphoto | add a photo ID | 添加照片ID (必须为jpg, 建议240x288, 提示时输入图像的完整路径) |
deluid | delete selected user IDs | 删除所选的用户ID |
addkey | add a subkey | 添加一个子项 |
addcardkey | add a key to a smartcard | 向智能卡添加密钥 |
keytocard | move a key to a smartcard | 将密钥移至智能卡 |
bkuptocard | move a backup key to a smartcard | 将备份密钥移到智能卡 |
delkey | delete selected subkeys | 删除选定的子项 |
addrevoker | add a revocation key | 添加撤销密钥 |
delsig | delete signatures from the selected user IDs | 从选定的用户标识中删除签名 |
expire | change the expiration date for the key or selected subkeys | 更改密钥或选定的子密钥的到期日期 |
primary | flag the selected user ID as primary | 将所选的用户ID标记为主要 |
pref | list preferences (expert) | 列出首选项(专家) |
showpref | list preferences (verbose) | 列表首选项(详细) |
setpref | set preference list for the selected user IDs | 设置所选用户标识的首选项列表 |
keyserver | set the preferred keyserver URL for the selected user IDs | 为选定的用户ID设置首选的密钥服务器URL |
notation | set a notation for the selected user IDs | 为所选的用户ID设置符号 |
passwd | change the passphrase | 更改密码 |
trust | change the ownertrust | 改变所有者的信任 |
revsig | revoke signatures on the selected user IDs | 撤销所选用户标识上的签名 |
revuid | revoke selected user IDs | 撤销选定的用户ID |
revkey | revoke key or selected subkeys | 撤销键或选定的子键 |
enable | enable key | 启用密钥 |
disable | disable key | 禁用键 |
showphoto | show selected photo IDs | 显示所选的照片ID |
clean | compact unusable user IDs and remove unusable signatures from key | 压缩无法使用的用户ID并从密钥中删除无法使用的签名 |
minimize | compact unusable user IDs and remove all signatures from key | 压缩无法使用的用户ID并从密钥中删除所有签名 |
3. 使用
注意:每当命令中需要用户ID时,都可以使用您的密钥ID(key ID), 指纹(fingerprint), 名称的一部分或电子邮件地址等来指定它。GnuPG对此很灵活。
3.1 生成密钥和吊销证书
3.1.1 创建密钥对 Create a key pair
$ gpg --full-gen-key
提示:使用--expert选项可获取ECC等替代密码。
该命令将提示您回答几个问题。
1 选择key类型? 下面是本地的显示的菜单(gnupg 2.2.20-4)
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
(14) Existing key from card
2 key大小(默认2048),对于大部分用户足够了. 较大的密钥大小4096“几乎没有给我们带来任何好处,同时又使我们付出了很多代价”。
3 到期日expiration date。对于普通用户来说,一年的时间就足够了。这样,即使丢失了对密钥环的访问,也将使其他人知道它不再有效。以后,如有必要,可以延长到期日期,而不必重新发出新密钥。
4 用户名: name and email 您的姓名和电子邮件地址。您可以稍后在同一密钥中添加多个身份(例如,如果您有多个电子邮件地址要与该密钥相关联)。
"tom c (tom) <tom@tom.tom>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
5 secure passphrase: 安全的密码短语, 就是密码.
注意:导入密钥的任何人都会看到您在此处输入的名称和电子邮件地址。
快速创建密钥对
$ gpg --quick-generate-key tom@tom.tom
About to create a key for:
"tom@tom.tom"
Continue? (Y/n) y
We need to generate a lot of random bytes.
It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during the prime generation; this gives the random number generator a better chance to gain enough entropy.
gpg: key C1B63A41D1D61D69 marked as ultimately trusted
gpg: revocation certificate stored as '/home/toma/.gnupg/openpgp-revocs.d/EA0648C71CB9EFF989807DB4C1B63A41D1D61D69.rev'
public and secret key created and signed.
pub rsa2048 2020-07-14 [SC] [expires: 2022-07-14]
EA0648C71CB9EFF989807DB4C1B63A41D1D61D69
uid tom@tom.tom
sub rsa2048 2020-07-14 [E]
3.1.2 生成密钥后,您应该做的第一件事就是创建吊销证书
After generating your key, one of the first things you should do is create a revocation certificate:
$ gpg --gen-revoke --armor --output=revocation_certificate.asc user-id
- revocation_certificate.asc 证书名称
- user-id 通常是创建密钥的邮箱
$ gpg --gen-revoke --armor --output=tomkey.rec.asc tom@tom.tom
$ ls -la tomkey.rec*
-rw------- 1 toma users 560 Jul 14 09:28 tomkey.rec.asc
备注: 回头看上一步骤的输出, 已经有吊销凭证了, 保存在默认的隐藏目录下. 这个步骤应该是针对老版本gnupg的.
当你的密钥丢失或遭到破坏,则可以用该证书撤销您的密钥。
警告:有权撤消证书的任何人都可以撤消您的密钥。保护您的吊销证书就像保护密钥一样。打印出来,将其保存在磁盘上,然后安全地存储。它足够短,只要您将其打印出来,就可以不费力地手动输入。
3.1.3 查看密钥
要列出您的公共钥匙圈中的钥匙:To list keys in your public key ring:
$ gpg --list-keys
/home/toma/.gnupg/pubring.kbx
-----------------------------
pub rsa4096 2018-05-28 [C] [expires: 2022-01-01]
EF9538C9E8E64311A52CDEDFA13D0EF1914E7A72
uid [ unknown] Gentoo repository mirrors (automated git signing key) <repomirrorci@gentoo.org>
sub rsa2048 2018-05-28 [S] [expires: 2022-01-01]
pub dsa1024 2004-07-20 [SC] [expired: 2020-07-01]
D99EAC7379A850BCE47DA5F29E6438C817072058
uid [ expired] Gentoo Linux Release Engineering (Gentoo Linux Release Signing Key) <releng@gentoo.org>
pub rsa2048 2020-07-14 [SC] [expires: 2022-07-14]
EA0648C71CB9EFF989807DB4C1B63A41D1D61D69
uid [ultimate] tom@tom.tom
sub rsa2048 2020-07-14 [E]
要列出您的秘密钥匙圈中的钥匙:To list keys in your secret key ring:
$ gpg --list-secret-keys
/home/toma/.gnupg/pubring.kbx
-----------------------------
sec rsa2048 2020-07-14 [SC] [expires: 2022-07-14]
EA0648C71CB9EFF989807DB4C1B63A41D1D61D69
uid [ultimate] tom@tom.tom
ssb rsa2048 2020-07-14 [E]
$ gpg --list-secret-keys
/home/toma/.gnupg/pubring.kbx
-----------------------------
sec rsa2048 2020-07-14 [SC] [revoked: 2020-07-14]
9B46F40E617AD230C570299C4420FD48AE9B2D38
uid [ revoked] tom c (tom) <tom@tom.tom>
3.2 导出导入公钥
3.2.1 导出您的公钥
gpg的主要用途是通过公钥(public-key)加密来确保交换消息的机密性。有了它,每个用户都可以分发其密钥环的公钥,其他人可以使用它来加密发送给用户的消息。私钥(private key)必须始终保持私密,否则会破坏机密性。 有关消息交换的示例,请参见w:公钥加密。
https://en.wikipedia.org/wiki/Public-key_cryptography
因此,为了使其他人向您发送加密的消息,他们需要您的公共密钥。
生成用户公钥的ASCII版本文件public.key(例如,通过电子邮件分发或提供下载):
$ gpg --output public.key --armor --export user-id
- public.key 公钥文件名
- user-id 通常是邮件地址
$ gpg --output tom-public.key --armor --export tom@tom.com
$ ls -la *.key
-rw-r--r-- 1 toma users 1749 Jul 14 09:54 tom-public.key
提示:添加--no-emit-version以避免打印版本号,或将相应的设置添加到配置文件。
3.2.2 导入公钥 Import a public key
$ gpg --import public.key (public.key 公钥文件名)
3.3 使用keyserver密钥服务器
您可以在公共PGP密钥服务器上注册key,以便其他人无需直接与您联系即可检索您的key:
$ gpg --send-keys key-id (key-id 就是公钥 public key)
警告:密钥一旦提交给密钥服务器,就无法从服务器中删除。
提示:您可以通过以下方式访问key-id: $ gpg --list-secret-keys --keyid-format=LONG <email>. key-id 密钥ID是sec行中提供的哈希密钥。
要在密钥服务器上查找key的详细信息而不导入它,请执行以下操作:
$ gpg --search-keys user-id (user-id 通常是email)
要从密钥服务器导入key:
$ gpg --recv-keys key-id (key-id 就是公钥 public key)
警告:
您应通过将检索到的公钥的指纹与所有者在独立来源上发布的指纹进行比较(例如,直接与该人联系),来验证其真实性。 有关更多信息,请参见Wikipedia:公钥指纹。
https://en.wikipedia.org/wiki/Public_key_fingerprint
使用短ID可能会遇到冲突。 将导入所有具有短ID的密钥。 为了避免这种情况,请在接收密钥时使用完整的指纹或长密钥ID。use the full fingerprint or long key ID when receiving a key.
3.4 Web密钥目录
Web密钥服务(WKS)协议是密钥分发的新标准,其中电子邮件域提供了自己的称为Web密钥目录(WKD)的密钥服务器。
当加密到电子邮件地址(例如user@example.com)时,GnuPG(> = 2.1.16)将example.com通过HTTPS 向域()查询公开的OpenPGP密钥(如果尚未在本地密钥环中)。
请注意,该选项auto-key-locate必须包含wkd(默认值)。
# gpg --recipient user@example.org --auto-key-locate local,wkd --encrypt doc
- user@example.org
- doc
请参阅GnuPG Wiki,以获取支持WKD的电子邮件提供商的列表。如果您自己控制电子邮件地址的域,则可以按照本指南为您的域启用WKD。要检查是否可以在WKD中找到您的密钥,可以使用此Web界面。
3.5 加密和解密
3.5.1 不对称
您需要#导入用户的公共密钥,然后再将文件或消息加密(选项--encrypt或-e)到该收件人(选项--recipient或-r)。此外,如果尚未创建密钥对,则需要#Create。
- user-id 通常是公钥的邮件地址
- doc 要加密的原始文件名
- doc.gpg 已加密的加密文件名
要加密名称为doc的文件,请使用:
$ gpg --recipient user-id --encrypt doc
要解密(选项--decrypt或-d)使用公开密钥加密的名称为doc.gpg 的文件,请使用:
$ gpg --output doc --decrypt doc.gpg
gpg会提示您输入密码,然后解密并将数据从doc .gpg写入doc。如果省略-o(--output)选项,则gpg会将解密后的数据写入stdout。
技巧:
添加--armor以使用ASCII装甲加密文件(适用于以文本格式复制和粘贴消息)
使用或代替不将收件人密钥ID放入加密的消息中。这有助于隐藏消息的接收者,并且是针对流量分析的有限对策。-R user-id--hidden-recipient user-id-r
添加--no-emit-version以避免打印版本号,或将相应的设置添加到您的配置文件。
您可以使用gnupg通过将您自己的用户ID用作接收者或通过使用--default-recipient-self标志来加密敏感文档。但是,尽管您总是可以对各种文件进行压缩,然后再对其进行加密,但一次只能处理一个文件。如果要加密目录或整个文件系统,请参阅静态数据加密#可用方法。
3.5.2 对称
对称加密不需要生成密钥对,并且可以用来简单地用密码对数据加密。只需使用--symmetric或-c执行对称加密:
$ gpg -c doc
下面的例子:
加密doc使用密码与对称密码
使用AES-256密码算法加密密码短语
使用SHA-512摘要算法来处理密码短语
破坏密码短语以进行65536次迭代
$ gpg -c --s2k-cipher-algo AES256 --s2k-digest-algo SHA512 --s2k-count 65536 doc
要doc.gpg使用密码短语解密对称加密并将解密后的内容输出到同一目录中,doc请执行以下操作:
$ gpg --output doc --decrypt doc.gpg
4. Key维护
4.1 备份私钥 Backup your private key
$ gpg --export-secret-keys --armor <user-id> > privkey.asc
$ gpg --export-secret-keys --armor tom@tom.tom > tom-privkey.asc
$ ls -la *.asc
-rw-r--r-- 1 toma users 3612 Jul 14 15:01 tom-privkey.asc
To import the backup of your private key:
$ gpg --import privkey.asc
4.2 撤销你的密钥对 Revoke a key
If you lose your secret key or it is compromised, you will want to revoke your key by first importing your public key if you not longer have access to the keypair. Then, you will import your revocation certificate:
$ gpg --import revocation_certificate.asc
You now need to make your now-revoked key public. If you used a keyserver, send the key to the keyserver. Otherwise, distribute the revoked key to your colleagues.
或者通过编辑
$ gpg --edit-key tom@tom.tom
...
gpg> revkey
...
[ revoked] (1). tom@tom.tom
gpg> quit
Save changes? (y/N) y
$ gpg --list-secret-keys
gpg: checking the trustdb
gpg: marginals needed: 3 completes needed: 1 trust model: pgp
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: next trustdb check due at 2022-07-14
/home/toma/.gnupg/pubring.kbx
-----------------------------
sec rsa2048 2020-07-14 [SC] [revoked: 2020-07-14]
EA0648C71CB9EFF989807DB4C1B63A41D1D61D69
uid [ revoked] tom@tom.tom
$ gpg --output timp.sig --sign temp.html
gpg: no default secret key: No secret key
gpg: signing failed: No secret key
4.3 编辑 key
$ gpg --edit-key tom@tom.tom
...
gpg> clean
User ID "tom c (tom) <tom@tom.tom>": already clean
Edit your key
Running the gpg --edit-key <user-id> command will present a menu which enables you to do most of your key management related tasks.
Some useful commands in the edit key sub menu:
> passwd # change the passphrase
> clean # compact any user ID that is no longer usable (e.g revoked or expired)
> revkey # revoke a key
> addkey # add a subkey to this key
> expire # change the key expiration time
> adduid # add additional names, comments, and email addresses
> addphoto # add photo to key (must be JPG, 240x288 recommended, enter full path to image when prompted)
更多操作请输入help
4.4 删除 key
删除私钥
$ gpg --delete-secret-key tom@tom.tom
$ gpg --list-secret-keys
删除公钥
$ gpg --delete-keys tom@tom.tom
$ gpg --list-keys
5. 签名
签名证明文件并加盖时间戳。如果文档被修改,签名验证将失败。与使用公钥加密文档的加密不同,签名是使用用户的私钥创建的。然后,签名文档的收件人使用发件人的公钥验证签名。
以下会用到的参数名称:
- doc.sig 原始文件的签名文件(文本,软件,iso镜像文件; 软件及iso镜像文件通常使用独立签名)
- doc 原始文件
5.1 创建签名
签名文件: 要签名文件,请使用--sign或-s标志:
$ gpg --output doc.sig --sign doc
doc.sig包含原始文件的压缩内容doc和二进制格式的签名,但是该文件未加密。但是,您可以将签名与加密结合使用。
清除签名文件或消息: 要对文件进行签名而不将其压缩为二进制格式,请使用:
$ gpg --output doc.sig --clearsign doc
在此,原始文件的内容doc和签名都以易于阅读的形式存储在中doc.sig。
进行独立签名: 要创建单独的签名文件以与文档或文件本身分开分发,请使用--detach-sig标志:
$ gpg --output doc.sig --detach-sig doc
此处的签名存储在中doc.sig,但的内容doc未存储在其中。此方法通常用于分发软件项目,以允许用户验证该程序尚未被第三方修改。
$ ls -la *.sig
-rw-r--r-- 1 toma users 546 Jul 14 15:16 timp-clear.sig
-rw-r--r-- 1 toma users 310 Jul 14 15:17 timp-detach.sig
-rw-r--r-- 1 toma users 348 Jul 14 15:15 timp.sig
5.2 验证签名: 要验证签名,请使用--verify标志:
$ gpg --verify doc.sig
doc.sig包含您要验证的签名的签名文件在哪里?
如果要验证分离的签名,则在验证时必须同时存在签名的数据文件和签名文件。例如,要验证Arch Linux的最新iso,您可以执行以下操作:
$ gpg --verify archlinux-version.iso.sig
这里必须位于同一目录中。 archlinux-version.iso
您还可以使用第二个参数指定签名的数据文件:
$ gpg --verify archlinux-version.iso.sig /path/to/archlinux-version.iso
如果除了签名之外还对文件进行了加密,则只需解密该文件,它的签名也将得到验证。
6. 扩展阅读链接
https://zh.wikipedia.org/wiki/公开密钥加密
https://en.wikipedia.org/wiki/Public-key_cryptography
公开密钥密码学(英语:Public-key cryptography)也称非对称式密码学(英语:Asymmetric cryptography)是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;公钥用作加密,私钥则用作解密。使用公钥把明文加密后所得的密文,只能用相对应的私钥才能解密并得到原本的明文,最初用来加密的公钥不能用作解密。由于加密和解密需要两个不同的密钥,故被称为非对称加密;不同于加密和解密都使用同一个密钥的对称加密。公钥可以公开,可任意向外发布;私钥不可以公开,必须由用户自行严格秘密保管,绝不透过任何途径向任何人提供,也不会透露给被信任的要通信的另一方。
基于公开密钥加密的特性,它还能提供数字签名的功能,使电子文件可以得到如同在纸本文件上亲笔签署的效果。
公开密钥基础建设透过信任数字证书认证机构的根证书、及其使用公开密钥加密作数字签名核发的公开密钥认证,形成信任链架构,已在TLS实现并在万维网的HTTP以HTTPS、在电子邮件的SMTP以SMTPS或STARTTLS引入。
另一方面,信任网络则采用去中心化的概念,取代了依赖数字证书认证机构的公钥基础设施,因为每一张电子证书在信任链中最终只由一个根证书授权信任,信任网络的公钥则可以累积多个用户的信任。PGP就是其中一个例子。
与对称密码学的比较
对称密码是指在加密和解密时使用同一个密钥的方式,公钥密码则是指在加密和解密时使用不同密钥的方式。
对称密钥加密牵涉到密钥管理的问题,尤其是密钥交换,它需要通信双方在通信之前先透过另一个安全的渠道交换共享的密钥,才可以安全地把密文透过不安全的渠道发送;对称密钥一旦被窃,其所作的加密将即时失效;而在互联网,如果通信双方分隔异地而素未谋面,则对称加密事先所需要的“安全渠道”变得不可行;非对称加密则容许加密公钥随便散布,解密的私钥不发往任何用户,只在单方保管;如此,即使公钥在网上被截获,如果没有与其匹配的私钥,也无法解密,极为适合在互联网上使用。
另一方面,公钥解密的特性可以形成数字签名,使数据和文件受到保护并可信赖;如果公钥透过数字证书认证机构签授成为电子证书,更可作为数字身份的认证,这都是对称密钥加密无法实现的。
不过,公钥加密在在计算上相当复杂,性能欠佳、远远不比对称加密;因此,在一般实际情况下,往往通过公钥加密来随机创建临时的对称秘钥,亦即对话键,然后才通过对称加密来传输大量、主体的数据。
https://zh.wikipedia.org/wiki/对称加密
https://en.wikipedia.org/wiki/Symmetric-key_algorithm
公钥指纹
https://zh.wikipedia.org/wiki/公开密钥指纹
https://en.wikipedia.org/wiki/Public_key_fingerprint
在公开密钥加密中,公开密钥指纹(简称:公钥指纹)是用于标识较长公共密钥字节的短序列。指纹通过应用加密散列函数到一个公共密钥来实现。[1]由于指纹较比生成它们的密钥短得多,因此可以用来简化某些密钥的管理任务。
PGP开发了PGP单词列表,以方便在语音通道上交换公共密钥指纹。
https://en.wikipedia.org/wiki/Fingerprint_(computing)
在计算机科学中,指纹识别算法是一个程序映射任意大的数据项(例如计算机文件),以更短的比特串,其指纹,它唯一地标识所有的实际目的的原始数据[1]正如人指纹用于实际目的来唯一地识别人。此指纹可用于重复数据删除目的。这也称为文件指纹,数据指纹或结构化数据指纹。
PGP单词列表
https://zh.wikipedia.org/wiki/PGP词汇表
https://en.wikipedia.org/wiki/PGP_word_list
PGP词汇表(即“良好隐私密码法词汇表”,又称生物识别词汇表),是一个通过声音频道传输字节时使用的词汇表,目的是清晰表达内容。1995年由计算机语言学家帕特里克·尤奥拉和PGP的创造者菲尔·齐默尔曼发明。[1][2]PGP词汇表与飞行员使用的北约音标字母类似,但此表中的每一个词的值都与256个字节数值一一对应。
https://en.wikipedia.org/wiki/NATO_phonetic_alphabet
https://zh.wikipedia.org/wiki/電子簽名
https://en.wikipedia.org/wiki/Electronic_signature
https://zh.wikipedia.org/wiki/數位簽章
https://en.wikipedia.org/wiki/Digital_signature
https://zh.wikipedia.org/wiki/摩尔斯电码
https://en.wikipedia.org/wiki/Morse_code
有些教授记忆摩尔斯电码的方法是使用一张二叉树。
https://zh.wikipedia.org/wiki/SOS
https://en.wikipedia.org/wiki/SOS
SOS的含义
日常中,SOS通常被理解为:“Save Our Ship”(拯救我们的船)或“Save Our Souls”(拯救我们的灵魂)。但当初制定规范时是没有意思的,纯粹因摩尔斯电码是全点及全横而方便记载。
SOS的摩尔斯电码 SOS(···---···)
S、O、S这三个字母的摩尔斯电码分别是“···”、“---”、“···”,念为“滴滴滴”、“答答答”、“滴滴滴”,也就是“三短音”、“三长音”、“三短音”。
极为简洁明确,即便是未经训练的民众,也可以轻易的利用手边的器物发出这样的信号,或是加以识别。
https://zh.wikipedia.org/wiki/霍夫曼编码
https://en.wikipedia.org/wiki/Huffman_coding
https://zh.wikipedia.org/wiki/SSH客户端比较
https://en.wikipedia.org/wiki/Comparison_of_SSH_clients
https://en.wikipedia.org/wiki/Comparison_of_SSH_servers
https://en.wikipedia.org/wiki/Comparison_of_remote_desktop_software