GPG加密解密

目录

一、GPG的用途

二、安装

三、GPG命令显示

四、生成密钥-输出密钥-上传自己公钥-输入他人公钥

1、生成密钥

2、列出密钥

3、如果要从密钥列表删除某个密钥，执行delete-key

4、输出密钥

5、上传公钥

6、输入密钥

五、加密和解密

1、加密 encrypt

2、解密

六、签名

1、对文件签名

2、签名+加密

3、验证签名

---

一、GPG的用途

1991年，程序员Phil Zimmermann为了避开政府监视，开发了加密软件PGP。这个软件非常好用，迅速流传开来，成了许多程序员的必备工具。但是，它是商业软件，不能自由使用。所以，自由软件基金会决定，开发一个PGP的替代品，取名为GnuPG。这就是GPG的由来。

GPG有许多用途，本文主要介绍文件加密。至于邮件的加密，不同的邮件客户端有不同的设置。

二、安装

下载源码安装　
./configure
　　make
　　make install
 
命令安装
# Debian环境
sudo apt-get install gnupg
 
# Fedora 环境
yum install gnupg

三、GPG命令显示

root@kali2022:~# gpg --help
gpg (GnuPG) 2.2.35
libgcrypt 1.10.1
Copyright (C) 2022 g10 Code GmbH
License GNU GPL-3.0-or-later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
 
Home: /root/.gnupg
支持的算法：
公钥： RSA, ELG, DSA, ECDH, ECDSA, EDDSA
密文： IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
    CAMELLIA128, CAMELLIA192, CAMELLIA256
散列： SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
压缩：  不压缩, ZIP, ZLIB, BZIP2
 
语法：gpg [选项] [文件]
签名、检查、加密或解密
默认的操作依输入数据而定
 
命令：
 
 -s, --sign                         生成一份签名
     --clear-sign                   生成一份明文签名
 -b, --detach-sign                  生成一份分离的签名
 -e, --encrypt                      加密数据
 -c, --symmetric                    仅使用对称密文加密
 -d, --decrypt                      解密数据（默认）
     --verify                       验证签名
 -k, --list-keys                    列出密钥
     --list-signatures              列出密钥和签名
     --check-signatures             列出并检查密钥签名
     --fingerprint                  列出密钥和指纹
 -K, --list-secret-keys             列出私钥
     --generate-key                 生成一个新的密钥对
     --quick-generate-key           快速生成一个新的密钥对
     --quick-add-uid                快速添加一个新的用户标识
     --quick-revoke-uid             快速吊销一个用户标识
     --quick-set-expire             快速设置一个过期日期
     --full-generate-key            完整功能的密钥对生成
     --generate-revocation          生成一份吊销证书
     --delete-keys                  从公钥钥匙环里删除密钥
     --delete-secret-keys           从私钥钥匙环里删除密钥
     --quick-sign-key               快速签名一个密钥
     --quick-lsign-key              快速本地签名一个密钥
     --quick-revoke-sig             快速吊销一个密钥签名
     --sign-key                     签名一个密钥
     --lsign-key                    本地签名一个密钥
     --edit-key                     签名或编辑一个密钥
     --change-passphrase            更改密码
     --export                       导出密钥
     --send-keys                    将密钥导出到一个公钥服务器上
     --receive-keys                 从公钥服务器上导入密钥
     --search-keys                  在公钥服务器上搜索密钥
     --refresh-keys                 从公钥服务器更新所有密钥
     --import                       导入/合并密钥
     --card-status                  打印卡片状态
     --edit-card                    更改卡片上的数据
     --change-pin                   更改卡片的 PIN
     --update-trustdb               更新信任数据库
     --print-md                     打印消息摘要
     --server                       以服务器模式运行
     --tofu-policy VALUE            设置一个密钥的 TOFU 政策
 
控制诊断输出的选项:
 -v, --verbose                      详细模式
 -q, --quiet                        尽量减少提示信息
     --options FILE                 从 FILE 中读取选项
     --log-file FILE                将服务器模式的日志写入到 FILE
 
控制配置的选项:
     --default-key NAME             使用 NAME 作为默认的私钥
     --encrypt-to NAME              同时给以 NAME 为名称的用户标识加密
     --group SPEC                   设置电子邮件别名
     --openpgp                      使用严格的 OpenPGP 行为
 -n, --dry-run                      不做任何更改
 -i, --interactive                  覆盖前提示
 
Options controlling the output:
 -a, --armor                        创建 ASCII 字符封装的输出
 -o, --output FILE                  写输出到 FILE
     --textmode                     使用规范的文本模式
 -z N                               设置压缩等级为 N （0 为禁用）
 
Options controlling key import and export:
     --auto-key-locate MECHANISMS   通过邮件地址定位密钥时使用机制 MECHANISMS
     --disable-dirmngr              禁用对 dirmngr 的所有访问
 
Options to specify keys:
 -r, --recipient USER-ID            为 USER-ID 加密
 -u, --local-user USER-ID           使用 USER-ID 来签名或者解密
 
Project-Id-Version: GNU gnupg 2.2.28
Report-Msgid-Bugs-To: translations@gnupg.org
PO-Revision-Date: 2021-06-17 11:52+0900
Last-Translator: bobwxc <bobwxc@yeah.net>
Language-Team: None
Language: zh_CN
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Poedit-SourceCharset: UTF-8
X-Poedit-Basepath: .
Plural-Forms: nplurals=1; plural=0;
X-Generator: Poedit 2.2.1
:
 
（请参考手册页以获得所有命令和选项的完整列表）
 
例子：
 
 -se -r Bob [文件]          为用户 Bob 签名和加密
 --clear-sign [文件]        创建一个明文签名
 --detach-sign [文件]       创建一个分离签名
 --list-keys [名字]        列出密钥
 --fingerprint [名字]      显示指纹
 
请向 <https://bugs.gnupg.org> 报告程序缺陷。
请向 <i18n-zh@googlegroups.com> 邮件列表反映简体中文的翻译问题或建议。

四、生成密钥-输出密钥-上传自己公钥-输入他人公钥

1、生成密钥

# 使用gen-ken参数生成自己的密钥：
gpg --gen-key
 
root@kali2022:~# gpg --gen-key
gpg (GnuPG) 2.2.35; Copyright (C) 2022 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
 
注意：使用 “gpg --full-generate-key” 以获得一个全功能的密钥生成对话框。
 
GnuPG 需要构建用户标识以辨认您的密钥。
 
真实姓名： kali2022
电子邮件地址： 123456789@qq.com
您选定了此用户标识：
    “kali2022 <123456789@qq.com>”
 
更改姓名（N）、注释（C）、电子邮件地址（E）或确定（O）/退出（Q）？ o
我们需要生成大量的随机字节。在质数生成期间做些其他操作（敲打键盘
、移动鼠标、读写硬盘之类的）将会是一个不错的主意；这会让随机数
发生器有更好的机会获得足够的熵。
我们需要生成大量的随机字节。在质数生成期间做些其他操作（敲打键盘
、移动鼠标、读写硬盘之类的）将会是一个不错的主意；这会让随机数
发生器有更好的机会获得足够的熵。
gpg: /root/.gnupg/trustdb.gpg：建立了信任度数据库
gpg: 目录‘/root/.gnupg/openpgp-revocs.d’已创建
gpg: 吊销证书已被存储为‘/root/.gnupg/openpgp-revocs.d/A33A11AFD55A36DE3B7E2A245E0D9B67FB67220E.rev’
公钥和私钥已经生成并被签名。
 
pub   rsa3072 2022-08-13 [SC] [有效至：2024-08-12]
      A33A11AFD55A36DE3B7E2A245E0D9B67FB67220E
uid                      kali2022 <123456789@qq.com>
sub   rsa3072 2022-08-13 [E] [有效至：2024-08-12]

最好再生成一张"撤销证书"，以备以后密钥作废时，可以请求外部的公钥服务器撤销你的公钥

# 生成撤销证书
gpg --gen-revoke [用户ID]
 
root@kali2022:~# gpg --gen-revoke  A33A11AFD55A36DE3B7E2A245E0D9B67FB67220E
 
sec  rsa3072/5E0D9B67FB67220E 2022-08-13 kali2022 <123456789@qq.com>
 
要为这个密钥创建一个吊销证书吗？(y/N) y
请选择吊销的原因：
  0 = 未指定原因
  1 = 密钥已泄漏
  2 = 密钥被替换
  3 = 密钥不再使用
  Q = 取消
（也许您会想要在这里选择 1）
您的决定是什么？ 0
请输入描述（可选）；以空白行结束：
> 
吊销原因：未指定原因
（未给定描述）
这样可以吗？ (y/N) y
已强行使用 ASCII 字符封装过的输出。
-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: This is a revocation certificate
 
iQG2BCABCgAgFiEEozoRr9VaNt47fiokXg2bZ/tnIg4FAmL3V2kCHQAACgkQXg2b
Z/tnIg6SPgwAhcNz/WV2KrfxVbhymowngF1MdHqSoUS0TlVjy2t1HLMMLIDYp7Ua
cuOy4KghGp5jkdSYqTWksvHLfqrL/SugHHQ6zuWoMTgx8pqSpremPWgNLvIuLzdh
grdRBHq+Q/dIWmoH3YkLzR+FfZ9fy9A6hw4Oahqbu7VOrBS/sA1OKvrVg8NWosN7
+lQCU1ss0mD0jos2dHnNYuNuXJaRLxpJ70WUDfICU1po7Jc36FABnKxI8IznWgUa
tOslJvClU7870m42yyN4sfFDqVpmAGbq+YV+1DGc9akpLMtEiO1Hnu/tpN4MvPll
DxVPVQ3sMAIZJGDcfmaigLekf/4On+0M7Uy6WOlA+ZiY59UMBKX/SQCXSBrEcJLT
DolXOrkXiZtGb9/L7RpXHvWwMnXbucrQY/xMbf0alheWwFmdY51OwVf3lPXUF09k
kly+gujMrI1R9ljiddjhlnHfaYuBhxxA1vAhL5M6tFpoOG/WO3F05qpoZah1g7R4
XLY/YKF5LhQe
=L+Pw
-----END PGP PUBLIC KEY BLOCK-----
已创建吊销证书。
 
请把这个文件转移到一个您可以藏起来的介质上；如果坏人获取到了这
份证书的话，那么他就能使用它并让您的密钥无法继续使用。把此证书
打印出来再存放到安全的地方也是很好的方法，以免您的保存媒体变得
不可读。但是千万小心：您机器上的打印系统可能会在打印过程中储存
这些数据，并使得其他人看到！

2、列出密钥

# 列出密钥
root@kali2022:~# gpg --list-keys                                           
gpg: 正在检查信任度数据库
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: 深度：0  有效性：  1  已签名：  0  信任度：0-，0q，0n，0m，0f，1u
gpg: 下次信任度数据库检查将于 2024-08-12 进行
/root/.gnupg/pubring.kbx  #公钥文件名（pubring.kbx）
------------------------
pub   rsa3072 2022-08-13 [SC] [有效至：2024-08-12]  # 显示公钥特征（4096位，生成时间）
      A33A11AFD55A36DE3B7E2A245E0D9B67FB67220E      # hash值字符串
uid             [ 绝对 ] kali2022 <123456789@qq.com>  # 显示用户id
sub   rsa3072 2022-08-13 [E] [有效至：2024-08-12]   # 显示私钥特征

3、如果要从密钥列表删除某个密钥，执行delete-key

gpg --delete-key[用户id]

4、输出密钥

公钥文件(/root/.gnnupg/pubring.kbx )以二进制形式存储，armor可以将其转换为ascii码显示

私钥文件()以ascii码形式存储，export-secret-keys参数可以将其转换成二进制文件

# 将二进制公钥文件转换为ascii码显示　
gpg --armor --output public-key.txt --export [用户ID]
 
# 将ascii码私钥文件转换未二进制公钥我呢见
gpg --armor --output private-key.txt --export-secret-keys

5、上传公钥

公钥服务器是网上专门储存用户公钥的服务器。send-keys参数可以将公钥上传到服务器。然后通过交换机制，所有的公钥服务器都会包含你的公钥。

由于公钥服务器没有检查机制，任何人都可以用你的名义上传公钥，所以没有办法保证服务器上的公钥的可靠性。通常，你可以在网站上公布一个公钥指纹，核对下载到的公钥是否为真。fingerprint参数生成公钥指纹

# 将公钥上传到公钥服务器
gpg --send-keys [用户ID] --keyserver hkp://subkeys.pgp.net
 
# 生成公钥指纹，核对下载到的公钥是否为真
gpg --fingerprint [用户ID]

6、输入密钥

生成自己的密钥后，还要[import参数]将他人的公钥或者你的其他密钥导入系统。

想要获得他人的公钥，可以让对方直接发给你，或者到公钥服务器上找。

# 将他人的公钥或者你的其他密钥导入系统
gpg --import [密钥文件]
 
# 获取他人公钥，下载后记得用其他方法验证密钥的真假
gpg --keyserver hkp://subkeys.pgp.net --search-keys [用户ID]

五、加密和解密

1、加密 encrypt

# 对text.txt加密 【encrypt参数用于加密】　
gpg --recipient [用户ID] --output demo.en.txt --encrypt text.txt
# recipient--指定接收者的公钥;
# output--指定加密后的文件名
# encrypt--指定源文件。
# 执行命令后，text.en.txt就是已加密的文件，可以把它发给对方。

2、解密

# 对方收到加密文件后，用自己的私钥解密,解密后的文件内容直接标准输出显示
gpg --decrypt test.en.txt --output test.de.txt
gpg --decrypt test.en.txt
# decrypt--指定需要解密的文件
# output--指定解密后生成的文件
# 执行命令后，test.de.txt就是解密后的文件。
 
#GPG允许省略decrypt
gpg test.en.txt

六、签名

1、对文件签名

# 有时不需要加密文件，只要对文件签名，表示这个文件确实是我本人发出的；sign--用来签名；
gpg --sign test.txt
# 执行后，生成签名后的文件test.txt.gpg文件，采用二进制储存，
# 如果要生成ASCII码的签名文件，要用clearsign参数。
gpg --clearsign test.txt
# 执行命令后，当前目录下生成test.txt.asc文件，后缀名asc表示该文件是ASCII码形式的。
 
# 想生成单独的签名文件，与文件内容分开存放，可以用detach-sign
gpg --detach-sign test.txt
# 当前目录下生成一个单独的签名文件test.txt.sig，该文件是二进制形式的，
# 如果想采用ASCII码形式，要加armor参数
gpg --armor --detach-sign test.txt

2、签名+加密

# 同时签名和加密
gpg --local-user [发信者ID] --recipient [接收者ID] --armor --sign --encrypt tst.txt
# local-user---指定用发信者的私钥签名
# recipient---指定用接收者的公钥加密
# armor---表示采用ASCII码形式显示
# sign---表示需要签名
# encrypt---表示指定源文件

3、验证签名

# 收到别人签名后的文件，需要用对方的公钥验证签名是否为真；verify---用来验证
　　gpg --verify test.txt.asc test.txt
 
# https://openvpn.net/网站就提供每一个下载包的gpg签名文件.可以根据它的说明，验证这些下载包是否为真。