linux必学知识

安全加密(使用gpg工具实现公钥加密)

2017-09-09  本文已影响0人  不知岁月惜

对称加密算法

特性:
加密、解密使用同一个密钥,效率高
将原始数据分割成固定大小的块,逐个进行加密
缺陷:
密钥过多
密钥分发
数据来源无法确认
算法
DES     : 是一种使用密钥加密的块算法,采用56位加密算法。
3DES    : 三重数据加密算法,进行三次DES加密。
AES     : 高级加密标准目前对称加密中最常用的算法之一,采用128、192、256、512位算法。
Blowfish: 是一个64位分组及可变密钥长度的对称密钥分组密码算法。
 IDEA    : 国际数据加密算法,采用128位加密算法。
 CAST-128: 是类似于DES的置换组合网路加密系统,是一种12或16循环的Feistel密码,块长度是64位,密码长度最大128位
查找/etc/sysconfig/下的普通文件进行哈希运算(2者效果一样)
[root@centos7 /app]# find /etc/sysconfig/ -type f -exec sha512sum {} \;
[root@centos7 /app]# find /etc/sysconfig/ -type f |xargs sha512sum
重定向到文件中
[root@centos7 /app]# find /etc/sysconfig/ -type f |xargs sha512sum >/app/f1.log   
[root@centos7 /app]# sha512sum --check /app/f1.log      检查是否改变

[root@centos7 /app]#openssl passwd -1                   做口令加密  
Password: 
Verifying - Password: 
$1$45Gqame0$DPzKaPrj4ymsi.FJiiVWn0                       #1代表md5

密钥交换

密钥交换: IKE(Internet Key Exchange )
公钥加密:
DH (Deffie-Hellman):生成会话密钥,参看:
https://en.wikipedia.org/wiki/Diffie%E2%80%93Hel
lman_key_exchange
DH:
1、 A: a,p 协商生成公开的整数a, 大素数p
B: a,p
2、 A:生成隐私数据 :x (x<p ),计算得出 a^x%p,发送给B
B:生成隐私数据 :y,计算得出 a^y%p,发送给A
3、 A:计算得出 [(a^y%p)^x] %p = a^xy%p, 生成为密钥
B:计算得出 [(a^x%p)^y] %p = a^xy%p,生成为密钥

a=2,p=11
A
x=3 5
B
y=4 8

2^3=8%11=8
2^4=16%11=5

[5^3]%11=4
[8^4]%11=4

应用程序: RPM

文件完整性的两种实施方式
被安装的文件
• MD5单向散列
• rpm --verify package_name (or -V)
发行的软件包文件
• GPG公钥签名
• rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEYredhat*
• rpm --checksig pakage_file_name (or -K)

rpm包校验  文件哈希值变化
5 digest (formerly MD5 sum) differs
T mTime differs

使用gpg实现对称加密

对称加密file文件
gpg -c file
ls file.gpg
在另一台主机上解密file
gpg -o file -d file.gpg

单向散列Hash

特性
将任意数据缩小成固定大小的数值
任意输入长度的数据。
输出固定长度是加密数值。
若修改数据,生成的数值也会改变,不会和原来的数值产生冲突。
无法从数值中推算生成数据,不可逆。
功能
验证数据完整性
提高数字签名的有效性
常见算法
md5    : 把不同长度的数据块进行暗码运算成一个128位的数值
sha1   : 对任意长度的数据运算生成一个160位的数值
sha224 : 对任意长度的数据运算生成一个224位的数值
sha256 : 对任意长度的数据运算生成一个256位的数值
sha384 : 对任意长度的数据运算生成一个384位的数值
sha512 : 对任意长度的数据运算生成一个512位的数值
MAC    :是一种使用密钥的单向函数,可以用它们在系统上或用户之间认证文件或消息,常见的是HMAC(用于消
息认证的密钥散列)。
Linux中的常用工具
md5sum 
sha1sum  file、sha1sum --check file 
openssl
gpg
示例
[root@CentOS6.9 ~]#echo "test" > hash              #生成一个文件
[root@CentOS6.9 ~]#ls                              #查看
admin.pubkey  anaconda-ks.cfg  bin  hash  install.log  install.log.syslog  test  test.gpg
[root@CentOS6.9 ~]#md5sum hash                     #md5运算产生hash值
d8e8fca2dc0f896fd7cb4cb0031ba249  hash             #hash值
[root@CentOS6.9 ~]#echo "123" >> hash              #在文件的中加一行123
[root@CentOS6.9 ~]#md5sum hash                     #再用md5运算产生hash值
4145c486d60a3d078fc57ac0e7de44bd  hash             #hash值和原来的已经不同了
[root@CentOS6.9 ~]#echo "test" > hash              #把文件重置
[root@CentOS6.9 ~]#md5sum hash                     #再次运算
d8e8fca2dc0f896fd7cb4cb0031ba249  hash             #hash值和原来的相同
[root@CentOS6.9 ~]#md5sum hash > hash.key          #hash运算并把hash值写入hash.key文件中
[root@CentOS6.9 ~]#md5sum -c hash.key              #用这个文件判断原文件的数据有没有改变
hash: 确定                                          
[root@CentOS6.9 ~]#echo "123" >> hash              #把123追加到hash文件
[root@CentOS6.9 ~]#md5sum -c hash.key              #再次判断
hash: 失败
md5sum: 警告:1/1 生成的校验和不匹配
[root@CentOS6.9 ~]#

非对称加密

特点,采用公钥和私钥加密和解密
 公钥:公开给所有人
私钥:自己留存,必须保证其私密性
用公钥加密数据,只能使用与之配对的私钥解密;反之亦然
功能:
 数字签名:主要在于让接收方确认发送方身份
对称密钥交换:发送方用对方的公钥加密一个对称密钥后发送给对方
数据加密:适合加密较小数据
缺点:密钥长, 加密解密效率低下
算法:
RSA     :RSA是目前最有影响力的公钥加密算法,安全性依赖于大数分解。(数据加密,数字签名) 
DSA     :是Schnorr和ElGamal签名算法的变种,基于整数有限域离散对数难题,一个重要特点是两个素数
 公开,这样,当使用别人的p和q时,即使不知道私钥,你也能确认它们是否是随机产生的,还是
作了手脚,RSA算法却做不到。(数字签名)
ELGamal : 公钥密码体制和椭圆曲线加密体,其安全性依赖于计算有限域上离散对数。(数据加密,数字签)

使用gpg工具实现公钥加密

在hostB主机上用公钥加密,在hostA主机上解密
在hostA主机上生成公钥/私钥对
gpg --gen-key
在hostA主机上查看公钥
gpg --list-keys
在hostA主机上导出公钥到wang.pubkey
gpg -a --export -o wang.pubkey
从hostA主机上复制公钥文件到需加密的B主机上
scp wang.pubkey hostB
实验ctntos7传给centos6文件(加密到解密)
centos6加密
gpg --gen-key
生成秘钥
输入密码(可以不输入密码)
提示密码简单
OK
查看秘钥生成
gpg --list-key 查看秘钥生成
将centos6公钥拷贝到centos7主机
切换到centos7主机
gpg --gen-key 添加centos7秘钥
生成秘钥
把centos6公钥导入到centos7的 .gnupg
用centos6公钥给文件加密
把加密文件传输到centos6主机上
切换centos6主机上
删除centos6的秘钥
删除centos7秘钥
gpg --delete-keys centos7 提示删除公钥先删除私钥
gpg --ddelete-keys centos7 删除公钥
完成
上一篇 下一篇

猜你喜欢

热点阅读