渗透Linux学习|Gentoo/Arch/FreeBSDLinux

Linux命令学习手册-gpg

2020-02-28  本文已影响0人  QuietHeart

功能

GPG 是加密和数字签名的免费工具,大多用于加密信息的传递。

除了仅用密码加密外, GPG 最大的不同是提供了“公钥/私钥”对。利用你的“公钥”别人加密信息不再需要告诉你密码,随时随地都能发送加密信息。而这种加密是单向的,只有你的“私钥”能解开加密。

数字签名又是另一大使用方向。通过签名认证,别人能确保发布的消息来自你,而且没有经过修改。

原理

对称密钥加密常用的算法 DESTriple DESIDEA 加密, MD5 。对称密钥加密通信双方持有同样的密钥对密文进行解密。

公共密钥加密在报文和网络方面的应用已成为流行。 RSA 实际上用于公共密钥加密,它是当前所能得到的最强的公共密钥算法。公共密钥包含两个同属于一方的密钥:一个是公共密钥,它被所有人所共享;另一个是私有密钥,归个人秘密中存。与对称密钥加密不同,公共密钥加密对加密与解密使用两把密钥。一把是秘密的,这是私有密钥,用来对密文解密。密文本身由公共密钥产生,公共密钥分发给要发送加密信息给你的人。其他人如何得到你的公共密钥?很容易,发布它即可。你——私有密钥的所有者,是惟一能对信息进行解密的人。

数字签名常用公共密钥加密来产生签名,如 RSADSA 。用公共密钥产生数字签名与信息加密的工作相反。信息通过 hash 函数发送。 hash 处理后的信息用私有密钥加密。一旦数据用私有密钥加密,任何持有公共密钥的人都能检验,它是用私有密钥产生的,这样,数据就被验证了。因此,任何持有公共密钥的人都可以进行检验。这里的 hash 函数用于产生数字签名。 Hash 函数(散列函数)是一个提取信息和产生一个固定长度的信息个性特征的数学函数。无论要进行 hash 方法的信息有多大,输出的长度都一样。简言之,就是将 hash 处理后的信息用私钥加密,其它人用公钥解密恢复成功(恢复成的应该是 hash 处理的结果?)表示加密的人就是你也就是数字签名的验证就成功了。

举例

对称加密和解密

这里,先简单介绍使用 gpg 进行对称加密和解密,后面重点介绍公钥加密和数字验证。

对称加密 myfile

#gpg -c myfile

这样,会提示你输入两次密码,然后生成 myfile 的加密文件 myfile.gpg ,注意不能对目录加密,可以用 -o 选项指定输出文件名称。

解密对称加密的文件

#gpg -o mydecrypt -d myfile.gpg

这样,会提示你输入解密密码,输入之后,将会解密相应的文件,通过 -o 指定生成的解密文件, -d 指定被解密的文件。

公钥加密相关

生成钥匙对

[root@lv-k ~]# gpg --gen-key

输入之后,输出和交互提示如下所示:

gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc. 
This program comes with ABSOLUTELY NO WARRANTY. 
This is free software, and you are welcome to redistribute it 
under certain conditions. See the file COPYING for details. 

gpg: 已创建目录‘/root/.gnupg’ 
gpg: 新的配置文件‘/root/.gnupg/gpg.conf’已建立 
gpg: 警告:在‘/root/.gnupg/gpg.conf’里的选项于此次运行期间未被使用 
gpg: 钥匙环‘/root/.gnupg/secring.gpg’已建立 
gpg: 钥匙环‘/root/.gnupg/pubring.gpg’已建立 
请择您要使用的密钥种类: 
   (1) DSA 和 ElGamal (默认) 
   (2) DSA (仅用于签名) 
   (5) RSA (仅用于签名) 
您的择?[Enter] <====输入 
DSA 密钥对会有 1024 位。 
ELG-E 密钥长度应在 1024 位与 4096 位之间。 
您想要用多大的密钥尺寸?(2048)[Enter] <====输入 
您所要求的密钥尺寸是 2048 位 
请设定这把密钥的效期限。 
         0 = 密钥永不过期 
        = 密钥在 n 天后过期 
      w = 密钥在 n 周后过期 
      m = 密钥在 n 月后过期 
      y = 密钥在 n 年后过期 
密钥的效期限是?(0)[Enter] 
密钥永远不会过期 
以上正确吗?(y/n)y <====输入 

您需要一个用户标识来辨识您的密钥;本软件会用真实姓名、注释和电子邮件地址组合 
成用户标识,如下所示: 
    “Heinrich Heine (Der Dichter) ” 

真实姓名:quietheart <====输入 
电子邮件地址:quiet_heart000@126.com <====输入 
注释:test <====输入 
您定了这个用户标识: 
    “quietheart (test) ” 
更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?o <====输入 
您需要一个密码来保护您的私钥。 

请输入密码:<====输入 
请再输入一次密码:<====输入 

我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动 
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。 
++++++++++.+++++++++++++++.++++++++++.++++++++++++++++++++++++++++++.++++++++++++++++++++.+++++++++++++++++++++++++.++++++++++++++++++++>+++++.+++++........................................+++++ 
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动 
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。 
+++++++++++++++.+++++++++++++++.++++++++++++++++++++.+++++++++++++++++++++++++..++++++++++.+++++.+++++..++++++++++.++++++++++.++++++++++..+++++++++++++++..+++++>++++++++++>+++++...........................................................................+++++^^^ 
gpg: /root/.gnupg/trustdb.gpg:建立了信任度数据库 
gpg: 密钥 DDBA2DEA 被标记为绝对信任 
公钥和私钥已经生成并经签名。 

gpg: 正在检查信任度数据库 
gpg: 需要 3 份勉强信任和 1 份完全信任,PGP 信任模型 
gpg: 深度:0 有效性:  1 已签名:  0 信任度:0-,0q,0n,0m,0f,1u 
pub   1024D/DDBA2DEA 2011-06-14 
密钥指纹 = 790A 0F2D 6826 61F3 A749  0724 DBB2 C0A5 DDBA 2DEA 
uid                  quietheart (test)  
sub   2048g/2BBE2C91 2011-06-14

这里,首先要一个钥匙对才能公钥加密,这里根据系统情况不同,可能内容为英文。需要用户交互输入的地方,都通过"<====输入"这个标记指出来了。若对输入信息有所改动 ,可把 ~/.gnupg 目录下除 options 以外的文件删除 ,再运行 gpg --gen-key 命令 ,或者使用 gpgedit 选项 . 钥匙对放在 ~/.gnupg 目录下 .

查看已有的钥匙

[root@lv-k .gnupg]# gpg --list-keys

输入之后,输出如下:

/root/.gnupg/pubring.gpg 
------------------------ 
pub   1024D/DDBA2DEA 2011-06-14 
uid                  quietheart (test)  
sub   2048g/2BBE2C91 2011-06-14

这里,

假如没使用 root 进行操作,可能会输出如下信息: gpg: Warning: using insecure memory! 警告没有锁定内存页 ,一般是连接网上操作有关安全方面的问题 ,没有事情的 ,可以作这样的改动 # chmod 4755 /usr/bin/gpg

使用gpg密钥进行加密和解密文件

下面我们通过一个具体的例子,演示公钥加密,私钥解密的过程。这里加/解密方式采用 RSA 算法,公匙与私匙是互补,理论上是不可破解,也没有人尝试成功过。假设我们已经使用前面的方法生成了密钥对。

1、首先查看待加密的文件如下

[root@lv-k gpg_test]# ls 
mygpgtest 
[root@lv-k gpg_test]# cat mygpgtest 
hello! 
welcome come to here 
today is 2011-06-14

2、公钥加密过程

  1. (1)使用如下命令加密文件

    [root@lv-k gpg_test]# gpg -ea -r quietheart mygpgtest
    

    这里,使用的密钥就是前面创建的 quietheart ,我们可以使用 gpg --list-keys 来查看我们可以选择用来加密的公钥。这里选项 -e 实际就是 --encrypt 表示加密数据; -a 表示创建 ASCII 的输出(可以不用这个选项,这样生成的文件就不是 ASCII 的内容了,并且文件后缀是 *.gpg ); -r 指定加密的用户 id 名称。

  2. (2)查看加密之后的文件

    [root@lv-k gpg_test]# ls 
    mygpgtest  mygpgtest.asc 
    [root@lv-k gpg_test]# cat mygpgtest.asc 
    -----BEGIN PGP MESSAGE----- 
    Version: GnuPG v1.4.5 (GNU/Linux) 
    
    hQIOA6PEEmMrviyREAf9HCZ5xIlSppneZ6i7Hquxb7xUjn1q0W5ccVek6x0DxSbH 
    q55ugy6CmCc/excLC/zblf9qHsNDcZvMV3jjD95gu78NR1lsyDtpG9r5bX/MuPii 
    KxYc3oOvGNmDUO9F/g3ul9VCu/rsIkQvwxZHaEGXR3G6XH/tmhKZcjNNIxb1qQiq 
    xE7O0NCXEhp8FpOPozY1MzZ7wv4rXLujTrGl13sNqjSVLgp1mcUzuMRCtenttXpg 
    q1sXDJ7FXkxQy7UvO8eMmMzPqkFm7KfLYZjkXrYo5ZhG+nfXqs3/HSuJ1fVe8m4/ 
    +PVW1Uw2QtkfJiZVxOj60cV0lcK/P1bJHah5xEtbnQf/fI1jitFIuoJjTkoCNbeO 
    Sq6Kr0+LjJMaXmlCeA6kZ7RXLHak/O5aR0BpXJCPUBIEFVnu6dftolO6JPcqMbW+ 
    5oI4NHaJunHz0eTgOuFBsV3EVjYmH7rabV832ikY0MARWRh/b/osUv+Ht9BlUHaY 
    pLoGPXkLeSsCDo714Z/dufLGUEFcNxx/QAmhWGiKH4MacMvKBVE+2uzcMAWqnyEW 
    Oaz0bI893YUtbQbti2rdQgVdHHXjWCmQ2YnMWv4pSBAwK7rPOrtehmdsmiOuit6x 
    FHvHPldc1o38u0Jg4d0LjCv/rRBdQwasJzr46dwJBOCv5rQ9Rkuul+6rhFQGns1G 
    jtJxAZIWwu8ZqD572a3jYVbIl/qBAW+dM3Fnt9NRqFUJVtdrd/AIAFm/OIwlVACF 
    Cbmjyxqliv/WYxNdJFL+IsHMX2Ury9TT2LMaDXxez6LRPMxJxRZSFhuyoYAqDYKT 
    NI1LSODDRZ1WYlCOkPXlrSfzyig= 
    =IN1g 
    -----END PGP MESSAGE-----
    

    这里,我们可以看出,加密之后生成 mygpgtest.asc 文件,其中的内容已经经过加密了。

3、公钥解密过程

  1. (1) 使用如下命令进行解密

    [root@lv-k gpg_test]# gpg -o mydecrypt --decrypt mygpgtest.asc 
    
    您需要输入密码,才能解开这个用户的私钥:“quietheart (test) ” 
    2048 位的 ELG-E 密钥,钥匙号 2BBE2C91,建立于 2011-06-14 (主钥匙号 DDBA2DEA) 
    
    请输入密码:<=====输入密码 
    您需要输入密码,才能解开这个用户的私钥:“quietheart (test) ” 
    2048 位的 ELG-E 密钥,钥匙号 2BBE2C91,建立于 2011-06-14 (主钥匙号 DDBA2DEA) 
    
    gpg: 由 2048 位的 ELG-E 密钥加密,钥匙号为 2BBE2C91、生成于 2011-06-14 
          “quietheart (test) ”
    

    这里,使用 -o 指定输出文件,使用 --decrypt 指定待解密文件。我们可以看出,解密的时候,我们需要输入密码,才能解密成功,而密码就是之前我们创建钥匙对时候输入的那个密码。注意,这里因为生成密钥,加密,解密都在一个机器上进行,所以可以成功解密,如果把加密之后的文件拿到别的机器上面,就无法解密了,如果想要在其它机器上面解密,我们需要把本地私钥导出,发送给待解密的机器,然后在解密的机器上把刚刚导出的私钥导入,就行了.后面会说到如何解密。如果想要别人和你使用这个加密的方法通信,需要把你的公钥导出,发给别人,然后他们把这个公钥导入,在使用前面加密的方法用这个公钥加密数据并且发送给你,你再用你自己的私钥解密,得到解密后的原始数据,这也是公钥加密通信使用的常用方法。后面会详细讲述如何导出本地的公钥和私钥,以及如何在其它机器上面导入之前导出的密钥。

  2. (2) 查看解密生成的文件

    [root@lv-k gpg_test]# ls 
    mydecrypt  mygpgtest  mygpgtest.asc 
    [root@lv-k gpg_test]# cat mydecrypt 
    hello! 
    welcome come to here 
    today is 2011-06-14 
    [root@lv-k gpg_test]#
    

导出(备份)公钥

[root@lv-k gpg_test]# gpg -o mypubkey --export DDBA2DEA

这里使用命令 gpg -o keyfilename --export KeyID ,使用 -o 指定生成的导出文件名称,使用 --export 指定想要导出的密钥 ID , 如果没有 KeyID 则是备份所有的公钥,如果加上 -a 的参数则输出文本格式的信息,否则输出的是二进制格式信息。导出的公钥,可以发布,其它人只要导入你发布的公钥,就能用这个公钥加密数据并且发送给你,你再用你自己的私钥解密,得到解密后的原始数据,这也是公钥加密通信使用的常用方法。

以文本方式导出公钥

[root@lv-k gpg_test]# gpg -a -o mypubkeyascii --export DDBA2DEA

导出的文件mypubkeyascii可以查看其内容,这里内容如下:

mypubkeyascii 
-----BEGIN PGP PUBLIC KEY BLOCK----- 
Version: GnuPG v1.4.5 (GNU/Linux) 

mQGiBE320yYRBACUvTPS5Jxv2xamVudHL//PBhJESyUzHQcGtb/CPzyAkOaNVQ7U 
V0DEjd+m61SAv7wwWItn9D3fOjZ09EdGY/9mHeVEOGLPdB7Seo28UyRtr6vHCrrl 
1qHBS6I6jQ/iATDg+07O9hgDp5eCebI4aNyRGeRARx0t5vKguIF+FEzmIwCghWM8 
toTSnP/bC1VePRXEZ9Uw+OkD/0cYIH2AZIKdbtjQ9J6F7AtgiPqRnjiTL7mOj6Xa 
ncjThX9XGH5DUMoqR6Gaq9/eDtlefMwHCweiqdm1TNnvU/b7qDpw1TjxVLkHHVZk 
8F4f8LsSkJNuLiqOwXwOJkuevQZ+Y3quFl3nsOtURSx5nuKkekp4toOWSe3fEFWd 
BQN5A/9Cxj55KWXzzYD8v+z0xiC3HvIWgUp0GTfcjSOfdhs9xtKe33LuGy7hoEt0 
TfQpTnz8Il1cbHHYvtmAaaGrwBnBxoYrLrH5WrHx1n34ZdOszYK5p/yKW+g+0eLt 
dv/f4uXEhfPInOk21X5PRGFcyNo3fMVGIHo1S8oiEX4fuEvwWrQqcXVpZXRoZWFy 
dCAodGVzdCkgPHF1aWV0X2hlYXJ0MDAwQDEyNi5jb20+iGAEExECACAFAk320yYC 
GwMGCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAAKCRDbssCl3bot6o2bAJ918FqgoPMs 
4eIQOWBDVs5sS9hSbgCfTbOggNKPJtCPJq4zr/jaPctE7Qi5Ag0ETfbTLBAIAKUn 
cibGAlBwN5nW2NCN52oXWAsIXTDnUP7FmKi8K6B2PO7Bex2e95f44iOyBtLo73KF 
vH64Wbl7wGQ0IOnn/AQbivoa9oaBi4+2mf9PbGMvo2Nrii8xcvBfvrh8Q7XsRoOH 
obKv3inOGvxb0fkdUn1WkyYGtWCIl5aK8b1jUACuB6Sbdxtkeg3DrQp3BZjxgkVa 
etgPnj70AtJfTFnn5WSIkBGJq2pbs7E9wNQC7NvIe62DHJj1nsPJg/d9ZdFWnQiW 
HO6ik3bjRBLR4Iy82cjVOI2JmiaKVlPktphZ9id5F/a3BlcaOF5wSovE4ssHdZGN 
cvk4QPLr0X9G43ZBTmcAAwUH/07bUjqWu61uIq5XryRK99pTNLlwd1AdsB/HTgFp 
UJxSZ7MRbtozvdBPVKFehAzZ13YSjiES0f1L3oGBsEeEhCPyHY+N80R+zuLMeZTx 
6kFNLlm/PEFNrnFpqGPEJZ/1HRyt+hTsfFCFM4nYzhul7s10XKGiHHN1wUMc/ixt 
+tmk/dD6IA/QnhI1WUMzF2XgJ3Ql4ZmLCSNV7CXPEt044J8ZnuTT+HwO4AX7bfSt 
PTpyi7LMD/BVfOikczvf38Bz/IUnXi8x1pjBglZBE7jvkqc+nqe7BYQ/ga27c374 
zQDIAmAXcZ0TR35T+ZiyavQHKiRSuAG0q3T2oO74yvb8AgmISQQYEQIACQUCTfbT 
LAIbDAAKCRDbssCl3bot6uJ8AJ4h8ShsY6DLjmJjitl+8iHnh5tZQACeOqHsQXjr 
dei6gV8vMB87xwbWe5E= 
=ynen 
-----END PGP PUBLIC KEY BLOCK-----

一般,许多地方网上通过这个文本方式发布公钥。

导出(备份)私钥

[root@lv-k gpg_test]# gpg -o mysubkey --export-secret-keys 2BBE2C91

如果没 KeyID 则是备份所有的私钥, -o 表示输出到文件 mysubkey 中,如果加上 -a 的参数则输出文本格式的信息,否则输出的是二进制格式信息。

导入私钥

$gpg --import mysubkey

输入之后,输出如下:

gpg: 密钥 DDBA2DEA:私钥已导入 
gpg: /home/lv-k/.gnupg/trustdb.gpg:建立了信任度数据库 
gpg: 密钥 DDBA2DEA:公钥“quietheart (test) ”已导入 
gpg: 合计被处理的数量:1 
gpg:           已导入:1 
gpg:       读取的私钥:1 
gpg:       导入的私钥:1

这里,如果导入公钥命令是一样的,不过指定的文件应该是 mypubkey 了。这个命令是另外一台机器上运行的,导入私钥之后那个机器就可以使用这个私钥解密数据了。一般来说我们都是发布公钥让人导入,而不是导入私钥匙。

实践发现,

无论导入的是公钥还是私钥,导入后可以通过 gpg --list-keys 来查看导入结果,而且从结果可以看到没有导入的那个配对(或者私钥或者公钥)的 KeyID

签名与验证

签名作用是验证明文、加密文件、密钥是来自正确的发送者的,没经过其它人的修改。签名使用的也是密钥对,与加密操作相同。只是在结果上,有点不同。它只是在文件最后添上加密的验证信息(签名)。一旦文件有所改变,签名验证就会出错。比如我们 ubuntu 安装软件时,首先要用事先保存的密钥(大多从 hkp://keyserver.ubuntu.com 获得)验证软件源的签名,以保证我们连的是正确的安全的下载服务器。

查看之前的目录和文件如下

[root@lv-k gpgtest]# pwd 
/root/tmpTrans/gpgtest 
[root@lv-k gpgtest]# ls 
mydecrypt 
[root@lv-k gpgtest]# cat mydecrypt 
hello! 
welcome come to here 
today is 2011-06-14

生成签名,过程如下

[root@lv-k gpgtest]# gpg -o mydecrypt.sig -s mydecrypt 

您需要输入密码,才能解开这个用户的私钥:“quietheart (test) ” 
1024 位的 DSA 密钥,钥匙号 DDBA2DEA,建立于 2011-06-14 

请输入密码: <====这里输入你的密码 

[root@lv-k gpgtest]# ls 
mydecrypt  mydecrypt.sig

这里可以看到生成了 mydecrypt.sig 文件(其内容是乱码),其中, mydecrypt 是原文件, mydecrypt.sig 包含了原文件和签名,是二进制的,这个命令会要求你输入私钥密码。

产生文本格式的签名

[root@lv-k gpgtest]# gpg -o mydecrypt.sig --clearsign mydecrypt 

您需要输入密码,才能解开这个用户的私钥:“quietheart (test) ” 
1024 位的 DSA 密钥,钥匙号 DDBA2DEA,建立于 2011-06-14 

请输入密码: <====这里输入你的密码 

[root@lv-k gpgtest]# cat mydecrypt.sig 
-----BEGIN PGP SIGNED MESSAGE----- 
Hash: SHA1 

hello! 
welcome come to here 
today is 2011-06-14 
-----BEGIN PGP SIGNATURE----- 
Version: GnuPG v1.4.5 (GNU/Linux) 

iD8DBQFOCFkQ27LApd26LeoRAvC+AJ9xp1HLT6zup7AZtan5qpQrpQyn1QCfV0Zy 
HG+z+/hxfrbs9pzo6ODYDG4= 
=o1+k 
-----END PGP SIGNATURE-----

这里,通过以上可知产生的 mydecrypt.sig 同样包含原文件和签名,文件是文本格式的,原文件不变。解开和验证签名的方法

验证签名

[root@lv-k tmp]# gpg --verify mydecrypt.sig 
gpg: 于 2011年06月27日 星期一 17时58分39秒 CST 创建的签名,使用 DSA,钥匙号 DDBA2DEA 
gpg: 完好的签名,来自于“quietheart (test) ”

这里,在验证之前,必须导入文件作者的公钥,对于分离式签名最后还要加上原文件参数(后面会讲到)。

将签名文件恢复

[root@lv-k tmp]# gpg -o my --decrypt mydecrypt.sig 
gpg: 于 2011年06月27日 星期一 17时58分39秒 CST 创建的签名,使用 DSA,钥匙号 DDBA2DEA 
gpg: 完好的签名,来自于“quietheart (test) ” 
[root@lv-k tmp]# cat my 
hello! 
welcome come to here 
today is 2011-06-14

这里,不需要输入密码,生成的文件 my 和原来的文件名称一样。

签名并加密

[root@lv-k gpgtest]# gpg -o mydecrypt.sig -ser quietheart mydecrypt 

您需要输入密码,才能解开这个用户的私钥:“quietheart (test) ” 
1024 位的 DSA 密钥,钥匙号 DDBA2DEA,建立于 2011-06-14 

请输入密码: <====这里输入你的密码

这里,无法直接通过 gpg --verify mydecrypt.sig 对文件 mydecrypt.sig 进行验证。而是在解密恢复文件的时候直接验证了,后面会说到。

恢复加密的签名文件

[root@lv-k gpgtest]# gpg -o my --decrypt mydecrypt.sig 

您需要输入密码,才能解开这个用户的私钥:“quietheart (test) ” 
2048 位的 ELG-E 密钥,钥匙号 2BBE2C91,建立于 2011-06-14 (主钥匙号 DDBA2DEA) 

请输入密码: <====这里输入你的密码,输入之后提示自动消失 
gpg: 由 2048 位的 ELG-E 密钥加密,钥匙号为 2BBE2C91、生成于 2011-06-14 
“quietheart (test) ” 
gpg: 于 2011年06月27日 星期一 18时11分27秒 CST 创建的签名,使用 DSA,钥匙号 DDBA2DEA 
gpg: 完好的签名,来自于“quietheart (test) ” 

[root@lv-k gpgtest]# cat my 
hello! 
welcome come to here 
today is 2011-06-14

这里,解密之后进行验证,而不是直接验证,因为不能通过 gpg --verify mydecrypt.sig 直接验证加密的签名文件。

分离式签名

[root@lv-k gpgtest]# gpg -o mydecrypt.sig -ab mydecrypt 

您需要输入密码,才能解开这个用户的私钥:“quietheart (test) ” 
1024 位的 DSA 密钥,钥匙号 DDBA2DEA,建立于 2011-06-14 

请输入密码: <====这里输入你的密码,输入之后提示自动消失 

[root@lv-k gpgtest]# cat mydecrypt.sig 
-----BEGIN PGP SIGNATURE----- 
Version: GnuPG v1.4.5 (GNU/Linux) 

iD8DBQBOCZDP27LApd26LeoRArTQAJ9q13/4jVvJbg5f83lNnoC1Gq111wCfWRm8 
1awHtUl2sN9SWNt0qNoFQHw= 
=ySnh 
-----END PGP SIGNATURE-----

这里, mydecrypt.sig 仅包含签名,分离式签名的意思是原文件和签名是分开的。 b 选项表示分离式签名 detach-sign

对分离的签名进行验证

[root@lv-k gpgtest]# gpg --verify mydecrypt.sig mydecrypt 
gpg: 于 2011年06月28日 星期二 16时29分03秒 CST 创建的签名,使用 DSA,钥匙号 DDBA2DEA 
gpg: 完好的签名,来自于“quietheart (test) ”

这里,和前面的验证方式不同,因为签名和数据文件是分离的,所以验证时,指明签名文件 mydecrypt.sig 的同时也要指明相应的数据文件 mydecrypt 。因为签名是分离的,所以不需要使用 --decrypt 进行恢复,如果恢复那么也仅仅是打印出签名的信息(这里"恢复"的时候不用指明数据文件,会提醒你指出数据文件的位置)。

其他

编辑公钥

可以对公钥进行编辑,这里没具体实践,大致过程如下:

#gpg --edit-key someone

someone 是别人的用户 id ,输入之后,出现命令提示符号。

>fpr <===输入这个表示查看someone的指纹,核对信息真实性,这样之后签署。 
>sign <===输入这个签署公钥,这样以后再使用它加密的时候不会产生警告了。 
>check <===输入这个,检查someone已有的钥匙的签名。 
>quit <===输入这个,退出交互,可能会提示你保存之前的设置。

参考

上一篇下一篇

猜你喜欢

热点阅读