导入公钥 作为用户,也会收到别人的GPG公钥,它们可能来自网站、电子邮件、FTP和目录服务等,只要信任其来源,就可以将其导入自己的GPG环境,之后才可以与相应的人员进行基于GPG的各种应用。导入公钥的过程可以分为以下三步: 1.导入 比如,Terry收到朋友Brian的公钥文件brian.gpg,可以使用以下命令导入文件: #gpg --import terry.gpg 2.核对“指纹” 公钥是可以伪造的。James可以伪造一个Brian的公钥,然后想办法让Terry得到。如果Terry对收到的公钥不加验证,那么他发给Brian的加密邮件就可能被James解密。GPG的架构中并没有一个PKI这样的证书管理系统,GPG的公钥信任是通过“Truth Web”实现的。 生成Terry公钥的“指纹”: #gpg --fingerprint
[email protected] pub 1024D/7234E374 2004-09-10 Terry Yu (for test) <
[email protected]> Key fingerprint = A58F D71A 28BA 499D 805B 588E 82FB CD0F 7234 E374 sub 2048g/4907EA0A 2004-09-10 [eXPires: 2005-09-10] 这个“指纹”是惟一的。可以通过与对方核对“指纹”是否一致,来确定这个公钥是否可信和合法。 3.签名 在成功导入,并确定这个公钥是可以相任之后,要立即对这个公钥进行签名。这样,就可以验证来自对方邮件的真实性了。 对公钥进行签名可以使用如下命令: #gpg --sing-key
[email protected] 或者 #gpg --edit-key name #command > sign 检查对方邮件,比如Brian的签名: #gpg --check-sigs
[email protected] 现在,有了Brian签名的公钥,通过这个公钥就可以和Brain进行非对称加密通信了。
应用GPG GPG使用的是非对称的密钥体系,用户拥有一对密钥,包括一个公钥和一个私钥。公钥对外公布,私钥则由自己保存。使用公钥加密的数据可以用私钥解密,同样,使用私钥加密的数据可以用公钥解密。 非对称的密钥可以用来加密和做数字签名。当用户关心信息保密性时,使用加密功能;当用户关注信息完整性及不可抵赖性时,使用数字签名功能;当用户需要同时关注信息的机密性、完整性及不可抵赖性时,可以将加密和数学签名混合使用。 简单了解这些密码学概念后,就可以开始真正的应用实践了。
对文件进行加密和数字签名 KDE中提供了图形化的加密操作方法。比如,在KDE中对一个文件加密,只需在KDE文件管理器Konqueror中选中该文件,单击右键选择“Actions”中的“Encrypt File”就可以加密文件。加密后的文件以.asc结尾。 对于图形方式的加密操作不多做介绍,下面将重点放在命令行操作方式上,介绍命令行下的各种文件加密和签名的操作方法。 1.对文件进行数字签名 #gpg --clearsign policy.txt You need a passphrase to unlock the secret key for user: "test (test) <
[email protected]>" 1024-bit DSA key, ID ADD93830, created 2004-07-01 运行以上命令,生成一个名为report.txt.asc的文件,该文件中除了原文件信息外还包含数字签名信息。 2.验证文件的数字签名 #gpg --verify policy.txt.asc gpg: Signature made 2004年11月04日 星期四 15时58分07秒 UTC using DSA key ID ADD93830 gpg: Good signature from "test (test) <
[email protected]>" 以上命令运行的结果显示该签名是正确的。 3.用指定的公钥对文件加密 #gpg --encrypt -r
[email protected] report.txt gpg: checking the trustdb gpg: checking at depth 0 signed=0 ot(-/q/n/m/f/u)=0/0/0/0/0/1 gpg: next trustdb check due at 2005-09-10 运行以上命令,使用自己的公钥加密report.txt文件,生成加密文件report.txt.gpg。如果使用编辑软件打开该加密文件,会发现它包含的是一些不可理解的字符和乱码。 4.用私钥对加密文件解密 #gpg --decrypt report.txt.gpg >report.txt You need a passphrase to unlock the secret key for user: "test1 (unclassfication) <
[email protected]>" 2048-bit ELG-E key, ID 33735683, created 2004-09-29 (main key ID 79EB3D97) gpg: encrypted with 2048-bit ELG-E key, ID 33735683, created 2004-09-29 "test1 (unclassfication) <
[email protected]>" 以上命令要求输入对应私钥的保护口令才能成功解密,解密后的文件内容被输出到report.txt文件中。 5.用公钥同时进行文件签名和加密 #gpg -se -r
[email protected] report.txt You need a passphrase to unlock the secret key for user: "test (test) <
[email protected]>" 1024-bit DSA key, ID ADD93830, created 2004-07-01 以上命令要求输入对应私钥的保护口令,输入正确的口令后,签名和加密成功完成。 这些都是应用GPG签名和加密文件的一些常用命令,更详细的用法可以参考GPG的帮助文件。
对电子邮件进行加密和数字签名 实际上,GPG应用最多的地方是在电子邮件的加密和数字签名上。许多电子邮件客户端软件都支持PGP/GPG方式的加密及数字签名。这里以Kmail为例,介绍如何设置Kmail,并利用Kmail发送加密及数字签名的电子邮件。 Kmail是KDE环境中的电子邮件客户端,类似于Windows下的Outlook Express。在选单中选择“Settings→Configure-Kmail→Identites”,选定一个身份,单击“Modify”进行编辑。选择其中的“Advanced”标签页,可以看到类似图2的界面。 图2 Kmail的设置界面 其中,“OpenPGP Key”项是该身份所对应的PGP或GPG密钥,可以单击“Change”按钮从GPG环境中选择对应的密钥对。 保存后,GPG的设置完成。试写一封邮件,如图3所示。图中工具栏中凹下去的“钢笔尖”图标表示此邮件使用了数字签名,紧靠旁边的锁形图标表示加密,如果两个图标都凹下去则表示同时使用了加密和数字签名。 图3 使用数字签名的电子邮件 发送邮件时,Kmail会要求给出对应密钥的保护口令,如图4所示。 图4 要求输入密钥保护口令 正确输入保护口令后,会弹出一个确认窗口,如图5。 图5 确认窗口 确认内容无误后,单击“OK”按钮,一封带有数字签名的电子邮件就成功发出。发送加密邮件,以及发送同时加密和数字签名的邮件,方法都是类似的。
软件包签名验证 对于Red Hat等Linux发行商来说,他们常常会利用GPG对发布的软件包进行签名。用户可以通过验证软件包的签名来确保得到的软件包没有损坏,或者是被他人动过手脚。 验证一个下载软件包的GPG签名可以按照以下步骤来进行: 1.从网上下载或其它方式得到软件发行商的公钥,并将其导入自己的GPG环境中。 2.通过对比“电子指纹”来确认公钥,并对此公钥进行签名。 3.使用以下命令来验证软件包的GPG签名: #gpg --verify singaturefile.tar.gz taballpackage.gz 如果该软件是RPM格式的,还可以使用如下命令来验证: #rpm -Kv your.rpm
密钥管理 前面介绍了GPG在加密和签名两方面的应用,在应用过程中用户要认真地对待密钥管理问题。GPG的密钥采用的是信任机制,并没有一个中心的PKI可以帮助发布和验证GPG用户的公钥。为了防止公钥欺骗,保证公钥的不可否认性(Non-repudiation),需要有一种机制来进行管理。下面是一些有益的建议,可供参考。 ◆ 备份好私钥 一旦私钥丢失或损坏,则无法打开以前加密的文件。并且,即使知道私钥被他人滥用,也无法使自己的公钥过期。有了私钥的备份,就能有效地回避此类风险。 ◆ 建立有过期保护的公钥机制 万一私钥丢失不能人工收回公钥时,公钥也可以在预定时间后自动过期。 ◆ 为私钥加上强口令保护 这样,即使私钥文件泄漏,还有口令保护。保护口令一定要有足够的复杂度,才能有效地对抗暴力破解。 ◆ 多重机制 在紧急情况下恢复密钥要有多重控制。 ◆ 使用版本控制软件 使用版本控制软件来收集和维护自己的公钥库。版本控制软件可以有效地记录历史变更情况,保证公钥库的有条不紊。
小结 GPG作为一个开源并且免费的加密和数字签名软件已经存在多年。它不但可以为企业、个人之间的重要信息提供加密保护,还可以为出版的软件、内核等电子产品进行数字签名
[1] [2] 下一页
(出处:http://www.sheup.com)
上一页 [1] [2]