当前位置:首页 » 《关于电脑》 » 正文

Linux gpg命令(gpg指令、gpg加密工具)(GNU Privacy Guard、GnuPG)文件压缩加密、文件加密、文件解密、文件压缩密码、解压密码、GPG密钥、数字签名、非对称加密

10 人参与  2024年04月05日 18:01  分类 : 《关于电脑》  评论

点击全文阅读


文章目录

Linux GPG加密工具1. 安装和设置GPG安装gpg创建gpg密钥 2. GPG密钥管理2.1 查看密钥列表、导出和导入GPG密钥、删除密钥查看密钥列表关于密钥信任级别(ultimate、unknown、none、marginal、full) 导出公钥导入公钥删除密钥(公钥和私钥)示例 2.2 备份和恢复GPG密钥备份私钥恢复私钥 3. 加密和解密数据加密数据解密数据 4. 使用GPG进行数字签名创建数字签名验证数字签名 5. GPG技术点解析5.1 GPG加密原理5.2 GPG与对称加密5.3 GPG数字签名原理 6. GPG简单文件非对称加密解密示例(脚本自动无阻塞输入)1. 加密示例 2. 解密示例 注意事项

Linux GPG加密工具

GNU Privacy Guard (GnuPG或GPG) 是一个完全免费的开源实现,用于OpenPGP标准的数据加密和解密。这种加密方式可以用于保护敏感数据,确保其在传输过程中不被截获或篡改。本文将介绍在Linux环境中如何使用GPG加密工具。

1. 安装和设置GPG

安装gpg

在大多数Linux发行版中,GPG已经预先安装了。

如果未安装,则可以使用相应的包管理器进行安装。例如,在基于Debian的系统上,可以使用以下命令:

sudo apt-get install gnupg

创建gpg密钥

首次使用GPG时,需要生成一对密钥,包括公钥和私钥。这可以通过以下命令完成:

gpg --gen-key

我给我的Arnold用户/sxana@qq.com邮箱创建了密钥:

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

root@sx-virtual-machine:/userdata/testOtherPrj/20231108_testKeys# gpg --gen-keygpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc.This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law.Note: Use "gpg --full-generate-key" for a full featured key generation dialog.GnuPG needs to construct a user ID to identify your key.Real name: ArnoldEmail address: sxana@qq.comYou selected this USER-ID:    "Arnold <sxana@qq.com>"Change (N)ame, (E)mail, or (O)kay/(Q)uit? OWe need to generate a lot of random bytes. It is a good idea to performsome other action (type on the keyboard, move the mouse, utilize thedisks) during the prime generation; this gives the random numbergenerator a better chance to gain enough entropy.We need to generate a lot of random bytes. It is a good idea to performsome other action (type on the keyboard, move the mouse, utilize thedisks) during the prime generation; this gives the random numbergenerator a better chance to gain enough entropy.gpg: key C0304E2CCF82E773 marked as ultimately trustedgpg: directory '/root/.gnupg/openpgp-revocs.d' createdgpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/739D66D45E6FEF19870D1188C0304E2CCF82E773.rev'public and secret key created and signed.pub   rsa3072 2023-11-08 [SC] [expires: 2025-11-07]      739D66D45E6FEF19870D1188C0304E2CCF82E773uid                      Arnold <sxana@qq.com>sub   rsa3072 2023-11-08 [E] [expires: 2025-11-07]

关于公钥私钥原理,可以参考文章:SSH公钥原理(密钥,秘钥,私钥)

2. GPG密钥管理

2.1 查看密钥列表、导出和导入GPG密钥、删除密钥

查看密钥列表
gpg --list-keys

在这里插入图片描述

关于密钥信任级别(ultimate、unknown、none、marginal、full)

在GPG中,ultimateunknown是表示密钥信任级别的术语。

ultimate:表示你对这个密钥有最高程度的信任。通常,你自己生成的密钥的信任级别会被设置为ultimate,因为你可以确定这个密钥确实属于你,而且你完全控制这个密钥。

unknown:表示你对这个密钥的信任程度未知。这可能是因为这个密钥是新导入到你的密钥环的,你还没有设定对它的信任级别。

GPG的信任模型允许你设定对每个公钥的信任级别,以帮助确定其他公钥的有效性。除了ultimateunknown外,还有以下几种信任级别:

none:表示你对这个密钥没有信任。marginal:表示你相当确定这个密钥的所有者就是它声称的那个人。full:表示你非常确定这个密钥的所有者就是它声称的那个人。

在大多数情况下,你不需要手动设定密钥的信任级别,除非你在使用GPG的Web of Trust特性。

导出公钥

共享公钥使其他人能够发送加密消息。下面的命令将公钥导出到文件:

gpg --output public.key --armor --export [Your-Email]

在这里插入图片描述

注意:如果同一个邮箱下有多个密钥,统统导出到一个文件。

导入公钥

当接收别人的公钥时,需要将其导入密钥环。可以使用以下命令:

gpg --import public.key

在这里插入图片描述

注意:如果密钥文件中有多个公钥(应该是同一个邮箱),都会统统导入。

删除密钥(公钥和私钥)

要删除GPG密钥对(包括公钥和私钥),需要先知道密钥的ID。可以通过以下命令列出所有的公钥,并找到要删除的公钥的ID:

gpg --list-keys

该命令将列出密钥环中的所有公钥,每个公钥都有一个唯一的ID。找到要删除的公钥的ID后,可以使用以下命令来删除它:

gpg --delete-key YOUR_KEY_ID

这里,YOUR_KEY_ID应替换为你想要删除的公钥的ID。

注意:如果还存在与公钥相关联的私钥,那么在尝试删除公钥时,GPG会提示你首先需要删除私钥。可以使用以下命令来删除私钥:

gpg --delete-secret-key YOUR_KEY_ID

在删除私钥之后,就可以按照上面的步骤来删除公钥了。

请谨慎处理这些操作,因为一旦删除了密钥,就无法恢复。除非你有备份,否则所有用该密钥加密的信息都将无法解密。

示例

删除公钥,提示这个公钥包含私钥,要先删除私钥:

在这里插入图片描述

在这里插入图片描述

删除私钥后,我们再删除公钥:

在这里插入图片描述

2.2 备份和恢复GPG密钥

备份私钥

私钥是非常重要的,因此应该定期备份。下面的命令可以将私钥导出到文件:

gpg --output private.key --armor --export-secret-keys [Your-Email]

注意:如果邮箱下只有公钥没有私钥,是没法备份的。会输出像以下结果:

在这里插入图片描述

正常备份私钥,是像下面结果:

在这里插入图片描述

在这里插入图片描述

恢复私钥

如果需要从备份中恢复私钥,可以使用以下命令:

gpg --import private.key

在这里插入图片描述

3. 加密和解密数据

GPG支持多种数据类型的加密和解密,包括文本、二进制文件等。

加密数据

下面的命令将对doc.txt进行加密:

gpg --output doc.gpg --encrypt --recipient [Recipient-Email] doc.txt

在这里插入图片描述

解密数据

接收者可以使用自己的私钥来解密数据:

gpg --output doc.txt --decrypt doc.gpg

4. 使用GPG进行数字签名

数字签名提供了一种方法来验证消息的完整性和来源。

创建数字签名

gpg --output doc.sig --detach-sig doc.txt

验证数字签名

gpg --verify doc.sig doc.txt

5. GPG技术点解析

5.1 GPG加密原理

GPG使用公钥加密算法,这意味着每个用户都有一对密钥。公钥用于加密数据,私钥用于解密数据。由于私钥需要保密,所以通常存储在用户的本地系统上,并通过密码保护。

5.2 GPG与对称加密

虽然GPG主要使用公钥加密,但实际上它使用了一种混合的方法。对于大型数据,GPG会生成一个一次性的会话密钥,并使用此密钥进行对称加密。然后,再用接收者的公钥加密会话密钥。

5.3 GPG数字签名原理

GPG的另一个重要功能是数字签名。这是通过将数据的哈希值和私钥一起加密来实现的。结果就是一个数字签名,可以附加到数据上。验证签名时,将使用发送者的公钥进行解密,然后比较解密后的哈希值和数据的当前哈希值。如果两个哈希值匹配,那么数据就是完整的,没有被篡改。

6. GPG简单文件非对称加密解密示例(脚本自动无阻塞输入)

使用gpg命令时直接指定密码(例如,通过脚本进行加密),可以使用--passphrase参数。但是我测试发现,即使使用了--passphrase,也会弹出消息提示输入passphrase,然后有两种解决办法,一种是把密码写在文件里,执行命令时去读,另一种是使用管道,用echo命令将密码传给gpg命令,我们使用第二种方法。

下面是如何做到这一点的示例:

1. 加密

echo 'YourPassPhrase' | gpg --batch --yes --passphrase-fd 0 --symmetric --cipher-algo AES256 -o outputfile.gpg inputfile.tar.gz

这个命令是用来执行对称加密的,具体来说就是使用GPG将一个名为inputfile.tar.gz的tar压缩包加密为outputfile.gpg。下面是对每个部分的解释:

echo 'YourPassPhrase':这个命令输出你的密码字符串YourPassPhrase(请替换为你自己的密码)。由于后面有管道操作符|,所以这个输出将会作为下一个命令的输入。

|:管道操作符。它会将前一个命令的标准输出作为后一个命令的标准输入。

gpg:这是GNU Privacy Guard工具的命令行接口,它提供加密和签名功能。

--batch:告诉GPG在批处理模式下运行,即不要求用户交互输入。

--yes:对所有提示自动回答“yes”,例如覆盖文件等操作。

--passphrase-fd 0:指示GPG从文件描述符0读取密码,也就是从标准输入中获取密码。在这里,标准输入已经被前面的echo命令通过管道重定向了。

--symmetric:指示GPG使用对称加密,意味着加密和解密使用相同的密码。

--cipher-algo AES256:选择AES256作为对称加密算法。AES256是一种广泛使用的高强度加密算法。

-o outputfile.gpg:指定输出文件的名称。在这个例子中,加密后的文件将保存为outputfile.gpg

inputfile.tar.gz:指定要加密的输入文件,这里是名为inputfile.tar.gz的tar压缩包。

综合来看,这个命令的执行流程是:首先输出密码,然后通过管道将该密码作为GPG命令的输入,GPG命令根据提供的参数进行对称加密,最终生成加密后的文件outputfile.gpg

示例

在这里插入图片描述

2. 解密

echo 'YourPassPhrase' | gpg --batch --yes --passphrase-fd 0 -o outputfile.tar.gz -d inputfile.gpg

在这个命令中,

echo 'YourPassPhrase':这个命令会输出你的密码。|:这个符号是管道操作,它将前一个命令的输出作为下一个命令的输入。gpg --batch --yes --passphrase-fd 0 -o outputfile.tar.gz -d inputfile.gpg:这个命令会从标准输入(由--passphrase-fd 0指定)读取密码,并用该密码来解密inputfile.gpg

同样的,虽然这种方法可以实现在命令行中直接输入密码,但请注意这并不安全,特别是在多用户的环境中,因为其他用户可能可以查看到正在运行的进程和它们的命令行参数。

示例

在这里插入图片描述

注意事项

上述加密解密命令不能将输入文件和输出文件写成相同,否则报错。

点击全文阅读


本文链接:http://zhangshiyu.com/post/90883.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1