[技術] PGP & GnuPG
Written on 12:32 上午 by Yu Lai
最近需要和國外的客戶合作,
期間有用到PGP的加密來傳送機密文件,用的就是PGP。
PGP是一種混合密碼系統,它結合了傳統密碼法和公開金鑰密碼法的多種最棒的特色。
在加密時,PGP會產生一個階段金鑰,這把階段金鑰是一種只有當時有效的秘密金鑰,
是利用任意的滑鼠移動以及鍵盤輸入所產生的亂數。
它以非常秘密而快速的傳統加密演算法來加密純文字,而產生出密文。
當資料加密完成後,這把階段金鑰接著就會開始以收信者的公鑰被加密。
這個被公鑰加密過的階段金鑰將會與密文一併交付給收信者。
解密的過程就是反向運作了。
收信者的PGP會利用他的私鑰來還原那把暫時的階段金鑰,
然後PGP再利用這把階段金鑰來將傳統加密過的密文解密。
在此我用的是Gnu所提供的GnuPG,
GnuPG是GNU由RFC4880所訂出來的OpenPGP的實做。
以下是GnuPG在使用上的說明。
1. 產生鑰匙:
gpg --gen-key
一開始一定沒有自己的一對公私鑰,我們可以透過--gen-key來產生。
2. 輸出鑰匙:
gpg -a -o [Filename] --export [USERID]
其中-a是指輸出成ASCII格式,-o則是指定輸出到檔案,
--export則是將[USERID]的公鑰輸出。
一般我們是將一開始產生出來的公私鑰的公鑰export出檔案來,
然後就可以將公鑰傳送給別人了。
3. 輸入鑰匙
gpg --import [Filename]
當你收到一把別人的公鑰(或好幾把公鑰)時,為了能使用它們,
你得把它們加進你的鑰匙數據庫。
4. 列出公鑰
gpg --list-keys
5. 列出私鑰
gpg --list-secret-keys
6. 刪除公鑰
gpg --delete-key [USERID]
7. 刪除私鑰
gpg --delete-secret-key [USERID]
8. 鑰匙簽名
gpg --sign-key [USERID]
PGP在使用上有一個最大的弱點,那就是公鑰的真實性問題。
如果用的是錯誤的公鑰,你加密的價值就全沒了。
要克服這種風險,必須確信這把鑰匙是真實的,並在上面簽名,
簽名就表示承認鑰匙上的用戶身份確實是這把鑰匙的主人。
9. 加密
gpg -r [Recipient] -e [filename]
系統會用[Recipient]的公鑰對[filename]這個檔案加密,
並產生出[filename].pgp檔來。
這樣[Recipient]即可用自己的私鑰進行解密的動作,
還原出檔案來。
10. 解密
gpg -d [filename].pgp
當你收到別人用你的公鑰加密的檔案時,即可用-d來進行解密,
還原出檔案來。
發表文章
