用GPG加密使您的信息安全保障无忧二(图)


导入公钥
  
  作为用户,也会收到别人的GPG公钥,它们可能来自网站、电子邮件、FTP和目录服务等,只要信任其来源,就可以将其导入自己的GPG环境,之后才可以与相应的人员进行基于GPG的各种应用。导入公钥的过程可以分为以下三步:
  
  1.导入
  
  比如,Terry收到朋友Brian的公钥文件brian.gpg,可以使用以下命令导入文件:
  
  #gpg --import terry.gpg
  
  2.核对“指纹”
  
  公钥是可以伪造的。James可以伪造一个Brian的公钥,然后想办法让Terry得到。如果Terry对收到的公钥不加验证,那么他发给Brian的加密邮件就可能被James解密。GPG的架构中并没有一个PKI这样的证书管理系统,GPG的公钥信任是通过“Truth Web”实现的。
  
  生成Terry公钥的“指纹”:
  
  #gpg --fingerprint terry@mykms.org
  pub 1024D/7234E374 2004-09-10 Terry
  Yu (for test) <terry@mykms.org>
  Key fingerprint = A58F D71A 28BA
  499D 805B 588E 82FB CD0F 7234 E374
  sub 2048g/4907EA0A 2004-09-10 [expires: 2005-09-10]
  
  这个“指纹”是惟一的。可以通过与对方核对“指纹”是否一致,来确定这个公钥是否可信和合法。
  
  3.签名
  
  在成功导入,并确定这个公钥是可以相任之后,要立即对这个公钥进行签名。这样,就可以验证来自对方邮件的真实性了。
  
  对公钥进行签名可以使用如下命令:
  
  #gpg --sing-key brian@mykms.org
  
  或者
  #gpg --edit-key name
  #command > sign
  
  检查对方邮件,比如Brian的签名:
  
  #gpg --check-sigs brian@mykms.org
  
  现在,有了Brian签名的公钥,通过这个公钥就可以和Brain进行非对称加密通信了。
  
  应用GPG
  
  GPG使用的是非对称的密钥体系,用户拥有一对密钥,包括一个公钥和一个私钥。公钥对外公布,私钥则由自己保存。使用公钥加密的数据可以用私钥解密,同样,使用私钥加密的数据可以用公钥解密。
  
  非对称的密钥可以用来加密和做数字签名。当用户关心信息保密性时,使用加密功能;当用户关注信息完整性及不可抵赖性时,使用数字签名功能;当用户需要同时关注信息的机密性、完整性及不可抵赖性时,可以将加密和数学签名混合使用。
  
  简单了解这些密码学概念后,就可以开始真正的应用实践了。
  
  对文件进行加密和数字签名
  
  KDE中提供了图形化的加密操作方法。比如,在KDE中对一个文件加密,只需在KDE文件管理器Konqueror中选中该文件,单击右键选择“Actions”中的“Encrypt File”就可以加密文件。加密后的文件以.asc结尾。
  
  对于图形方式的加密操作不多做介绍,下面将重点放在命令行操作方式上,介绍命令行下的各种文件加密和签名的操作方法。
  
  1.对文件进行数字签名
  
  #gpg --clearsign policy.txt
  You need a passphrase to unlock the secret key for
  user: "test (test) <test@yahoo.com.cn>"
  1024-bit DSA key, ID ADD93830, created 2004-07-01
  
  运行以上命令,生成一个名为report.txt.asc的文件,该文件中除了原文件信息外还包含数字签名信息。
  
  2.验证文件的数字签名
  
  #gpg --verify policy.txt.asc
  gpg: Signature made 2004年11月04日 星期四 15时58分07秒 UTC using DSA key ID ADD93830
  gpg: Good signature from "test (test) <test@yahoo.com.cn>"
  
  以上命令运行的结果显示该签名是正确的。
  
  3.用指定的公钥对文件加密
  
  #gpg --encrypt -r terry@mykms.org report.txt
  gpg: checking the trustdb
  gpg: checking at depth 0 signed=0 ot(-/q/n/m/f/u)=0/0/0/0/0/1
  gpg: next trustdb check due at 2005-09-10
  
  运行以上命令,使用自己的公钥加密report.txt文件,生成加密文件report.txt.gpg。如果使用编辑软件打开该加密文件,会发现它包含的是一些不可理解的字符和乱码。
  
  4.用私钥对加密文件解密
  
  #gpg --decrypt report.txt.gpg >report.txt
  You need a passphrase to unlock the secret key for
  user: "test1 (unclassfication) <test@yahoo.com.cn>"
  2048-bit ELG-E key, ID 33735683, created 2004-09-29
  (main key ID 79EB3D97)
  gpg: encrypted with 2048-bit ELG-E key, ID 33735683,
  created 2004-09-29
  "test1 (unclassfication) <test@yahoo.com.cn>"
  
  以上命令要求输入对应私钥的保护口令才能成功解密,解密后的文件内容被输出到report.txt文件中。
  
  5.用公钥同时进行文件签名和加密
  
  #gpg -se -r test@yahoo.com.cn report.txt
  You need a passphrase to unlock the secret key for
  user: "test (test) <test@yahoo.com.cn>"
  1024-bit DSA key, ID ADD93830, created 2004-07-01
  
  以上命令要求输入对应私钥的保护口令,输入正确的口令后,签名和加密成功完成。
  
  这些都是应用GPG签名和加密文件的一些常用命令,更详细的用法可以参考GPG的帮助文件。
  
  对电子邮件进行加密和数字签名
  
  实际上,GPG应用最多的地方是在电子邮件的加密和数字签名上。许多电子邮件客户端软件都支持PGP/GPG方式的加密及数字签名。这里以Kmail为例,介绍如何设置Kmail,并利用Kmail发送加密及数字签名的电子邮件。
  
  Kmail是KDE环境中的电子邮件客户端,类似于Windows下的Outlook Express。在选单中选择“Settings→Configure-Kmail→Identites”,选定一个身份,单击“Modify”进行编辑。选择其中的“Advanced”标签页,可以看到类似图2的界面。
  

 

  
图2 Kmail的设置界面

  
  其中,“OpenPGP Key”项是该身份所对应的PGP或GPG密钥,可以单击“Change”按钮从GPG环境中选择对应的密钥对。
  
  保存后,GPG的设置完成。试写一封邮件,如图3所示。图中工具栏中凹下去的“钢笔尖”图标表示此邮件使用了数字签名,紧靠旁边的锁形图标表示加密,如果两个图标都凹下去则表示同时使用了加密和数字签名。
  
 

  
图3 使用数字签名的电子邮件

  
  发送邮件时,Kmail会要求给出对应密钥的保护口令,如图4所示。
  
 

  
图4 要求输入密钥保护口令

  
  正确输入保护口令后,会弹出一个确认窗口,如图5。
  

  
图5 确认窗口

  
  确认内容无误后,单击“OK”按钮,一封带有数字签名的电子邮件就成功发出。发送加密邮件,以及发送同时加密和数字签名的邮件,方法都是类似的。
  
  软件包签名验证
  对于Red Hat等Linux发行商来说,他们常常会利用GPG对发布的软件包进行签名。用户可以通过验证软件包的签名来确保得到的软件包没有损坏,或者是被他人动过手脚。
  
  验证一个下载软件包的GPG签名可以按照以下步骤来进行:
  
  1.从网上下载或其它方式得到软件发行商的公钥,并将其导入自己的GPG环境中。
  
  2.通过对比“电子指纹”来确认公钥,并对此公钥进行签名。
  
  3.使用以下命令来验证软件包的GPG签名:
  
  #gpg --verify singaturefile.tar.gz taballpackage.gz
  
  如果该软件是RPM格式的,还可以使用如下命令来验证:
  
  #rpm -Kv your.rpm
  
  密钥管理
  
  前面介绍了GPG在加密和签名两方面的应用,在应用过程中用户要认真地对待密钥管理问题。GPG的密钥采用的是信任机制,并没有一个中心的PKI可以帮助发布和验证GPG用户的公钥。为了防止公钥欺骗,保证公钥的不可否认性(Non-repudiation),需要有一种机制来进行管理。下面是一些有益的建议,可供参考。
  
  ◆ 备份好私钥
  
  一旦私钥丢失或损坏,则无法打开以前加密的文件。并且,即使知道私钥被他人滥用,也无法使自己的公钥过期。有了私钥的备份,就能有效地回避此类风险。
  
  ◆ 建立有过期保护的公钥机制
  
  万一私钥丢失不能人工收回公钥时,公钥也可以在预定时间后自动过期。
  
  ◆ 为私钥加上强口令保护
  
  这样,即使私钥文件泄漏,还有口令保护。保护口令一定要有足够的复杂度,才能有效地对抗暴力破解。
  
  ◆ 多重机制
  
  在紧急情况下恢复密钥要有多重控制。
  
  ◆ 使用版本控制软件
  
  使用版本控制软件来收集和维护自己的公钥库。版本控制软件可以有效地记录历史变更情况,保证公钥库的有条不紊。
  
  小结
  
  GPG作为一个开源并且免费的加密和数字签名软件已经存在多年。它不但可以为企业、个人之间的重要信息提供加密保护,还可以为出版的软件、内核等电子产品进行数字签名 本文作者:



相关阅读:
asp.net DataGridView导出到Excel的三个方法[亲测]
MySQL单表多关键字模糊查询的实现方法
逐步排查 层层递进 解决IIS服务器报错
Oracle Latch及latch冲突
Vista最基本系统进程文件简要说明
一个从别的网站抓取信息的例子(域名查询)
IIS常见漏洞攻防实战(1)
Razor内幕之解析
需要发散思维学习PHP
PHP基础教程(4):PHP变量
Ajax优于JSF的原因
背景,文字渐变(无闪屏)
一个封装了的选项卡效果js
一些相见恨晚的 JavaScript 技巧
快速导航

Copyright © 2016 phpStudy |