数据安全性是维护信息完整性、确保隐私和防止未授权访问的关键要素。在数字时代,使用加密工具来保护数据变得尤为重要。GnuPG(也称为GPG)是一个广泛使用的免费加密软件,它提供了一种用于数据加密和数字签名的方法,确保了通信的安全性和数据的不可否认性。
数据安全基础工具列表:
| 软件包 | 流行度 | 大小 | 命令 | 说明 |
| gnupg | V:554, I:910 | 885 | gpg(1) | GNU 隐私卫士 – OpenPGP 加密和签名工具 |
| gpgv | V:895, I:999 | 922 | gpgv(1) | GNU 隐私卫士 – 签名验证工具 |
| paperkey | V:1, I:13 | 58 | paperkey(1) | 从 OpenPGP 私钥里面,仅仅导出私密信息 |
| cryptsetup | V:33, I:80 | 410 | cryptsetup(8), … | dm-crypt 块设备加密支持 LUKS 工具 |
| coreutils | V:881, I:999 | 18307 | md5sum(1) | 计算与校验 MD5 讯息摘要 |
| coreutils | V:881, I:999 | 18307 | sha1sum(1) | 计算与校验 SHA1 讯息摘要 |
| openssl | V:840, I:995 | 2294 | openssl(1ssl) | 使用 “openssl dgst” (OpenSSL)计算信息摘要 |
| libsecret-tools | V:0, I:11 | 41 | secret-tool(1) | 存储和取回密码 (CLI) |
| seahorse | V:77, I:266 | 7987 | seahorse(1) | 密钥管理工具(GNOME) |
一、GnuPG密钥管理
如下是 GNU 隐私卫士 基本的密钥管理命令。
GNU 隐私卫士密钥管理命令的列表:
| 命令 | 说明 |
|---|---|
gpg --gen-key |
生成一副新的密钥对 |
gpg --gen-revoke my_user_ID |
生成 my_user_ID 的一份吊销证书 |
gpg --edit-key user_ID |
交互式的编辑密钥,输入 “help” 来获得帮助信息 |
gpg -o file --export |
把所有的密钥输出到文件 |
gpg --import file |
从文件导入密钥 |
gpg --send-keys user_ID |
发送 user_ID 的公钥到公钥服务器 |
gpg --recv-keys user_ID |
从公钥服务器下载 user_ID 的公钥 |
gpg --list-keys user_ID |
列出 user_ID 的所有密钥 |
gpg --list-sigs user_ID |
列出 user_ID 的签字 |
gpg --check-sigs user_ID |
检查 user_ID 密钥签字 |
gpg --fingerprint user_ID |
检查 user_ID 的指纹 |
gpg --refresh-keys |
更新本地密钥 |
信任码含义列表:
| 代码 | 信任描述 |
|---|---|
- |
没有所有者信任签名/没有计算 |
e |
信任计算失败 |
q |
没有足够的信息用于计算 |
n |
从不信任这个键 |
m |
最低限度的信任 |
f |
完全信任 |
u |
最终信任 |
如下命令上传我的 “1DD8D791” 公钥到主流的公钥服务器 “hkp://keys.gnupg.net”。
$ gpg --keyserver hkp://keys.gnupg.net --send-keys 1DD8D791
默认良好的公钥服务器在 “~/.gnupg/gpg.conf” (旧的位置在 “~/.gnupg/options”)文件中设置,此文件包含了以下信息。
keyserver hkp://keys.gnupg.net
从钥匙服务器获取无名钥匙。
$ gpg --list-sigs --with-colons | grep '^sig.*\[User ID not found\]' |\ cut -d ':' -f 5| sort | uniq | xargs gpg --recv-keys
有一个错误在 OpenPGP 公钥服务器 (先前的版本 0.9.6),会将键中断为 2 个以上的子键。新的 gnupg (>1.2.1-2) 软件包能够处理这些中断的子键。
二、文件使用GnuPG
这里有一些在文件上使用 GNU 隐私卫士 命令的例子。
在文件上使用的 GNU 隐私卫士的命令列表:
| 命令 | 说明 |
|---|---|
gpg -a -s file |
ASCII 封装的签名文件 file.asc |
gpg --armor --sign file |
同上 |
gpg --clearsign file |
生成明文签字信息 |
gpg --clearsign file|mail foo@example.org |
发送一份明文签字到 foo@example.org |
gpg --clearsign --not-dash-escaped patchfile |
明文签名的补丁文件 |
gpg --verify file |
验证明文文件 |
gpg -o file.sig -b file |
生成一份分离的签字 |
gpg -o file.sig --detach-sign file |
同上 |
gpg --verify file.sig file |
使用 file.sig 验证文件 |
gpg -o crypt_file.gpg -r name -e file |
公钥加密,从文件里面获取名字,生成二进制的 crypt_file.gpg |
gpg -o crypt_file.gpg --recipient name --encrypt file |
同上 |
gpg -o crypt_file.asc -a -r name -e file |
公钥加密,从文件中获取名字,生成 ASCII 封装的 crypt_file.asc |
gpg -o crypt_file.gpg -c file |
将文件对称加密到 crypt_file.gpg |
gpg -o crypt_file.gpg --symmetric file |
同上 |
gpg -o crypt_file.asc -a -c file |
对称加密,从文件到 ASCII 封装的 crypt_file.asc |
gpg -o file -d crypt_file.gpg -r name |
解密 |
gpg -o file --decrypt crypt_file.gpg |
同上 |
三、Mutt使用GnuPG
增加下面内容到 “~/.muttrc”,在自动启动时,避免一个慢的 GnuPG,在索引菜单中按 “S” 来允许它使用。
macro index S ":toggle pgp_verify_sig\n" set pgp_verify_sig=no
四、Vim使用GnuPG
gnupg 插件可以让对扩展名为 “.gpg”, “.asc”, 和 “.pgp”的文件可靠的运行 GnuPG。[7]
$ sudo aptitude install vim-scripts $ echo "packadd! gnupg" >> ~/.vim/vimrc
五、MD5校验和
md5sum(1) 提供了制作摘要文件的一个工具,它使用 rfc1321 里的方式制作摘要文件.
$ md5sum foo bar >baz.md5 $ cat baz.md5 d3b07384d113edec49eaa6238ad5ff00 foo c157a79031e1c40f85931829bc5fc552 bar $ md5sum -c baz.md5 foo: OK bar: OK
注意:MD5 校验和的 CPU 计算强度是比 GNU Privacy Guard (GnuPG) 加密签名要少的.在通常情况下,只有顶级的摘要文件才需要加密签名来确保数据完整性.
六、密码密钥环
在 GNOME 系统,GUI(图形用户界面)工具 seahorse(1) 管理密码,安全的在密钥环~/.local/share/keyrings/* 里面保存它们。secret-tool(1) 能够从命令行存储密码到钥匙环。
让我们存储 LUKS/dm-crypt 加密磁盘镜像用到的密码
$ secret-tool store --label='LUKS passphrase for disk.img' LUKS my_disk.img Password: ********
这个存储的密码能够被获取并给到其它程序,比如 cryptsetup(8)。
$ secret-tool lookup LUKS my_disk.img | \ cryptsetup open disk.img disk_img --type luks --keyring - $ sudo mount /dev/mapper/disk_img /mnt
无论何时,需要在一个脚本里面提供密码时,使用 secret-tool 来避免将密码直接硬编码到脚本里面。
