奇淫技巧 / 安全攻防 / 运维笔记

GnuPG 加密与解密应用

Einic Yeo · 7月4日 · 2019年 · ·

什么是加密和解密

  • 发送方:明文 —> 密文6666 —> 加密 —> 12 23 45 78 89
  • 接受方:密文 —> 明文12 23 45 78 89 —> 解密 —>6666

采用gpg工具实现加/解密及软件签名等功能

  • 检查文件的MD5校验和
  • 使用GPG实现文件机版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!密性保护,加密和解密操作
  • 使用GPG的签名机制,验证数据的来源正确性

当前常见的加密方式

加密算法主要有以下几种分类:

为确保数据机密性算法为确保数据完整性算法
对称加密算法(AES,DES)信息摘要(MD5,SHA256,SHA512)
非对称加密算法(RSA,DSA)

检查文件的MD5校验和

查看文件改动前的校验和,复制为新文件其校验和不变

使用GPG对称加密方式保护文件

GnuPG是非常流行的加密软件,支持所有常见加密算法,并且开源免费使用。

安装软件

yum –y install gnupg2
gpg –version
gpg (GnuPG) 2.0.22

使用加密并且解密

echo 'baby i love you!'>./a.txt
gpg -c a.txt    #加密
输出两次密码: xxx
传输另外的一台机器上
gpg -d a.txt.gpg > b.txt    #解密

使用GPG非对称加密方式保护文件

非对称加密/解密文件时,UserA生成私钥与公钥,并把公钥发送给UserB,UserB使用公钥加密数据,并把加密后的数据传给UserA,UserA最后使用自己的私钥解密数据。

gpg --gen-key       #创建自己的公钥和私钥
    gpg --gen-key
    gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
    This is free software: you are free to change and redistribute it.
    There is NO WARRANTY, to the extent permitted by law.

    gpg: 已创建目录‘/root/.gnupg’
    gpg: 新的配置文件‘/root/.gnupg/gpg.conf’已建立
    gpg: 警告:在‘/root/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
    gpg: 钥匙环‘/root/.gnupg/secring.gpg’已建立
    gpg: 钥匙环‘/root/.gnupg/pubring.gpg’已建立
    请选择您要使用的密钥种类:               #选择需要的加密方式
       (1) RSA and RSA (default)
       (2) DSA and Elgamal
       (3) DSA (仅用于签名)
       (4) RSA (仅用于签名)
    您的选择? 
    RSA 密钥长度应在 1024 位与 4096 位之间。
    您想要用多大的密钥尺寸?(2048)
    您所要求的密钥尺寸是 2048 位
    请设定这把密钥的有效期限。
             0 = 密钥永不过期
          <n>  = 密钥在 n 天后过期
          <n>w = 密钥在 n 周后过期
          <n>m = 密钥在 n 月后过期
          <n>y = 密钥在 n 年后过期
    密钥的有效期限是?(0) 0
    密钥永远不会过期
    以上正确吗?(y/n)y

    You need a user ID to identify your key; the software constructs the user ID
    from the Real Name, Comment and Email Address in this form:
        "Heinrich Heine (Der Dichter) <[email protected]>"

    真实姓名:sb
    姓名至少要有五个字符长
    真实姓名:sb ni mabi
    电子邮件地址:[email protected]
    注释:asdaqwe
    您选定了这个用户标识:
        “sb ni mabi (asdaqwe) <[email protected]>”

    更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?o
    您需要一个密码来保护您的私钥。

    我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
    鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
    我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
    鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
    gpg: /root/.gnupg/trustdb.gpg:建立了信任度数据库
    gpg: 密钥 9172888D 被标记为绝对信任
    公钥和私钥已经生成并经签名。

    gpg: 正在检查信任度数据库
    gpg: 需要 3 份勉强信任和 1 份完全信任,PGP 信任模型
    gpg: 深度:0 有效性:  1 已签名:  0 信任度:0-,0q,0n,0m,0f,1u
    pub   2048R/9172888D 2019-07-04
    密钥指纹 = 7AFD 9A25 A069 9EB8 6AE9  EBBE 1BA0 B5F7 9172 888D
    uid                  sb ni mabi (asdaqwe) <[email protected]>
    sub   2048R/D82B71D3 2019-07-04

Client导出自己的公钥文件

#如果无法设置成功后无法使用正常的回车输入(reset)
 [[email protected] ~]# gpg --list-keys       查看密钥
/root/.gnupg/pubring.gpg
------------------------
pub   2048R/9172888D 2019-07-04
uid                  sb ni mabi (asdaqwe) <[email protected]>
sub   2048R/D82B71D3 2019-07-04

[[email protected] ~]# gpg --list-secret-keys
/root/.gnupg/secring.gpg
------------------------
sec   2048R/9172888D 2019-07-04
uid                  sb ni mabi (asdaqwe) <[email protected]>
ssb   2048R/D82B71D3 2019-07-04

使用gpg命令结合–import选项将其中的公钥文本导出,传给发送方asdaqwe:

[[email protected] ~]# gpg -a --export UserB > /tmp/UserA.pub      #--export的作用是导出密钥,-a的作用是导出的密钥存储为ASCII格式
[[email protected] ~]# scp /tmp/UserA.pub 192.168.4.5:/tmp/           #将密钥传给UserB

Proxy导入接收的公版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!钥信息

[[email protected] ~]# gpg --import /tmp/UserA.pub
    gpg: 已创建目录‘/root/.gnupg’
    gpg: 新的配置文件‘/root/.gnupg/gpg.conf’已建立
    gpg: 警告:在‘/root/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
    gpg: 钥匙环‘/root/.gnupg/secring.gpg’已建立
    gpg: 钥匙环‘/root/.gnupg/pubring.gpg’已建立
    gpg: /root/.gnupg/trustdb.gpg:建立了信任度数据库
    gpg: 密钥 9172888D:公钥“sb ni mabi (asdaqwe) <[email protected]>”已导入
    gpg: 合计被处理的数量:1
    gpg:           已导入:1  (RSA: 1)

Proxy使用导入的公钥加密数据,并把加密后的数版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!据传给Client

gpg --import /tmp/UserA.pub         #导入密钥
    gpg: 已创建目录‘/root/.gnupg’
    gpg: 新的配置文件‘/root/.gnupg/gpg.conf’已建立
    gpg: 警告:在‘/root/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
    gpg: 钥匙环‘/root/.gnupg/secring.gpg’已建立
    gpg: 钥匙环‘/root/.gnupg/pubring.gpg’已建立
    gpg: /root/.gnupg/trustdb.gpg:建立了信任度数据库
    gpg: 密钥 9172888D:公钥“sb ni mabi (asdaqwe) <[email protected]>”已导入
    gpg: 合计被处理的数量:1
    gpg:           已导入:1  (RSA: 1)

echo 'i love you!' >love.txt
gpg -e -r UserA love.txt
无论如何还是使用这把密钥吗?(y/N)y             #确认使用此密钥加密文件
scp love.txt.gpg  ClinetIP:/root                        #加密的数据传给UserA

Client以自己的私钥解密文件

gpg -d love.txt.gpg > love.txt      #解密并且输入密码
cat love.txt

使用GPG的签名机制,检查数据来源的正确性

使用私钥签名的文件,是可以使用对应的公钥验证签名的,只要验证成功,则说明这个文件一定是出自对应的私钥签名,除非版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!私钥被盗,否则一定能证明这个文件来自于某个人!版权声明:本文遵循 CC 4.0 BY-SA 版权协议,若要转载请务必附上原文出处链接及本声明,谢谢合作!
1)在client上,UserA为软件包创建分离式签名
将软件包、签名文件、公钥文件一起发布给其他用户下载。

tar -zcf log.tar /var/log       #创建测试的软件包
gpg -b log.tar                   #创建分离式数字签名
scp log.tar* 192.168.4.5:/root

在192.168.4.5上验证签名

gpg  --verify log.tar.sig log.tar
0 条回应