GPG对称加密与非对称加密

一、加／解密概述

1.信息传递中的风险

　　数据加密，是一门历史悠久的技术（如二战期间的摩斯密码），指通过加密算法和加密秘钥将明文转变为密文，而解密则是通过解密算法和解***将密文恢复为明文。它的核心是密码学。

　　数据加密仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息屏蔽，从而起到保护信息的安全的作用。

　　常见的应用场景如下．在寻常的数据传输过程中（电子邮件，登录信息，聊天对话），我们都需要用到加密技术，因为对数据做抓包是很容易的（黑客技术），如果不做加密，一旦被抓包那就是信息泄漏，会造成严重的损失．

2.加/解密过程

如图，将文字信息加密成数字信息或字符信息就叫做数据加密，通常是将可阅读性数据加密成非可阅读性数据

3.按作用和目的划分加密

　　常见的按作用划分加密技术分为数据存储加密，数据传输加密，数据完整性鉴别，秘钥管理技术．

　　数据存储加密技术的目的是防止在存储环节上的数据失密，数据存储加密技术可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

　　数据传输加密技术的目的是对传输中的数据流加密，通常有线路加密与端对端加密两种。线路加密侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加***提供安全保护。端对端加密指信息由发送端自动加密，并且由TCP/IP进行数据包封装，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息到达目的地，将被自动重组、解密，而成为可读的数据。

　　数据完整性鉴别技术的目的是对介入信息传送、存取和处理的人的身份和相关数据内容进行验证，一般包括口令、**、身份、数据等项的鉴别。系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

　　**管理技术包括**的产生、分配、保存、更换和销毁等各个环节上的保密措施。

4.加密算法主要有以下几种分类

1）为确保数据机密性算法：

a) 对称加密算法(AES,DES)

b) 非对称加密算法，又叫公开**加密（RSA，DSA）

2）为确保数据完整性算法：

a) 信息摘要（MD5，SHA256，SHA512）

 

二、使用GPG做对称加密

GnuPG是非常流行的加密软件，支持所有常见加密算法，并且开源免费使用。

官网：http://www.gnupg.org/

支持算法：

公钥：RSA,ELG,DS

对称加密：3DES,CAST5,BLOWFISH,AES,AES256

散列：MD5,SHA1,SHA256,SHA512

加密解密命令：

加密：gpg -c  文件名　或　gpg --symmetric 文件名

解密：gpg -d 加密文件　>  解密后文件　gpg --decrypt 加密文件　> 解密后文件　　（＞重定向到新文件，新文件名随意）

1.使用GPG做对称加密

1）确保已经安装了相关软件（默认已经安装好了）

1. [[email protected] ~]# yum -y install gnupg2            //安装软件
2. [[email protected] ~]# gpg --version                    //查看版本
3. gpg (GnuPG) 2.0.22

2） gpg使用对称加密算法加密数据的操作

执行下列操作：

1. [[email protected] ~]#echo 123 > file2.txt
2. [[email protected] ~]#cat file2.txt       //未加密前
3. 123
4. [[email protected] ~]# gpg -c file2.txt
5. .. ..

根据提示依次输入两次密码即可，这两个次密码是你为这个文件设置的，你接下来要打开这个加密文件需要用到。如果是在GNOME桌面环境，设置密码的交互界面会是弹出的窗口程序，如图-1所示：

 

如果是在tty终端（ssh远程连接）执行的上述加密操作，则提示界面也是文本方式的，如图-2所示。

 

根据提示输入两次口令，加密后的文件（自动添加后缀 .gpg）就生成了，传递过程中只要发送加密的文件（比如 file2.txt.gpg）就可以了。

1. [[email protected] ~]# cat file2.txt.gpg                    //查看加密数据为乱码
2. ��,D����"{���O����<��{�Z̳�C�����w�';3�B�

3）使用gpg对加密文件进行解密操作

收到加密的文件后，必须进行解密才能查看其内容。

注意，本操作在本机上操作不需要验证密码（本地有秘钥），只有在其他主机上解密需要输入密码

1. [[email protected] ~]# gpg -d file2.txt.gpg > file2.txt    　 //解密后保存
2. [[email protected] ~]# cat file2.txt
3. 123
4. [[email protected] ~]# scp test.txt.gpg [email protected]:/root  　　//发送到其他主机
5. [[email protected] ~]# yum -y install gnupg2                                         //安装软件
6. [[email protected] ~]# gpg -d file2.txt.gpg > file2.txt    　                      //解密后保存
7. gpg: 3DES 加密过的数据
8. .. ..                                                                    //会弹出提示框，根据提示输入正确密码，之前输入的
9. [[email protected] ~]# cat file2.txt                     //查看解密后的文件
10. 123

 

三、使用GPG做非对称加密

　　非对称加密流程：公钥是公有的，用来加密（必须是同一套公钥，或者是对方的公钥），私钥是私有的用于解密，前提是加密文件是用的你创建的公钥加密的

加密解密命令：

加密：gpg -e -r 目标用户公钥  文件名　或　gpg --encrypt 　--recipient　目标用户公钥 文件名

解密：gpg -d 加密文件　>  解密后文件　gpg --decrypt 加密文件　> 解密后文件　　（＞重定向到新文件，新文件名随意）

1.非对称加密流程：

　非对称加密/解密文件时，UserA（192.168.4.100）生成私钥与公钥，并把公钥发送给UserB（192.168.4.5），UserB使用公钥加密数据，并把加密后的数据传给UserA，UserA最后使用自己的私钥解密数据。

2.实现过程如下所述。

1）UserA创建自己的公钥、私钥对(在192.168.4.100操作)

　创建过程中需要你输入一些信息，前几个按回车就行了，后面需要你输入姓名邮箱和注释，不能随意填写，填一个你能记住的即可，然后输入大O,会弹出一个密码框，提示你创建密码．如果在生成秘钥期间卡主了，可以参照如下方法：

［gpg生成秘钥时卡死］https://blog.csdn.net/ck784101777/article/details/101212318

1. [[email protected] ~]# gpg --gen-key //创建**对
2. … …
3. 请选择您要使用的**种类：
4. (1) RSA and RSA (default)                            //默认算法为RSA
5. (2) DSA and Elgamal
6. (3) DSA (仅用于签名)
7. (4) RSA (仅用于签名)
8. 您的选择？                                          　   //直接回车默认(1)[回车]
9. RSA **长度应在 1024 位与 4096 位之间。
10. 您想要用多大的**尺寸？(2048)                             //接受默认2048位，[回车]
11. 您所要求的**尺寸是 2048 位
12. 请设定这把**的有效期限。
13. 0 = **永不过期
14. <n> = **在 n 天后过期
15. <n>w = **在 n 周后过期
16. <n>m = **在 n 月后过期
17. <n>y = **在 n 年后过期
18. **的有效期限是？(0)                                         //接受默认永不过期[回车]
19. **永远不会过期
20. 以上正确吗？(y/n)y                                         //输入y确认
21.  
22. You need a user ID to identify your key; the software constructs the user ID
23. from the Real Name, Comment and Email Address in this form:
24. "Heinrich Heine (Der Dichter) <[email protected]>"
25. 真实姓名：UserA　　　　　　　　　　　　//需输入
26. 电子邮件地址：[email protected]　　　　//需输入
27. 注释：UserA　　　　　　　　　　　　　　//需输入
28. 您选定了这个用户标识：
29. “UserA (UserA) <[email protected]>”
30.  
31. 更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)？O  //输入大写O确认，然后会弹出提示框输入密码     
32.   
33. 您需要一个密码来保护您的私钥。
34.  
35. 我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
36. 鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
37.  
38.  
39. gpg: 正在检查信任度数据库
40. gpg: 需要 3 份勉强信任和 1 份完全信任，PGP 信任模型
41. gpg: 深度：0 有效性： 1 已签名： 0 信任度：0-，0q，0n，0m，0f，1u
42. pub 2048R/421C9354 2017-08-16
43. **指纹 = 8A27 6FB5 1315 CEF8 D8A0 A65B F0C9 7DA6 421C 9354
44. uid UserA (UserA) <[email protected]>
45. sub 2048R/9FA3AD25 2017-08-16

注意：生产**后当前终端可能会变的无法使用，执行reset命令即可，或者关闭后再开一个终端。

2）UserA导出自己的公钥文件(在192.168.4.100操作)

用户的公钥、私钥信息分别保存在pubring.gpg和secring.gpg文件内：

1. [[email protected] ~]# gpg --list-keys                         //查看公钥环
2. /root/.gnupg/pubring.gpg
3. ------------------------------
4. pub 2048R/421C9354 2017-08-16
5. uid UserA (User A) <[email protected]>
6. sub 2048R/9FA3AD25 2017-08-16

使用gpg命令结合--export选项将其中的公钥文本导出：

1. [[email protected] ~]# gpg -a --export UserA > UserA.pub
2. //--export的作用是导出**，-a的作用是导出的**存储为ASCII格式
3. [[email protected] ~]# scp UserA.pub 192.168.4.5:/tmp/　　　　//将**传给Proxy　　

3）UserB导入接收的公钥信息（在192.168.4.5操作）

使用gpg命令结合--import选项导入发送方的公钥信息，以便在加密文件时指定对应的公钥。

1. [[email protected] ~]# gpg --import /tmp/UserA.pub
2. gpg: ** 421C9354：公钥“UserA (UserA) <[email protected]>”已导入
3. gpg: 合计被处理的数量：1
4. gpg: 已导入：1 (RSA: 1)

4) UserB使用公钥加密数据，并把加密后的数据传给UserA（在192.168.4.5操作）

1. [[email protected] ~]# echo "I love you ." > love.txt
2. [[email protected] ~]# gpg -e -r UserA love.txt
3. 无论如何还是使用这把**吗？(y/N)y                         //确认使用此**加密文件
4. //-e选项是使用**加密数据
5. //-r选项后面跟的是**，说明使用哪个**对文件加密
6. [[email protected] ~]# scp love.txt.gpg 192.168.4.100:/root    //加密的数据传给UserA

5）UserA以自己的私钥解密文件（在192.168.4.100操作）

1. [[email protected] ~]# gpg -d love.txt.gpg > love.txt
2. 您需要输入密码，才能解开这个用户的私钥：“UserA (UserA) <[email protected]>”
3. 2048 位的 RSA **，钥匙号 9FA3AD25，建立于 2017-08-16 (主钥匙号 421C9354)
4.                                                 //验证私钥口令
5. gpg: 由 2048 位的 RSA **加***匙号为 9FA3AD25、生成于 2017-08-16
6. “UserA (UserA) <[email protected]>”
7. [[email protected] ~]# cat love.txt                     //获得解密后的文件内容
8. I love you.

3.使用GPG的签名机制，检查数据来源的正确性

　使用私钥签名的文件，是可以使用对应的公钥验证签名的，只要验证成功，则说明这个文件一定是出自对应的私钥签名，除非私钥被盗，否则一定能证明这个文件来自于某个人！

  　本实验用于验证这个加密文件是否出自加密方，证书验证就是基于这种验证（htpps开头的网站都带证书验证）

1）在client(192.168.4.100)上，UserA为软件包创建分离式签名

将软件包、签名文件、公钥文件一起发布给其他用户下载。

1. [[email protected] ~]# tar zcf log.tar /var/log             //建立测试软件包
2. [[email protected] ~]# gpg -b log.tar                     //创建分离式数字签名
3. [[email protected] ~]# ls -lh log.tar*
4. -rw-rw-r--. 1 root root 170 8月 17 21:18 log.tar
5. -rw-rw-r--. 1 root root 287 8月 17 21:22 log.tar.sig
6. [[email protected] ~]# scp log.tar* 192.168.4.5:/root        //将签名文件与签名传给UserB

2）在192.168.4.5上验证签名

1. [[email protected] ~]# gpg --verify log.tar.sig log.tar
2. gpg:于2028年06月07日 星期六 23时23分23秒 CST 创建的签名，使用 RSA，钥匙号 421C9354
3. gpg: 完好的签名，来自于“UserA (UserA) <[email protected]>”
4. .. ..