alancxx

gpg -o keyfilename –export mykeyID

如果沒有mykeyID則是備份所有的公鑰，-o表示輸出到文件keyfilename中，如果加上-a的參數則輸出文本格式( ASCII )的信息，否則輸出的是二進制格式信息。

• 私鑰的導出：

gpg -o keyfilename –export-secret-keys mykeyID

如果沒有mykeyID則是備份所有的私鑰，-o表示輸出到文件keyfilename中，如果加上-a的參數則輸出文本格式的信息，否則輸出的是二進制格式信息。

• 密鑰的導入：

gpg –import filename

PS:用戶可以使用gpg –list-keys命令查看是否成功導入了密鑰。

5.加密解密和數字簽名

通過上述的密鑰生成以及公鑰分發后，加密和解密數據變得非常容易，用戶可以通過使用該功能來達到安全地在網絡上傳輸自己的隱密數據的目的。

如果用戶patterson要給用戶liyang發送一個加密文件，則他可以使用liyang的公鑰加密這個文件，并且這個文件也只有liyang使用自己的密鑰才可以解密查看。下面給出加解密的步驟：

• 用戶patterson使用liyang的公鑰加密文件test，使用下面的指令：

# gpg -e test

You did not specify a user ID. (you may use “-r”)

Enter the user ID. End with an empty line: liyang

Added 1024g/C50E455A 2006-01-02 “liyang (hello) < liyang@sina.com>”

這樣，就可以將gpg.conf文件加密成test.gpg，一般用戶是無法閱讀的

PS:當然你也可以直接指定使用哪個用戶的公鑰進行加密:

gpg -e -r liyang test  (-r 表示指定用戶)

還可以加上參數 -a 來輸出ASCII編碼的文件test.asc(test.gpg是二進制編碼的，不可用文本讀)

gpg -ea -r liyang test

• 用戶liyang 使用自己的私鑰來解密該文件，如下所示：

# gpg -d test.gpg

You need a passphrase to unlock the secret key for

user: “liyang (hello) < liyang@sina.com>”

1024-bit ELG-E key, ID C50E455A, created 2006-01-02 (main key ID 378D11AF)

GnuPG提示用戶，需要輸入生成私鑰使用的密碼：

Enter passphrase:

gpg: encrypted with 1024-bit ELG-E key, ID C50E455A, created 2006-01-02

“liyang (hello) < liyang@sina.com>”

PS:無論加密解密，都可以加上-o參數來指定加密和解密后的輸出文件，例如

#gpg -o doc.gpg -er name doc
其中name是選擇誰的公鑰加密，即誰是文件的接收者。
doc為要加密的文件，即原文件
doc.gpg為命令執行后生成的加密的文件，這里要先指定好文件名

• 對文件進行簽名

1、數字簽名
命令格式：
#gpg -o doc.sig -s doc
其中doc是原文件，doc.sig包含了原文件和簽名，是二進制的。這個命令會要求你輸入你的私鑰的密碼句。
#gpg -o doc.sig -ser name doc
既簽名又加密

2、文本簽名
#gpg -o doc.sig –clearsign doc
這樣產生的doc.sig同樣包含原文件和簽名，其中簽名是文本的，而原文件不變。

3、分離式簽名
#gpg -o doc.sig -ab doc
doc.sig僅包括簽名，分離式簽名的意思是原文件和簽名是分開的。
b 表示分離式簽名detach-sign

4、驗證簽名
#gpg –verify doc.sig [doc]
驗證之前必須導入文件作者的公鑰，對于分離式簽名，最后還要加上原文件，即后面的doc。

• 密匙簽名和用戶信任(進階功能)

盡管在理論上講，具備了公匙和私匙就可以實現安全的信息通訊，但是在實際應用中，還必須對公匙進行有效確認。因為，確實存在偽造公匙信息的可能。

由此，在GPG中引入了一個復雜的信任系統，以幫助我們區分哪些密匙是真的，哪些密匙是假的。這個信任系統是基于密匙的，主要包括密匙簽名。

當收到熟人的公匙并且GPG告知不存在任何實體可信信息附加于這個公匙后，首要的事情就是對這個密匙進行“指紋采樣”（fingerprint）。例如，我們對來自mike的公匙進行了導入操作，并且GPG告知我們不存在這個密匙的附加可信信息，這時候，我們首先要做的工作就是對這個新密匙進行“指紋采樣 ”，相關命令及執行情況如下：

$ gpg –fingerprint mike@hairnet.orgpub 1024D/4F03BD39 2001-01-15 Mike Socks (I’m WIRED) Key fingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39sub 1024g/FDBB477D 2001-01-15$

這樣，就從密匙數據中生成了其指紋信息，并且應該是唯一的。然后，我們打電話給mike，確認兩件事情。首先，他是否發送給我們了密匙；其次，他的公匙的指紋信息是什么。如果Mike確認了這兩件事情，我們就可以確信這個密匙是合法的。接下來，我們對密匙進行簽名操作，以表示這個密匙來自Mike而且我們對密匙的信任，相關命令及執行情況如下：

$ gpg –sign-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: neversub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I’m WIRED) pub 1024D/4F03BD39 created: 2001-01-15 expires: neverFingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39Mike Socks (I’m WIRED) Are you really sure that you want to sign this keywith your key: Ima User (I’m just ME) Really sign? yYou need a passphrase to unlock the secret key foruser: Ima User (I’m just ME) 1024-bit DSA key, ID D9BAC463, created 2001-01-03Enter passphrase:$

執行到此，使用我們的私匙完成了對Mike的公匙的簽名操作，任何持有我們的公匙的人都可以查證簽名確實屬于我們自己。這個附加到Mike的公匙上的簽名信息將隨它環游Internet世界，我們使用個人信譽，也就是我們自己的私匙，保證了那個密匙確實屬于Mike。這是一個多么感人的充滿誠信的故事啊 現實世界的人們是否應該從這嚴格的技術標準中反思些什么呢？

還是回到這里。獲取附加于一個公匙上的簽名信息列表的命令是：

gpg –check-sigs mike@hairnet.org

簽名列表越長，密匙的可信度越大。其實，正是簽名系統本身提供了密匙查證功能。假設我們接收到一個簽名為Mike的密匙，通過Mike的公匙，我們驗證出簽名確實屬于Mike，那么我們就信任了這個密匙。推而廣之，我們就可以信任Mike簽名的任何密匙。

為了更加穩妥，GPG還引入了另一個附加功能：可信級別（trust level）。使用它，我們可以為我們擁有的任何密匙的所有者指定可信級別。例如，即使我們知道Mike的公匙是可信的，但是事實上我們不能信任Mike在對其他密匙簽名時的判斷；我們會想，Mike也許只對少數密匙進行了簽名，但卻沒有好好地檢查一遍。

設置可信級別的命令及執行情況如下：

$ gpg –edit-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: never trust: -/fsub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I’m WIRED) Command> trust 1 = Don’t know 2 = I do NOT trust 3 = I trust marginally 4 = I trust fully s = please show me more information m = back to the main menuYour decision? 2Command> quit$

在命令編輯環境中執行trust，然后選擇級別2（I do NOT trust），這樣我們割斷了任何信任鏈，使每個密匙都必須經過Mike的簽名。

6.刪除密鑰

從私鑰鑰匙環里刪除密鑰：

必須先刪除私鑰，然后才能刪除公鑰。
從公鑰鑰匙環里刪除密鑰：