導(dǎo)入公鑰
作為用戶,也會收到別人的GPG公鑰,它們可能來自網(wǎng)站、電子郵件、FTP和目錄服務(wù)等,只要信任其來源,就可以將其導(dǎo)入自己的GPG環(huán)境,之后才可以與相應(yīng)的人員進(jìn)行基于GPG的各種應(yīng)用。
導(dǎo)入公鑰的過程可以分為以下三步:
1.導(dǎo)入
比如,Terry收到朋友god3571的公鑰文件god3571.gpg,可以使用以下命令導(dǎo)入文件:
2.核對“指紋”
公鑰是可以偽造的。James可以偽造一個(gè)god3571的公鑰,然后想辦法讓Terry得到。如果Terry對收到的公鑰不加驗(yàn)證,那么他
發(fā)給god3571的加密郵件就可能被James解密。GPG的架構(gòu)中并沒有一個(gè)PKI這樣的證書管理系統(tǒng),GPG的公鑰信任是通過“Truth
Web”實(shí)現(xiàn)的。
生成Terry公鑰的“指紋”:
#gpg --fingerprint terry@mykms.org
pub 1024D/7234E374 2004-09-10 Terry
Yu (for test) <terry@mykms.org>
Key fingerprint = A58F D71A 28BA
499D 805B 588E 82FB CD0F 7234 E374
sub 2048g/4907EA0A 2004-09-10 [expires: 2005-09-10]
3.簽名
在成功導(dǎo)入,并確定這個(gè)公鑰是可以相任之后,要立即對這個(gè)公鑰進(jìn)行簽名。這樣,就可以驗(yàn)證來自對方郵件的真實(shí)性了。
對公鑰進(jìn)行簽名可以使用如下命令:
#gpg --sign-key god3571@hotmail.com
或者
#gpg --edit-key name
#command > sign
檢查對方郵件,比如god3571的簽名:
#gpg --check-sigs god3571@hotmail.com
現(xiàn)在,有了god3571簽名的公鑰,通過這個(gè)公鑰就可以和god3571進(jìn)行非對稱加密通信了。