gpg example

fewlife

by tangke  200-06-05
数字加密:
加密的传统方法只用一把密钥加密。发出讯息者用这把钥匙对讯息加密。接收讯息者需要有完全相同的钥匙才能将加密了的讯息解密。这把钥匙必须以一种其他人没有机会得到它的方式给予接收讯息者。如果其他人得到了这把钥匙，这种加密方式就没用了。
使用一种称为"公开钥匙"的方法可以解决这个问题。公开钥匙的概念涉及两把钥匙。一把钥匙称为"公开钥匙"（公钥），可以以所有方式传递，任何人都可以得到。另一把钥匙称为"隐密钥匙"（密钥）。这把钥匙是秘密的，不能传递出去。只有它的拥有者才能接触和使用它。如果正确实施了这种方法，从公钥不能得出密钥。发出讯息者以接收讯息者的公钥将讯息加密，接收者则以自己的密钥解密。
数字签名:
为证明一则讯息确实是宣称发出讯息的人所发，发明了数字签名的概念。正如其名称显示，发出讯息者数字化地在讯息上签名。别人可以通过这个签名检验这个讯息的真实性。使用这种方法，可以减少中" 特洛伊木马计"的风险（即一则讯息宣称是对某个问题的补丁，实际却包含病毒或乱动你计算机上的数据），同时信息或数据可以被确认是来自正当合法的来源，而被认为属实。
一个数字签名是通过密钥和讯息本身而得来。讯息可以通过发出讯息者的公钥来验证。这样，不仅可以验证讯息是正确的发出讯息者所发，而且内容也得到验证。这样，得到讯息者可以确认：讯息来自该发出讯息者，而且在传递过程中其内容没有改变。
1.生成钥匙
gpg --gen-key
ls ~/.gpg/
secring.gpg pubring.gpg
这两个文件一个包含公钥，一个包含私钥。
2.输出钥匙
gpg --export [UID]
如果没有给出一个用户身份识别（UID），所有现有的钥匙都会被输出。隐含地，结果将输出到标准输出(stdout)去。但是用-o 选项可以把它放到一个文件里去。建议你同时使用 -a 选项来把钥匙写进一个7位的文件，而不是一个二进制文件。
3.引进钥匙
gpg --import [Filename]
当你收到一把别人的公钥（或好几把公钥）时，为了能使用它们，你得把它们加进你的钥匙数据库。
如果文件名（filename）省略了，数据将从标准输入（ stdin）读入。
4.取消钥匙
gpg --gen-revoke
该命令将产生一份取消钥匙证书。 要这么做，一定要先有密钥！ 否则任何人都能取消你的钥匙。
5.钥匙管理
gpg --list-keys   可以显示所有现有的钥匙。
gpg --list-sigs 可以显示所有的签名
gpg --fingerprint 可以得到钥匙指纹
gpg --list-secret-keys 可以得到私密钥匙
gpg --delete-key UID 删除一把公钥
gpg --delete-secret-key UID 删除一把密钥
gpg --edit-key UID 修改一个钥匙
6.钥匙签名
这个系统有一个最大的薄弱点，那就是公钥的真实性问题。如果用的是错误的公钥，你加密的价值就全没了。要克服这种风险，一种可能是对钥匙签名：你把你的签名放在一把钥匙上，这样你就绝对确信这把钥匙是真实的。这样，钥匙上的签名就表示承认钥匙上的用户身份确实是这把钥匙的主人。有了这个保证，用户就可以开始放心用这把钥匙加密了。
要对一把钥匙签名，用 gpg --edit-key UID ，然后用 sign命令。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u3/100996/showart_2003902.html