<acronym id='lpt7z'><em id='lpt7z'></em><td id='lpt7z'><div id='lpt7z'></div></td></acronym><address id='lpt7z'><big id='lpt7z'><big id='lpt7z'></big><legend id='lpt7z'></legend></big></address>
    1. <tr id='lpt7z'><strong id='lpt7z'></strong><small id='lpt7z'></small><button id='lpt7z'></button><li id='lpt7z'><noscript id='lpt7z'><big id='lpt7z'></big><dt id='lpt7z'></dt></noscript></li></tr><ol id='lpt7z'><table id='lpt7z'><blockquote id='lpt7z'><tbody id='lpt7z'></tbody></blockquote></table></ol><u id='lpt7z'></u><kbd id='lpt7z'><kbd id='lpt7z'></kbd></kbd>

      <code id='lpt7z'><strong id='lpt7z'></strong></code>
      <i id='lpt7z'><div id='lpt7z'><ins id='lpt7z'></ins></div></i>

        <dl id='lpt7z'></dl>

          <fieldset id='lpt7z'></fieldset>

          <ins id='lpt7z'></ins>

          <i id='lpt7z'></i>
            <span id='lpt7z'></span>

            用GPG加密使您的信息安全保障无忧二(图)

            • 时间:
            • 浏览:9
            • 来源:124软件资讯网
              导入公钥
                
                作为用户  ,也会收到别人的GPG公钥  ,它们可能来自网站、电子邮件、FTP和目录服务等  ,只要信托其泉源 ,就可以将其导入自己的GPG情况  ,之后才可以与响应的职员举行基于GPG的种种应用 。导入公钥的历程可以分为以下三步:
                
                1.导入
                
                好比  ,Terry收到朋侪Brian的公钥文件brian.gpg  ,可以使用以下下令导入文件:
                
                #gpg --import terry.gpg
                
                2.核对“指纹
                
                公钥是可以伪造的  。James可以伪造一个Brian的公钥  ,然后想措施让Terry获得 。若是Terry对收到的公钥不加验证  ,那么他发给Brian的加密邮件就可能被James解密  。GPG的架构中并没有一个PKI这样的证书治理系统  ,GPG的公钥信托是通过“Truth Web”实现的  。
                
                天生Terry公钥的“指纹”:
                
                #gpg --fingerprint terry@mykms.org
                pub 1024D/7234E374 2004-09-10 Terry
                Yu (for test)
                Key fingerprint = A58F D71A 28BA
                499D 805B 588E 82FB CD0F 7234 E374
                sub 2048g/4907EA0A 2004-09-10 [expires: 2005-09-10]
                
                这个“指纹”是惟一的 。可以通过与对方核对“指纹”是否一致  ,来确定这个公钥是否可信和正当  。
                
                3.署名
                
                在乐成导入 ,并确定这个公钥是可以相任之后 ,要立刻对这个公钥举行署名  。这样  ,就可以验证来自对方邮件的真实性了  。
                
                对公钥举行署名可以使用如下下令:
                
                #gpg --sing-key brian@mykms.org
                
                或者
                #gpg --edit-key name
                #command > sign
                
                检核对方邮件  ,好比Brian的署名:
                
                #gpg --check-sigs brian@mykms.org
                
                现在 ,有了Brian署名的公钥  ,通过这个公钥就可以和Brain举行非对称加密通讯了  。
                
                应用GPG
                
                GPG使用的是非对称的密钥系统  ,用户拥有一对密钥  ,包罗一个公钥和一个私钥  。公钥对外宣布  ,私钥则由自己生存  。使用公钥加密的数据可以用私钥解密  ,同样 ,使用私钥加密的数据可以用公钥解密  。
                
                非对称的密钥可以用来加密和做数字署名  。当用户体贴信息保密性时  ,使用加密功效;当用户关注信息完整性及不行狡辩性时  ,使用数字署名功效;当用户需要同时关注信息的秘密性、完整性及不行狡辩性时  ,可以将加密和数学署名混淆使用  。
                
                简朴相识这些密码学观点后  ,就可以最先真正的应用实践了 。
                
                对文件举行加密和数字署名
                
                KDE中提供了图形化的加密操作要领  。好比  ,在KDE中对一个文件加密  ,只需在KDE文件治理器Konqueror中选中该文件  ,单击右键选择“Actions”中的“Encrypt File”就可以加密文件 。加密后的文件以.asc末端 。
                
                对于图形方式的加密操作不多做先容  ,下面将重点放在下令行操作方式上  ,先容下令行下的种种文件加密和署名的操作要领 。
                
                1.对文件举行数字署名
                
                #gpg --clearsign policy.txt
                You need a passphrase to unlock the secret key for
                user: "test (test) "
                1024-bit DSA key, ID ADD93830, created 2004-07-01
                
                运行以上下令  ,天生一个名为report.txt.asc的文件 ,该文件中除了原文件信息外还包罗数字署名信息 。
                
                2.验证文件的数字署名
                
                #gpg --verify policy.txt.asc
                gpg: Signature made 2004年11月04日 星期四 15时58分07秒 UTC using DSA key ID ADD93830
                gpg: Good signature from "test (test) "
                
                以上下令运行的效果显示该署名是准确的 。
                
                3.用指定的公钥对文件加密
                
                #gpg --encrypt -r terry@mykms.org report.txt
                gpg: checking the trustdb
                gpg: checking at depth 0 signed=0 ot(-/q/n/m/f/u)=0/0/0/0/0/1
                gpg: next trustdb check due at 2005-09-10
                
                运行以上下令  ,使用自己的公钥加密report.txt文件 ,天生加密文件report.txt.gpg  。若是使用编辑软件打开该加密文件  ,会发现它包罗的是一些不行明白的字符和乱码 。
                
                4.用私钥对加密文件解密
                
                #gpg --decrypt report.txt.gpg >report.txt
                You need a passphrase to unlock the secret key for
                user: "test1 (unclassfication) "
                2048-bit ELG-E key, ID 33735683, created 2004-09-29
                (main key ID 79EB3D97)
                gpg: encrypted with 2048-bit ELG-E key, ID 33735683,
                created 2004-09-29
                "test1 (unclassfication) "
                
                以上下令要求输入对应私钥的掩护口令才气乐成解密 ,解密后的文件内容被输出到report.txt文件中 。
                
                5.用公钥同时举行文件署名和加密
                
                #gpg -se -r test@yahoo.com.cn report.txt
                You need a passphrase to unlock the secret key for
                user: "test (test) "
                1024-bit DSA key, ID ADD93830, created 2004-07-01
                
                以上下令要求输入对应私钥的掩护口令  ,输入准确的口令后  ,署名和加密乐成完成 。
                
                这些都是应用GPG署名和加密文件的一些常用下令  ,更详细的用法可以参考GPG的资助文件  。
                
                对电子邮件举行加密和数字署名
                
                现实上  ,GPG应用最多的地方是在电子邮件的加密和数字署名上  。许多电子邮件客户端软件都支持PGP/GPG方式的加密及数字署名 。这里以Kmail为例  ,先容怎样设置Kmail  ,并使用Kmail发送加密及数字署名的电子邮件  。
                
                Kmail是KDE情况中的电子邮件客户端  ,类似于Windows下的Outlook Express  。在选单中选择“Settings→Configure-Kmail→Identites” ,选定一个身份 ,单击“Modify”举行编辑  。选择其中的“Advanced”标签页  ,可以看到类似图2的界面 。
                
               用GPG加密使您的信息安全保障无忧二(图)(图一)

                
              图2 Kmail的设置界面

                
                其中  ,“OpenPGP Key”项是该身份所对应的PGP或GPG密钥  ,可以单击“Change”按钮从GPG情况中选择对应的密钥对 。
                
                生存后  ,GPG的设置完成 。试写一封邮件 ,如图3所示  。图中工具栏中凹下去的“钢笔尖”图标表现此邮件使用了数字署名  ,紧靠旁边的锁形图标表现加密  ,若是两个图标都凹下去则表现同时使用了加密和数字署名  。
                
               用GPG加密使您的信息安全保障无忧二(图)(图二)

                
              图3 使用数字署名的电子邮件

                
                发送邮件时  ,Kmail会要求给出对应密钥的掩护口令 ,如图4所示 。
                
               用GPG加密使您的信息安全保障无忧二(图)(图三)

                
              图4 要求输入密钥掩护口令

                
                准确输入掩护口令后  ,会弹出一个确认窗口  ,如图5  。
                
              用GPG加密使您的信息安全保障无忧二(图)(图四)

                
              图5 确认窗口

                
                确认内容无误后  ,单击“OK”按钮  ,一封带有数字署名的电子邮件就乐成发出  。发送加密邮件 ,以及发送同时加密和数字署名的邮件  ,要领都是类似的 。
                
                软件包署名验证
                对于Red Hat等Linux刊行商来说  ,他们经常会使用GPG对公布的软件包举行署名  。用户可以通过验证软件包的署名来确保获得的软件包没有损坏  ,或者是被他人动过手脚  。
                
                验证一个下载软件包的GPG署名可以根据以下步骤来举行:
                
                1.从网上下载或其它方式获得软件刊行商的公钥  ,并将其导入自己的GPG情况中 。
                
                2.通过对比“电子指纹”来确认公钥  ,并对此公钥举行署名  。
                
                3.使用以下下令来验证软件包的GPG署名:
                
                #gpg --verify singaturefile.tar.gz taballpackage.gz
                
                若是该软件是RPM花样的  ,还可以使用如下下令来验证:
                
                #rpm -Kv your.rpm
                
                密钥治理
                
                前面先容了GPG在加密和署名两方面的应用  ,在应用历程中用户要认真地看待密钥治理问题  。GPG的密钥接纳的是信托机制  ,并没有一其中心的PKI可以资助公布和验证GPG用户的公钥  。为了防止公钥诱骗  ,保证公钥的不行否认性(Non-repudiation) ,需要有一种机制来举行治理 。下面是一些有益的建议 ,可供参考  。
                
                ◆ 备份好私钥
                
                一旦私钥丢失或损坏 ,则无法打开以前加密的文件  。而且  ,纵然知道私钥被他人滥用  ,也无法使自己的公钥逾期 。有了私钥的备份 ,就能有用地回避此类风险  。
                
                ◆ 建设有逾期掩护的公钥机制
                
                万一私钥丢失不强人工收回公钥时  ,公钥也可以在预准时间后自动逾期  。
                
                ◆ 为私钥加上强口令掩护
                
                这样  ,纵然私钥文件走漏 ,另有口令掩护 。掩护口令一定要有足够的庞大度  ,才气有用地反抗暴力破解 。
                
                ◆ 多重机制
                
                在紧迫情形下恢复密钥要有多重控制  。
                
                ◆ 使用版本控制软件
                
                使用版本控制软件来网络和维护自己的公钥库  。版本控制软件可以有用地记载历史变换情形  ,保证公钥库的有条不紊  。
                
                小结
                
                GPG作为一个开源而且免费的加密和数字署名软件已经存在多年  。它不光可以为企业、小我私家之间的主要信息提供加密掩护 ,还可以为出书的软件、内核等电子产物举行数字署名