隨著網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的發(fā)展，數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)交換的安全性已經(jīng)變得越來越重要，加密技術(shù)已經(jīng)很早就用于數(shù)據(jù)存和數(shù)據(jù)交換。為了確保網(wǎng)絡(luò)數(shù)據(jù)交換時(shí)的雙方身份的正確性，簽證體系也已經(jīng)成熟。GnuPG就是用來加密數(shù)據(jù)與制作證書的一套工具，其作用與PGP類似。但是PGP使用了許多專利算法，屬于"臭名昭著"的美國(guó)加密出口限制之列。GnuPG是GPL軟件，并且沒有使用任何專利加密算法，所以使用起來有著更多的自由。
具體地說，GnuPG是實(shí)現(xiàn)安全通訊和數(shù)據(jù)存儲(chǔ)的一系列工具集，可以做加密數(shù)據(jù)和做數(shù)字簽名之用。在功能上，它和PGP是一樣的。由于PGP使用了IDEA專利算法，所以使用PGP會(huì)有許可證的麻煩。但是GnuPG并沒有使用這個(gè)算法，所以對(duì)用戶來說使用GnuPG沒有任何限制。GnuPG使用非對(duì)稱加密算法，安全程度比較高。所謂非對(duì)稱加密算法，就是每一個(gè)用戶都擁有一對(duì)密鑰: 公鑰和私鑰。其中，密鑰由用戶保存，公鑰則由用戶盡可能地散發(fā)給其他人，以便其他人與您通訊。
---- GnuPG主要有以下特點(diǎn)：
---- 完全兼容 PGP
---- 沒有使用任何專利算法，沒有專利問題
---- 遵循GNU公共許可證
---- 與OpenPGP兼容
---- 使用廣泛，安全性高于PGP2，可以加密校驗(yàn)和PGP5.x格式的信息
---- 支持多種加密算法
---- 支持?jǐn)U展模塊
---- 用戶標(biāo)識(shí)遵循標(biāo)準(zhǔn)結(jié)構(gòu)
---- 多語(yǔ)言支持（尚未支持中文）
---- 在線幫助系統(tǒng)
---- 支持匿名信息接收
---- 支持HKP密鑰服務(wù)
---- 擁有眾多的GUI界面支持
---- GnuPG的源代碼可以在http://www.gnu.org/download.html取得。
GnuPG的安裝
---- 首先要取得GnuPG的源代碼，然后執(zhí)行如下操作：
---- 1．解開源代碼包：
---- [kerberos@dev9] tar xvzf gnupg-version.tar.gz
---- [kerberos@dev9] cd gnupg-version
---- [kerberos@dev9 gnupg-version] ./configure
---- 2．編譯源代碼
---- [kerberos@dev9 gnupg-version] make
---- 3．檢驗(yàn)生成的工具
---- [kerberos@dev9 gnupg-version] make check
---- 4．準(zhǔn)備安裝
---- [kerberos@dev9 gnupg-version] su
---- 5．安裝工具包
---- [root@dev9 gnupg-version] make install
GnuPG命令使用
---- 1.生成密鑰對(duì)
---- 使用GnuPG之前必須生成密鑰對(duì)（公鑰和私鑰），參數(shù)選項(xiàng)"--gen-key"可以生成密鑰對(duì)。可按如下步驟操作。
[root@dev9 /]#gpg --gen-key
gpg (GnuPG) 1.0.2; Copyright (C) 2000 Free Software
Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to
redistribute it
under certain conditions. See the file COPYING for details.
gpg: /root/.gnupg: directory created
gpg: /root/.gnupg/options: new options file created
gpg: you have to start GnuPG again, so it can read
the new options file
然后重新使用上面的指令。
gpg (GnuPG) 1.0.2; Copyright (C) 2000 Free Software
Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg: /root/.gnupg: directory created
gpg: /root/.gnupg/options: new options file created
gpg: you have to start GnuPG again, so it can read the
new options file
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(4) ElGamal (sign and encrypt)
Your selection? 1
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
What keysize do you want? (1024) 2048
Do you really need such a large keysize? y
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
< n > = key expires in n days
< n > w = key expires in n weeks
< n > m = key expires in n months
< n > y = key expires in n years
Key is valid for? (0) 0
Key does not expire at all
Is this correct (y/n)? y
---- 這時(shí)您需要一個(gè)用戶ID來標(biāo)識(shí)您的密鑰，GnuPG可以根據(jù)您的真實(shí)姓名、注釋和E-mail地址產(chǎn)生一個(gè)用戶ID。
Real name: kerberos
Email address: kerberos@minigui.org
Comment: Unix/Linux consultant
You selected this USER-ID:
"kerberos (Unix/Linux consultant) < kerberos@minigui.org > "
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.
Enter passphrase: [enter a passphrase]
---- 在產(chǎn)生密鑰的過程中，GnuPG需要得到一些隨機(jī)的數(shù)字。這些隨機(jī)的數(shù)字可以 從您的系統(tǒng)當(dāng)前狀態(tài)中得到，所以這時(shí)候，您可以隨機(jī)敲一下鍵盤或者移動(dòng)鼠標(biāo)，來產(chǎn)生高質(zhì)量的隨機(jī)數(shù)。
---- 然后，GnuPG要求您輸入您要生成的密鑰的算法。
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(4) ElGamal (sign and encrypt)
Your selection?
---- GnuPG可是生成多種密鑰對(duì)，這里有三種選擇。DSA密鑰是生成證書的最基本的密鑰格式。ElGamal密鑰對(duì)可以用來加密。第二種選擇與第一種相似，但是僅僅生成DSA密鑰對(duì)，第三種選擇可以生成供簽證和加密使用的ElGamal密鑰對(duì)。對(duì)大多數(shù)用戶來說，使用缺省的選擇是非常方便的。
---- 下面要選擇密鑰的長(zhǎng)度，DSA密鑰的長(zhǎng)度在512位～1024位之間，Elmagal密鑰的長(zhǎng)度則沒有限制。
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
What keysize do you want? (1024)
---- 生成一個(gè)很長(zhǎng)的密鑰既有優(yōu)點(diǎn)也有缺點(diǎn)，長(zhǎng)的密鑰無疑安全性非常高，但是會(huì)導(dǎo)致加密的過程變得緩慢，另外，密鑰過長(zhǎng)，也會(huì)使證書的長(zhǎng)度變大。
---- 缺省的密鑰長(zhǎng)度1024位已經(jīng)夠用了，確定了密鑰的長(zhǎng)度之后，就不能再改變它。
---- 最后，需要指定這個(gè)密鑰對(duì)的有效日期，如果選擇了生成ElGamal或者 DSA密鑰對(duì)，它們需要指定密鑰對(duì)的失效日期。
Please specify how long the key should be valid
0 = key does not expire = key expires in n days
< n > w = key expires in n weeks
< n > m = key expires in n months
< n > y = key expires in n years
Key is valid for? (0)
---- 對(duì)于大多數(shù)用戶來說，密鑰對(duì)沒有失效期限是可以的。雖然在密鑰對(duì)產(chǎn)生以后，可以改變它的有效日期，但是仍要謹(jǐn)慎選擇這個(gè)參數(shù)。因?yàn)楣€發(fā)送出去以后，很難再改變其他用戶擁有的您的公鑰。
---- 現(xiàn)在需要提供一個(gè)用戶標(biāo)識(shí)，在簽證的時(shí)候，公鑰需要與用戶標(biāo)識(shí)綁定以證明您的真實(shí)身份。
---- You need a User-ID to identify your key; the software constructs the user id from Real Name, Comment and Email Address in this form:
---- "kerberos (Linux consultant) < kerberos@minigui.org > "
---- Real name: 您的用戶名
---- Email address: 輸入您的email地址
---- Comment: 輸入注釋
---- 最后，GnuPG 需要一個(gè)私鑰，這個(gè)私鑰由用戶自己保存
---- Enter passphrase: 輸入密鑰口令
---- 這個(gè)口令的目的是用來加密您的私鑰，這樣，即使有人偷走了您的私鑰，沒有這個(gè)口令，也無法使用， 這個(gè)口令的長(zhǎng)度沒有限制，但是，正如我們所知道的，一個(gè)短的口令是很容易被破解的。同樣，如果您的口令是一個(gè)單詞，也很容易被破解。
---- 2．證書的回收
---- 當(dāng)您的密鑰對(duì)生成之后，您應(yīng)該立即做一個(gè)公鑰回收證書，如果您忘記了您的私鑰的口令或者您的私鑰丟失或者被盜竊，您可以發(fā)布這個(gè)證書來聲明以前的公鑰不再有效。生成回收證書的選項(xiàng)是"--gen-revoke"。
---- [root@dev9 /]# gpg --output revoke.asc --gen-revoke mykey
---- 其中mykey 參數(shù)是可以表示的密鑰標(biāo)識(shí)，產(chǎn)生的回收證書放在revoke.asc文件里，一旦回收證書被發(fā)放，以前的證書就不能再被其他用戶訪問，因此以前的公鑰也就失效了。
---- 3．密鑰列表
---- 列出密鑰使用 --list-keys 選項(xiàng)
---- [root@dev9 /]# gpg --list-keys
---- 4．輸出公鑰
---- 您可以輸出您的公鑰供您的主頁(yè)使用，也可以把它放在密鑰服務(wù)器上，當(dāng)然，還可以使用于其他的途徑。在您使用此公鑰之前您首先要導(dǎo)出它。選項(xiàng) --export 可以實(shí)現(xiàn)這個(gè)功能，在使用這個(gè)選項(xiàng)時(shí)，還必須使用附加的選項(xiàng)指明您要輸出的公鑰。
---- 下面的命令表示以二進(jìn)制格式輸出公鑰：
---- [root@dev9 /]# gpg --output kapil.gpg --export kerberos@minigui.org
---- 如下命令表示以ASCII字符格式輸出：
---- gpg --output kapil.gpg --export－armor> kerberos-key.asc
---- 5．導(dǎo)入公鑰
---- 您可以把從第三方的公鑰數(shù)據(jù)庫(kù)中得到的公鑰導(dǎo)入您的私有數(shù)據(jù)庫(kù)，在與他人進(jìn)行通訊時(shí)使用。
---- [root@dev9 /]#gpg --import < filename >
---- 其中，參數(shù)filename為公鑰文件。
---- 例如：導(dǎo)入redhat的公鑰，redhat.asc可以從redhat的主頁(yè)上下載。
---- [root@dev9 /]# gpg --import redhat.asc
---- gpg: key :9B4A4024: public key imported
---- gpg: /root/.gnupg/trustdb.gpg: trustdb created
---- gpg: Total number processed: 1
---- gpg: imported: 1
---- 6．確認(rèn)密鑰
---- 導(dǎo)入密鑰以后，使用數(shù)字簽名來驗(yàn)證此證書是否合法。查看數(shù)字簽名使用 --fingerprint 選項(xiàng)。
---- [root@dev9 /]＃ gpg --fingerprint < UID >
---- 其中，UID 為您要驗(yàn)證的公鑰。
---- 7．密鑰簽名
---- 導(dǎo)入密鑰之后，可以使用 --sign-key 選項(xiàng)進(jìn)行簽名，簽名的目的是證明您完全信任這個(gè)證書的合法性。
---- 例如:[root@dev9 /]# gpg --sign-key < UID >
---- 其中，UID 是要簽名的公鑰。
---- 8．檢查簽名
---- 我們可以使用 --check-sigs選項(xiàng)來檢查在上面我們對(duì)密鑰所作的簽名。
---- [root@dev9 /]# gpg --check-sigs < UID >
---- 這個(gè)選項(xiàng)可以列出此密鑰文件的所有的簽名。
---- 9．加密和解密
---- 加密和解密一個(gè)文件非常容易，如果您要給redhat發(fā)送一個(gè)加密文件,您可以使用redhat的公鑰加密這個(gè)文件，并且這個(gè)文件也只有redhat使用自己的密鑰才可以解密查看。
---- 加密一個(gè)文件可以使用下面的指令
---- [root@dev9 /]#gpg --sear < UID > < file >
---- 其中，UID是對(duì)方的公鑰，file為您要加密的文件。
---- 如果您要解開一個(gè)其他用戶發(fā)給您的文件可以使用下面的指令:
---- [root@dev9 /]#gpg -d < file >
---- 其中，file是您要解密的文件。解密過程中，GnuPG會(huì)提示您輸入使用密鑰所需要的口令，也就是在產(chǎn)生私鑰時(shí)您所輸入的口令。