信息传递的风险

信息传递无时无刻不在发生，包括我们的信件往来，浏览网页，社交软件等等。然而在传递的过程中，会面临各种各样的潜在的风险，比如通过开发人员，出差人员，离职人员，还有我们的合作伙伴，或者商业间谍，电脑黑客，流程失控等等

加/解密

因为信息传递风的风险，所以我们发送方必须对信息进行加密，也就是把明文变成密文，另一方也就是接收方需要再对信息进行解密，也就是把密文在转换成明文。

常用的加密方式和目的：

保证数据的机密性采用

对称加密：加/解密用同一个密钥       

加密算法有 DES（Data Encryption Standard）

                      AES（Advanced Encryption Standard）

非对称加密：加/解密用不同的密钥（公钥/私钥）

算法有  RSA（Rivest Shamirh  Adleman）

              DSA（Digital  Signature Algorithm）

保护信息的完整性用

信息摘要：基于输入的信息生成长度较短，位数固定的散列值

Hash散列技术  根据输入的文本（长度不限） 生成固定的128位的摘要文本

MD5  Message  Digest Algorithm 5

SHA Secure Hash Algorithm

GnuPG，GNU Privacy Guard

官网：http：//www.gnupg.org/

最流行的数据加密，数字签名工具软件

[root@mserver ~]# gpg --version
...
Home: ~/.gnupg
支持的算法：
公钥：RSA, ?, ?, ELG, DSA
对称加密：IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
     TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
散列：MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
压缩：不压缩, ZIP, ZLIB, BZIP2

 GnuPG 对称加密 

--symmetric 或 -c     解密  --decrypt 或 -d

[root@server51 ~]# useradd usera
[root@server51 ~]# useradd userb
[root@server51 ~]# echo 123456 | passwd --stdin usera 
[root@server51 ~]# echo 123456 | passwd --stdin userb
[root@server51 ~]# ssh -X usera@localhost 
[usera@server51 ~]$ echo "dui chen jia mi "  >  a.txt
[usera@server51 ~]$ cat a.txt 
dui chen jia mi 
[usera@server51 ~]$ gpg -c a.txt 
        ┌─────────────────────────────────────────────────────┐
        │ 请输入密码                                          │
        │                                                     │
        │                                                     │
        │ Passphrase_1234567890________//输入加密密码__ _______ │
        │                                                     │
        │	<OK>                             <Cancel>     │
        └─────────────────────────────────────────────────────┘

gpg: 已创建目录‘/home/usera/.gnupg’
gpg: 新的配置文件‘/home/usera/.gnupg/gpg.conf’已建立
gpg: 警告：在‘/home/usera/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
gpg: 钥匙环‘/home/usera/.gnupg/pubring.gpg’已建立
[usera@server51 ~]$ cp a.txt.gpg  /tmp/

[userb@server51 ~]$ cat /tmp/a.txt.gpg 
�˕x�7���,��}�����.h�@�WH<]
[userb@server51 ~]$ gpg -d /tmp/a.txt.gpg 
gpg: 已创建目录‘/home/userb/.gnupg’
gpg: 新的配置文件‘/home/userb/.gnupg/gpg.conf’已建立
gpg: 警告：在‘/home/userb/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
gpg: 钥匙环‘/home/userb/.gnupg/secring.gpg’已建立
会出现对话框提示密码
gpg: CAST5 加密过的数据
gpg: 以 1 个密码加密
dui chen jia mi                             //已解密
gpg: 警告：报文未受到完整的保护

GnuPG 非对称/解密

接收方：创建密钥对  gpg  --gen-key     导出公钥：gpg --export、--armor 或 -a

发送方 ：导入公钥  gpg --import

加密：gpg  --encrypt 或 -e        --recipient 或 -r      指定目标用户（创建的真实姓名）   文件

解密：gpg --decrypt 或 -d   需要输入私钥密码

[userb@server51 ~]$ gpg --gen-key
gpg: 已创建目录‘/home/userb/.gnupg’
gpg: 新的配置文件‘/home/userb/.gnupg/gpg.conf’已建立
gpg: 警告：在‘/home/userb/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
gpg: 钥匙环‘/home/userb/.gnupg/secring.gpg’已建立
gpg: 钥匙环‘/home/userb/.gnupg/pubring.gpg’已建立
请选择您要使用的密钥种类：
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (仅用于签名)
   (4) RSA (仅用于签名)
您的选择？                                //默认即可，直接回车
RSA 密钥长度应在 1024 位与 4096 位之间。    //可自己定义，需要记住
您想要用多大的密钥尺寸？(2048)
您所要求的密钥尺寸是 2048 位
请设定这把密钥的有效期限。
         0 = 密钥永不过期
      <n>  = 密钥在 n 天后过期
      <n>w = 密钥在 n 周后过期
      <n>m = 密钥在 n 月后过期
      <n>y = 密钥在 n 年后过期
密钥的有效期限是？(0) 
密钥永远不会过期
以上正确吗？(y/n) y                        //输入y确定

真实姓名：123456
姓名不可以用数字开头
真实姓名：guo
姓名至少要有五个字符长
真实姓名：guo123
电子邮件地址：123456
电子邮件地址无效
电子邮件地址：[email protected]
注释：123
您选定了这个用户标识：
    “guo123 (123) <[email protected]>”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)？O
您需要一个密码来保护您的私钥。

会弹出对话框，提示输入密码（这里为123456790）
...
公钥和私钥已经生成并经签名。
...

[userb@server51 ~]$ gpg --export  -a > /tmp/userb.pub    //导出公钥到文件中

[usera@server51 ~]$ gpg --import  /tmp/userb.pub       //usera用户导入公钥
gpg: 已创建目录‘/home/usera/.gnupg’
gpg: 新的配置文件‘/home/usera/.gnupg/gpg.conf’已建立
gpg: 警告：在‘/home/usera/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
gpg: 钥匙环‘/home/usera/.gnupg/secring.gpg’已建立
gpg: 钥匙环‘/home/usera/.gnupg/pubring.gpg’已建立
gpg: /home/usera/.gnupg/trustdb.gpg：建立了信任度数据库
gpg: 密钥 98FA8D5F：公钥“guo123 (123) <[email protected]>”已导入
gpg: 合计被处理的数量：1
gpg:           已导入：1  (RSA: 1)
[usera@server51 ~]$ ls ./.gnupg/
gpg.conf  pubring.gpg  pubring.gpg~  secring.gpg  trustdb.gpg

[usera@server51 ~]$ echo 'fei dui chen jia mi '  >  test.txt
[usera@server51 ~]$ gpg -e -r  guo123 test.txt 
无论如何还是使用这把密钥吗？(y/N)y
[usera@server51 ~]$ cp test.txt.gpg  /tmp/

[userb@server51 ~]$ cat /tmp/test.txt.gpg 
�
  ���޹9A��7�G�]�a�6���L����M���0]�....
[userb@server51 ~]$ gpg -d /tmp/test.txt.gpg  > 2.txt

您需要输入密码，才能解开这个用户的私钥：“guo123 (123) <[email protected]>”
2048 位的 RSA 密钥，钥匙号 B9391241，建立于 2018-12-29 (主钥匙号 98FA8D5F)

gpg: 由 2048 位的 RSA 密钥加密，钥匙号为 B9391241、生成于 2018-12-29
      “guo123 (123) <[email protected]>”                //刚才私钥保护密码
[userb@server51 ~]$ cat 2.txt 
fei dui chen jia mi 

GPG软件签名和验证

软件签名和验证过程

软件官方以私钥对软件包进行数字签名

用户下载软件包和官方公钥

以官方公钥验证软件签名，确保数据来源正确

对软件包建立签名文件  分离式签名  --detach-sign 或 -b

验证签名   --verify

[userb@server51 ~]$ vim qianming.txt
123456
654321
000000
[userb@server51 ~]$ gpg -b qianming.txt 

您需要输入密码，才能解开这个用户的私钥：“guo123 (123) <[email protected]>”
2048 位的 RSA 密钥，钥匙号 98FA8D5F，建立于 2018-12-29

弹出对话框，提示输入密码
[userb@server51 ~]$ ls
2.txt  perl5  qianming.txt  qianming.txt.sig               //.sig生成的签名文件
[userb@server51 ~]$ cp qianming.*  /tmp                    //需要签名文件和源文件同时导出

[usera@server51 ~]$ gpg --verity  /tmp/qianming.txt.sig        //usera持有公钥进行验证
gpg: invalid option "--verity"
[usera@server51 ~]$ gpg --verify  /tmp/qianming.txt.sig 
gpg: 于 2018年12月29日 星期六 17时24分41秒 CST 创建的签名，使用 RSA，钥匙号 98FA8D5F
gpg: 完好的签名，来自于“guo123 (123) <[email protected]>”
gpg: 警告：这把密钥未经受信任的签名认证！
gpg:       没有证据表明这个签名属于它所声称的持有者。
主钥指纹： 8D92 C393 C5B5 55EA EA02  0AE9 6006 BC0F 98FA 8D5F

[root@server51 ~]# vim /tmp/qianming.txt          //以root身份对文件进行改动
123456
654321
000000
aaa
[usera@server51 ~]$ gpg --verify  /tmp/qianming.txt.sig     //usera用户进行验证，签名已经损坏
gpg: 于 2018年12月29日 星期六 17时24分41秒 CST 创建的签名，使用 RSA，钥匙号 98FA8D5F
gpg: 已损坏的签名，来自于“guo123 (123) <[email protected]>”