使用GPG对电子邮件实现加密和签名.docVIP

使用GPG对电子邮件实现加密和签名 　　摘要：GPG作为加密软件PGP的替代品，作为可以自由使用的开源密码工具，它可以用于数据的加密解密和数字签名以及验证.本文主要介绍了GPG中密钥的使用方法，加密解密以及使用GPG进行签名和检验签名；并以电子邮件为例，阐述了GPG在电子邮件中的安装、密钥管理、邮件内容的加密解密和签名的过程 关键词：密码 加密 解密 电子邮件 数字签名 中图分类号：TP393.0 文献标识码：A 文章编号：1007-9416（2016）11-0189-02 1991年，程序员Phil Zimmermann为了避开政府监视，开发了加密软件PGP。这个软件非常好用，迅速流传开来，成了许多程序员的必备工具。但是，它是商业软件，不能自由使用。所以，自由软件基金会决定，开发一个PGP的替代品，取名为GnuPG。这就是GPG的由来。GnuPG的全称是GNU Privacy Guard，通常简称为GPG，是一个以Gnu通用公共许可证释出的开源密码工具软件，可用来取代PGP；可用于数据加解密和数字签名及验证等。它提供了如下的公钥算法：RSA、RSA-E、RSA-S、ELG-E、DSA，还提供下列对称加密算法：3DES、CAST5、BLOWFISH、AES、AES192、AES256、TWOFISH；散列函数：MD5、SHA-1、RIPEMD160、SHA-256、SHA384、SHA512。此外，GPG还支持以下压缩方式：不压缩、ZIP、ZLIB和BZIP2等 下面我们对GPG的使用方法进行简要介绍，GPG的语法格式为：GPG [选项] [文件名]。常用命令如下： 1 使用密钥 （1）产生密钥。gpg --gen-key：产生一个新的密钥对 （2）输出密钥。gpg --eXPort [UID]：输出一个用户的密钥，UID缺省将输出所有的密钥，默认地，结果将输出到标准输出（stdout）去，可使用-o选项将密钥输出到一个文件里 （3）引入密钥。gpg --import [Filename]：将别人的公钥加入密钥数据库，filename缺省将从标准输入（stdin）读入数据 （4）取消密钥。gpg --gen-revoke：取消一个已经存在的密钥，该命令将产生一份取消密钥证书，且需要事先输入密钥 （5）密钥管理： gpg --edit-key UID：此命令可以修改密钥的失效日期、加入一个指纹、对密钥签名等；（上述命令在使用前需事先输入用户密码进入命令行） （6）密钥签名。GPG通过对密钥进行签名来克服公钥的真实性问题。密钥上的签名就表示承认密钥上的用户身份确实是这把密钥的主人，所以只有在绝对确信一把密钥的真实性的时候（如通过安全渠道拿到密钥，且检查了指纹），才应该对它签名认可。对一个密钥签名，首先用gpg --edit-key UID，然后用sign命令。GPG根据现有的签名和“主人的信任度”来决定密钥的真实性。主人信任度是密钥的主人用来决定对别的某把密钥的信任程度的一个值 2 加密和解密 （1）密钥选择。可通过命令行选项-u UID或--local-user UID选择要使用的密钥，取代默认密钥 （2）加密。加密的命令是：gpg -e Recipient [Data]或 gpg --encrypt Recipient [Data] （3）解密。解密的命令是：gpg [-d] [Data] 或gpg [--decrypt] [Data]，预设输出为stdout，可以使用-o选项将输出转到一个文件 3 签名和检验签名 3.1 签名 gpg -s （--sign） [Data]：使用密钥进行签名的同时数据也被压缩，最终结果无法直接读懂； gpg --clearsign [Data]：使用密钥签名并生成清晰刻度的结果； gpg -b （--detach-sign） [Data]：使用密钥签名并将签名写入另一个文件 对数据既加密又签名的完整命令行大致如下： gpg [-u Sender] [-r Recipient] [--armor] --sign --encrypt [Data] 3.2 验证 如果数据既加密又签名，签名是在解密过程中检验的；可以用以下命令检验签名：gpg [--verify] [Data]；前提是需要接收方有发送方的公钥。上述所有命令的具体使用方法可参见官方教程http：///howtos/ch/index.html。此处使用图形化界面的GPG工具 接下来我们介绍一下GPG在邮件系统中的使用方法： 4 安装和配置 首先安装GPG工具和ThurdBird邮件客户端。安装完