alancxx

gpg -o keyfilename –export mykeyID

如果没有mykeyID则是备份所有的公钥，-o表示输出到文件keyfilename中，如果加上-a的参数则输出文本格式( ASCII )的信息，否则输出的是二进制格式信息。

• 私钥的导出：

gpg -o keyfilename –export-secret-keys mykeyID

如果没有mykeyID则是备份所有的私钥，-o表示输出到文件keyfilename中，如果加上-a的参数则输出文本格式的信息，否则输出的是二进制格式信息。

• 密钥的导入：

gpg –import filename

PS:用户可以使用gpg –list-keys命令查看是否成功导入了密钥。

5.加密解密和数字签名

通过上述的密钥生成以及公钥分发后，加密和解密数据变得非常容易，用户可以通过使用该功能来达到安全地在网络上传输自己的隐密数据的目的。

如果用户patterson要给用户liyang发送一个加密文件，则他可以使用liyang的公钥加密这个文件，并且这个文件也只有liyang使用自己的密钥才可以解密查看。下面给出加解密的步骤：

• 用户patterson使用liyang的公钥加密文件test，使用下面的指令：

# gpg -e test

You did not specify a user ID. (you may use “-r”)

Enter the user ID. End with an empty line: liyang

Added 1024g/C50E455A 2006-01-02 “liyang (hello) < liyang@sina.com>”

这样，就可以将gpg.conf文件加密成test.gpg，一般用户是无法阅读的

PS:当然你也可以直接指定使用哪个用户的公钥进行加密:

gpg -e -r liyang test  (-r 表示指定用户)

还可以加上参数 -a 来输出ASCII编码的文件test.asc(test.gpg是二进制编码的，不可用文本读)

gpg -ea -r liyang test

• 用户liyang 使用自己的私钥来解密该文件，如下所示：

# gpg -d test.gpg

You need a passphrase to unlock the secret key for

user: “liyang (hello) < liyang@sina.com>”

1024-bit ELG-E key, ID C50E455A, created 2006-01-02 (main key ID 378D11AF)

GnuPG提示用户，需要输入生成私钥使用的密码：

Enter passphrase:

gpg: encrypted with 1024-bit ELG-E key, ID C50E455A, created 2006-01-02

“liyang (hello) < liyang@sina.com>”

PS:无论加密解密，都可以加上-o参数来指定加密和解密后的输出文件，例如

#gpg -o doc.gpg -er name doc
其中name是选择谁的公钥加密，即谁是文件的接收者。
doc为要加密的文件，即原文件
doc.gpg为命令执行后生成的加密的文件，这里要先指定好文件名

• 对文件进行签名

1、数字签名
命令格式：
#gpg -o doc.sig -s doc
其中doc是原文件，doc.sig包含了原文件和签名，是二进制的。这个命令会要求你输入你的私钥的密码句。
#gpg -o doc.sig -ser name doc
既签名又加密

2、文本签名
#gpg -o doc.sig –clearsign doc
这样产生的doc.sig同样包含原文件和签名，其中签名是文本的，而原文件不变。

3、分离式签名
#gpg -o doc.sig -ab doc
doc.sig仅包括签名，分离式签名的意思是原文件和签名是分开的。
b 表示分离式签名detach-sign

4、验证签名
#gpg –verify doc.sig [doc]
验证之前必须导入文件作者的公钥，对于分离式签名，最后还要加上原文件，即后面的doc。

• 密匙签名和用户信任(进阶功能)

尽管在理论上讲，具备了公匙和私匙就可以实现安全的信息通讯，但是在实际应用中，还必须对公匙进行有效确认。因为，确实存在伪造公匙信息的可能。

由此，在GPG中引入了一个复杂的信任系统，以帮助我们区分哪些密匙是真的，哪些密匙是假的。这个信任系统是基于密匙的，主要包括密匙签名。

当收到熟人的公匙并且GPG告知不存在任何实体可信信息附加于这个公匙后，首要的事情就是对这个密匙进行“指纹采样”（fingerprint）。例如，我们对来自mike的公匙进行了导入操作，并且GPG告知我们不存在这个密匙的附加可信信息，这时候，我们首先要做的工作就是对这个新密匙进行“指纹采样 ”，相关命令及执行情况如下：

$ gpg –fingerprint mike@hairnet.orgpub 1024D/4F03BD39 2001-01-15 Mike Socks (I’m WIRED) Key fingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39sub 1024g/FDBB477D 2001-01-15$

这样，就从密匙数据中生成了其指纹信息，并且应该是唯一的。然后，我们打电话给mike，确认两件事情。首先，他是否发送给我们了密匙；其次，他的公匙的指纹信息是什么。如果Mike确认了这两件事情，我们就可以确信这个密匙是合法的。接下来，我们对密匙进行签名操作，以表示这个密匙来自Mike而且我们对密匙的信任，相关命令及执行情况如下：

$ gpg –sign-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: neversub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I’m WIRED) pub 1024D/4F03BD39 created: 2001-01-15 expires: neverFingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39Mike Socks (I’m WIRED) Are you really sure that you want to sign this keywith your key: Ima User (I’m just ME) Really sign? yYou need a passphrase to unlock the secret key foruser: Ima User (I’m just ME) 1024-bit DSA key, ID D9BAC463, created 2001-01-03Enter passphrase:$

执行到此，使用我们的私匙完成了对Mike的公匙的签名操作，任何持有我们的公匙的人都可以查证签名确实属于我们自己。这个附加到Mike的公匙上的签名信息将随它环游Internet世界，我们使用个人信誉，也就是我们自己的私匙，保证了那个密匙确实属于Mike。这是一个多么感人的充满诚信的故事啊 现实世界的人们是否应该从这严格的技术标准中反思些什么呢？

还是回到这里。获取附加于一个公匙上的签名信息列表的命令是：

gpg –check-sigs mike@hairnet.org

签名列表越长，密匙的可信度越大。其实，正是签名系统本身提供了密匙查证功能。假设我们接收到一个签名为Mike的密匙，通过Mike的公匙，我们验证出签名确实属于Mike，那么我们就信任了这个密匙。推而广之，我们就可以信任Mike签名的任何密匙。

为了更加稳妥，GPG还引入了另一个附加功能：可信级别（trust level）。使用它，我们可以为我们拥有的任何密匙的所有者指定可信级别。例如，即使我们知道Mike的公匙是可信的，但是事实上我们不能信任Mike在对其他密匙签名时的判断；我们会想，Mike也许只对少数密匙进行了签名，但却没有好好地检查一遍。

设置可信级别的命令及执行情况如下：

$ gpg –edit-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: never trust: -/fsub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I’m WIRED) Command> trust 1 = Don’t know 2 = I do NOT trust 3 = I trust marginally 4 = I trust fully s = please show me more information m = back to the main menuYour decision? 2Command> quit$

在命令编辑环境中执行trust，然后选择级别2（I do NOT trust），这样我们割断了任何信任链，使每个密匙都必须经过Mike的签名。

6.删除密钥

从私钥钥匙环里删除密钥：

必须先删除私钥，然后才能删除公钥。
从公钥钥匙环里删除密钥：