隨著網絡與計算機技術的發展，數據存儲與數據交換的安全性已經變得越來越重要，加密技術已經很早就用于數據存和數據交換。為了確保網絡數據交換時的雙方身份的正確性，簽證體系也已經成熟。GnuPG就是用來加密數據與制作證書的一套工具，其作用與PGP類似。但是PGP使用了許多專利算法，屬于"臭名昭著"的美國加密出口限制之列。GnuPG是GPL軟件，并且沒有使用任何專利加密算法，所以使用起來有著更多的自由。

具體地說，GnuPG是實現安全通訊和數據存儲的一系列工具集，可以做加密數據和做數字簽名之用。在功能上，它和PGP是一樣的。由于PGP使用了IDEA專利算法，所以使用PGP會有許可證的麻煩。但是GnuPG并沒有使用這個算法，所以對用戶來說使用GnuPG沒有任何限制。GnuPG使用非對稱加密算法，安全程度比較高。所謂非對稱加密算法，就是每一個用戶都擁有一對密鑰: 公鑰和私鑰。其中，密鑰由用戶保存，公鑰則由用戶盡可能地散發給其他人，以便其他人與您通訊。

下載地址：http://down.51cto.com/data/148107

>>去網絡安全工具百寶箱看看其它安全工具

---- GnuPG主要有以下特點：

---- 完全兼容 PGP

---- 沒有使用任何專利算法，沒有專利問題

---- 遵循GNU公共許可證

---- 與OpenPGP兼容

---- 使用廣泛，安全性高于PGP2，可以加密校驗和PGP5.x格式的信息

---- 支持多種加密算法

---- 支持擴展模塊

---- 用戶標識遵循標準結構

---- 多語言支持（尚未支持中文）

---- 在線幫助系統

---- 支持匿名信息接收

---- 支持HKP密鑰服務

---- 擁有眾多的GUI界面支持

---- GnuPG的源代碼可以在http://www.gnu.org/download.html取得。

GnuPG的安裝

---- 首先要取得GnuPG的源代碼，然后執行如下操作：

---- 1．解開源代碼包：

---- [kerberos@dev9] tar xvzf gnupg-version.tar.gz

---- [kerberos@dev9] cd gnupg-version

---- [kerberos@dev9 gnupg-version] ./configure

---- 2．編譯源代碼

---- [kerberos@dev9 gnupg-version] make

---- 3．檢驗生成的工具

---- [kerberos@dev9 gnupg-version] make check

---- 4．準備安裝

---- [kerberos@dev9 gnupg-version] su

---- 5．安裝工具包

---- [root@dev9 gnupg-version] make install

GnuPG命令使用

---- 1.生成密鑰對

---- 使用GnuPG之前必須生成密鑰對（公鑰和私鑰），參數選項"--gen-key"可以生成密鑰對。可按如下步驟操作。

[root@dev9 /]#gpg --gen-key

gpg (GnuPG) 1.0.2; Copyright (C) 2000 Free Software

Foundation, Inc.

This program comes with ABSOLUTELY NO WARRANTY.

This is free software, and you are welcome to

redistribute it

under certain conditions. See the file COPYING for details.

gpg: /root/.gnupg: directory created

gpg: /root/.gnupg/options: new options file created

gpg: you have to start GnuPG again, so it can read

the new options file

然后重新使用上面的指令。

gpg (GnuPG) 1.0.2; Copyright (C) 2000 Free Software

Foundation, Inc.

This program comes with ABSOLUTELY NO WARRANTY.

This is free software, and you are welcome to redistribute it

under certain conditions. See the file COPYING for details.

gpg: /root/.gnupg: directory created

gpg: /root/.gnupg/options: new options file created

gpg: you have to start GnuPG again, so it can read the

new options file

Please select what kind of key you want:

(1) DSA and ElGamal (default)

(2) DSA (sign only)

(4) ElGamal (sign and encrypt)

Your selection? 1

DSA keypair will have 1024 bits.

About to generate a new ELG-E keypair.

minimum keysize is 768 bits

default keysize is 1024 bits

highest suggested keysize is 2048 bits

What keysize do you want? (1024) 2048

Do you really need such a large keysize? y

Requested keysize is 2048 bits

Please specify how long the key should be valid.

0 = key does not expire

< n > = key expires in n days

< n > w = key expires in n weeks

< n > m = key expires in n months

< n > y = key expires in n years

Key is valid for? (0) 0

Key does not expire at all

Is this correct (y/n)? y

---- 這時您需要一個用戶ID來標識您的密鑰，GnuPG可以根據您的真實姓名、注釋和E-mail地址產生一個用戶ID。

Real name: kerberos

Email address: kerberos@minigui.org

Comment: Unix/Linux consultant

You selected this USER-ID:

"kerberos (Unix/Linux consultant) < kerberos@minigui.org > "

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

You need a Passphrase to protect your secret key.

Enter passphrase: [enter a passphrase]

---- 在產生密鑰的過程中，GnuPG需要得到一些隨機的數字。這些隨機的數字可以 從您的系統當前狀態中得到，所以這時候，您可以隨機敲一下鍵盤或者移動鼠標，來產生高質量的隨機數。

---- 然后，GnuPG要求您輸入您要生成的密鑰的算法。

Please select what kind of key you want:

(1) DSA and ElGamal (default)

(2) DSA (sign only)

(4) ElGamal (sign and encrypt)

Your selection?

---- GnuPG可是生成多種密鑰對，這里有三種選擇。DSA密鑰是生成證書的最基本的密鑰格式。ElGamal密鑰對可以用來加密。第二種選擇與***種相似，但是僅僅生成DSA密鑰對，第三種選擇可以生成供簽證和加密使用的ElGamal密鑰對。對大多數用戶來說，使用缺省的選擇是非常方便的。

---- 下面要選擇密鑰的長度，DSA密鑰的長度在512位～1024位之間，Elmagal密鑰的長度則沒有限制。

About to generate a new ELG-E keypair.

minimum keysize is 768 bits

default keysize is 1024 bits

highest suggested keysize is 2048 bits

What keysize do you want? (1024)

---- 生成一個很長的密鑰既有優點也有缺點，長的密鑰無疑安全性非常高，但是會導致加密的過程變得緩慢，另外，密鑰過長，也會使證書的長度變大。

---- 缺省的密鑰長度1024位已經夠用了，確定了密鑰的長度之后，就不能再改變它。

---- ***，需要指定這個密鑰對的有效日期，如果選擇了生成ElGamal或者 DSA密鑰對，它們需要指定密鑰對的失效日期。

Please specify how long the key should be valid

0 = key does not expire = key expires in n days

< n > w = key expires in n weeks

< n > m = key expires in n months

< n > y = key expires in n years

Key is valid for? (0)

---- 對于大多數用戶來說，密鑰對沒有失效期限是可以的。雖然在密鑰對產生以后，可以改變它的有效日期，但是仍要謹慎選擇這個參數。因為公鑰發送出去以后，很難再改變其他用戶擁有的您的公鑰。

---- 現在需要提供一個用戶標識，在簽證的時候，公鑰需要與用戶標識綁定以證明您的真實身份。

---- You need a User-ID to identify your key; the software constructs the user id from Real Name, Comment and Email Address in this form:

---- "kerberos (Linux consultant) < kerberos@minigui.org > "

---- Real name: 您的用戶名

---- Email address: 輸入您的email地址

---- Comment: 輸入注釋

---- ***，GnuPG 需要一個私鑰，這個私鑰由用戶自己保存

---- Enter passphrase: 輸入密鑰口令

---- 這個口令的目的是用來加密您的私鑰，這樣，即使有人偷走了您的私鑰，沒有這個口令，也無法使用， 這個口令的長度沒有限制，但是，正如我們所知道的，一個短的口令是很容易被破解的。同樣，如果您的口令是一個單詞，也很容易被破解。

---- 2．證書的回收

---- 當您的密鑰對生成之后，您應該立即做一個公鑰回收證書，如果您忘記了您的私鑰的口令或者您的私鑰丟失或者被盜竊，您可以發布這個證書來聲明以前的公鑰不再有效。生成回收證書的選項是"--gen-revoke"。

---- [root@dev9 /]# gpg --output revoke.asc --gen-revoke mykey

---- 其中mykey 參數是可以表示的密鑰標識，產生的回收證書放在revoke.asc文件里，一旦回收證書被發放，以前的證書就不能再被其他用戶訪問，因此以前的公鑰也就失效了。

---- 3．密鑰列表

---- 列出密鑰使用 --list-keys 選項

---- [root@dev9 /]# gpg --list-keys

---- 4．輸出公鑰

---- 您可以輸出您的公鑰供您的主頁使用，也可以把它放在密鑰服務器上，當然，還可以使用于其他的途徑。在您使用此公鑰之前您首先要導出它。選項 --export 可以實現這個功能，在使用這個選項時，還必須使用附加的選項指明您要輸出的公鑰。

---- 下面的命令表示以二進制格式輸出公鑰：

---- [root@dev9 /]# gpg --output kapil.gpg --export kerberos@minigui.org

---- 如下命令表示以ASCII字符格式輸出：

---- gpg --output kapil.gpg --export－armor> kerberos-key.asc

---- 5．導入公鑰

---- 您可以把從第三方的公鑰數據庫中得到的公鑰導入您的私有數據庫，在與他人進行通訊時使用。

---- [root@dev9 /]#gpg --import < filename >

---- 其中，參數filename為公鑰文件。

---- 例如：導入redhat的公鑰，redhat.asc可以從redhat的主頁上下載。

---- [root@dev9 /]# gpg --import redhat.asc

---- gpg: key :9B4A4024: public key imported

---- gpg: /root/.gnupg/trustdb.gpg: trustdb created

---- gpg: Total number processed: 1

---- gpg: imported: 1

---- 6．確認密鑰

---- 導入密鑰以后，使用數字簽名來驗證此證書是否合法。查看數字簽名使用 --fingerprint 選項。

---- [root@dev9 /]＃ gpg --fingerprint < UID >

---- 其中，UID 為您要驗證的公鑰。

---- 7．密鑰簽名

---- 導入密鑰之后，可以使用 --sign-key 選項進行簽名，簽名的目的是證明您完全信任這個證書的合法性。

---- 例如:[root@dev9 /]# gpg --sign-key < UID >

---- 其中，UID 是要簽名的公鑰。

---- 8．檢查簽名

---- 我們可以使用 --check-sigs選項來檢查在上面我們對密鑰所作的簽名。

---- [root@dev9 /]# gpg --check-sigs < UID >

---- 這個選項可以列出此密鑰文件的所有的簽名。

---- 9．加密和解密

---- 加密和解密一個文件非常容易，如果您要給redhat發送一個加密文件,您可以使用redhat的公鑰加密這個文件，并且這個文件也只有redhat使用自己的密鑰才可以解密查看。

---- 加密一個文件可以使用下面的指令

---- [root@dev9 /]#gpg --sear < UID > < file >

---- 其中，UID是對方的公鑰，file為您要加密的文件。

---- 如果您要解開一個其他用戶發給您的文件可以使用下面的指令:

---- [root@dev9 /]#gpg -d < file >

---- 其中，file是您要解密的文件。解密過程中，GnuPG會提示您輸入使用密鑰所需要的口令，也就是在產生私鑰時您所輸入的口令。