gpg 密钥生成、导入、导出、自动输入密码

   

目录

一、系统环境

二、常用命令(以签名密钥为例)

(1)生成密钥

(2)列出私钥

(3)列出公钥

(4)导出公钥

(5)导出私钥

(6)导入公钥/私钥

(7)删除公钥

(8)删除私钥

三、在对私钥进行操作时,避免弹窗输入密码

(1)直接输入密码

(2)将密码输入到文件里


    这里总结一下 gpg 密钥的使用,在最新的版本 2.2.x (CentOS 8)相较于之前的 2.0.x (CentOS 7)版本还是有较大的变化的,还有记录一下自动输入密钥密码的方式,虽然这种方式不提倡(不安全),但是在一些特殊情况下,比如:写脚本执行 gpg 操作的时候,总不能每次弹框手动输入命令吧,下面就来总结下。

一、系统环境

    CentOS Linux release 8.0.1905 (Core)

    注意:CentOS 7 中 gpg 的版本为 2.0.x,CentOS 8 中 gpg 为 2.2.x,还是有很大变化的,比如:签名密钥的导入和导出都需要输入密码。

二、常用命令(以签名密钥为例)

(1)生成密钥

    简单方式:gpg --generate-key 或 --gen-key : 生成 gpg 密钥,这种方式有一些参数是默认的;

[root@192 ~]# gpg --gen-key
gpg (GnuPG) 2.2.9; Copyright (C) 2018 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Note: Use "gpg --full-generate-key" for a full featured key generation dialog.

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) "

真实姓名:temp-key
电子邮件地址:[email protected]
您选定了这个用户标识:
    “temp-key ”

Change (N)ame, (E)mail, or (O)kay/(Q)uit? O
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
gpg: 密钥 AB38BACE635A064C 被标记为绝对信任
gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/6C8A15CECD3DCC2741A7C590AB38BACE635A064C.rev'
公钥和私钥已经生成并经签名。

pub   rsa2048 2020-07-27 [SC] [有效至:2022-07-27]
      6C8A15CECD3DCC2741A7C590AB38BACE635A064C
uid                      temp-key 
sub   rsa2048 2020-07-27 [E] [有效至:2022-07-27]

[root@192 ~]#

   详细的方式:gpg --full-gen-key 或 --full-generate-key : 生成gpg密钥,有详细的配置参数;

[root@localhost ~]# gpg --full-generate-key
gpg (GnuPG) 2.2.9; Copyright (C) 2018 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

请选择您要使用的密钥种类:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (仅用于签名)
   (4) RSA (仅用于签名)
您的选择? 4
RSA 密钥长度应在 1024 位与 4096 位之间。
您想要用多大的密钥尺寸?(2048)
您所要求的密钥尺寸是 2048 位
请设定这把密钥的有效期限。
         0 = 密钥永不过期
        = 密钥在 n 天后过期
      w = 密钥在 n 周后过期
      m = 密钥在 n 月后过期
      y = 密钥在 n 年后过期
密钥的有效期限是?(0) 0
密钥永远不会过期
以上正确吗?(y/n)y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) "

真实姓名:Search2016
电子邮件地址:[email protected]
注释:Search2016
您选定了这个用户标识:
    “Search2016 (Search2016) ”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?O
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
gpg: 密钥 894EC1384177F643 被标记为绝对信任
gpg: directory '/root/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/00BF891AC03B546DE9FCEDDC894EC1384177F643.rev'
公钥和私钥已经生成并经签名。

请注意这把密钥还不能用来加密,您必须先用“--edit-key”指令
生成用于加密的子钥。
pub   rsa2048 2020-07-26 [SC]
      00BF891AC03B546DE9FCEDDC894EC1384177F643
uid                      Search2016 (Search2016) 

[root@localhost ~]#

(2)列出私钥

    gpg -K 或 --list-secret-keys : 查看私钥,参数后面没有指定私钥,则输出所有私钥;

[root@192 ~]# gpg -K
/root/.gnupg/pubring.kbx
------------------------
sec   rsa2048 2020-07-27 [SC]
      8AC0AB86C34ADC6ED110A5A9E6730F4374866065
uid           [ 绝对 ] Search2016 (Search2016) 

(3)列出公钥

    gpg -k 或 --list-public-keys : 查看公钥,参数后面没有指定公钥,则输出所有公钥;

[root@192 ~]# gpg -k
/root/.gnupg/pubring.kbx
------------------------
pub   rsa2048 2020-07-27 [SC]
      8AC0AB86C34ADC6ED110A5A9E6730F4374866065
uid           [ 绝对 ] Search2016 (Search2016) 

(4)导出公钥

        gpg -a -o public-file.key --export keyId : 导出公钥keyId 到 文件 public-file.key中;

    其中:

    -a 为 --armor 的简写,表示密钥以ASCII的形式输出,默认以二进制的形式输出;

    -o 为 --output 的简写,指定写入的文件;

[root@192 ~]# gpg -a -o public-file.key --export 8AC0AB86C34ADC6ED110A5A9E6730F4374866065

(5)导出私钥

     gpg -a -o private-file.key --export-secret-keys keyId : 导出私钥 keyId 到文件 private-file.key中,导出的时候需要输入密钥密码;

    其中,导出私钥需要输入保护私钥的密码;

[root@192 ~]# gpg -a -o private-file.key --export-secret-keys 8AC0AB86C34ADC6ED110A5A9E6730F4374866065

(6)导入公钥/私钥

    gpg --import public-file.key / private-file.key : 导入公钥或私钥,其中,导入私钥需要输入保护私钥的密码;

[root@192 ~]# gpg --import public-file.key
gpg: 密钥 E6730F4374866065:公钥“Search2016 (Search2016) ”已导入
gpg: 合计被处理的数量:1
gpg:           已导入:1
[root@192 ~]# gpg -k
/root/.gnupg/pubring.kbx
------------------------
pub   rsa2048 2020-07-27 [SC]
      8AC0AB86C34ADC6ED110A5A9E6730F4374866065
uid           [ 未知 ] Search2016 (Search2016) 
[root@192 ~]# gpg --import private-file.key
gpg: 密钥 E6730F4374866065:“Search2016 (Search2016) ”未改变
gpg: 密钥 E6730F4374866065:私钥已导入
gpg: 合计被处理的数量:1
gpg:           未改变:1
gpg:       读取的私钥:1
gpg:       导入的私钥:1
[root@192 ~]#

(7)删除公钥

    gpg --delete-keys keyId : 删除公钥;

[root@192 ~]# gpg --delete-keys 6C8A15CECD3DCC2741A7C590AB38BACE635A064C

(8)删除私钥

    gpg --delete-secret-keys : 删除私钥;

[root@192 ~]# gpg --delete-secret-keys 6C8A15CECD3DCC2741A7C590AB38BACE635A064C

三、在对私钥进行操作时,避免弹窗输入密码

     gpg 在新的版本中,在对私钥进行操作的时候(签名、导入等)需要输入密钥的密码,但是有时候我们并不希望弹框输入密码,更希望是通过脚本等方式执行 gpg 的一些操作,方法如下:

(1)直接输入密码

    gpg --import  --pinentry-mode loopback --batch --passphrase password  private-file.key

[root@localhost ~]# gpg --import --pinentry-mode loopback --batch --passphrase 123456 private-file.key
gpg: 密钥 E6730F4374866065:“Search2016 (Search2016) ”未改变
gpg: 密钥 E6730F4374866065:私钥已导入
gpg: 合计被处理的数量:1
gpg:           未改变:1
gpg:       读取的私钥:1
gpg:       导入的私钥:1
[root@localhost ~]#

(2)将密码输入到文件里

    gpg --import  --pinentry-mode loopback --batch --passphrase-file password-file  private-file.key

[root@localhost ~]# gpg --import --pinentry-mode loopback --batch --passphrase-file password-file private-file.key
gpg: 密钥 E6730F4374866065:“Search2016 (Search2016) ”未改变
gpg: 密钥 E6730F4374866065:私钥已导入
gpg: 合计被处理的数量:1
gpg:           未改变:1
gpg:       读取的私钥:1
gpg:       导入的私钥:1
[root@localhost ~]#

文件  password-file 第一行为设置的密码,这两种方式都不提倡使用,如果真要使用建议使用第二中。

你可能感兴趣的:(Linux,&,安全,后端)