17 加密与解密
原创
©著作权归作者所有:来自51CTO博客作者行走的皮卡丘的原创作品,请联系作者获取转载授权,否则将追究法律责任
加密的目的及方式
1 加密的目的及方式
- 对称加密:加密/解密用同一个密钥
- 非对称加密:加密/解密用不同的密钥(公钥和私钥)
2 常见的加密算法
- DES,Data Encryption Standard
- AES,Advanced Encryption Standard
- RSA,Rivest Shamirh Adleman
- DSA,Digital Signature Algorithm
- MD5,Message Digest Algorithm 5
- SHA,Secure Hash Algorithm
- 根据输入的文本(长度不限),生成固定长度(比如128位)的摘要文本
- 只要输入的文本不同,则生成的摘要文本也不一样
3 检查文件的MD5校验和
3.1 查看文件改动前的校验和,复制为新文件其校验和不变
vim file1.txt #新建一个文件,内容如下
abcdef
123456779
cp file1.txt file2.txt #拷贝文件
cp file1.txt file3.txt
md5sum file?.txt #文件内容一致,则校验和也不变
3.2 对文件内容稍作改动,再次检查校验和,会发现校验和已大不相同
4 GPG对称加密方式保护文件
4.1 确保已经安装了相关软件
yum -y install gnupg2 #安装软件
gpg --version #查看版本
gpg (GnuPG) 2.0.22
4.2 gpg使用对称加密算法加密数据的操作
根据提示依次输入两次密码即可。如果是在GNOME桌面环境,设置密码的交互界面会是弹出的窗口程序。如果是在tty终端执行的上述加密操作,则提示界面也是文本方式的。
根据提示输入两次口令,加密后的文件(自动添加后缀 .gpg)就生成了,传递过程中只要发送加密的文件(比如 file2.txt.gpg)就可以了。
cat file2.txt.gpg #查看加密数据为乱码
4.3 使用gpg对加密文件进行解密操作
gpg -d file2.txt.gpg > file2.txt #解密后保存
gpg: 3DES 加密过的数据
.. .. #根据提示输入正确密码
cat file2.txt #查看解密后的文件
abcdef
123456779
5 使用GPG非对称加密方式保护文件
非对称加密/解密文件时,UserA(192.168.2.5主机)生成私钥与公钥,并把公钥发送给UserB(192.168.2.100主机),UserB使用公钥加密数据,并把加密后的数据传给UserA,UserA最后使用自己的私钥解密数据。
5.1 接收方UserA创建自己的公钥、私钥对(在192.168.2.5操作)
gpg --gen-key #创建密钥对
gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
# 请选择您要使用的密钥种类:
(1) RSA and RSA (default) #默认算法为RSA
(2) DSA and Elgamal
(3) DSA (仅用于签名)
(4) RSA (仅用于签名)
您的选择? #直接回车默认(1)
RSA 密钥长度应在 1024 位与 4096 位之间。
您想要用多大的密钥尺寸?(2048) #接受默认2048位
您所要求的密钥尺寸是 2048 位
请设定这把密钥的有效期限。
0 = 密钥永不过期
<n> = 密钥在 n 天后过期
<n>w = 密钥在 n 周后过期
<n>m = 密钥在 n 月后过期
<n>y = 密钥在 n 年后过期
密钥的有效期限是?(0) #接受默认永不过期
密钥永远不会过期
以上正确吗?(y/n)y #输入y确认
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
真实姓名:UserA
电子邮件地址:UserA@tarena.com
注释:UserA
您选定了这个用户标识:
“UserA (UserA) <UserA@tarena.com>”
更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?O #输入大写O确认
您需要一个密码来保护您的私钥。
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
注意:生成密钥后当前终端可能会变的无法使用,执行reset命令即可,或者关闭后再开一个终端
解决办法
mv /dev/random /dev/random.bak
ln
5.2 UserA导出自己的公钥文件(在192.168.2.5操作)
用户的公钥、私钥信息分别保存在pubring.gpg和secring.gpg文件内:
gpg --list-keys #查看公钥环
/root/.gnupg/pubring.gpg
------------------------
pub 2048R/FC800101 2020-08-11
uid UserA (UserA) <UserA@tarena.com>
sub 2048R/8524E7A2 2020-08-11
使用gpg命令结合–export选项将其中的公钥文本导出:
gpg -a --export UserA > UserA.pub #导出密钥(文件名任意)
#--export的作用是导出密钥,导出名称为UserA的密钥
#-a的作用是导出的密钥存储为ASCII格式
scp UserA.pub 192.168.2.100:/tmp/
#UserA将密钥传给UserB
5.3 UserB导入接收的公钥信息(在192.168.2.100操作)
使用gpg命令结合–import选项导入公钥信息,以便在加密文件时指定对应的公钥。
gpg --import /tmp/UserA.pub #导入密钥
gpg: 密钥 421C9354:公钥“UserA (UserA) <UserA@tarena.com>”已导入
gpg: 合计被处理的数量:1
gpg: 已导入:1 (RSA: 1)
5.4. UserB使用公钥加密数据,把加密后的数据传给UserA(在192.168.2.100操作)
echo "I love you ." > love.txt
gpg -e -r UserA love.txt #加密数据
无论如何还是使用这把密钥吗?(y/N)y #确认使用此密钥加密文件
#-e选项是使用密钥加密数据
#-r选项后面跟的是密钥,说明使用哪个密钥对文件加密
scp love.txt.gpg 192.168.2.5:/root #加密的数据传给UserA
5.5.UserA以自己的私钥解密文件(在192.168.2.5操作)
gpg -d love.txt.gpg > love.txt #解密数据
#验证私钥口令
gpg: 由 2048 位的 RSA 密钥加密,钥匙号为 8524E7A2、生成于 2020-08-11
“UserA (UserA) <UserA@tarena.com>”
cat love.txt #获得解密后的文件内容
6 GPG的签名机制,检查数据来源的正确性
使用私钥签名的文件,是可以使用对应的公钥验证签名的,只要验证成功,则说明这个文件一定是出自对应的私钥签名,除非私钥被盗,否则一定能证明这个文件来自于某个人!
6.1 在proxy(192.168.2.5)上,UserA为软件包创建分离式签名
将软件包、签名文件、公钥文件一起发布给其他用户下载。
tar zcf log.tar /var/log #建立测试软件包
gpg -b log.tar #创建分离式数字签名
ls -lh log.tar*
-rw-r--r--. 1 root root 1.8M 8月 11 19:16 log.tar
-rw-r--r--. 1 root root 287 8月 11 19:16 log.tar.sig
scp log.tar* 192.168.2.100:/root #将文件与签名传给UserB
6.2 在192.168.2.100上验证签名
gpg --verify log.tar.sig log.tar
# gpg: 于 2020年08月11日 星期二 19时16分56秒 CST 创建的签名,使用 RSA,钥匙号 FC800101
# gpg: 完好的签名,来自于“UserA (UserA) <UserA@tarena.com>”
