GnuPG 的三个使用场景

以前写过一篇文章,详细介绍了 GnuPG,以及如何使用 GPG 工具给邮件签名和加密。考虑到实际上你的朋友们并不会和你一样使用 GPG,这些基本就成了屠龙之技。

好在 GPG 还是有其他用处的。

验证下载内容

不管是政策法规原因,还是运营商出国带宽原因,反正现在要去国外的软件官网下点东西,是越来越难了。如果去国内第三方下载,怎么保证下到的文件没有经过篡改呢?毕竟,之前闹得沸沸扬扬的 XcodeGhost 事件就是前车之鉴啊。

有的网站提供 MD5 验证。通过对比本地使用 md5sum 计算得到的校验和与官网提供的校验和,来验证文件完整性。但是 MD5 可以构造冲突,发动所谓碰撞攻击 collision attack,也就是说,被篡改的文件明明和原文件不一样,但是可以构造出相同的 MD5 校验和。

又有网站提供 SHA256 验证。使用方法差不多,抵御 collision attack 的能力比 MD5 要强。如果是在 TLS/SSL 加密过的官网(你得好好确认)获得的 SHA256 校验和的话,那么这种方法还是具有一定可靠性的。

为什么要强调 TLS/SSL 呢?因为没有签名的网页给出的校验和本身有可能被篡改啊。某些第三方的镜像,同时还镜像了官方的未签名的校验和,那就简直搞笑了:第三方如果真的篡改了文件,只要相应修改镜像内的校验和即可,用户拿着它在本地校验纯属浪费时间。

所以为了验证文件完整性,一方面需要保证哈希算法的 collision resistance,另一方面还要保证官方给出的校验和正确送达你手中。防不胜防啊。

第二种需求就是 GPG 的典型应用场景——邮件签名嘛。官方公开一份用自己的私钥签名了的文件,其中包含了正确的 SHA256 校验和,无论用户在哪里得到了它,都可以验证内容是否由官方发出,是否被篡改。只要确保拥有官方的公钥,无论在哪里获得的软件,无论在哪里获得的校验和,都可以放心地用 sha256sum 验证对比后使用。

怎么获得对方公钥呢?你得知道对方的 key ID,然后从公钥服务器上获取。

gpg --keyserver hkp://keys.gnupg.net --recv-key 7D8D0BF6

7D8D0BF6Kali Linux 发布软件用的钥匙,其文档中有详细的校验步骤,本文就是参考文档写成。

话说回来,你还是得知道对方的 key ID。不过 key ID 很短,比较容易获得和记忆,而且钥匙一旦获得,会保存在本地,下次使用就不需要再次获取了。

查看 fingerprint,确认公钥正确导入:

gpg --fingerprint 7D8D0BF6

输出差不多是这样:

pub   4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
      Key fingerprint = 44C6 513A 8E4F B3D3 0875  F758 ED44 4FF0 7D8D 0BF6
uid                  Kali Linux Repository <devel@kali.org>
sub   4096R/FC0D0DCB 2012-03-05 [expires: 2018-02-02]

和软件一起下载到的 SHA256SUMSSHA256SUMS.gpg,前者是校验和,后者是对前者的签名,用公钥对签名进行验证。

gpg --verify SHA256SUMS.gpg SHA256SUMS

确保看到 Good signature 的提示,否则就是验证失败了。

官方给出的校验和没问题,接下来就看与本地算出的校验和是不是一致了。

你当然可以算出后进行肉眼比对,但是下面的命令更方便直观:

grep kali-linux-2016.2-amd64.iso SHA256SUMS | shasum -a 256 -c

如果不出意外,结果差不多是这样:

kali-linux-2016.2-amd64.iso: OK

看到 OK,就是验证成功了。

第一次导入公钥成功后,以后每次验证只需要两条命令,算是比较方便的了。

ubuntu 也使用了同样的验证方式。CentOS 验证方式略有不同,它提供了一个同时包含校验和与签名的 sha256sum.txt.asc,可以这样校验签名:

gpg --verify sha256sum.txt.asc

如果在 Mac 上装了 GPG Suite 的话,双击 .asc 文件就可以完成校验,导入公钥都省了。

.asc.iso 放在同一目录下,可以用以下命令验证校验和:

sha256sum -c sha256sum.txt.asc 2>&1 | grep OK

为 GitHub 每一次提交签名

仍然是保证提交完整性的一个应用场景。先在 GitHub 账户中上传你的公钥,随后对每次提交,在本地用私钥签名,当 git push 到 GitHub 后,服务器会验证这次提交是不是由你完成的。

服务器端,在 GitHub 的 Settings -> SSH and GPG keys 里,添加你的 GPG 公钥。

在本地,首先告知 git 钥匙信息。用 gpg --list-secret-keys --keyid-format LONG 命令,查询私钥 ID。

$ gpg --list-secret-keys --keyid-format LONG
/Users/hubot/.gnupg/secring.gpg
------------------------------------
sec   4096R/3AA5C34371567BD2 2016-03-10 [expires: 2017-03-10]
uid                          Hubot 
ssb   4096R/42B317FD4BA89E7A 2016-03-10

像上面那样, 3AA5C34371567BD2 就是私钥的 key ID。

告知 git

git config --global user.signingkey 3AA5C34371567BD2

如果用的不是 GPG Suite,还要设置环境变量,

echo 'export GPG_TTY=$(tty)' >> ~/.bash_profile

GPG 钥匙对应的邮件地址必须和 git 提交的邮件地址一致,否则看这里

提交的时候,加参数 -S 可签名。

git commit -S -m 'your commit message'

如果要默认签名,可以设置

git config commit.gpgsign true

如果希望本机所有提交都签名,给上面的命令加 —global 参数即可。

加密 Facebook 邮件通知

Facebook 为用户提供上传 GPG 公钥服务。点击设置,选择安全与登录,在页面最下方上传。上传后,既可以打开加密邮件通知,也可以在个人页面公开,以便和你的 geek 朋友们通信。设置完成后,需要点击邮件链接确认。注意,如果打开加密,账户找回通知也是加密发送的。要是哪天重装系统把私钥给弄丢了,赶紧关掉加密或者换掉公钥吧。

参考资料

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容