GPG

您現在所看到的內容並未完成。您可以來協助完成這個頁面。
本條目或章節由 Sayonzei（貢獻·日誌）於16個月前最後編輯。

GnuPG（GNU Privacy Guard，GPG）是一種加密軟件，它是PGP加密軟件的滿足GPL協定的替代物。GnuPG依照由IETF制定的en:OpenPGP技術標準設計。GnuPG是用於加密、數字簽章及產生非對稱匙對的軟件。GPG 相容 PGP（Pretty Good Privacy）的功能。

本手冊提供對 GPG 的使用方法入門指引，可能與其他 en:OpenPGP 系統存在少量出入。若您沒有 GPG 軟件，請參考#取得 GnuPG。#圖形化操作也許比本文敘述的命令行方式更易懂。

本文並不是 GPG 的完整文件; 文档=>zh-mo:文件，並且為方便入門而改變了編排方式。要獲得一份完整文件; 文档=>zh-mo:文件，請嘗試 man gpg # 或者 gpg2，info gnupg 或者存取官方文件; 文档=>zh-mo:文件。要獲得命令行幫助，請使用 gpg --help。本文所使用的指紋等敏感十六進制值均來自隨機生成器。

生成金鑰對[編輯]

GPG 一般使用諸如 RSA 和 ECC 一類的不對稱加密演算法。在這一類演算法中，一對金鑰被生成使用，其中公鑰公開發布，私鑰則由所有者自行儲存; 保存=>zh-mo:儲存。公鑰所加密的內容可以用私鑰解密，但公鑰不能解開公鑰加密的數據，反之亦然。

gpg --gen-key

執行這個命令來生成一對金鑰。一旦您完成了這個精靈，您就獲得了一對用於加密和簽章的金鑰。接下來檢視公鑰和私鑰：

haoqiang@tanux:~$ gpg -k # 公钥 (Public Key)
/home/haoqiang/.gnupg/pubring.gpg
-------------------------------
pub   4096R/D1101D36 2014-10-09 [有效至：2016-10-08]
uid                  Haoqiang Tan (LearnC) <haoqiang@tancc.org>
sub   4096R/3976FF14 2014-10-09 [有效至：2016-10-08]

haoqiang@tanux:~$ gpg -K # 私钥 (Secret Key)
/home/haoqiang/.gnupg/secring.gpg
-------------------------------
sec   4096R/D1101D36 2014-10-09 [有效至：2016-10-08]
uid                  Haoqiang Tan (LearnC) <haoqiang@tancc.org>
ssb   4096R/3976FF14 2014-10-09

不出意外的話，您將會看到類似這樣的輸出。為了好記，這兩個參數也有 --list-public-keys 和 --list-secret-keys 的別名可以選用。

為了方便互相辨識，PGP 金鑰具有指紋功能，一種鑑別位置不同的兩個金鑰是否相同的常用密碼學技術，用於不可能逐位對比兩個金鑰的情況。指紋是利用 PGP 公鑰計算得到的長度較短方便比對的字串。有些人會選擇把指紋印在自己的名片上，方便區分驗證。

haoqiang@tanux:~$ gpg --fingerprint # [UID]，可选项
/home/haoqiang/.gnupg/pubring.gpg
-------------------------------
pub   4096R/D1101D36 2014-10-09 [有效至：2016-10-08]
密钥指纹 = 1A9E 5E2B 73E9 DDC7 D5AC  8119 D56A 80AF D110 1D36
uid                  Haoqiang Tan (LearnC) <haoqiang@tancc.org>
sub   4096R/3976FF14 2014-10-09 [有效至：2016-10-08]

UID 可以是 uid 中任意可以唯一確認金鑰組的資訊，例如 Haoqiang, LearnC, D11101D36, 1a9e5e2b73e9ddc7d5ac8119d56a80afd1101d36。

金鑰管理[編輯]

匯入匯出[編輯]

使用 gpg --import 即可令 gpg 開始讀取標準輸入來匯入金鑰。如前文所述，你可以使用管道。

gpg --export [UID] 可令 gpg 匯出某個公鑰。可以使用 -o filename 來指定輸出目標。

金鑰伺服器[編輯]

編輯金鑰[編輯]

使用 gpg --edit-key [UID] 編輯金鑰。以下為部分常用命令：

quit: 不儲存; 保存=>zh-mo:儲存退出
save: 儲存; 保存=>zh-mo:儲存並退出
help: 顯示幫助。
sign: 為這些 UID 簽章。
tsign: 簽章時簽入信任等級。
adduid: 添加一個 UID 資訊——這樣你就可以一對金鑰對應多個 UID 的郵箱資訊了。

吊銷金鑰[編輯]

經由上載吊銷證書至PKI可以宣告此公鑰不再被使用。

簽章和驗證[編輯]

簽章是 GPG 的一個常用例子，可以理解為將一段資訊的雜湊值用私鑰加密儲存; 保存=>zh-mo:儲存以便他人用公鑰驗證身份。GPG 幫助里這麼寫道：

-s, --sign [文件名]        生成一份签名
    --clearsign [文件名]   生成一份明文签名
……
-o, --output 文件名        指定输出文件（不指定则输出到标准输出）

當你使用 -s，數據會被壓縮從而顯得不可讀。[文件名]表示指定檔案是可選的。如果你不指定檔名，GPG 會嘗試從標準輸入中讀取數據。如果你沒有管道，那麼標準輸入就是你的鍵盤，而你應該在換行後按下 Ctrl-d (= EOF, Windows 上為 C-z) 結束。這樣的簽章的最主要作用就是防止他人冒充。要驗證他人的簽章，使用 gpg --verify [文件名]，用法基本一致。

加密和解密[編輯]

加密[編輯]

gpg --recipient user_id --output file_name --encrypt file_name

--recipient參數後跟對方的用戶ID；--output參數後面跟匯出的檔名；--encrypt參數後跟要加密的檔案。這裏應該注意一個問題，就是你要確定你使用的公鑰的可靠性。

附錄[編輯]

取得 GnuPG[編輯]

GnuPG 的官方網站為 gnupg.org。

Windows：使用 gpg4win 套件，或安裝 Cygwin 內的軟件包 GnuPG。
OS X：GPGTools 提供較好的支援版本和友好的 GUI 介面; 界面=>zh-mo:介面。
Linux 或其他 UNIX：使用包管理器搜尋並安裝，或者編譯原始碼。

圖形化操作[編輯]

GnuPG 存在多種圖形化前端，一般以證書管理器和電子郵件客戶端外掛程式組成，有的也包含檔案管理器選單拓展。這些工具的基本原理和命令行上的相類，但使用起來更加簡便清晰。

站點[編輯]

Keybase 是一個與社交網絡較深融合的 PGP 金鑰交換驗證網站。