开源系统下的企业数据加密攻略

（2）为密钥建立吊销证书

当用户的密钥对生成之后，用户应该立即做一个公钥回收证书，如果忘记了私钥的口令或者私钥丢失或者被盗窃，用户可以发布这个证书来声明以前的公钥不再有效。生成回收证书的选项是"--gen-revoke"。具体使用的命令是：

# gpg --output revoke.asc --gen-revoke mykey

其中mykey 参数是可以表示的密钥标识，产生的回收证书放在revoke.asc文件里，一旦回收证书被发放，以前的证书就不能再被其他用户访问，因此以前的公钥也就失效了。在该过程中我们为用户liyang的密钥建立了一份吊销证书，在建立过程中需要依次输入吊销理由和为密钥设定的密码才能成功建立：

（3）显示密钥列表

完成上述操作后可以使用 --list-keys 选项列出我们生成的密钥，如下命令所示：

#gpg –list –keys

（4）输出公钥

用户可以输出您的公钥供您的主页使用，也可以把它放在密钥服务器上，当然，还可以使用于其他的途径。在使用此公钥之前用户首先要导出它。选项--export可以实现这个功能，在使用这个选项时，还必须使用附加的选项指明用户要输出的公钥。

下面的命令表示以二进制格式输出公钥：

# gpg --output pubring.gpg --exportsamsunglinux@minigui.org

如下命令表示以ASCII字符格式输出：

#gpg --output pubring.gpg --export--armor> liyang_public-key.asc

（5）导入公钥

用户可以把从第三方的公钥数据库中得到的公钥导入自己的私有数据库，在与他人进行通讯时使用。命令如下：

#gpg --import < filename >

其中，参数filename为公钥文件。

（6）确认密钥

导入密钥以后，使用数字签名来验证此证书是否合法。查看数字签名使用 --fingerprint 选项。其命令如下所示：

#gpg --fingerprint < UID >

其中，UID为用户要验证的公钥。

（7）密钥签名

导入密钥之后，可以使用 --sign-key 选项进行签名，签名的目的是证明用户完全信任这个证书的合法性。其命令格式为：

# gpg --sign-key < UID >

其中，UID 是要签名的公钥。

（8）检查签名

用户可以使用 --check-sigs选项来检查在上面对密钥所作的签名。其命令格式为：

# gpg --check-sigs < UID >

这个选项可以列出此密钥文件的所有的签名。

（9）加密和解密

使用GnuPGP加密和解密一个文件非常容易，如果用户要给对方用户发送一个加密文件，可以使用对方用户的公钥加密这个文件，并且这个文件也只有对方用户使用自己的密钥才可以解密查看。

加密一个文件可以使用下面的指令

#gpg –r < UID > --encrypt < file >

其中，UID是对方的公钥，file为要加密的文件。

对应地，如果用户要解开一个其他用户发给您的文件可以使用下面的指令：

#gpg -d < file >

其中，file是要解密的文件。解密过程中，GnuPG会提示用户输入使用密钥所需要的口令，也就是在产生私钥时用户所输入的口令，否则，该文件将无法正常解密和为用户进行使用。图2和图3分别显示了用户samsung对文件gpg.conf进行加密传输，用户liyang对该加密文件gpg.conf.gpg进行解密的过程。