GPG即GNU Privacy Guard，它是加密工具PGP（Pretty Good Privacy ）的非商業化版本，用于對Email、文件及其他數據的收發進行加密與驗證，確保通信數據的可靠性和真實性。本文將對GPG技術及相關工具進行介紹，旨在幫助網上沖浪者之間“真誠”交流。
一、PGP概述
在介紹GPG前，先讓我們看看PGP的基本原理及應用規則。
與許多加密方法一樣，PGP使用雙密匙來加密數據。每個使用PGP加密技術的人都要創建一對密匙，一個叫做公匙，另一個叫做私匙。公匙可被廣泛傳播，甚至保存在公共密匙數據庫中以被其他Internet用戶查閱。私匙屬于個人信息，絕不應該泄漏給其他人。
公匙和私匙相互作用對數據進行加密及解密。被公匙加密的數據只能被私匙解密，被私匙加密的數據也只能被一個公匙解密。這樣就可以實現雙重認證。
用戶在發送關鍵信息給指定人前，首先使用該用戶的公匙對信息進行加密。因為只有使用該用戶的私匙才能對發送信息進行解密，所以就保證了沒有私匙的其他人不會解密信息。
另外，用戶也可以使用他的私匙來加密信息，然后發送給許多人。因為只有使用發送者的公匙才能對接收信息進行解密，這樣接收者就能確信信息的確來自某個人。
二、獲取及安裝GPG
前面我們提到，GPG是PGP的非商業版本，也就是免費版本。所以，理解并掌握GPG技術具有很大的實用價值和推廣效應。
GPG的下載地址是http://www.gnupg.org/download.html
GPG的當前版本是1.0.6，另外還有一個安全補丁。同時下載這2個文件gnupg-1.0.6.tar.gz和gnupg-1.0.5-1.0.6.diff.gz，對它們解壓縮，安裝補丁，運行configure腳本程序進行配置。請注意：默認安裝后，配置選項已適用于大多數用戶。然后，運行make、make install安裝GPG二進制文件以及其他組件。相關命令如下：
$ tar -xzf gnupg-1.0.4.tar.gz$ cd gnupg-1.0.4$ patch -p1 <../gnupg-1.0.4.security-patch1.diffpatching file g10/mainproc.cpatching file g10/plaintext.cpatching file g10/openfile.c$ ./configure...[ Output of configure ]...$ make...[ Output of make ]...$ suPassword:# make install...[ Output of make install ]...# exit$
三、創建公匙和私匙
在發送或接收加密數據前，首先需要創建一對密匙，即公匙和私匙。我們可以使用如下命令完成創建工作：
$ gpg --gen-key
如果是初次使用GPG，GPG會創建目錄$HOME/.gnupg。然后我們必須再次運行這個命令，并依次回答確定PGP列出的一系列問題。對于這些問題，只需簡單地選擇默認值就可以。下面是相關命令執行情況：
$ gpg --gen-keyPlease select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (4) ElGamal (sign and encrypt)Your selection? 1DSA keypair will have 1024 bits.About to generate a new ELG-E keypair. minimum keysize is 768 bits default keysize is 1024 bits highest suggested keysize is 2048 bitsWhat keysize do you want? (1024) 1024Requested keysize is 1024 bitsPlease specify how long the key should be valid. 0 = key does not expire = key expires in n days w = key expires in n weeks m = key expires in n months y = key expires in n yearsKey is valid for? (0) 0Key does not expire at allIs this correct (y/n)? yYou need a User-ID to identify your key; the softwareconstructs the user id from Real Name, Comment andEmail Address in this form: Heinrich Heine (Der Dichter) Real name: Joe UserEmail address: joe@mynet.netComment: PGP Rules!You selected this USER-ID: Joe User (PGP Rules!) Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? oYou need a Passphrase to protect your secret key.Enter passphrase:Repeat passphrase:
請注意，在最后輸入passphrase時，不要隨意設置。建議按照設置口令的一般規則設置passphrase。
進行到這里，GPG將開始創建密匙了。但是你可能會看到下面的信息：
Not enough random bytes available. Please do some otherwork to give the OS a chance to collect more entropy!
這是因為，創建密匙前，GPG還需要一些少量但穩定的隨機數信息。在Linux中，通常情況下，GPG從/dev/random設備得到這些隨機數，并且最好在系統運行的當前狀態下。我們可以通過移動鼠標或者敲打多次Shift、Ctrl鍵來完成隨機數創建工作。
最終，將出現GPG成功創建密匙的信息：
public and secret key created and signed.
四、操作密匙
有關密匙操作的方面包括：密匙列表、密匙導入、密匙導出、密匙簽名以及用戶信任，下面分別介紹。
1、密匙列表
密匙列表非常重要，獲取密匙列表以及其所有者的名稱、Email地址的命令及執行情況如下：
$ gpg --list-keys/home/joe/.gnupg/pubring.gpgpub 1024D/D9BAC463 2001-01-03 Joe User (PGP Rules!) sub 1024g/5EE5D252 2001-01-03pub 1024D/4F03BD39 2001-01-15 Mike Socks (I'm WIRED) sub 1024g/FDBB477D 2001-01-15$
輸出結果中的每一行包含一個用于加密文件的公匙信息，以及加密數據可被發送的Email地址。
2、密匙的導入和導出
密匙的導入和導出操作在PGP世界中簡直就是家常便飯，因為為了安全交換數據，發送者和接收者之間必須首先具有相互的公匙，而實現這個目的就需要密匙的導入和導出。
首先看看如何導出密匙。假設用戶是mike，具體的命令是：
$ gpg --export mike@mynet.net >mike.gpg
這樣，對于mike@mynet.net的公匙信息就保存到了mike.gpg文件中，然后mike就可用將mykey.gpg傳播給朋友、合作伙伴，實現安全通信。但是這個mike.gpg是一個不可讀格式的文件，就是說其內容看起來非常雜亂。能否生成一個標準ASCII碼格式的導出密匙文件呢？當然可以，添加一個“-a”參數就可以，命令如下：
$ gpg -a --export mike@mynet.net >mike.gpg
新mike.gpg具有很好的格式，并包含同樣的公匙信息以及常規鑒別字符串。
接著看看如何導入密匙，其模式與導出密匙相似，假設用戶是god，命令是：
$ gpg --import mike.gpg
這樣，god就可以接收來自mike、經mike的公匙加密的郵件信息了。
3、密匙簽名和用戶信任
盡管在理論上講，具備了公匙和私匙就可以實現安全的信息通訊，但是在實際應用中，還必須對公匙進行有效確認。因為，確實存在偽造公匙信息的可能。
由此，在GPG中引入了一個復雜的信任系統，以幫助我們區分哪些密匙是真的，哪些密匙是假的。這個信任系統是基于密匙的，主要包括密匙簽名。
當收到熟人的公匙并且GPG告知不存在任何實體可信信息附加于這個公匙后，首要的事情就是對這個密匙進行“指紋采樣”（fingerprint）。例如，我們對來自mike的公匙進行了導入操作，并且GPG告知我們不存在這個密匙的附加可信信息，這時候，我們首先要做的工作就是對這個新密匙進行“指紋采樣”，相關命令及執行情況如下：
$ gpg --fingerprint mike@hairnet.orgpub 1024D/4F03BD39 2001-01-15 Mike Socks (I'm WIRED) Key fingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39sub 1024g/FDBB477D 2001-01-15$
這樣，就從密匙數據中生成了其指紋信息，并且應該是唯一的。然后，我們打電話給mike，確認兩件事情。首先，他是否發送給我們了密匙；其次，他的公匙的指紋信息是什么。如果Mike確認了這兩件事情，我們就可以確信這個密匙是合法的。接下來，我們對密匙進行簽名操作，以表示這個密匙來自Mike而且我們對密匙的信任，相關命令及執行情況如下：
$ gpg --sign-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: neversub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I'm WIRED) pub 1024D/4F03BD39 created: 2001-01-15 expires: neverFingerprint = B121 5431 8DE4 E3A8 4AA7 737D 20BE 0DB8 4F03 BD39Mike Socks (I'm WIRED) Are you really sure that you want to sign this keywith your key: Ima User (I'm just ME) Really sign? yYou need a passphrase to unlock the secret key foruser: Ima User (I'm just ME) 1024-bit DSA key, ID D9BAC463, created 2001-01-03Enter passphrase:$
執行到此，使用我們的私匙完成了對Mike的公匙的簽名操作，任何持有我們的公匙的人都可以查證簽名確實屬于我們自己。這個附加到Mike的公匙上的簽名信息將隨它環游Internet世界，我們使用個人信譽，也就是我們自己的私匙，保證了那個密匙確實屬于Mike。這是一個多么感人的充滿誠信的故事啊 :-) 現實世界的人們是否應該從這嚴格的技術標準中反思些什么呢？
還是回到這里。獲取附加于一個公匙上的簽名信息列表的命令是：
gpg --check-sigs mike@hairnet.org
簽名列表越長，密匙的可信度越大。其實，正是簽名系統本身提供了密匙查證功能。假設我們接收到一個簽名為Mike的密匙，通過Mike的公匙，我們驗證出簽名確實屬于Mike，那么我們就信任了這個密匙。推而廣之，我們就可以信任Mike簽名的任何密匙。
為了更加穩妥，GPG還引入了另一個附加功能：可信級別（trust level）。使用它，我們可以為我們擁有的任何密匙的所有者指定可信級別。例如，即使我們知道Mike的公匙是可信的，但是事實上我們不能信任Mike在對其他密匙簽名時的判斷；我們會想，Mike也許只對少數密匙進行了簽名，但卻沒有好好地檢查一遍。
設置可信級別的命令及執行情況如下：
$ gpg --edit-key mike@hairnet.orgpub 1024D/4F03BD39 created: 2001-01-15 expires: never trust: -/fsub 1024g/FDBB477D created: 2001-01-15 expires: never(1) Mike Socks (I'm WIRED) Command> trust 1 = Don't know 2 = I do NOT trust 3 = I trust marginally 4 = I trust fully s = please show me more information m = back to the main menuYour decision? 2Command> quit$
在命令編輯環境中執行trust，然后選擇級別2（I do NOT trust），這樣我們割斷了任何信任鏈，使每個密匙都必須經過Mike的簽名。
五、使用GPG收發數據
下面我們開始討論如何使用GPG收發數據，這是日復一日的工作，一定要理解并熟練。在本文開始的PGP概述部分，我們提到了數據交換的兩種方式，現在我們對其分類概念化：
●數據簽名傳輸（Signed data）：發送者使用私匙對數據加密，接收者使用公匙對數據解密。
●數據加密傳輸（Encrypted data）：發送者使用公匙對數據加密，接收者使用私匙對數據解密。
以下分別詳細介紹。
1、數據簽名傳輸
發送者使用私匙對數據進行簽名，接收者擁有發送者的公匙，對之信任并使用它驗證接收數據的完整性。對數據進行簽名的最簡單的方法是使用clearsign命令，這將使GPG創建一個易讀的簽名，很適于發送Email。具體命令及執行情況如下：
$ gpg --clearsign mymessage.txtYou need a passphrase to unlock the secret key foruser: Ima User (I'm just ME) 1024-bit DSA key, ID D9BAC463, created 2001-01-15Enter passphrase:$
輸入passphrase后，就將生成一個擴展名為.asc的新文件，這里就是mymessage.txt.asc。這個文件包含了mymessage.txt文件的原始內容以及一個如下所示的簽名信息：
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.1 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE6YouhU87DFNm6xGMRAiwqAJ4mnviKz5wA9HFhCW9PG6zl7A2LPACgk0SB
n+yWiCt4SCTVkSSgezGKIUk=
=WnX/
-----END PGP SIGNATURE-----
當接收者收到包含上述簽名的信息或文件時，他可以使用發送者的公匙來驗證信息的完整性，具體命令及執行情況如下：
$ gpg --verify message.txt.ascgpg: Signature made Sat Jan 13 22:33:21 2001 MST using DSA key D9BAC463gpg: Good signature from Ima User (I'm just ME) $
2、數據加密傳輸
第2種傳輸方式的目的是為了只讓個別人看到發送信息，所謂“信”有獨鐘。發送者使用其公匙對文件或數據進行加密，接收者使用發送者的私匙對接收數據進行解密。
加密命令包含兩個部分，一部分指定接收者的Email，另一部分指定要加密的文件。具體命令如下：
$ gpg -r mike@hairnet.org -a --encrypt message.txt
執行后的輸出結果為文件message.txt.asc，其內容類似如下：
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.0.1 (GNU/Linux)
Comment: For info see http://www.gnupg.org
hQEOA/Yj7lT9u0d9EAQAhE+KaGfMzvRfCdrfW2EYzuu+YeaKdoJksHB16CO7RsZC
DkllV/uma/rMj5PiDzFoV8PGjqdq9M+n9YXOVnuG3XITWhuvfFqm1KWxK9e0UDoS
7Tb2cm+k8UK18HBI/EaNrV+a3A5YQr6nVY0OCXheohg3+9ursFc8uOBQma64/VUD
/io0EQiIxEmERy2UsN7e+OB1/w4FUcRt7FFWCTVMGdUuQPY8UkeStH7u43NlPsf5
6uPPjaTxCOjjQoCf17XnfxqJPm9c0uyPDjljXYmp74XroT+lHvGcaKK56t0agGVo
i5nMflXoCIA2n/KDALzTjy7cIzLnUeYVU4NrBt7pV4TTyelxYB70mW94Wlr5BlLj
S+FYueR31i790QO+265iS4QPA+zxXIT5KCF8TT1gVPaZOJxmo0wRKuoOYrCd7LQD
Oz3exhCgeKKjfZRwJtqvl/QVamFJWSyhAiuTlA60IHyxIqAZlwLoYoXs9oOIs49g
HLYG6hSemJEW+fTX8xipOOfDXzHrJjUE897igeW62Mf6HLr4aNb1kwrlH7d7Xdr8
29+sckZlSRtBvL3/dSw5FcRCFYbS51AHstdywYvNu4rqSOljv5C6dXEw9Gre+wPS
5S7k0KoTLK4VOZJI2byBTZxgjQNr7ytpu1QMN2+10tpHx6MLkUFV/BJZbAtJ3C0v
auS4xskoSlZgbuX/8Veqhx4GC0lSRLqn14M9CP/tzZN0dIZSTbM2aq58zk0wZZVB
Tmb06HdYvkLrcLkmyNBt3/PUlDIIdeXNCkqN5bjGD/elTtkaMmHN9OIIDHWA9olR
tcXoLJPF4kgg1q6y6pgy2sklYQhI8A4q8VoQNJDzF/SbKvlnGji5HyF6rvKDCF0m
/l0heQEMn4AyFbJ7LZt2zh4i3jSwyV4Ff+tWJD09xaNziKi791FaSBVMxsPhT4SD
w+R75JR/FV0IRpMsy8kdJw/+kejQwCmRqDbm3EHOESCOouxsL8JB39vX+1h32p1b
EdVyQIHZA+TomHsp/y3i+EX52MC8+8XmCukHfT0dCVcnfk2H0hKvFueBkW8Y2JGd
FJZb+CDX33Aapr6FW9CIXvI+1NFOz+cIWVZIYYECnUZe4l3Jikjw3rY2To4E/WUy
MN+ZKsMb6xlhMSoRa9qHWY+S/pp9D8qiqweOLg4cnCjZBZWVOMf4dMcDWNjsW3mX
GgYVmPf52WxvVFtp1yjNbHBu+is8/ZR1P04efD+kOg1WtwpfRdHKQ1o1fn/OxYX1
oP7PVR5BK05HaQYmI0Vlwkcv59RyeYqqOQOiEfL0hEWdGy1gdj0R0eHYuZLnBLfb
SHJ2OtRpcqHuXB27EU3C4OR/N++7ExhG/MNB8WPFb82cbIP8xDF9q+3b73b7myTn
JpAYj4p2ocv9Zf1DH9HHaT7bYD37hvjLlNXe07kYOlMWB9+48meO/o+Yjn5oEj60
wipRdCiP4TUoAwC9EDFED64qLXST9MBycLrc5DwiMYzfdyauiHU3MNhUfErXVaRJ
/5ljtJUGHA/P/ouqbSCleHQ=
=2Sgq
-----END PGP MESSAGE-----
注意：通過以上方式被加密的信息也可以被簽名，方法是在上述命令中再加上一個-s參數。
要對上述加密數據進行解密，接收者可以使用—decrypt命令，并指定輸出重定向的位置。具體命令及執行情況如下：
$ gpg --decrypt message.txt.asc > message.txtYou need a passphrase to unlock the secret key foruser: Pipi Socks (I'm WIRED) 1024-bit ELG-E key, ID FDBB477D, created 2001-01-15Enter passphrase:$
接收者輸入passphrase后，加密信息就被解密，然后導入到文件message.txt中。
六、結 語
以上介紹了免費加密工具GPG的概念、原理及使用方法，可以看到，整個操作流程都是很容易理解和操作的。我相信，你又掌握了網絡世界中和朋友安全溝通的一個方法，那么，就讓我們靈活、熟練地使用這個方法，在Internet中更加真實地生活！