[GNUGPG] gpg工具的使用

[carloscn]

参考： https://gist.github.com/jhjguxin/6037564

[carloscn]

密钥生成和导入

创建密钥对

gpg --gen-key

some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
gpg: key 60804F780E5CE43D marked as ultimately trusted
gpg: revocation certificate stored as '/home/haochenwei/.gnupg/openpgp-revocs.d/B3DA8CFA2EB70D9BA30FAD8460804F780E5CE43D.rev'
public and secret key created and signed.

pub   rsa3072 2024-10-21 [SC] [expires: 2026-10-21]
      B3DA8CFA2EB70D9BA30FAD8460804F780E5CE43D
uid                      haochenwei <haochenwei@autox.ai>
sub   rsa3072 2024-10-21 [E] [expires: 2026-10-21]

传播公钥

gpg --export --armor haochenwei > haochenwei.pub.asc

Note, --armor 表示加内容转换成可见的 ASCII 码输出,否则是二进制不可见内容。 现在你可以把导出的公钥通过 Email 等途径发送给你的朋友了，或者你也可以不导出公钥直接上传公钥到密钥服务器。

gpg --export haochenwei > haochenwei.pub.asc.bin

把所有的public key都导出了！

二进制格式公钥↑

$ cat haochenwei.pub.asc 
-----BEGIN PGP PUBLIC KEY BLOCK-----

mQGNBGcR/RYBDACsx7HPjGEeCRUflAC3bFITOLHp/zLe9bz4hjim2NnVvG0rsTMV
O6HNZo7NEpgSKkEI0skwaeXarfTFti3MS2lOScg6+nCTi8Dffj+pdFIMH0c9sZ+U
NvHAeuMzYh9gqCLWS/G4OiASo+Tqh4oRl+wl3e0p5RiboLgixoEgOfHxtUeHl/vJ
Mddmyq2jW7fA8TqKOuNEjq50Jn9GBl84o71xydlstGhc7mKYwAV2v0/xKRB8iGLP
CDPmWc4BOlTG6sporvYjb1FlMhIgKMMBWeRSJlmQm3dtv3OnJWzU3PajkVjm1Ljd
ef3J2BU6J57NOf337XA3i3GqkHPT4hPktB+9GM4ciPZGheEEr0Z4UIfiijzajgs6
RiUDuMFG2htWBP3fgFpbiwEUqWMjovCn6K5dxeaSO7R88jNo6woWrteUraleEoaX
/73PMNRDFpCVL07oC5su6eIh5ase+fbQco3dEv6yw9xaKG/OKIdJKhYxslOrbG15
LSjTlQxdp0Zqx3UAEQEAAbQaaGFvY2hlbndlaSA8aGVsbG9AMTIzLmNvbT6JAdQE
EwEKAD4WIQT++l7p6s3681tRWNI5h8P236k3vAUCZxH9FgIbAwUJA8JnAAULCQgH
AgYVCgkICwIEFgIDAQIeAQIXgAAKCRA5h8P236k3vGnBDACQ/5TW2eCGTguR+YYT
9UvZLX1VC1OEyja2U8fHYelmM2lAsRnsPMHDAg1cATp/KMfPKESwGH/d5dgUx33n
zW+M97cMVANZLMD5L2Er4dbJmYMu6LMDuwRwXLWmKgFgHJhuQj0/XXITvT4oyWXA
QoWxIj0UWIIkRwRmGIgMfVI3wsBYevo2NBxY/RxOVWdVHiHXnJXIBJx3jS5fXtqN
v/DbS5QnHHCLG8TyHA2KwEI8CkUdLlMkAz0To3rUkMvhd/pfCzYKf5xwdeJ3aMZ9
UjsaihdRSHMHLCPmZw6znDlQrfP6EyKrTVcfU4UXDekPmaPnsZk1Fy08eP9d50Jk
fPLTszMU9itwuBtPX9ZDxbM6wei2iSjf4kAqGmNbn9D04t9dHE2ghHE5+4OG+QHO
h0Za6TuzRLMkfczqqZ8tssFXMBtstb1wBoGlxhtPidFDjK2mbGYRF26vpksRXVwB
NqikB4EpZtXIdhPlHNHEkzVDAy8aU+LqBrdkpKxeMuqhZva5AY0EZxH9FgEMAMPm
5LXTmNo3FYpC1nYJqQzdS7x7+9kDnqg9xM6G0ugoTKpR+k+SHmFtOx5rE3irT7+p
tSBH+iFpC3hE65YB20VTAQQhIKv4WZcf/RVLT+RWzjoPjC1S/v7VzsL+FQsuKRDF
Wnl1tAxNas8AUNjIeZbXAjTK3dFTpCSwnn5wIszBjdkIEYdNKjsR2gAAh1cMr2FB
Kr8w5M85kH+ozudvaRpDf4IEDk5iwB62IH6Jk3rOE2cSXEzDvCTREslep0qOysTW
e9Hea3IqlEb/i0xCo2rG8rarLJNRUHrWbhOImD5ZSzmbf+45Xaby+2U2fYFQsGJ5
pD17/Q1XRWzHZA1nL4mxVemPMPOeFi4CSLckWd+l7/C98ikZz/mSMUPdrPuiED8y
hskVkT7ckB92hG6+kkxYgNQjjwhWW6MVwjooAr3VZ1CG4SGxFebthTbLNChoBmi+
8+ZKa7Gq+oaU5bGMhVfazsd728aKqXtaGy1oElBGLyoebbSmBqreSBXQKbsj1wAR
AQABiQG8BBgBCgAmFiEE/vpe6erN+vNbUVjSOYfD9t+pN7wFAmcR/RYCGwwFCQPC
ZwAACgkQOYfD9t+pN7wvQwv9F4qSLhUwkYiocqtMuVUasTObyp48a8+IYXMpgb2T
I4xDApm3hROYBg/L3hv4jUy42Epo0lwFDMQKnQ+EMpKSV+wPJwxr+HM8sXpPt3hr
fRNRj+c2LZXzGR3ws1SpBpKDCGOuG/CVyEc60YT8UwW/olAmCkgObWyRoLfEVwpT
OROZLlPPFzOCmQRGr7PwGJlvrU5MdP7cKTe8D2+BZZKOzgLxa7hiIPJXvG4+DvcK
77z3fiWuStyOI94MbzIJtCrwzj4LfvpZO7Kwwim3foVQBN2orgM4xb2qFafG17xs
YHI4p9c6Hjm72TTVZgUKaI4YCm0vhxWfGWRUsKNLmT3yBFM8tzYn+jyEm4/OOJqs
SlL8Bc0iq2WFb8T1c7Kpkj39Jf8AXsn84JqwUybg8cCDUtyfHzDk3IY9aB1Lu7Fa
LSHXxhOf6SQ5sdYz+5oWyn3hmujNjIXvqY0VxRsWSVcuLpz8hjd5tJvKQ0VLF0uF
UmN4y+XTm82XoHYViM4NGxrvmQENBGcR/XwBCACqq4kq8ljv047DyQh+LMv7X/gq
HXtn1yHRwUhfoQ+aP9wqeFhacAsL3raXkJnda4VYTF6Pv9jzI8Cq3eJ80/U7zm6A
CS4kSQ+xUQ9bzurQtD5rf4E60zNsHr3gj5GpVigzipFlwNTr1UzYD5slQBSc94cJ
ejW5ulKO05cuwFhpRfrYXRCfinhcMG+db0k90lKTqmaML4XRxbXvYPexz4YS14TN
sZ1m5+HbJYMUbX6ysXClEq2E+Nn0xOYdIDR4BLyKVZEGRHqG47t6EOn3jjdZ7mze
vUXCz3KsF+/aQwDrtgP633oeqvcyQfD8bl4lCg4HTNs/brucRjLrZLjmXYnTABEB
AAG0Hmhhb2NoZW53ZWkgKGQpIDxoZWxsb0AxMjMuY29tPokBTgQTAQoAOBYhBBYi
mm2XlubKM29u961CWA/usyCaBQJnEf18AhsDBQsJCAcCBhUKCQgLAgQWAgMBAh4B
AheAAAoJEK1CWA/usyCaiTUH/R1pecAp8AtgpvHpms4fl7bcFLItwKps3blFcxKG
PR7kSFkK0NeaesTG7QbcEnwB24sK6n/M4+UQlSIiA0U/KDReLU2lsrTrzbxFgI4X
dEQIkpy8AAcP/ker6OwNrS0hreJT4nX7hBeXqT6W4keyrCpGzagA8aJzbkjspeOw
MnpCIZcK7FyfE98JcETZA/hwOI1YO6jcZDsaDmLFmYffoDndgJuStyQi9fZqWKgL
jTrBqPajmpSQAO8/nNm7QOXhTBkBVRFjl0xstDZCO+/z2gad2qOmIa86KdRM1xLP
WkS49RbmQ3F8FCS/rtI9pOLh8UMB3bgQ0iu6bh9CY902Z+S5AQ0EZxH9fAEIALSS
DwgRezEjbG8QMnl2a4qSefXJsCp43X+T6kwTtcht1r+PTWRbfm6S6EEGr+n1Kw9w
+oJx6YBmzQpcw4L3I0WZwJD0+Qx9IOBNE+M/dxvOEl58Q7fR3Gws/35DbIOyPUmj
HPgfzrqMeJMXiEoDtWPwtgEAI0X4JAIMCcrUS9VWXqoi8bgobR6NjOyJR/6CXKWy
ihLupsTY2WFjiZIEoREyfEww4gSn4/P0rbjU72mhW8Gnc24Pi8vDE4zwBNZIAC8R
XfBelfcDcZsdc6Er2G/anx9xveCzR9ZDifuLIhvuRAwdJ1aH4IHpbdHy9VfS3j9W
Df44QSmF3o4Djw5Wwn8AEQEAAYkBNgQYAQoAIBYhBBYimm2XlubKM29u961CWA/u
syCaBQJnEf18AhsMAAoJEK1CWA/usyCaPXIIAKfLsaK9nG+N/ZlTHs6rlN3LItML
jQdujdSyUHLYZkCzc8+NEupbSdY3DfhEQjBiQuMKFUro26J3xfslWD/4DjaVJwnM
eJIcMm1rVpUq7Oj/vwYBeNNg+aGSRRmJ4wssvPUdxTisJH4cE1vgVUkobyCaWyPM
pN//4ca58A6AxXHbhRUYKoNmQ//CYzjJOsmRmYXfFHy1H2VdfPD8t5wqTqVgQ32Z
hArEyzcF8I1y2WwuXB3XQq/tnd1a+Qb8czB6vjbFG9NC99w+zuo7XHm2aKrmZZxw
npcyrC57eVMK27cHRCOimBJAviqrh0VK22GSanw5zAvCxheASFk/6Vylhd6ZAY0E
ZxW9nQEMAK7NZhdeuMq9bPHBsUcOCa5jxzVtTpKVg93OZLxr9QVl48mtMAf8kpy/
BnL54yXhkWdo7nMuaQtmQxaPgYmiLqTTDOpEBRxGG20JQSa1ZRgn2dDimu1GrZ18
kDDzY4XNMy4nmS6H9zPTMi84GNwoXgmxM4YWp7AKc2AYP2+48ubmyJI6jwR5dA19
o6c0vkjwa9izkilHmbb+dj4ojSGH2YwciK+1vqKwVJO/Ftv7AIEKL22phZmVBQmv
+J2fe0lixja0q0ttqboKrRqqmGfu/Xya3wKy6bHOUuDD/r3/2ctMbhcTIKeaEN14
6JoRa5p5YRVz6cBmJ6rJZfG3XA68dDWZMJcRkrKvMh5dzmVpWXDnMFBQlZ1uEDI/
1YvePLIQMPBH+SkWI3iYYGt9L8+HnocBytUTNoPaqmVvhVSJlArmMfpkzz1sWd+/
uYmW/cPZejaN9lb+Uu5LEkH3ppYZPetkd/dMtWml2hox5Fbt0mPCefeSm9Vq2CLY
Q+S6hY5vvQARAQABtCBoYW9jaGVud2VpIDxoYW9jaGVud2VpQGF1dG94LmFpPokB
1AQTAQoAPhYhBLPajPoutw2bow+thGCAT3gOXOQ9BQJnFb2dAhsDBQkDwmcABQsJ
CAcCBhUKCQgLAgQWAgMBAh4BAheAAAoJEGCAT3gOXOQ918EL/163RrMFSjrbPZYH
ln4XM4J15HyhymMK0Ga3E9hO6KnQoISYTwHzlR0+UYKJ/Oafn7645s1F718lkb//
SI0CKtsATR4qJXJq/pr4yWYtAjbmOsDkJoKRRoXCbtMKnhQvNdy/5VFW9kKwg19a
BgqvRK2rJ6Gt+WIz3yoF2Kx165xBdT32zwhe6FdZffUdDv24r0vBGVYS+XYWxp61
4VNeSNBmKbdxJgucvN5SspL2bzJjQBnmTzQ/BFfzgTxqkxgVofwZWX+DgP2YyDeP
/1f+WACtWw3R0YypGpSY4rdAwi+YSyC4HktUJqhoXGAGQh95YPSddCZPlXzW+fhL
fV/Dv5xpGfUTw7Lmbx+BiHFPK/7ezWPHI3OaAHEzEIK72AmgiOYw9TwPtrG/eX7F
74lUeZshvQ+sYZvwCvv/T+1H9XBSeN/ugWAH3DcpWFKLy5OVTMK6xXBkdyen0Lt+
Tkmy12eBculMfli4wVK9VtcYuiZtS494sWt93CeAvDofj66u6rkBjQRnFb2dAQwA
0DTnP0rniyM3lfAH84HZEyEZy9nxLmIzT8xUVkTzYm5QBuvG9iCOOSb02aOVOTuz
w2o5NmkdgwYAYJmyCb9bVnx9E4IT/LvRwYVozTuoIAV9CW8Cr97ohedrt6oXd+rP
V26TXS5XKIDxEE6/77OPlRw1IpkJDp9NNaS4S0B7GE76pxHtxil3k9VE29jVhITO
ZkeOEDOY7DuDd1aBEvwTOjDmhxd1CO3Lp62wW7Fe/ZNK0zdxDmEzSEH+aeYEtReR
yrBdEBiXYDiG+Vx0ONNkbLmlv0C+ZD2NLtJTtC5MHDdg9LqcInvMTeKozqG9DP6c
dLkGlYfsQkZCA7e5jl4SsrQnHVU1JhNZ6pPEDP8H5HvQfIpDaA+vxO9avDVLKXDM
s6G9ZE3YLeHMAH9hZK0ZrOWqCKTNXYJtgViO3dklKYRuh698MyIg5OHc55xBSCZM
rf64591+S7NKVOyy00ubqgI3PmWELkMz/6HePJVCiTvFx3qc1ZUSQc/qmvEKhvLL
ABEBAAGJAbwEGAEKACYWIQSz2oz6LrcNm6MPrYRggE94DlzkPQUCZxW9nQIbDAUJ
A8JnAAAKCRBggE94DlzkPTHrC/9hWzbNeaZgVuLXjOaeRLCPNLvQ9kBNL/JugsPx
6UXMh1OtrcLiOfW4YkRfbU1elY4T1iuKk9N7nwJUMtzzKQ4ojrEJN8s6TVrYd7w7
oX5l+huZxK6yehkRXiHjhEsqBuoadFuFmF39BRx/xFoiXw6kVkogjFc29t+g5OPj
sEJhuJJjNehdpgllIxIwF+6WDkL+ubkr9xncw87asNmT3rxH3w9UTVA7iHzmC+bH
0d5TC0gcgpva2EkJa3rxAtpfLcCpFqEjXwxDxIlqED6PLebr9O7k1UKJRHpsHxJs
2QTCs36O1Zxdlaj0mP6DijmpPk6mYsIstvDr1p65kqcvf1C8+W9oUBpTguGS5AK+
jID8AtYPZJs3S1egH3Wo4GZGkDfr1qURO3IH5jBSVykxNg2PB3hw9j1NbSF15RFG
Mf0z10US1rWLYm4m2mcDBJoYmZY+l5TzXkr6N/625/fEjAt31OfmRsx2lzxuybAF
lfFhiFrZWFvq85VSrjJ6iWOYUqM=
=V14l
-----END PGP PUBLIC KEY BLOCK-----

交换key

gpg --import carlos.pub.asc

# haochenwei @ sz-dl-275 in ~/temp [12:40:42] 
$ gpg --import carlos.pub.asc
gpg: key F3BED7AF19190530: public key "carlos <armg@qq.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

列出所有公钥

gpg -k

列出所有私钥

gpp -K

[carloscn]

密钥使用

对方的公钥加密，对方的私钥解密

echo "my name is haochenwei" > hello

gpg -e -r carlos hello

生成 hello.pgp 发给好友（carlos）用自己的私钥解密

gpg -d hello.gpg

同样用carlos加密，haochenwei解密

自己的私钥加签，对方验签

签名和文件一体式的

用haochenwei的机器的私钥加签：

gpg -o hello.sig -s hello

把haochenwei的hello.sig文件发送给carlos即可

验签：

gpg --verify hello.sig

签名和文件分离的

gpg --detach-sign hello

会生成hello.sig ，重命名为 dhello.sig 把 hello + dhello.sig 发给carlos

gpg --verify dhello.sig hello

[carloscn]

X509转gpg

https://www.pengdows.com/2020/06/27/convert-a-x-509-pki-certificate-to-gpg/

sudo apt install kleopatra monkeysphere -y

基于（自己生成 rootca 和 xiaoming 的证书）最终实现将生成的 xiaoming.key 和 xiaoming.crt 转换为 OpenPGP 格式并导入到 GPG 中。以下是更新的详细步骤。

步骤 1：生成 Root CA 的私钥和自签名根证书

首先，生成一个 Root CA 的私钥和自签名的根证书：

# 生成 rootca 私钥 (pem 格式)
openssl genrsa -out rootca.key 2048

# 生成自签名的 rootca.crt (x509 格式)
openssl req -x509 -new -nodes -key rootca.key -sha256 -days 3650 -out rootca.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=IT/CN=RootCA"

此时，您应该已经有了：

• rootca.key（Root CA 的私钥）
• rootca.crt（自签名的根证书）

步骤 2：生成 Xiaoming 的私钥和证书签署请求（CSR）

接下来，生成 Xiaoming 的私钥和证书签署请求（CSR）：

# 生成 xiaoming 私钥 (pem 格式)
openssl genrsa -out xiaoming.key 2048

# 生成 xiaoming 的证书签署请求 (csr)
openssl req -new -key xiaoming.key -out xiaoming.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=IT/CN=Xiaoming"

此时，应该已经有了：

• xiaoming.key（Xiaoming 的私钥）
• xiaoming.csr（Xiaoming 的证书签署请求）

步骤 3：使用 Root CA 签署 Xiaoming 的证书

使用 Root CA 的密钥和证书签署 Xiaoming 的证书：

# 用 Root CA 签署 xiaoming 的证书
openssl x509 -req -in xiaoming.csr -CA rootca.crt -CAkey rootca.key -CAcreateserial -out xiaoming.crt -days 365 -sha256

此时，您应该已经有了：

• xiaoming.crt（由 Root CA 签署的 Xiaoming 的证书）
• xiaoming.key（Xiaoming 的私钥）

步骤 4：将 Xiaoming 的私钥和证书打包为 PKCS#12 文件

将 xiaoming.key 和 xiaoming.crt 组合成 PKCS#12 文件，以便稍后进行 GPG 导入。

# 将 xiaoming 的私钥和证书转换为 PKCS#12 格式
openssl pkcs12 -export -out gpg-key.p12 -inkey xiaoming.key -in xiaoming.crt -certfile rootca.crt -name "Xiaoming"

此时，应该有一个 PKCS#12 文件 gpg-key.p12，该文件包含 Xiaoming 的私钥和证书。

步骤 5：使用 gpgsm 导入 PKCS#12 文件

使用 GPG 的 gpgsm 命令导入刚刚生成的 gpg-key.p12 文件：

# 使用 gpgsm 导入 PKCS#12 文件
gpgsm --import gpg-key.p12

导入成功后，您应该可以在 GPG 的密钥管理工具（如 Kleopatra）中看到这个密钥。不过，GPG 目前只识别该证书和私钥为 X.509 格式，还不能用于 PGP 操作。

步骤 6：将私钥转换为 OpenPGP 格式

接下来，我们需要将 PEM 格式的私钥转换为 OpenPGP 格式，以便 GPG 能够识别和使用它进行 PGP 操作。可以使用 pem2openpgp 工具来实现这个转换。

# 将 PEM 格式的私钥转换为 OpenPGP 格式
cat xiaoming.key | PEM2OPENPGP_USAGE_FLAGS=encrypt pem2openpgp "Xiaoming <xiaoming@example.com>" > key.pgp

此时，key.pgp 文件是 OpenPGP 格式的密钥，GPG 可以使用它来执行 PGP 加密、签名等操作。

步骤 7：导入 OpenPGP 密钥到 GPG

最后，使用 gpg 命令将生成的 OpenPGP 格式密钥导入到 GPG 中。

# 将 OpenPGP 格式的密钥导入 GPG
gpg --import key.pgp

导入成功后，您应该可以在 Kleopatra 或 GPG 中看到这个 OpenPGP 格式的密钥。现在，您可以使用这个密钥进行 PGP 操作。

验证步骤

导入完成后，您可以通过以下命令确认密钥是否已成功导入：

# 列出 PGP 密钥
gpg --list-keys

# 列出 X.509 证书
gpgsm --list-keys

在 Kleopatra 工具中，您应该能看到两个密钥：

• 一个是 X.509 证书
• 另一个是 OpenPGP 密钥

这两个密钥实际上是基于相同的私钥，只是以不同的格式存在。