数字签名发生时,您将私钥应用于特定消息(或在大多数情况下该消息的哈希)。
收件人然后获取您的公钥- 毫不奇怪是公开可用的 - 然后通过将其应用于签名消息来验证您的身份。
另一方面,加密发生时,您可以获取消息的目的地人的公钥,并将其应用于消息。完成此操作后,您实际上已对所有人(包括您自己)锁定了它,而解锁该消息的唯一方法是让收件人将其私钥应用于加密消息。
在上述两种情况下,我都使用了“应用”一词,这是因为这是我解决最后一个问题的下一个要点。
数字加密和签名基本上是一个非常大的数字(公钥/私钥)的数学上合适的消息表示的数学乘法。当私钥“乘以”公钥时,它们会相互抵消(有些简化的描述)。
我写这个使用的Diffie-赫尔曼的简化例子在这里。
现在考虑到这一点,这是我正在考虑的场景......
想象一下,您使用标准的非对称密码术(pri/pub 密钥)为某人加密了一条秘密消息。然后,您通过不安全的通道将该消息发送给收件人。
窃听者轻敲线路并捕获您的消息。
然而,给他们的消息是加密的——他们猜测消息的真正接收者(拥有相应私钥的人)使用相同的公钥/私钥对进行签名,就像她加密一样。
他们以某种方式操纵/说服消息的真正收件人签署“某些文件”,假设她这样做了。文档当然是捕获的消息,但收件人不知道这一点。
刚刚发生了什么?收件人已将她的私钥应用于已由她的公钥签名的消息。
然后她会将消息交还给攻击者(为了争论,我们假设这是一个盲签名请求)。
攻击者现在有解密的消息?
感谢所有回复的人 - 似乎我没有说出我的问题,因为每个人都误解了它 - 这是我的错,很抱歉。
说明:假设对整个消息执行“签名”操作(此处出于学术目的),而不是该消息的哈希值。是的,我知道这不是实际所做的,并且出于某些原因(包括性能和大小),签名是在消息的固定长度加密哈希上完成的,而不是消息本身,但是对于这个问题,请假装这个事实并非如此。
公司政策要求安全存储一些 ssh 密钥,例如存储在专用 USB 设备上。使用 gnupg 和 来使用未存储在主机上的密钥可以完美地工作enable-ssh-support,即使使用多个密钥时也是如此:
Host example.com
HostName ssh.example.com
IdentityFile ~/.ssh/smartcard.pub
Host example.net
HostName git.example.net
IdentityFile ~/.ssh/another-smartcard.pub
Host example.org
HostName sftp.example.org
IdentityFile ~/.ssh/id_rsa.pub
IdentitiesOnly yes
PasswordAuthentication no
PubkeyAuthentication yes
但是,当拔掉硬件时,gpg 会从代理中删除密钥,随后的 ssh 调用会导致:
Enter passphrase for key '/home/user/.ssh/smartcard.pub':
这看起来很奇怪,因为 ssh 和 ssh-agent 都应该清楚该文件仅包含公钥。如果 ssh 无法访问指定的密钥,是否有一种好方法可以让 ssh 详细失败,而不是要求输入(毫无意义的)密码?
不完整的解决方案:
IdentitiesOnly- ssh 然后将按预期尝试所有可用密钥- 但会导致服务器限制每个会话的身份验证尝试出现问题alias ssh='grep ^4096 <(ssh-add -l)' && ssh'- 有效,但如果有人想找出他的 ssh 设置被破坏的原因,则会引起头痛在 RHEL 7.4 系统上,我添加了 salt-latest 存储库,如下所示:
yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm
请注意,除其他事项外,这会创建以下两个 GPG 密钥文件:
/etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
/etc/pki/rpm-gpg/saltstack-signing-key
为了供以后参考,请注意 CentOS 密钥的指纹以 f4a80eb5 结尾:
# gpg --quiet --with-fingerprint /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
pub 4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>
Key fingerprint = 6341 AB27 53D7 8A78 A7C2 7BB1 24C6 A8A7 F4A8 0EB5
尝试重新同步下载:
mkdir /root/foobar
reposync --gpgcheck --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata
它失败并出现如下错误:
Removing babel-0.9.6-8.el7.noarch.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.i686.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.x86_64.rpm, due to …我已经尝试了许多明显的命令,如Duplicity Man page 中详述的那样,但它似乎不起作用。
设想
我通过 SSH 连接到一台机器,然后运行 Duplicity;以下是各种命令:-
ssh -i /keys/key.pem -o StrictHostKeyChecking=no user@ipAddress "sudo duplicity --s3-european-buckets --s3-use-new-style /local/dir/stuff s3+http://bucket/dir/"
问题是,它总是要求输入密码,我想将其作为自动化过程运行,而无需 CLi 用户回复。手册页唯一精确的参考是环境变量PASSPHRASE,但很少提及(加密密钥或签名密钥似乎不同)如何设置。
注意:它要求GnuPG 密码
是否可以在 Spacewalk 中禁用每个通道的 GPG 检查?
为了修补我的服务器,我已经从在 /etc/yum.repos.d 下的客户端上使用本地 yum 存储库转换为使用 spacewalk 服务器注册客户端。
但是,我们有一个内部 yum 存储库,我没有用于对包进行签名的 GPG 密钥。使用本地 yum 存储库时这不是问题,因为我可以使用 gpgcheck=0 禁用存储库上的 gpg。但是,我似乎无法用太空行走做类似的事情。即使我没有与频道关联的密钥,从命令行安装也会出现 GPG 错误(即:yum install -y somepackage)。
在 CLI 中,我可以使用 yum 的 --nogpgcheck 选项来解决这个问题。但是,我们在我们的环境中使用 puppet 来安装其中一些软件包,并且似乎没有一种简单的方法可以通过 puppet 将可选参数传递给 yum。
我已经看到一些建议,表明我可以在 /etc/yum/pluginconf.d/rhnplugin.conf 中设置 gpgcheck=0,但这将禁用对所有通道的检查,我宁愿仅对内部包禁用它,因为我没有钥匙。
在syslog我的 Ubuntu 服务器中,每当我使用 SSH 用户帐户登录时都会出现错误。
systemd[27299]: usr/bin/gpg-agent failed (exitcode=2): General error
systemd[27299]: gpgconf: fatal error (exit status 1)
systemd[27299]: Listening on GnuPG network certificate management daemon.
systemd[27299]: Reached target Timers.
systemd[27299]: Listening on GnuPG cryptographic agent and passphrase cache (access for web browsers).
systemd[27299]: Listening on GnuPG cryptographic agent and passphrase cache (restricted).
systemd[27299]: Listening on GnuPG cryptographic agent (ssh-agent emulation).
systemd[27299]: Listening on GnuPG cryptographic agent and passphrase cache.
我真的不知道这里发生了什么,因为我不知道什么是 GnuPG 或gpg-agent. 我在 HowToForge 中找到了一个线程,其中用户有类似的问题,并且回答者提到了一些关于 …
执行自动化服务器部署时,我可以通过脚本上传和导入 gpg 密钥。但我不能相信钥匙。
我试过
gpg --batch --yes --edit-key keyname trust 5
和
echo 5 | gpg --batch --yes --edit-key keyname trust -
在非批处理模式下,它总是停止请求输入。在批处理模式下,它会忽略输入。
正确的语法是什么?
我在将 GPG 密钥导入新安装的 debian 时遇到问题。几年前我导出了私钥。现在我正试图让一切在新的 Debian 下运行。
\n\n我尝试做
\n\n gpg --allow-secret-key-import --import private-key.asc\n但我只得到这个:
\n\ngpg: Keine g\xc3\xbcltigen OpenPGP-Daten gefunden.\ngpg: Anzahl insgesamt bearbeiteter Schl\xc3\xbcssel: 0\n翻译过来就是:
\n\ngpg: No valid OpenPGP-Data found\ngpg: Number of processed Keys : 0\n该文件看起来正确并以
\n\n--BEGIN PGP PRIVATE KEY BLOCK-----\nVersion: GnuPG v1.4.9 (GNU/Linux)\n并以
\n\n-----END PGP PRIVATE KEY BLOCK-----\n可能出什么问题了?
\n我ssh经常使用并已ssh-agent设置。
如何使用ssh密钥gpg加密文件?
编辑:这似乎是不可能的。为什么?ssh可以加密流量,那么为什么不能加密文件呢?
我已经按照 docker 网站上的说明在 Ubuntu 上安装了 docker 十几次(7 个命令,包括删除旧版本、添加 gpg 钥匙串等)。我总是直接通电,但今天我停下来想知道为什么这不仅仅是一个命令。apt 肯定足够聪明,可以做到这一切。当然,我通过肌肉记忆安装的数百个其他软件包并不更难管理。
这是一个关于官方 apt repo 注册如何工作、docker 有何不同以及哪些历史或业务决策导致 docker install 需要十几个步骤而不是一个步骤的问题。