GnuPGに関する私的なメモ書き 2002/12/25

GnuPG(GNU Privacy Guard)とは
============================

暗号化のソフトとして有名なものにPGPがありますがPGPの場合ライセンスに制
限が有り、商業利用できません。そこでドイツ在住の開発グループがPGP互換
でライセンスフリーのGnuPGを開発しました。

GnuPGはPGPを置き換える完全かつフリーな（ソフトウェア）です。特許がカバー
するIDEAを使っていない為、制限なしに使うことができます。GnuPGは
RFC2440(OpenPGP)に準拠しているアプリケーションソフトウェアです。

GnuPGはドイツで開発されているため、米国などの輸出規制を受けないので自
由に使用できます。

公開鍵暗号(署名)の基本的な流れ
==============================

o 自分の公開鍵,秘密鍵の作成登録
  gpg --gen-key

    . 暗号(アルゴリズム)の種類
    . 鍵長
    . 鍵の有効期限
    . 名前
    . メールアドレス
    . 任意のコメント
    . パスフレーズ

    を答える

    . 作成された公開鍵,秘密鍵は作業を行ったコンピュータのディスクにパスフ
      レーズによって暗号化されて記録されます
    . 当然上記のデータは他人にコピーされたりしてはいけません。

o 破棄証明書の作成
  gpg --gen-revoke my_userid >my_revcert.txt

    . 万が一秘密鍵やパスフレーズが他人に知られた場合に登録された鍵を無効
      化するためのデータ
    . my_userid にはメールアドレス(の一部),名前(の一部)等ユーザを特定でき
      る文字列を指定する

o 公開鍵を配布する
  gpg -a --export my_userid >my_pubkey.txt

    . 暗号化,署名付きデータのやり取りをしたい相手に my_pubkey.txt を配る
    . 配るための手法としては
      - フロッピーに入れて相手に郵送
      - 公開鍵サーバに登録
      等の手段がある
    . 公開鍵の正当性を証明する認証局(CA)というのも存在しつつある
      -> 間違い(^^;公開鍵(電子証明書)の正当性を証明云々はOpenSSLでのお話しでした...

o 他の人の公開鍵を登録する
  gpg --import <other_pubkey.txt

    . 暗号化,署名付きデータのやり取りをしたい相手の公開鍵
      (other_pubkey.txt)を入手し、登録する

o 公開鍵の指紋を表示する
  gpg --fingerprint other_userid

    . 表示された指紋とその公開鍵の持ち主が公開している(web,mail,名刺 etc)
      指紋が一致すればその公開鍵の正当性が(いちおう)証明される

o 入手した公開鍵に署名する(その鍵をexportした場合、署名はexportされない)
  gpg --lsign-key -u my_userid other_userid

    . 入手した公開鍵を承認するための署名

o 入手した公開鍵に署名する(その鍵をexportした場合、署名もexportされる)
  gpg --sign-key -u my_userid other_userid

    . 入手した公開鍵を承認するための署名

o 入手した公開鍵に対する信用データーベースを更新
  gpg --edit-key other_userid
    trust

    . 入手した公開鍵の信用度を記録する

o 暗号化する(公開(非対称)鍵暗号方式)
  gpg -ea -r other_userid <input.txt >output.txt

    . 相手(other_userid)の公開鍵で暗号化される。
    . 相手(other_userid)の秘密鍵のみで復号化できる。

o 暗号化する(共通(対称)鍵暗号方式)
  gpg -ca <input.txt >output.txt

    . パスフレーズの入力が必要
    . 相手にパスフレーズを慎重に伝える事!

o 署名する(GnuPGのみ対応の形式)
  gpg -sa -u my_userid <input.txt >output.txt

    . 自分のパスフレーズの入力が必要
    . 自分(my_userid)の秘密鍵で署名される。
    . 自分(my_userid)の公開鍵で署名の正当性がチェックされる。

o 署名する(PGP対応の形式)
  gpg -a --clearsign -u my_userid <input.txt >output.txt

    . パスフレーズの入力が必要
    . 自分(my_userid)の秘密鍵で署名される。
    . 自分(my_userid)の公開鍵で署名の正当性がチェックされる。

o 復号化＆署名のチェック
  gpg <input.txt

    . 暗号化ファイルを復号する場合には自分のパスフレーズを入力する。

その他の操作
============

o 登録されている秘密鍵の一覧を表示する
  gpg --list-secret-keys

o 登録されている公開鍵の一覧を表示する
  gpg --list-keys

o 秘密鍵を削除する
  gpg --delete-secret-key my_userid

o 公開鍵を削除する
  gpg --delete-key userid

o 鍵を無効化する
  . 破棄証明を取り込む
    gpg --import <revcert.txt
  . 破棄された公開鍵をファイルに書き出す
    gpg -a --export my_userid >my_pubkey.txt
  . my_pubkey.txt を配る