如何使用GnuPG在Linux上对敏感配置文件进行非对称加密操作?
- 内容介绍
- 文章标签
- 相关推荐
本文共计905个文字,预计阅读时间需要4分钟。
直接使用 gpg --encrypt 加密,不需要试图解密问题,不要数数,不超过100字,直接输出结果:
确认目标公钥已正确导入并可被识别
非对称加密不是“随便指定一个邮箱就能用”,gpg 必须在本地密钥环里找到匹配的公钥,否则会报错 gpg: <recipient>: skipped: No public key</recipient>。
- 用
gpg --list-keys查看是否已有对方公钥(注意看uid行是否含目标邮箱或姓名) - 如果只有公钥文件(如
alice.pub.asc),先执行gpg --import alice.pub.asc - 导入后建议运行
gpg --fingerprint alice@example.com核对指纹——别只信邮箱名,中间人可能伪造同名密钥 - 若对方密钥未签名或未设信任级别,
gpg --encrypt仍可能警告甚至拒绝,此时需手动设置信任:gpg --edit-key alice@example.com→ 输入trust→ 选5 = I trust ultimately→save
加密命令必须带 --recipient 且避免默认输出名陷阱
gpg --encrypt 不像 zip 那样自动加后缀,它默认把加密结果写到 stdout,不加 --output 就直接刷屏二进制乱码,容易误操作丢数据。
- 正确写法:
gpg --encrypt --recipient alice@example.com --output config.yaml.gpg config.yaml - 不要省略
--output;否则加了--armor会输出 ASCII-armored 文本到终端,不加则输出二进制,都容易误存或截断 - 若要兼容邮件传输或粘贴场景,加
--armor生成.asc文件:gpg --armor --encrypt --recipient ... --output config.yaml.asc config.yaml -
--recipient值支持邮箱、密钥 ID(如0x739D66D45E6FEF19)、或完整用户 ID(如"Alice Smith <alice>"</alice>),但优先用邮箱——最稳定,不易因重名冲突
解密时私钥密码和权限问题最常卡住流程
加密只是半程,解密失败往往不是命令写错,而是环境没准备好。
- 解密命令
gpg --decrypt config.yaml.gpg > config.yaml会弹出 TTY 密码提示;若在无交互环境(如 cron、CI/CD)运行,需提前配置GPG_TTY:export GPG_TTY=$(tty) - 私钥若用强 passphrase 保护,每次解密都要输——不能跳过;若想免密,得用
gpg-agent缓存,但缓存时间、是否跨 session 生效需检查~/.gnupg/gpg-agent.conf - 注意文件权限:
.gnupg目录权限必须是700,私钥文件secring.gpg或private-keys-v1.d/下文件必须是600,否则gpg拒绝读取并静默失败 - 别用
sudo gpg --decrypt解密普通用户加密的文件——私钥在用户家目录,root 找不到,会报No secret key
真正麻烦的从来不是命令敲不对,而是密钥生命周期管理:公钥过期、私钥备份丢失、gpg-agent 状态异常、或不同机器间 .gnupg 同步不全。加密前先在测试机上走通“导出公钥→另一用户导入→加密→解密”全流程,比事后救火快得多。
本文共计905个文字,预计阅读时间需要4分钟。
直接使用 gpg --encrypt 加密,不需要试图解密问题,不要数数,不超过100字,直接输出结果:
确认目标公钥已正确导入并可被识别
非对称加密不是“随便指定一个邮箱就能用”,gpg 必须在本地密钥环里找到匹配的公钥,否则会报错 gpg: <recipient>: skipped: No public key</recipient>。
- 用
gpg --list-keys查看是否已有对方公钥(注意看uid行是否含目标邮箱或姓名) - 如果只有公钥文件(如
alice.pub.asc),先执行gpg --import alice.pub.asc - 导入后建议运行
gpg --fingerprint alice@example.com核对指纹——别只信邮箱名,中间人可能伪造同名密钥 - 若对方密钥未签名或未设信任级别,
gpg --encrypt仍可能警告甚至拒绝,此时需手动设置信任:gpg --edit-key alice@example.com→ 输入trust→ 选5 = I trust ultimately→save
加密命令必须带 --recipient 且避免默认输出名陷阱
gpg --encrypt 不像 zip 那样自动加后缀,它默认把加密结果写到 stdout,不加 --output 就直接刷屏二进制乱码,容易误操作丢数据。
- 正确写法:
gpg --encrypt --recipient alice@example.com --output config.yaml.gpg config.yaml - 不要省略
--output;否则加了--armor会输出 ASCII-armored 文本到终端,不加则输出二进制,都容易误存或截断 - 若要兼容邮件传输或粘贴场景,加
--armor生成.asc文件:gpg --armor --encrypt --recipient ... --output config.yaml.asc config.yaml -
--recipient值支持邮箱、密钥 ID(如0x739D66D45E6FEF19)、或完整用户 ID(如"Alice Smith <alice>"</alice>),但优先用邮箱——最稳定,不易因重名冲突
解密时私钥密码和权限问题最常卡住流程
加密只是半程,解密失败往往不是命令写错,而是环境没准备好。
- 解密命令
gpg --decrypt config.yaml.gpg > config.yaml会弹出 TTY 密码提示;若在无交互环境(如 cron、CI/CD)运行,需提前配置GPG_TTY:export GPG_TTY=$(tty) - 私钥若用强 passphrase 保护,每次解密都要输——不能跳过;若想免密,得用
gpg-agent缓存,但缓存时间、是否跨 session 生效需检查~/.gnupg/gpg-agent.conf - 注意文件权限:
.gnupg目录权限必须是700,私钥文件secring.gpg或private-keys-v1.d/下文件必须是600,否则gpg拒绝读取并静默失败 - 别用
sudo gpg --decrypt解密普通用户加密的文件——私钥在用户家目录,root 找不到,会报No secret key
真正麻烦的从来不是命令敲不对,而是密钥生命周期管理:公钥过期、私钥备份丢失、gpg-agent 状态异常、或不同机器间 .gnupg 同步不全。加密前先在测试机上走通“导出公钥→另一用户导入→加密→解密”全流程,比事后救火快得多。