• ホーム
• 情報セキュリティ
• 暗号技術

GnuPG

GnuPG (GNU Privacy Guard) は，RFC4880 で定義された OpenPGP 標準の GNU プロジェクトによる完全かつフリーな実装である (www.gnupg.org)．

GnuPG は，データや通信を暗号化したり署名を付与したりする機能．および鍵の管理システムを持っている．GnuPG はメーラにメールの暗号化･復号機能を付加するためにも利用される (Thunderbird 78 より，OpenPGP が標準でサポートされディジタル署名と暗号化メールが利用できる)． GnuPG のバージョン 2 は，S/MIME に対するサポートも提供する．

以下，主要な GnuPG コマンドの仕様と使い方の例を示す．

GnuPG コマンド

• コマンドの一般形式

    gpg [options] command [args]
  

  • 全てのコマンド名およびオプション名には先頭に2重マイナス記号 (--) が付く．一部コマンドには，マイナス記号 (-) の省略形式のコマンドも使える．
  • 省略形式のコマンドは，-sa のように結合して用いてもよい．
  • コマンドにより，動作対象の引数 args の指定が必要である．
  • 入力データが必要なコマンドで入力引数が無い場合，標準入力から読み込む．
  • --output オプションによる出力先の指定が無い場合，結果は標準出力に出力される (アスキー形式出力が可能なもの)．
  • 必要なオプションが指定されていない場合や秘密鍵を使う場合など，適宜入力が求められる．
• コマンド
  • -e, --encrypt [file]
    file を暗号化する．--sign と共に用いることができる．
  • -c, --symmetric [file]
    パスフレーズを用いた共通鍵暗号 (デフォルトは CAST5) で暗号化する． 暗号アルゴリズムは，--cipher-algo オプションで変更できる．
  • -d, --decrypt [file]
    file (指定されない場合標準入力) を復号し，標準出力 (または，--output オプションで指定されたファイル) に書き出す．また，復号されたファイルが署名されていた場合，署名を検証する．
  • -s, --sign file
    file に対する署名を生成する．file.gpg という署名付きメッセージのファイルが生成される． --encrypt と共に用いることができる．
  • --clearsign file
    file に対するテキスト型の署名を生成する．file.asc という署名付きメッセージのアスキー形式のファイルが生成される．
  • -b, --detach-sign file
    file に対する分離署名 (メッセージを含まない署名) を生成する．
  • --verify [[sigfile] [signed-files]]
    sigfile の署名を検証する．signed-files は，分離型署名 (detached signature) における署名対象ファイルである．
  • -k, --list-keys [names]
    公開鍵束から全ての鍵 (または，names で指定された鍵) を出力する．
  • -K, --list-secret-keys [names]
    秘密鍵束から全ての鍵 (または，names で指定された鍵) を出力する．
  • --fingerprint name
    names で指定された鍵のフィンガープリント(指紋)を出力する． フィンガープリントは，16進の列であり公開鍵をユニークに識別するものである．
  • --delete-key name
    公開鍵束から鍵 name を削除する．
  • --delete-secret-key name
    秘密鍵および公開鍵束から鍵 name を削除する．
  • --export [names]
    鍵束から names で指定された鍵 (指定が無い場合，すべての鍵) を取り出す．
  • --import files
    鍵束に files で指定された鍵を追加する．
  • --gen-key
    鍵ペアを生成する (対話型のコマンド)．
  • --gen-revoke name
    鍵 name に対する破棄証明書を生成する．
  • --edit-key user_id
    鍵に関する情報を表示し，コマンド入力待ちになる．鍵管理に関連した各種操作をサブコマンドにより行える．
    help でサブコマンド一覧を表示，quit で終了する．
  • --sign-key name
    秘密鍵で公開鍵に署名する． 署名した公開鍵の信頼性(有効性)は，他人に鍵を受け渡す際に引き継がれる．
  • --lsign-key name
    秘密鍵で公開鍵に署名する．自分用のローカルな署名であり，署名を施した公開鍵を他人に渡しても信頼性に関する情報は渡らない．
  • --passwd user_id
    user_id で指定される秘密鍵のパスフレーズを変更する (--edit のサブコマンド passwd のショートカット版)．
  • --version
    バージョン情報，ホームディレクトリ，およびサポートアルゴリズムを表示する．
  • -h, --help
    コマンド一覧を表示する．
• オプション
  ロング形式のオプションは，オプションファイル (デフォルト： ~/.gnupg/gpg.conf) に置くことができる．このとき，オプションの 2 つの "--" は不要である．
  
  
  • -a, --armor
    ASCII armored 形式で出力する．デフォルトは，OpenPGP バイナリ形式である．
  • -o, --output file
    file に出力する．
  • -u, --local-user name
    署名に対するユーザ ID として name を用いる．
  • --default-key name
    署名に対するデフォルトのユーザ ID として name を用いる．指定されない場合，デフォルトユーザ ID は，秘密鍵束において最初に見つかるユーザ ID である．
  • r, --recipient name
    ユーザ ID name に対して暗号化する (name の公開鍵を使用する)．このオプションが指定されない場合は，ユーザ ID の入力が求められる．
  • --homedir directory
    ホームディレクトリを directory に設定する．このオプションが指定されない場合は，"~/.gnupg" が用いられる．
  • --options file
    ファイル file からオプションを読み込む．
  • --cipher-algo name
    暗号アルゴリズムとして name を用いる． --version コマンドにより，サポートされているアルゴリズム名が表示できる．
  • --digest-algo name
    メッセージダイジェストアルゴリズムとして name を用いる．

コマンド操作例

• 鍵ペアの生成
  新しい鍵ペアを生成する．

    gpg --gen-key
  

  鍵の種類と所有者を特定するため，以下の情報の入力が求められる．
  • 鍵の種類
    RSA，DSA，ElGamal
  • 鍵のビット長
  • 鍵の有効期限
  • ユーザ ID
    本名，電子メールアドレス，コメント
  • パスワード
• 鍵の一覧表示
  公開鍵のリストを表示する．

    gpg --list-keys
  

• 破棄証明書の発行
  鍵の破棄証明書を作成する． 破棄証明書を作ると鍵が危険に晒された場合，鍵を取り消すことができる．

    gpg --output revoke.asc --gen-revoke mykey
  

  破棄証明書による鍵の取り消しは．以下により行える．この破棄した公開鍵を公開鍵サーバに送るとその鍵は破棄される．

    gpg --import revoke.asc
  

• 公開鍵のエクスポート
  公開鍵をエクスポートする． --armor オプションは，鍵を ASCII-armored 形式で出力する (これを指定しないと，出力はバイナリ形式になる)．
  エクスポートした鍵を公開鍵サーバに登録したり，通信相手にメール等で通知すると，暗号化メールの受信が可能になる．

    gpg --armor --output alice.gpg --export alice@cipher.org
  

• 公開鍵のインポート
  公開鍵を自分の公開鍵束にインポートする．

    gpg --import bob.gpg
  

• 公開鍵に対する署名
  公開鍵が信頼できる時，鍵に対する署名を行う．署名が行われるまでその公開鍵は信用されないため，使用時に警告が表示される．

    gpg --sign-key bob@cipher.org
  

• 鍵に対する信用性の設定
  インポートした鍵に対する信用性の程度を設定する．次のコマンドを入力した後，サブコマンドとして trust と入力し信用度を選択する． 信用度は，この鍵を完全に信用しない場合は2，ある程度信用する場合は3，完全に信用（例えば実際に本人に会ったことがありその本人に確認がとれている場合など）する場合は4を選択する．

    gpg --edit-key bob@cipher.org
  

• 暗号化
  ファイル doc を暗号化し，暗号化ファイル doc.pgp を生成する． --recipient オプションは受信者の公開鍵を指定するものである．

    gpg --output doc.gpg --encrypt --recipient bob@cipher.org doc
  

• 復号
  暗号文を復号し平文ファイル doc を生成する．秘密鍵に対するパスフレーズの入力が求められる．

    gpg --output doc --decrypt doc.gpg
  

• パスワード暗号化
  公開鍵暗号を用いずにファイル doc を共通鍵暗号で暗号化し，暗号化ファイル doc.pgp を生成する．共通鍵暗号の鍵は，入力が要求されるパスフレーズから生成される．

    gpg --output doc.gpg --symmetric encrypt doc
  

• 署名生成
  ファイル doc に署名し，署名付きファイル doc.sig (Detached signature の場合は，署名ファイル) を生成する ． 秘密鍵に対するパスフレーズの入力が求められる．

    gpg --output doc.sig --sign doc
    gpg --output doc.sig --detach-sig doc // for detached signature
  

• 署名検証
  署名付きファイル doc.sig の署名を検証する．

    gpg --verify doc.sig
    gpg --verify doc.sig doc // for detached signature
  

暗号方式

暗号の利用

／