Pythonでコードを検証してデータを暗号化する方法-GnuPGとPython3
著者は、 Open Internet / Free Speech Fund を選択して、 Write forDOnationsプログラムの一環として寄付を受け取りました。
序章
GnuPGパッケージは、暗号化キーを生成および保存するための完全なソリューションを提供します。 また、データと通信を暗号化して署名することもできます。
このチュートリアルでは、python-gnupgモジュールでPython3を使用する一連のスクリプトを作成します。 これらのスクリプトを使用すると、複数のファイルに署名して暗号化し、スクリプトを実行する前にスクリプトの整合性を検証できます。
前提条件
このチュートリアルを続行する前に、次の前提条件を完了してください。
- Ubuntu 16.04 の初期サーバー設定チュートリアルに従って、Ubuntu16.04サーバーを設定します。 このチュートリアルを実行すると、root以外のsudoユーザーアカウントにアクセスできるようになります。 このチュートリアルでは、ユーザーの名前はsammyになります。
- Python3のインストール方法とUbuntu16.04でのローカルプログラミング環境のセットアップ方法の手順1に従って、Python3と
pip
がインストールされていることを確認します。 - このGnuPGチュートリアルに従って、GnuPGキーペアを作成します。
ステップ1—キーペア情報の取得
前提条件でGnuPGチュートリアルを完了すると、ホームディレクトリの下の.gnupg
にキーペアが保存されます。 GnuPGは、キーのペアを識別するのに役立つユーザー名と電子メールとともにキーを保存します。 この例では、ユーザー名は sammy で、電子メールアドレスは[email protected]
です。
以下のコマンドを実行して、使用可能なキーのリストを取得します。
- gpg --list-keys
Output/home/sammy/.gnupg/pubring.gpg
-----------------------------
pub 2048R/4920B23F 2018-04-23
uid Sammy <[email protected]>
sub 2048R/50C06279 2018-04-23
出力のuid
行に表示されている電子メールアドレスをメモします。 後でキーを識別するために必要になります。
ステップ2—Python-GnuPGのインストールとファイルへの署名
キーを配置したら、python-gnupg
モジュールをインストールできます。このモジュールは、GnuPGのラッパーとして機能し、GnuPGとPython3の間の相互作用を可能にします。 このモジュールを使用すると、次のことを行うPythonスクリプトを作成できます。
- ファイルの分離された署名を作成し、ファイルから署名を分離することにより、署名プロセスにセキュリティのレイヤーを追加します。
- ファイルを暗号化します。
- ファイルを復号化します。
- 切り離された署名とスクリプトを確認します。
これらのファイルのスクリプトのテストに進む前に、最初にいくつかのテストファイルとともにスクリプトを作成します。
開始するには、python-gnupg
モジュールを、fs
パッケージと一緒にインストールします。これにより、テストファイルを開いたり、読み取ったり、書き込んだりできます。 パッケージインデックスを更新し、pip
を使用してこれらのパッケージをインストールします。
- sudo apt-get update
- sudo pip3 install python-gnupg fs
これらのパッケージを配置したら、スクリプトとテストファイルの作成に進むことができます。
スクリプトとテストファイルを保存するには、ホームディレクトリにpython-test
という名前のフォルダを作成します。
- cd ~/
- mkdir python-test
このディレクトリに移動します。
- cd python-test/
次に、3つのテストファイルを作成しましょう。
- echo "This is the first test file" > test1.txt
- echo "print('This test file is a Python script')" > test2.py
- echo "This is the last test file" > test3.txt
テストファイルの分離署名を作成するには、signdetach.py
というスクリプトを作成します。このスクリプトは、実行されるディレクトリ内のすべてのファイルを対象とします。 署名はタイムスタンプとして機能し、ドキュメントの信頼性を証明します。
切り離された署名は、signatures/
という新しいフォルダーに保存されます。このフォルダーは、スクリプトの実行時に作成されます。
nano
またはお気に入りのテキストエディタを使用して、signdetach.py
という名前の新しいファイルを開きます。
- nano signdetach.py
まず、スクリプトに必要なすべてのモジュールをインポートしましょう。 これらには、ファイルナビゲーションを有効にするos
およびfs
パッケージ、およびgnupg
が含まれます。
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
次に、GnuPGが暗号化キーを見つけるディレクトリを設定しましょう。 GnuPGはデフォルトでそのキーを.gnupg
に保存するので、これをユーザー名で構成しましょう。 sammyをroot以外のユーザーの名前に置き換えてください。
...
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
次に、home_fs
変数を作成して、現在のディレクトリの場所をファイルオブジェクトとして保存しましょう。 これにより、スクリプトが実行されたディレクトリ内でスクリプトが機能するようになります。
...
home_fs = open_fs(".")
これで、スクリプトは次のようになります。
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
この構成ブロックは、このチュートリアルを進めるときにスクリプトで使用する基本的なテンプレートです。
次に、signatures/
という名前のフォルダーがあるかどうかを確認するコードを追加し、存在しない場合は作成します。
...
if os.path.exists("signatures/"):
print("Signatures directory already created")
else:
home_fs.makedir(u"signatures")
print("Created signatures directory")
ファイル名を格納する空の配列を作成してから、現在のディレクトリをスキャンし、すべてのファイル名をfiles_dir
配列に追加します。
...
files_dir = []
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
スクリプトが次に行うことは、ファイルの分離された署名を生成することです。 files_dir
配列をループすると、キーリングの最初の秘密鍵を使用して各ファイルの署名が作成されます。 秘密鍵にアクセスするには、設定したパスフレーズで秘密鍵のロックを解除する必要があります。 "my passphrase"
を、前提条件でキーペアを生成したときに使用したパスフレーズに置き換えます。
...
for x in files_dir:
with open(x, "rb") as f:
stream = gpg.sign_file(f,passphrase="my passphrase",detach = True, output=files_dir[files_dir.index(x)]+".sig")
os.rename(files_dir[files_dir.index(x)]+".sig", "signatures/"+files_dir[files_dir.index(x)]+".sig")
print(x+" ", stream.status)
完了すると、すべての署名がsignatures/
フォルダーに移動されます。 完成したスクリプトは次のようになります。
[label ~/python-test/signdetach.py]
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
if os.path.exists("signatures/"):
print("Signatures directory already created")
else:
home_fs.makedir(u"signatures")
print("Created signatures directory")
files_dir = []
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
for x in files_dir:
with open(x, "rb") as f:
stream = gpg.sign_file(f,passphrase="my passphrase",detach = True, output=files_dir[files_dir.index(x)]+".sig")
os.rename(files_dir[files_dir.index(x)]+".sig", "signatures/"+files_dir[files_dir.index(x)]+".sig")
print(x+" ", stream.status)
これで、ファイルの暗号化に進むことができます。
ステップ3—ファイルの暗号化
フォルダ内で暗号化スクリプトを実行すると、そのフォルダ内のすべてのファイルがコピーされ、encrypted/
という新しいフォルダ内で暗号化されます。 ファイルの暗号化に使用される公開鍵は、鍵ペア構成で指定した電子メールに対応するものです。
encryptfiles.py
という名前の新しいファイルを開きます。
- nano encryptfiles.py
まず、必要なすべてのモジュールをインポートし、GnuPGのホームディレクトリを設定して、現在の作業ディレクトリ変数を作成します。
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
次に、コードを追加して、現在のディレクトリにencrypted/
というフォルダがすでにあるかどうかを確認し、存在しない場合は作成します。
...
if os.path.exists("encrypted/"):
print("Encrypt directory exists")
else:
home_fs.makedir(u"encrypted")
print("Created encrypted directory")
暗号化するファイルを検索する前に、ファイル名を格納するための空の配列を作成しましょう。
...
files_dir = []
次に、フォルダーをスキャンしてファイルを探し、それらを配列に追加するループを作成します。
...
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
最後に、フォルダ内のすべてのファイルを暗号化するループを作成しましょう。 完了すると、暗号化されたすべてのファイルがencrypted/
フォルダーに転送されます。 この例では、[email protected]
は、暗号化中に使用するキーの電子メールIDです。 これは、必ず手順1でメモした電子メールアドレスに置き換えてください。
...
for x in files_dir:
with open(x, "rb") as f:
status = gpg.encrypt_file(f,recipients=["[email protected]"],output= files_dir[files_dir.index(x)]+".gpg")
print("ok: ", status.ok)
print("status: ", status.status)
print("stderr: ", status.stderr)
os.rename(files_dir[files_dir.index(x)] + ".gpg", 'encrypted/' +files_dir[files_dir.index(x)] + ".gpg")
.gnupg
フォルダー内に複数のキーが保存されていて、暗号化に特定の公開キーまたは複数の公開キーを使用する場合は、受信者を追加するか、置き換えることにより、recipients
配列を変更する必要があります。現在のもの。
完了すると、encryptfiles.py
スクリプトファイルは次のようになります。
[label ~/python-test/encryptfiles.py]
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
if os.path.exists("encrypted/"):
print("Encrypt directory exists")
else:
home_fs.makedir(u"encrypted")
print("Created encrypted directory")
files_dir = []
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
for x in files_dir:
with open(x, "rb") as f:
status = gpg.encrypt_file(f,recipients=["[email protected]"],output= files_dir[files_dir.index(x)]+".gpg")
print("ok: ", status.ok)
print("status: ", status.status)
print("stderr: ", status.stderr)
os.rename(files_dir[files_dir.index(x)] + ".gpg", "encrypted/" +files_dir[files_dir.index(x)] + ".gpg")
次に、プロセスの2番目の部分である複数のファイルを一度に復号化して検証する方法を見てみましょう。
ステップ4—ファイルの復号化
復号化スクリプトは、encrypted/
ディレクトリ内で実行されることを除いて、暗号化スクリプトとほとんど同じように機能します。 decryptfiles.py
を起動すると、最初に使用された公開鍵が識別され、次に.gnupg
フォルダーで対応する秘密鍵が検索されてファイルが復号化されます。 復号化されたファイルは、decrypted/
という新しいフォルダーに保存されます。
nano
またはお気に入りのエディターでdecryptfiles.py
という新しいファイルを開きます。
- nano decryptfiles.py
構成設定を挿入することから始めます。
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
次に、スクリプトの実行中にデータを格納するための2つの空の配列を作成します。
...
files_dir = []
files_dir_clean = []
ここでの目標は、スクリプトが復号化されたファイルを独自のフォルダーに配置することです。 そうしないと、暗号化されたファイルと復号化されたファイルが混在し、特定の復号化されたファイルを見つけることが困難になります。 この問題を解決するには、現在のフォルダーをスキャンしてdecrypted/
フォルダーが存在するかどうかを確認し、存在しない場合は作成するコードを追加します。
...
if os.path.exists("decrypted/"):
print("Decrypted directory already exists")
else:
home_fs.makedir(u"decrypted/")
print("Created decrypted directory")
フォルダをスキャンして、すべてのファイル名をfiles_dir
アレイに追加します。
...
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
暗号化されたすべてのファイルには、暗号化されていることを示すためにファイル名に.gpg
拡張子が追加されています。 ただし、復号化するときは、暗号化されていないため、この拡張子なしで保存する必要があります。
これを行うには、files_dir
配列をループして、各ファイル名から.gpg
拡張子を削除します。
...
for x in files_dir:
length = len(x)
endLoc = length - 4
clean_file = x[0:endLoc]
files_dir_clean.append(clean_file)
新しい「クリーンアップされた」ファイル名は、file_dir_clean
配列内に保存されます。
次に、ファイルをループして復号化します。 "my passphrase"
をパスフレーズに置き換えて、秘密鍵のロックを解除します。
...
for x in files_dir:
with open(x, "rb") as f:
status = gpg.decrypt_file(f, passphrase="my passphrase",output=files_dir_clean[files_dir.index(x)])
print("ok: ", status.ok)
print("status: ", status.status)
print("stderr: ", status.stderr)
os.rename(files_dir_clean[files_dir.index(x)], "decrypted/" + files_dir_clean[files_dir.index(x)])
終了すると、スクリプトファイルは次のようになります。
[label ~/python-test/decryptfiles.py]
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
files_dir = []
files_dir_clean = []
if os.path.exists("decrypted/"):
print("Decrypted directory already exists")
else:
home_fs.makedir(u"decrypted/")
print("Created decrypted directory")
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
for x in files_dir:
length = len(x)
endLoc = length - 4
clean_file = x[0:endLoc]
files_dir_clean.append(clean_file)
for x in files_dir:
with open(x, "rb") as f:
status = gpg.decrypt_file(f, passphrase="my passphrase",output=files_dir_clean[files_dir.index(x)])
print("ok: ", status.ok)
print("status: ", status.status)
print("stderr: ", status.stderr)
os.rename(files_dir_clean[files_dir.index(x)], "decrypted/" + files_dir_clean[files_dir.index(x)])
復号化スクリプトを配置したら、複数のファイルの切り離された署名の検証に進むことができます。
ステップ5—切り離された署名の確認
複数のファイルの切り離されたデジタル署名を確認するために、verifydetach.py
スクリプトを書いてみましょう。 このスクリプトは、作業ディレクトリ内のsignatures/
フォルダーを検索し、各ファイルの署名を確認します。
verifydetach.py
という名前の新しいファイルを開きます。
- nano verifydetach.py
前の例のように、必要なすべてのライブラリをインポートし、作業ディレクトリとホームディレクトリを設定して、空のfiles_dir
配列を作成します。
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
files_dir = []
次に、確認するファイルが含まれているフォルダーをスキャンしてみましょう。 ファイル名は空のfiles_dir
配列に追加されます。
...
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
最後に、files_dir
配列を移動するループを使用して、signatures/
フォルダー内の各ファイルの切り離された署名を検索することにより、独自の切り離された署名を持つ各ファイルを検証しましょう。 切り離された署名が見つかると、それを使用してファイルを検証します。 最後の行は、各ファイルの検証のステータスを出力します。
...
for i in files_dir:
with open("../../signatures/" + i + ".sig", "rb") as f:
verify = gpg.verify_file(f, i)
print(i + " ", verify.status)
終了すると、スクリプトは次のようになります。
[label ~/python-test/verifydetach.py]
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
files_dir = []
files = [f for f in os.listdir(".") if os.path.isfile(f)]
for f in files:
files_dir.append(f)
for i in files_dir:
with open("../../signatures/" + i + ".sig", "rb") as f:
verify = gpg.verify_file(f, i)
print(i + " ", verify.status)
次に、サーバーで実行する前にファイルの署名を確認する方法を見ていきましょう。
ステップ6—ファイルの確認
最終的なスクリプトは、実行される前にスクリプトを検証します。 この意味では、verifydetach
に似ていますが、検証済みのスクリプトを起動する追加機能があります。 スクリプトの名前を引数として取り、そのファイルの署名を検証することで機能します。 検証が成功すると、スクリプトはコンソールにメッセージを送信し、検証されたスクリプトを起動します。 検証プロセスが失敗した場合、スクリプトはエラーをコンソールに送信し、ファイルの実行を中止します。
verifyfile.py
という名前の新しいファイルを作成します。
- nano verifyfile.py
まず、必要なライブラリをインポートして、作業ディレクトリを設定しましょう。
#!/usr/bin/env python3
import os
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
スクリプトを機能させるには、検証して実行するファイルの名前を保存する必要があります。 これを行うには、script_to_run
という新しい変数を作成しましょう。
...
script_to_run = str(sys.argv[1])
この変数は最初の引数を取り、新しく作成された変数内にそれを格納します。 次に、スクリプトは切り離された署名ファイルを開き、script_to_run
内のファイルをその署名で検証し、検証に合格した場合に実行します。
...
with open("../../signatures/" + script_to_run + ".sig", "rb") as f:
verify = gpg.verify_file(f, script_to_run)
print(script_to_run + " ", verify.status)
if verify.status == "signature valid":
print("Signature valid, launching script...")
exec(open(script_to_run).read())
else:
print("Signature invalid or missing, ")
print("aborting script execution")
完成したスクリプトは次のようになります。
[label ~/python-test/verifyfile.py]
#!/usr/bin/env python3
import os
import sys
import fs
from fs import open_fs
import gnupg
gpg = gnupg.GPG(gnupghome="/home/sammy/.gnupg")
home_fs = open_fs(".")
script_to_run = str(sys.argv[1])
with open("../../signatures/" + script_to_run + ".sig", "rb") as f:
verify = gpg.verify_file(f, script_to_run)
print(script_to_run + " ", verify.status)
if verify.status == "signature valid":
print("Signature valid, launching script...")
exec(open(script_to_run).read())
else:
print("Signature invalid or missing, ")
print("aborting script execution")
スクリプトの作成は完了しましたが、現時点では、現在のフォルダー内からのみ起動できます。 次のステップでは、それらの権限を変更して、グローバルにアクセスできるようにします。
ステップ7—スクリプトをシステム全体で利用できるようにする
使いやすくするために、システム上の任意のディレクトリまたはフォルダからスクリプトを実行可能にして、$PATH
内に配置しましょう。 chmod
コマンドを使用して、ファイルの所有者であるroot以外のユーザーに実行可能権限を付与します。
- chmod +x *.py
$PATH
設定を見つけるには、次のコマンドを実行します。
- echo $PATH
Output-bash: /home/sammy/bin:/home/sammy/.local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
$PATH
に保存されているファイルは、ディレクトリの権限で許可されている場合、システム内のどのフォルダからでもアクセスできます。 スクリプトは$PATH
内のどこにでも配置できますが、ここでは、スクリプトをpython-test/
ディレクトリから/usr/local/bin/
に移動しましょう。
ファイルをコピーするときに.py
拡張子を削除していることに注意してください。 作成したスクリプトの最初の行を見ると、#!usr/bin/env python3
が表示されます。 この行はshebangと呼ばれ、オペレーティングシステムがコードの実行時に使用するbashインタープリターまたは環境を識別するのに役立ちます。 スクリプトを実行すると、オペレーティングシステムは、環境としてPythonを指定したことを認識し、実行のためにコードをPythonに渡します。 これは、作業したい環境を特定するのに役立つファイル拡張子が不要になったことを意味します。
- sudo mv encryptfiles.py /usr/local/bin/encryptfiles
- sudo mv decryptfiles.py /usr/local/bin/decryptfiles
- sudo mv signdetach.py /usr/local/bin/signdetach
- sudo mv verifyfile.py /usr/local/bin/verifyfile
- sudo mv verifydetach.py /usr/local/bin/verifydetach
これで、スクリプト名と、スクリプトがコマンドラインから取得する可能性のある引数を実行するだけで、システム内のどこからでもスクリプトを実行できます。 次のステップでは、これらのスクリプトの使用方法の例をいくつか見ていきます。
ステップ8—スクリプトをテストする
スクリプトを$PATH
に移動したので、サーバー上の任意のフォルダーからスクリプトを実行できます。
まず、pwd
コマンドを使用して、python-test
ディレクトリ内で作業しているかどうかを確認します。
- pwd
出力は次のようになります。
Output/home/sammy/python-test
チュートリアルの前半で3つのテストファイルを作成しました。 ls -l
コマンドを実行して、フォルダー内のファイルを一覧表示します。
- ls -l
python-test
フォルダに保存されている3つのファイルが表示されます。
Output-rw-rw-r-- 1 sammy sammy 15 Apr 15 10:08 test1.txt
-rwxrwxr-x 1 sammy sammy 15 Apr 15 10:08 test2.py
-rw-rw-r-- 1 sammy sammy 15 Apr 15 10:08 test3.txt
これら3つのファイルでスクリプトをテストします。 次のように、cat
コマンドを使用して、暗号化する前にファイルの内容をすばやく表示できます。
- cat test1.txt
OutputThis is the first test file
まず、すべてのファイルの分離署名を作成することから始めましょう。 これを行うには、現在のフォルダー内からsigndetach
スクリプトを実行します。
- signdetach
OutputCreated signatures directory
test2.py signature created
test1.txt signature created
test3.txt signature created
出力で、スクリプトがsignatures/
ディレクトリが存在しないことを検出し、それを作成したことに注意してください。 次に、ファイル署名を作成しました。
これは、ls -l
コマンドを再度実行することで確認できます。
- ls -l
Outputtotal 16
drwxrwxr-x 2 sammy sammy 4096 Apr 21 14:11 signatures
-rw-rw-r-- 1 sammy sammy 15 Apr 15 10:08 test1.txt
-rwxrwxr-x 1 sammy sammy 15 Apr 15 10:08 test2.py
-rw-rw-r-- 1 sammy sammy 15 Apr 15 10:08 test3.txt
リストの項目の中に新しいsignatures
ディレクトリがあることに注意してください。 このフォルダの内容を一覧表示して、署名の1つを詳しく見てみましょう。
すべての署名を一覧表示するには、次のように入力します。
- ls -l signatures/
Outputtotal 12
-rw-rw-r-- 1 sammy sammy 473 Apr 21 14:11 test1.txt.sig
-rw-rw-r-- 1 sammy sammy 473 Apr 21 14:11 test2.py.sig
-rw-rw-r-- 1 sammy sammy 473 Apr 21 14:11 test3.txt.sig
分離された署名ファイルは、.sig
拡張子で識別できます。 この場合も、cat
コマンドは、これらの署名の1つの内容を表示できます。 署名test1.txt.sig
の内容を見てみましょう。
- cat signatures/test1.txt.sig
Output-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAABAgAGBQJa20aGAAoJENVtx+Y8cX3mMhMH+gOZsLJX3aEgUPZzDlKRWYec
AyrXEGp5yIABj7eoLDKGUxftwGt+c4HZud1iEUy8AhtW/Ea6eRlMFPTso2hb9+cw
/MyffTrWGpa0AGjNvf4wbxdq7TNpAlw4nmcwKpeYqkUu2fP3c18oZ3G3R3+P781w
GWori9FK3eTyVPs9E0dVgdo7S8G1pF/ECo8Cl4Mrj80rERAitQAMbSaN/dF0wUKu
okRZPJPVjd6GwqRRkXoqwh0vm4c+p3nAhFV+v7uK2BOUIJKPFbbn58vmmn+LVaBS
MFWSb+X85KwwftIezqCV/hqsMKAuhkvfIi+YQFCDXElJMtjPBxxuvZFjQFjEHe8=
=4NB5
-----END PGP SIGNATURE-----
この出力は、test1.txt
の分離された署名です。
署名があれば、ファイルの暗号化に進むことができます。 これを行うには、encryptfiles
スクリプトを実行します。
- encryptfiles
OutputCreated encrypted directory
ok: True
status: encryption ok
stderr: [GNUPG:] BEGIN_ENCRYPTION 2 9
[GNUPG:] END_ENCRYPTION
ok: True
status: encryption ok
stderr: [GNUPG:] BEGIN_ENCRYPTION 2 9
[GNUPG:] END_ENCRYPTION
ok: True
status: encryption ok
stderr: [GNUPG:] BEGIN_ENCRYPTION 2 9
[GNUPG:] END_ENCRYPTION
出力から、スクリプトがencrypted/
フォルダーを作成したことに注意してください。 また、すべてのファイルが正常に暗号化されていることにも注意してください。 ls -l
コマンドを再度実行し、ディレクトリ内の新しいフォルダに注目してください。
- ls -l
Outputtotal 20
drwxrwxr-x 2 sammy sammy 4096 Apr 21 14:42 encrypted
drwxrwxr-x 2 sammy sammy 4096 Apr 21 14:11 signatures
-rw-rw-r-- 1 sammy sammy 15 Apr 15 10:08 test1.txt
-rw-rw-r-- 1 sammy sammy 15 Apr 15 10:08 test2.py
-rw-rw-r-- 1 sammy sammy 15 Apr 15 10:08 test3.txt
test1.txt
のメッセージが暗号化された後、どのように表示されるかを見てみましょう。
- cat encrypted/test1.txt.gpg
Output-----BEGIN PGP MESSAGE-----
Version: GnuPG v1
hQEMA9Vtx+Y8cX3mAQf9FijeaCOKFRUWOrwOkUw7efvr5uQbSnxxbE/Dkv0y0w8S
Y2IxQPv4xS6VrjhZQC6K2R968ZQDvd+XkStKfy6NJLsfKZM+vMIWiZmqJmKxY2OT
8MG/b9bnNCORRI8Nm9etScSYcRu4eqN7AeUdWOXAFX+mo7K00IdEQH+0Ivyc+P1d
53WBgWstt8jHY2cn1sLdoHh4m70O7v1rnkHOvrQW3AAsBbKzvdzxOa0/5IKGCOYF
yC8lEYfOihyEetsasx0aDDXqrMZVviH3KZ8vEiH2n7hDgC5imgJTx5kpC17xJZ4z
LyEiNPu7foWgVZyPzD2jGPvjW8GVIeMgB+jXsAfvEdJJAQqX6qcHbf1SPSRPJ2jU
GX5M/KhdQmBcO9Sih9IQthHDXpSbSVw/UejheVfaw4i1OX4aaOhNJlnPSUDtlcl4
AUoBjuBpQMp4RQ==
=xJST
-----END PGP MESSAGE-----
元のファイルに保存されている文は、暗号化プロセスの結果、複雑な一連の文字と数字に変換されています。
ファイルが署名および暗号化されたので、元のファイルを削除し、暗号化されたファイルから元のメッセージを復元することができます。
オリジナルを削除するには、次のように入力します。
- rm *.txt *.py
ls -l
コマンドを再度実行して、元のファイルがすべて削除されていることを確認します。
- ls -l
Outputtotal 8
drwxrwxr-x 2 sammy sammy 4096 Apr 21 14:42 encrypted
drwxrwxr-x 2 sammy sammy 4096 Apr 21 14:11 signatures
元のファイルがなくなったら、暗号化されたファイルを復号化して検証しましょう。 encrypted
フォルダーに移動し、すべてのファイルを一覧表示します。
- cd encrypted/ && ls -l
Outputtotal 12
-rw-rw-r-- 1 sammy sammy 551 Apr 21 14:42 test1.txt.gpg
-rw-rw-r-- 1 sammy sammy 551 Apr 21 14:42 test2.py.gpg
-rw-rw-r-- 1 sammy sammy 551 Apr 21 14:42 test3.txt.gpg
ファイルを復号化するには、現在のフォルダ内からdecryptfiles
スクリプトを実行します。
- decryptfiles
OutputCreated decrypted directory
ok: True
status: decryption ok
stderr: [GNUPG:] ENC_TO D56DC7E63C717DE6 1 0
[GNUPG:] USERID_HINT D56DC7E63C717DE6 Autogenerated Key <[email protected]>
[GNUPG:] NEED_PASSPHRASE D56DC7E63C717DE6 D56DC7E63C717DE6 1 0
[GNUPG:] GOOD_PASSPHRASE
gpg: encrypted with 2048-bit RSA key, ID 3C717DE6, created 2018-04-15
"Autogenerated Key <[email protected]>"
[GNUPG:] BEGIN_DECRYPTION
[GNUPG:] DECRYPTION_INFO 2 9
[GNUPG:] PLAINTEXT 62 1524321773
[GNUPG:] PLAINTEXT_LENGTH 15
[GNUPG:] DECRYPTION_OKAY
[GNUPG:] GOODMDC
[GNUPG:] END_DECRYPTION
ok: True
status: decryption ok
stderr: [GNUPG:] ENC_TO D56DC7E63C717DE6 1 0
[GNUPG:] USERID_HINT D56DC7E63C717DE6 Autogenerated Key <[email protected]>
[GNUPG:] NEED_PASSPHRASE D56DC7E63C717DE6 D56DC7E63C717DE6 1 0
[GNUPG:] GOOD_PASSPHRASE
gpg: encrypted with 2048-bit RSA key, ID 3C717DE6, created 2018-04-15
"Autogenerated Key <[email protected]>"
[GNUPG:] BEGIN_DECRYPTION
[GNUPG:] DECRYPTION_INFO 2 9
[GNUPG:] PLAINTEXT 62 1524321773
[GNUPG:] PLAINTEXT_LENGTH 15
[GNUPG:] DECRYPTION_OKAY
[GNUPG:] GOODMDC
[GNUPG:] END_DECRYPTION
ok: True
status: decryption ok
stderr: [GNUPG:] ENC_TO D56DC7E63C717DE6 1 0
[GNUPG:] USERID_HINT D56DC7E63C717DE6 Autogenerated Key <[email protected]>
[GNUPG:] NEED_PASSPHRASE D56DC7E63C717DE6 D56DC7E63C717DE6 1 0
[GNUPG:] GOOD_PASSPHRASE
gpg: encrypted with 2048-bit RSA key, ID 3C717DE6, created 2018-04-15
"Autogenerated Key <[email protected]>"
[GNUPG:] BEGIN_DECRYPTION
[GNUPG:] DECRYPTION_INFO 2 9
[GNUPG:] PLAINTEXT 62 1524321773
[GNUPG:] PLAINTEXT_LENGTH 15
[GNUPG:] DECRYPTION_OKAY
[GNUPG:] GOODMDC
[GNUPG:] END_DECRYPTION
スクリプトは、ファイルごとにstatus: decryption ok
を返しました。これは、各ファイルが正常に復号化されたことを意味します。
新しいdecrypted/
フォルダーに移動し、cat
コマンドを使用してtest1.txt
の内容を表示します。
- cd decrypted/ && cat test1.txt
OutputThis is the first test file
削除したtest1.txt
ファイルに保存されているメッセージを復元しました。
次に、verifydetach
スクリプトで署名を確認して、このメッセージが実際に元のメッセージであることを確認しましょう。
署名ファイルには、署名者のIDと、署名されたドキュメントのデータを使用して計算されたハッシュ値が含まれています。 検証中、gpg
は送信者の公開鍵を取得し、それをハッシュアルゴリズムと一緒に使用して、データのハッシュ値を計算します。 検証を成功させるには、計算されたハッシュ値と署名内に格納されている値が一致する必要があります。
元のファイル、署名ファイル、または送信者の公開鍵を改ざんすると、ハッシュ値が変更され、検証プロセスが失敗します。
decrypted
フォルダー内からスクリプトを実行します。
- verifydetach
Outputtest2.py signature valid
test1.txt signature valid
test3.txt signature valid
出力から、すべてのファイルに有効な署名があることがわかります。これは、このプロセス中にドキュメントが改ざんされていないことを意味します。
署名した後でドキュメントに変更を加えたときに何が起こるかを見てみましょう。 test1.txt
ファイルをnano
で開きます。
- nano test1.txt
次に、次の文をファイルに追加します。
This is the first test file
Let's add a sentence after signing the file
ファイルを保存して閉じます。
次に、verifydetach
スクリプトを再実行して、出力がどのように変化したかを確認します。
- verifydetach
Outputtest2.py signature valid
test1.txt signature bad
test3.txt signature valid
test1.txt
を検証するときに、GnuPGがsignature bad
を返したことに注意してください。 これは、署名後にファイルに変更を加えたためです。 検証プロセス中に、gpg
は、署名ファイルに保存されているハッシュ値を、署名したドキュメントから計算したハッシュ値と比較することに注意してください。 ドキュメントに加えた変更により、gpg
はtest1.txt
に対して異なるハッシュ値を計算しました。 ハッシュアルゴリズムがどのように機能するかについてのより詳細な議論はここで見つけることができます。
最後のテストでは、verifyfile
を使用して、スクリプトが実行される前にスクリプトを検証します。 このスクリプトは、verifydetach
スクリプトの拡張と見なすことができますが、次の違いがあります。スクリプトが検証プロセスに合格すると、verifyfile
はスクリプトの起動に進みます。
test2.py
スクリプトは、起動時に文字列をコンソールに出力します。 これを使用して、verifyfile
スクリプトがどのように機能するかを示しましょう。
test2.py
スクリプトをverifyfile
で実行します。
- verifyfile test2.py
Outputtest2.py signature valid
Signature valid, launching script...
The second test file is a Python script
出力から、スクリプトがファイルの署名を検証し、その検証に基づいて適切な結果を出力してから、スクリプトを起動したことがわかります。
ファイルにコード行を追加して、検証プロセスをテストしてみましょう。 test2.py
を開き、次のコード行を挿入します。
- nano test2.py
print "The second test file is a Python script"
print "This line will cause the verification script to abort"
次に、verifyfile
スクリプトを再実行します。
- verifyfile test2.py
Outputtest2.py signature bad
Signature invalid,
aborting script execution
スクリプトの検証に失敗したため、スクリプトの起動が中止されました。
結論
python-gnupg
モジュールを使用すると、さまざまな暗号化ツールとPythonを統合できます。 データストリームの整合性を迅速に暗号化または検証する機能は、リモートデータベースサーバーへのデータのクエリや保存など、特定の状況で非常に重要です。 GnuPGキーは、バックアップの作成やSSH認証などに使用したり、VPNセットアップと組み合わせたりすることもできます。
python-gnupg
モジュールの詳細については、python-gnupgプロジェクトページにアクセスしてください。 ファイルハッシュの詳細については、ダウンロードしたファイルを確認する方法のこのガイドを参照してください。