GPG入门教程之数字签名

★什么是GPG？

要了解什么是GPG，就要先了解PGP。
Pretty Good Privacy (PGP)是一套用于信息加密、验证的应用程序。

但是，它是商业软件，不能自由使用。所以，自由软件基金会决定，开发一个PGP的替代品，取名为GnuPG，简称GPG。

GPG有许多用途，本文主要介绍数字签名。至于其他用途，请参考GPG网站的介绍。
官网：https://www.gnupg.org
★验证GPG
我们使用GPG来验证文件的数字签名，从而判断文件的真伪，那么GPG本身又由谁来验证呢？
官方推荐的做法是用旧版的GPG来验证新版的GPG，其次是对比校验和。
这三篇文章展示了如何验证GPG：

1.《验证GPG本身-官网指引》

2.《在Linux下验证GPG》

3.《在Windows下验证GPG》

★签名过程
本文的使用环境为Linux命令行。
各位大佬不用怕，并不是要你学命令行，只是展示一个过程，你知道结果就OK了。
◇对文件签名
有时，我们不需要加密文件，只需要对文件签名，表示这个文件确实是我本人发出的。sign参数用来签名。

gpg --sign demo.txt

运行上面的命令后，当前目录下生成demo.txt.gpg文件，这就是签名后的文件。这个文件默认采用二进制储存，如果想生成ASCII码的签名文件，可以使用clearsign参数。

gpg --clearsign demo.txt

运行上面的命令后，当前目录下生成demo.txt.asc文件，后缀名asc表示该文件是ASCII码形式的。
如果想生成单独的签名文件，与文件内容分开存放，可以使用detach-sign参数。

gpg --detach-sign demo.txt

运行上面的命令后，当前目录下生成一个单独的签名文件demo.txt.sig。该文件是二进制形式的，如果想采用ASCII码形式，要加上armor参数。

gpg --armor --detach-sign demo.txt
◇验证签名
我们收到别人签名后的文件，需要用对方的公钥验证签名是否为真。verify参数用来验证。

gpg --verify demo.txt.asc demo.txt
★结尾
GPG可以用来签名，也能验证签名，它生成的签名文件格式是“.gpg”、“.asc”和“.sig”。
★参考文献
GPG入门教程- 阮一峰的网络日志