世界上有两种密码:一种是防止你的小妹妹偷看你的文件;另一种是防止当局阅读你的文件.​ —— Bruce Schneier《应用密码学》

2021年，用更现代的方法使用PGP（下）

上篇链接:

2021年，用更现代的方法使用PGP（上） 2021年，用更现代的方法使用PGP（中）

PGP 公钥的 发布 与 交换

讨论公钥安全交换的中文文章比较少，而这一环是整个加密体系的重中之重。 大部分的PGP教程最后一步就是让小白用户将公钥上传，这是非常过时，且不负责任的，所以这里来详细介绍下PGP 公钥的 发布 与 交换。

原则

首先明确一点： 上传公钥到 公钥服务器 不是必要的，甚至是危险的。

如果你是新手，请不要发布你的公钥到 公钥服务器。

引子

通过前文，你已经熟悉了gpg的本地使用， 并且生成了自己的PGP 密钥对。

想象一下， 如果你生活在1980年代， 想和远方的朋友加密通信，需要先交换彼此的公钥，又没有一个统一的可信的认证机构，这时会有什么问题？

当面交换吗？当然是个办法，但是相信你不会想要将下列

这么长的公钥抄写到纸上，然后开车送到朋友那里，再让朋友照着这个输入他的电脑。如果中间有变动，需要重复以上过程n次。

那么还有其他办法吗？

那个时代还没有line、wechat这类即时通讯软件，而邮件提供商默认是不可靠的，不然也不会有PGP的诞生。 并且彼时https还未出现，用邮件交换PGP交换公钥显然不太安全。

你们双方都需要便捷地交换公玥， 并且确认彼此得到的公钥确实是未经篡改过的，真实有效的，就成了一个难题，这样，公钥服务器也就呼之欲出了。

公钥服务器 KeyServer

公钥服务器使得人们只需要交换他们短短的key id 或者user id就可以方便地从公钥服务器下载公钥。

历史与设计初衷

第一个KeyServer 叫做 HKP（ web-based OpenPGP HTTP Keyserver Protocol） Keyserver ， 诞生在上世纪90年代，是Marc Horowitz在麻省理工学习时为了他的论文而搭建的。在此之前， 虽然不是那么安全， 但是大部分人依靠电子邮件来交换公钥。

虽然服务器有了， 但开发者们担心政府会试图强迫钥匙服务器运营商用政府选择的各种证书来替换证书。

所以他们做出了一个决定：公钥服务器永远不会删除信息。公钥服务器可以为现有的证书添加信息（比如可以revoke/sign或者调整expire时间），但永远永远永远不会删除证书或证书的信息。

为了达到这个目标，他们开始运行一个分布式的国际公钥服务器网络，这就是现在的KeyServer。世界各地的公钥服务器会定期相互通信，同步，比较目录。如果政府强迫公钥服务器运营商删除或修改证书，那么在比较步骤中就会被发现。残缺的公钥服务器会用完好钥匙服务器目录中的内容更新自己。

任何东西都不会被删除，听起来很美好，也是解决政府审查问题的一个简单而有效的办法，可是正是这个原则后来给KeyServer带来了无穷无尽的问题。

信任网络 (Web of Trust)

好了，现在我们有了一个可以方便地上传和下载公钥的地方， 这样是不是就万事大吉了呢？

对于KeyServer 来说，任何人都可以上传公钥并声称自己是Linus, 是Zuckerberg,或是任何其他人，而KeyServer并不会去验证你是否是你所声称的人（因为KeyServer本来就没有一个中心化的运营者）。

如果你有一些密码学的基础， 那么就会知道， PGP协议依靠的非对称加密算法， 最脆弱的点就在于公钥的交换这一步。公钥交换时最容易收到中间人攻击，你一定要确定你接收到的公钥确实是你想交流的人的，由此TSL引入了CA证书认证体系，由一个可信的权威第三方来认证并颁发证书来解决身份的认证问题。 （具体可参见https系列没那么浅地谈谈HTTP与HTTPS）。

“信任一个权威的第三方” 对于最初的极具有hack精神的开发者们来说， 显然是无法接受的。

当然，你可以说下载公钥后，通过电话等手段验证下公钥的指纹（fingerprint），就可以确认正确与否。 但是想象一下， 如果你在公钥服务器找到一个声称自己Linus Torvalds 的人, 你并没有他的其他联系方式，将永远无法确定这个公钥持有者到底是谁、这个公钥可信与否 ， 这样无疑是低效的，并且使整个系统沦为了熟人之间的小网络。

要知道，根据六度分隔理论（Six Degrees of Separation），世界上任何互不相识的两人，平均通过六个人就可以产生联系。 那么可以不可以这么思考， 假设我和小A见过面并检查过他的公钥，因而知道小A的公钥的的确确属于他本人，我选择信任小A。而小A同样验证了小B的证书并为小B的证书签名背书——小A的证书的持有人在此证明该证书是真实属于小B。那么我无须见亲见小B本人，也可以通过小A的背书而接受小B的证书。

如此循环下去，就形成了一张网， 这就是信任网络。

主流公钥服务器

1. SKS Keyserver Pool

当今世界最大的Key Server 池， 符合它的标准的世界各地的公钥服务器会定期相互通信，同步，比较目录，数据完全开放下载。 现在一般说起KeyServer说的就是这个。

KeyServer虽然一直是PGP的重要基础设置 ,但SKS Keyserver Pool 其实目前只有不到20台服务器，GnuPG默认用的服务器是其中的 HKPS pool,只有四台服务器。

2. Base Modern Software KeyServer

有一些KeyServer 没有用SKS的软件，运行的是更下现代和稳定的软件，比较有代表性的是 Ubuntu keyserver, 基于Hockeypuck ， 这些服务器仍然会和SKS pool保持同步。

3. 独立KeyServer

这些服务器不与SKS pool同步数据，由中心化的运营者运行， 会对公钥上传者做一定的认证， 并且支持删除自己的公钥。

比较有代表性的有， keys.openpgp.org ，KeyBase等等。

在gpg中使用

发布

gpg   --send-keys  {keyid/uid}

下载

gpg --recv-keys {keyid/uid}

此时有可能报错

gpg: "xxxxxr" not a key ID: skipping

这时换个KeyServer就行：

gpg  --keyserver hkps://keyserver.ubuntu.com --recv-keys {keyid/uid}

签名和验证 他人公钥

验证公钥真实性 依靠多渠道确认的 公钥指纹。

一般来说为别人的公钥签名后，需要发还给他，或者发到公钥服务器(最好经过本人同意)。

gpg --sign-key  {keyid/uid}   # 为已经导入的 他人钥签名， 你为他签名，意味着你将为他的身份真实性背书，请谨慎 

高级设置

因为并不推荐大家使用KeyServer，所以这里只列举了基础操作。

如果你决定使用KeyServer的话，可以参考 OpenPGP 最佳实践 - 密钥服务器设置你的客户端与服务器通信使用 HKPS (HKP On SSL)协议， 并定期更新从服务器下载的公钥。

安全风险和争议， 被玩坏的KeyServer

在20世纪90年代初，开发者们怀着对技术的信心和人性的希望，期望创建一个友善 、纯粹、没有审查的净土， 在当时背景下，KeyServer不能删除任何已上传的东西，听起来是美好的，设计似乎是合理的。

但是事实是，网络匿名环境中充满了不那么友好的， 甚至是恶意的使用者，在当今看来 ，KeyServer这个系统并不健壮，问题重重，许多问题已经被发现十多年，而且无望解决。

滥用

按照官方推荐， UID （User ID） 是用来存储用户信息的，应该在里面填上你的名字和邮箱，一个 GPG 帐号下可以有若干个 UID。

而其实这个UID是没有任何强制限制的，也就是说你可以在UID中放入任何东西，可以是小说片段，可以是磁力链接,可是以编码后的图像、音频或视频......

当上传到KeyServer时, UID限制了2k的字符 . 以至于有人写了个用KeyServer存文件的项目keyserver-fs)。

再次想象一下，你往网盘传了一个文件，共享给其他人，全世界的人都可以往这个网盘文件中添加文件，而且永远无法删除，情况会变得有多糟糕。

脆弱的KeyID

见过一些生成 PGP“靓号”的工具，就是指定你喜欢的ID规则，工具会暴力生成PGP密钥， 从中返回给你想要的密钥。

由此很容易想到，若攻击者知道了目标的KeyID， 完全可以通过工具来生成完全一样的KeyID（这就是碰撞）, 并上传到KeyServer，来冒充目标。

而伪造一个KeyID有多容易呢，有研究人员借助scallion程序，使用了普通的GPU（Nvidia GeForce GTX）进行碰撞，花了4秒的时间就生成了一个指定的32 bit的 KeyID。

官方推荐公布自己的KeyID时，最少应该公布64 bit（也就是长16位16进制数啦 ），但是研究表明64 bit的KeyID也是可以 被碰撞的。

投毒

公钥服务器任何人都可以上传公钥，甚至你可以上传别人的公钥，比如你可以将自己签名过的别人的公钥，再次上传到KeyServer。

签名Dos

在WOT认证体系的设计中， 当客户端收到一份未知证书时，它应当从公钥服务器拉取所有为这张证书签过名的人的证书，逐层上溯，看看是否能够找到一张已经被用户信任的证书。如果能的话，就视信任这张为可信的。

2019年6月，有攻击者恶意向公钥服务器提交了对两个著名网友的签名背书。此事件中的受害者 Robert J. Hansen 的证书就被签名了 15000 次。因而任何人的 GPG 在尝试验证他的证书时，都会拉取 15000 个签名。而 GPG 在验证这么多签名的过程中会卡住很久。

由于被攻击的两个人在 GPG 社区中中地位很高，他们在 GPG 信任网络中处于相当核心的位置。这意味着——当你验证任意一份证书的时候，有不小的概率你会不小心拉取到他们俩的证书，然后你的 GPG 就会卡住。不但他们俩的证书没法用了，他们俩签名过的证书也都面临危险，乃至于他们俩签名过的证书所签名的证书……

而上传到KeyServer的所有东西都是不可删除的...为了解决这个问题， GnuPG 2.2.17 LWN.net 开始， 从KeyServer下载公钥时默认不再下载关联的公钥， 如果你想要感受证书DoS攻击的话，可以在设置中开启：

# ~/.gnupg/gpg.conf
keyserver-options no-self-sigs-only,no-import-clean

爆破

有个很厉害的程序媛Yegor Timoshenko（前面的SKS文件存储项目也是她的杰作），写了个工具SKS-Exploit，可以将任何人的PGP公钥损坏，变得不可导入。

这个工具同时还可以给任意人的公钥 追加伪造的UID（不是KeyID），并骗过KeyServer。

另外能直接让KeyServer宕机。

隐私问题

讽刺的是， 最初为了保护人们隐私而生的PGP , 却因为不能满足保护隐私的法规GDPR ，而使一个公开的 SKS 公钥服务器在欧洲处于违法状态（GDPR规定： 服务商必须提供删除个人信息的选项）。

许多新手按照教程提示的在创建PGP 密钥的时候填上了自己的真实姓名，并按照那些教程将公钥上传到了KeyServer，在人肉社工猖獗的今天，简直是个灾难。

我试着在KeyServer搜过一些博客作者留下的PGP Key， 不乏有些比较注重自身隐私的，可是他们大部分都将自己真实的名字（汉字或拼音）和邮箱一起发到了服务器上，要知道那里的数据是公开且永远不能删除的。 也有些人意识到问题之后revoke了带有真实姓名的公钥，可是仍然可以查到，并且变得更加显眼（revoke过的key会变红）。

其他发布公钥的方法

1. WKD（Web Key Directory）

WKD 的工作过程是 ，通过邮箱客户端 在域名服务器检查一个"well known" 的URL， 如果匹配到了邮箱地址对应的公钥，会使用https下载，并且不需要用户进行其他操作。用户不需要gpg 命令行等等复杂操作，让PGP加密回归单纯的邮件加密本身，用起来有些像S/MIME,但其实不一样。

比如这样一个URL: https://intevation.de/.well-known/openPGPkey/hu/g8td9rsyatrazsoiho37j9n3g5ypp34h 就对应 "aheinecke@intevation.de"这个邮箱地址。

这是通过Gpg4win的使用的一个示例，

这种方法不会泄露自己的邮箱，也不需要验证指纹， 但是需要你的邮件服务商提供支持。

proton邮箱是原生支持 WKD的， 但是它使用的是自己私钥，似乎没办法使用使用自己本地的公钥，其他也有支持。

如果你有自己的邮箱服务器，并且想折腾的话，可以参照WKD Hosting。

2. 当面交换

如果是和熟识的朋友，你可以约在任何合适地方，用你喜欢的方式交换密钥， 比如交换纸条，交换TF卡 或者usb设备，互相签名认证，互相得到公钥。

如果是想认识更多的人，并让自己的公钥被更多的人认证， 你可以参加「公钥签名派对（Key signing party）」。参与派对的人们相互交换公钥的指纹（公钥一般是存在服务器或是一个别人可以下载到的地方，这里只交换指纹），甚至需要相互出示身份证、护照、驾照、出身证明，以验明正身。

3. DNS

有很多种方法将你的公钥通过DNS服务发布，但是有些一些方法只适用于老版本的GnuPG，有些方法只适用与新版本的GnuPG，兼容性不佳，而且搞起来比较繁琐，有兴趣的可以自行查找资料。在这里并不推荐使用。

4.个人网站 或 社交软件中

现在中文世界， PGP的使用者中 有很多都是 独立的博客作者， 如果你拥有自己的博客或者个人网站，当然可以选择将自己的公钥发布在上面，最好给你的网站上一个Https 。

很多社交网站的个人展示页，可以自由编辑你的信息，你可以将PGP的 公钥发布在这里， 或者将 指纹 放在这， 这样通过其他渠道下载到公钥的人，也可以确认身份。

5. 代码仓库或Gist

无论你是不是开发者， 都可以拥有一个Github账号， 你可以开一个仓库专门用来发布自己的公钥，或者将公钥发布到Gist。

6. 共享笔记

Notion或者印象笔记等可以共享笔记的地方，都可以贴出你的公钥。

最后

使用分散的、多渠道的、可能是线下的方式来交换和确认公钥 ，不要相信在放一处的 公钥 和指纹。

去验证紧跟在公钥后面的指纹 ， 就像你去问一个诈骗者，他是不是一个诈骗者一样无用。

如果不是当面，请至少从两个渠道进行验证，比如你从一个渠道（比如这里）得到了我的公钥 , 你想和我安全通信的话，导入前一定要从另一处（比如我公布的其他账号的简介）得到我的指纹， 验证是否一致后再进行操作。

而且每次使用前，请重复以上步骤，确保你手上的公钥是最新的。

参考链接

[1]. 用 PGP 保护代码完整性系列

[2]. The GNU Privacy Handbook

[3]. GnuPG: 用多个sub keys保护primary key | missing idea (wordpress.com)

[4]. PGP 自我扫盲

[5]. GPG 的正确使用姿势

[6]. 电子邮件加密指南

[7]. Short key IDs are bad news (with OpenPGP and GNU Privacy Guard)

[8]. gnupg密钥签署原理和过程 // Shell's Home (shell909090.org)

[9]. PGP Key Server| Roll Your Own Network

[10]. Are SKS keyservers safe? Do we need them?

[11]. SKS Keyserver Network Under Attack

[12]. OpenPGP 最佳实践 - 公钥服务器

[13]. GPG SKS 同步网络被投毒事件及其影响

[14]. where-to-upload-PGP-public-key-are-keyservers-still-surviving

[15]. GPG简明介绍

世界上有两种密码:一种是防止你的小妹妹偷看你的文件;另一种是防止当局阅读你的文件.

​ —— Bruce Schneier《应用密码学》

上篇链接:

2021年，用更现代的方法使用PGP（上）

三、安全使用和备份

准备

为了安全性，建议在一台断网的Linux或者BSD系统上生成你的密钥对。

特别推荐使用 Tails (boum.org)发行版，系统自带gpg和paperkey 等工具, 可以确保全程断网操作, 同时此系统重启会擦除所有内容，还免去了擦除密钥的麻烦。 需要工具：

• 一台电脑

• 一个装有Tails系统的U盘0 , 使用它生成密钥

• 一个已经全盘加密的U盘/TF 卡 1（推荐），或者智能卡 , 用来存储主密钥

• 一个智能卡 (推荐) ，或者已经全盘加密的U盘/TF 卡 2, 用来存放子密钥，日常使用

备份策略

我的备份策略：

• 主密钥只保留一份，离线。

• 子密钥可以复制多份，通过U盘导入各个设备，专密专用， 日常使用推荐用智能卡（比如Yubikey），还能免去每次输密码的麻烦

• 撤销凭证可以和主密钥放在一起备份一份， 另外单独备份一份（这样丢失密钥，起码还可以撤销）

主密钥备份建议备份在一个全盘加密的U盘中，然后放在一个绝对安全的地方。

备份介质：

智能卡

主密钥不建议导入智能卡设备，因为智能卡的使用场景是随身携带，随时取用，虽然智能卡中的密钥无法导出，但是随身携带增加了丢失的风险，主密钥一旦丢失，将会非常麻烦。

如果是土豪，当然导入智能卡中更好，因为智能卡中密钥无法导出，只不过这个智能卡不能再随身携带，而同样应该在一个安全的地方， 不到万不得已不再取用， 不过这样有些浪费，也是我不推荐的理由。

网盘存储

你可以将主私钥加密后上传到网盘或其他线上服务。

PaperKey

又是断网操作，又是非对称算法，还要好好保存一份私钥，这一套流程走下来你也发现了跟数字货币的相似性，很多备份方式都可以借鉴他们的思路，比如上面网盘存储就是数字货币热钱包的思路。

冷钱包很经典的一种方式，就是将私钥写/打印在纸上， 当然我们也可以借鉴，不过若你想将这一眼望不到头的私钥抄下来， 或者打印下来，将来需要恢复的时候再一个个输入进电脑，显然不现实。

（示例私钥的一部分，用完即废，如果是你自己的私钥，打死也不要给别人看）

比如比特币， 私钥长这样：

5KYZdUEo39z3FPrtuX2QbbwGnNP5zTd7yyr2SC1j299sBCnWjss          # 这么短很容易抄写和输入

同样是非对称算法,为什么PGP的私钥就长这么多呢？

因为他们用的算法不同，比特币默认使用的是ECDSA的 secp256k1算法， 该算法只是用来签名和认证，并不用来加密（很多科普文章会说这是加密算法，比特币的算法也可以用来加密，这是错的，比特币之所以有时被称作加密货币只是因为它依赖了密码学中的非对称算法，并不是它能加密…），PGP默认的是RSA算法，可以同时用来签名和加密，前面说过目前RSA密钥长度不小于2048 bit才安全，而且PGP导出的私钥中不止密钥信息，还包含了全部的公钥信息，UID，子密钥信息，以及设置密码时的混淆。

Linux下有一个工具叫做paperkey， 可以用来消去私钥中 冗余的公钥信息，极大减少私钥长度，然后可以将精简过的私钥(base 16格式)打印出来，或者将Raw格式转换成二维码，打印出来。

注意：

• 既然决定用PaperKey， 还是不要使用网络打印机了，

• paperkey这个工具在Tails新版中是默认软件

• paperkey 手册中推荐 恢复私钥时使用OCR扫描， 而大部分OCR服务都要联网， 请注意这点。

其他

密钥只是一段信息，理论上可以放在其他任何可以存储信息的介质中，例如光盘，隐写在图片中， 写入IC卡 ， 纹身，， X光片 ，背下来 等等等等，可以发挥你的想象力。

安全使用

请在你信任的电脑上使用子密钥，主密钥不到万不得已不要拿出来用，如果你将子密钥放在智能卡中使用，可以忽略这部分。

子密钥可以放在移动存储设备上直接使用，而无需拷贝/导入到电脑使用， 使用方法：

gpg --homedir [你的存储设备的路径]

四、进阶使用

使用其他算法

在为什么安全？一节中 提到PGP支持很多算法，可是前面我们生成密钥时，只见到了很少的几种。

因为gpg还有一种隐藏模式—- 专家模式，生成密钥时可以使用

gpg --expert --full-gen-key
# 输出

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
   (9) ECC and ECC
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
  (13) Existing key
  (14) Existing key from card
  

就可以看到多出来不少选项，其中ECC算法 全称Elliptic Curve Cryptography 椭圆曲线密码算法。

上面我选了 9 , 继续

  Please select which elliptic curve you want
   (1) Curve 25519
   (3) NIST P-256
   (4) NIST P-384
   (5) NIST P-521
   (6) Brainpool P-256   
   (7) Brainpool P-384
   (8) Brainpool P-512
   (9) secp256k1            # 比特币使用的算法

其中美国国家标准与技术研究院（NIST）系列椭圆曲线、Brainpool系列椭圆曲线、secp256k1都存在不同的安全风险，不建议使用。

可以发现这里少了（2）, 其实这里还有一些隐藏算法没有列出，可通过如下命令查看

gpg --list-config --with-colons curve

# 输出
cfg:curve:   cv25519;ed25519;nistp256;nistp384;nistp521;brainpoolP256r1;brainpoolP384r1;brainpoolP512r1;secp256k1

上面缺少的(2)对应的就是ed25519 ，是一种签名算法，你选择 （1）时， 主密钥用来签发和签名 用的就是ed25519，自动生成的用来加密的子密钥 算法 是cv25519 。

RSA VS ECC

ECC算法比RSA的优势在于，在同等强度下，ECC的密钥长度要小的多，性能也会好一些。 RSA算法的PGP私钥 通过paperkey精简过后一般还会有50+行HEX数据，如果使用的是ECC算法生成的话， 可以减到8行以内，手抄完全没问题。

RSA算法的优势在于大部分硬件设备的兼容性比较好，比如 YubiKey 5 支持 RSA 4096，但不支持 Curve 25519。而且多数设备都对RSA算法提供了硬件加速。

PS:

查阅资料时发现 ，中文博客里被很多人抄来抄去的一句话：

ed25519 加密解密很快，生成时间短而且安全性更高，rsa 则加密解密稍慢，生成时间长，安全性没有 ed25519 高，只是 rsa 基本都是默认，所以用的人更多，但是建议转换为 ed25519, 网站软件现在基本都支持了.

这句话是 错的， ed25519是 EdDSA 算法的一种，只是一种签名算法， EdDSA 全称Edwards-curve Digital Signature Algorithm，爱德华椭圆曲线实现的数字签名算法。

上面的话多出现在替换SSH默认的RSA算法为ed25519的文章中出现。其实SSH协议中的非对称算法 并不是用来加解密信息的，而只是用来认证，正确的说法是ed25519签名和认证的速度很快。

再者， 不提密钥长度说安全性都是耍流氓 ，RSA 4096 的安全强度是要 好于 ed25519 的。

追加UID

uid 即 user id ， 由三个部分组成：

• 全名（现在的话网名即可）

• 注释（用 ( ) 包括）

• 邮箱地址（用 < > 包括）

UID的性质：

• 一个密钥可以有多个 uid，方便不同场合使用。

• uid 与哪个子密钥无关，uid 是作用于整个密钥的。

• uid 可以随时添加，但已有的 uid 不能修改，只能单独吊销。

• uid 单独吊销后，只需要重新发布公钥即可。

一般来说，操作UID只有主密钥有权限操作， 后面会提到UID可以是伪造，然后提交到服务器的。

gpg --edit-key {keyid/uid}    


gpg> adduid     # 进入交互界面后 输入  help  可以查看支持的操作

# 输入你要追加的信息

使用UID的场景有哪些呢？ 如果你使用一个不常用的邮箱作为你的github/gitlab账号，你主要的邮箱生成的PGP 密钥就不能用来签名了。

这时候为了保护隐私 且 只要管理一个密钥，就可以 在 Github设置里把 Keep my email addresses private勾上，将为你生成的随机邮箱添加到 uid中， 这样就只需要管理一个PGP密钥，可以同时为你不同的Git账号签名。

添加头像

跟添加UID差不多， 在gpg交互 界面 输入 addphoto 就可以， 想要查看的话 输入showphoto。

使用PGP为git commit 签名

只要你PGP的uid包含 git config 中的邮箱， 使用

git commit -S -m your commit message

即可签名。

使用PGP 进行SSH

生成 认证（A）用子密钥

gpg --expert --edit-key {keyid/uid}                                   ## 使用专家模式, 不然没有认证的选项


gpg> addkey
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
  (12) ECC (encrypt only)
  (13) Existing key
Your selection? 8                                                   ## 选8, RSA, 自定义权限

Possible actions for a RSA key: Sign Encrypt Authenticate
Current allowed actions: Sign Encrypt                               ## 这里显示默认有Sign和Encrypt两种权限

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection? S                                                   ## 关闭Sign

Possible actions for a RSA key: Sign Encrypt Authenticate
Current allowed actions: Encrypt

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection? E                                                   ## 关闭Encrypt

Possible actions for a RSA key: Sign Encrypt Authenticate
Current allowed actions:

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection? A                                                   ## 开启Authenticate

Possible actions for a RSA key: Sign Encrypt Authenticate
Current allowed actions: Authenticate

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection? Q                                                    ## 退出
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 4096
Requested keysize is 4096 bits
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 1y                                             ## 有效期
Key expires at Tue Jan  7 11:33:54 2020 CST
Is this correct? (y/N) y
Really create? (y/N) y
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.

sec  rsa2048/7DEFA5351BCE3C55
     created: 2019-01-07  expires: 2021-01-06  usage: SC
     trust: ultimate      validity: ultimate
ssb  rsa2048/2FCE923F8ECB63F6
     created: 2019-01-07  expires: 2021-01-06  usage: E
ssb  rsa4096/19D32A8839DCAA1F
     created: 2019-01-07  expires: 2020-01-07  usage: A
[ultimate] (1). hhhhh <h@mail.com>

gpg> save                                                            ## 保存

配置文件

编辑bashrc 文件， 将默认ssh 的agent替换为 gpg-agnet

#  ~/.bashrc

export GPG_TTY=$(tty)
export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)
echo UPDATESTARTUPTTY | gpg-connect-agent 1> /dev/null

编辑~/.gnupg/gpg-agent.conf文件,增加：

#  ~/.gnupg/gpg-agent.conf

enable-ssh-support

接着：

❯ gpg -k --with-keygrip    
/Users/root/.gnupg/pubring.kbx
-----------------------------
pub   rsa2048 2019-01-07 [SC] [expires: 2021-01-06]
      8A9FC025A44AA4824C1F4AE27DEFA5351BCE3C55
      Keygrip = BEFCCDFE36CC5442B888B8459265C68B60A4ABD2
uid           [ultimate] hhhhh <h@mail.com>
sub   rsa2048/0xF681DAEBBAB82124 2019-01-07 [E] [expires: 2021-01-06]
      Keygrip = 422922ACFD099E79863D93B93333528F225C90FC
sub   rsa2048/0x501DEDC36BD409C8 2019-01-07 [A] [expires: 2020-01-07]
      Keygrip = 999A87A51CFE82DAA494BEB42F585051307F9E33

选择你新加的带有[A]标志的那个新的子密钥的 keygrip , 即999A87A51CFE82DAA494BEB42F585051307F9E33

加入到~/.gnupg/sshcontrol文件， 运行ssh-add -l, 查看是否已经加入。

然后

gpg --export-ssh-key   {keyid}! 

注意，这里不能用 uid ,不然会提示:

gpg: key "uid" not found: Unusable public key
gpg: export as ssh key failed: Unusable public key

这里只能填子密钥的 key id,这个例子里就是 0x501DEDC36BD409C8。

输出的 ssh public key 放到你的服务器上的~/.ssh/authorized_keys中， 重启shell, 就可以连接了。

未完待续

世界上有两种密码:一种是防止你的小妹妹偷看你的文件;另一种是防止当局阅读你的文件.

​ —— Bruce Schneier《应用密码学》

一、PGP简介

是什么？

PGP 全称是 Pretty Good Privacy，是一个被设计用来加密信息，保护隐私的软件。现在提到“PGP”， 基本上是说 OpenPGP 标准。

能干嘛？

能用来加密和签名信息 并让你显得很Geek

记录片《第四公民》中 Edward Snowden 就是使用 PGP 与女记者 Laura Poitras 之间收发邮件的，以下来自电影截图：

PGP能保证 一条信息是你相信的人发的，除了你俩之外别人无法解密， 而且这条消息在传送时中间没有经过任何哪怕是一个标点一个字节的修改。

能用来让你的Git Commit Log更加好看 验证Git Commiter身份

Github判定提交者只是依靠Git 客户端设置的user.name 和 user.email 来判定身份，而不会去验证真实性，也就是说你可以在你的仓库提交记录中伪造任何人的提交记录。

具体危害可参见震惊！竟然有人在 GitHub 上冒充我的身份！

能用来放在博客简介里作为身份的象征 增加联系你的安全方式

用来代替SSH

涌有了自己pgp key之后，就可以用 gpg-agent 来代替 OpenSSH Agent来进行 SSH操作了。不过替换了之后并不会增加SSH的安全性，额， 折腾精神不死嘛。

硬要说好处的话，大概就可以更方便地使用Yubikey(一种硬件加密智能卡)来SSH。

用来…

如果有其他好玩的用法，欢迎评论或邮件告诉我。

为什么安全？

PGP目前支持的算法

• 非对称算法: RSA, ELG, DSA, ECDH, ECDSA, EDDSA

• 对称算法: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256

• 哈希算法: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224

• 压缩算法: Uncompressed, ZIP, ZLIB, BZIP2

除非量子计算机落地，目前来说2048位的RSA加密是不可破解的。

PGP、OpenPGP、GnuPG 和 gpg

我们需要知道PGP、OpenPGP、GnuPG 和 gpg 之间的不同：

• PGP （“Pretty Good Privacy”） 是最初商业软件的名字

• OpenPGP 是与最初 PGP 工具兼容的 IETF 标准

• GnuPG （“Gnu Privacy Guard”）是实现了 OpenPGP 标准的自由软件

• GnuPG 的命令行工具称为 “gpg”

OpenPGP 是在 PGP 基础上定义的开放标准，使得 PGP 技术可以由任何公司和个人实现，而不需要缴纳许可费用。标准草案指出 OpenPGP 提供的是数据完整性服务，赋予用户查看、检验、生成和写入加密信息、秘钥和签名的能力。 OpenPGP 通过加密、数字签名、压缩和 Radix-64 转换来实现这些功能。

GnuPG 是 OpenPGP 协议的一种完备的实现，除了按照 OpenPGP 协议提供数据加解密和签名服务之外，它还提供了完整的秘钥管理功能，并实现了协议中许多可选的加密或压缩算法。

今天，“PGP”这个词几乎被普遍用来表示开放的 OpenPGP 标准，而不是最初的商业软件，因此“PGP”和“OpenPGP”是可以互换的。

“GnuPG”和“gpg”这两个词应该仅在提及工具时使用，而不用于它们产生的输出或它们实现的 OpenPGP 功能。举例：

• PGP（而非 GnuPG 或 GPG）密钥

• PGP（而非 GnuPG 或 GPG）签名

• PGP（而非 GnuPG 或 GPG）公钥服务器

历史

以下来自wiki:

菲利普·齐默曼（Philip R. Zimmermann）在1991年创造了第一个版本的PGP，其名称“Pretty Good Privacy”的灵感来自于一个名为“Ralph’s Pretty Good Grocery”的杂货店——电台主播Garrison Keillor虚构出来的一个名为Lake Wobegon的城市的一个杂货店。

软件第一个版本包含一个齐默曼自己设计的对称密钥算法，与周六夜现场的一个小品BassOmatic同名。作为一个老牌的反核能活跃分子，齐默曼为了让所有有相似倾向的人们可以安全的使用BBS并且安全存储消息和文件而创造了PGP加密。在非商业用途上是不需要授权的，无须任何费用，并且在所有的发行中附带了完整的源代码。

在2001年6月5号发表的一篇标题为”PGP 10周年” [2]的文章中，齐默曼描述了他最初开发PGP时的情景：

1991年的某天，我把PGP的第一版发给我几个朋友，以便上传到互联网。我最先发给Allan Hoeltje，他把这个程序发到了Peacenet，一个针对草根政治组织–特别是“和平运动”–的ISP。当时全球政治活跃分子都能访问到Peacenet。然后我又把它上传给了Kelly Goen，他接着就把源码转发到了一个专门分发源代码的Usenet新闻组。基于我的请求，他把该Usenet权限改为了“仅限美国”。Kelly还把PGP传到了（美国）国内很多BBS上面。我记不太清刚开始在网上贴是6月5号还是6号。 说出来吓人，1991年的时候，我对Usenet新闻组确是知之甚少。我并不知道那个“仅限美国”的标签只是个“建议”作用，基本上对贴子的传播（范围）毫无影响。当时，我以为这个标签会控制这个帖子的传播范围。当时我不知道如何在新闻组发贴，甚至不明白新闻组究竟是什么。

PGP在互联网上传播开来，并且在这个世界上获得了非常多的拥护者。PGP用户和支持者也包括在极权主义国家持不同政见的人们（一些给齐默曼的感人信件被发表了，其中一些在美国国会之前被包括到证据中）。在世界其它地方的公民自由意志主义支持者（参考齐默曼在各个听政会上发表的证据），以及“自由通讯”激进主义分子，他们称他们自己为加密爱好者，进行宣传和分发。

二、gpg快速开始

准备工作

建议你先参照后面教程，在随便一台机器上练习。 等熟练操作之后，再阅读 安全使用 生成你真正主要使用的PGP密钥对 ：

安装

🍎Mac:

🐧Linux:

各发行版一般都会默认安装GnuPG。

🏁Windows:

下载地址

🌐OpenBSD:

生成

生成主密钥

# step 0 
gpg --full-gen-key
# 这里不推荐使用的 `gpg --gen-key`


# step 1
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
  (14) Existing key from card
Your selection?
#  默认就可以


# step 2
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (3072)

# 此处输入你希望的密钥长度， RSA的不应低于2048 bits，当然输入的数字越大越安全，相应的，加解密的速度也会更慢

# step 3
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)  2y

# 默认可以选0 ，即永不过期， 这里我选了2y，  因为到期之前随时可以更改你的过期时间，以确保你对此密钥仍拥有控制权

# step 4
Key expires at Wed 11 Jan 2023 05:50:53 PM CST
Is this correct? (y/N) y

#确定

# step 5

GnuPG needs to construct a user ID to identify your key.

Real name:  linus   # 这里名字可以是网名，可以是任意名字，如果你注重隐私就不要输入自己真名了 
Email address: linus@outlook.com  
Comment:     # 备注可以留空

# 注意了： 这里的邮箱， 如果你不打算使用PGP为你的Git记录认证， 这里其实是可以随便输入的，不需要是你的邮箱， 甚至不需要是一个真实存在的邮箱，只要接受你信息的人知道就行。隐私泄漏问题很严重，你一旦设置了，并且发布到公钥服务器，就永远删不掉了 😅


# step 6
You selected this USER-ID:
    "linus <linust@outlook.com>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

# 确认无误后输入 o

# step 7
┌──────────────────────────────────────────────────────┐
│ Please enter the passphrase to                       											  │
│ protect your new key                                                           │ 
│                                                      │
│ Passphrase: ________________________________________ 														 │
│                                                      │
│       <OK>                              <Cancel>     │
└──────────────────────────────────────────────────────┘

# 输入一个复杂的密码 并确认

# step 8
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.

# 随机移动你的鼠标，越随机你的密钥越安全

# step 9 大功告成
                 
gpg: key 99F583599B7E31F1 marked as ultimately trusted
gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/705358AB85366CAB05C0220F99F583599B7E31F1.rev'
public and secret key created and signed.

pub   rsa3072 2021-01-11 [SC]
      705358AB85366CAB05C0220F99F583599B7E31F1			 # 你的 key id
uid                      linus <linus@outlook.com>
sub   rsa3072 2021-01-11 [E] 		 # 这个是自动生成的用于加密的子密钥，E代表Encrypt 加密

以下是常见缩写释义：

A    =>    Authentication
C    =>    Certify
E    =>    Encrypt
S    =>    Sign
?    =>    Unknown capability
sec  =>    Secret Key
ssb  =>    Secret SuBkey
pub  =>    Public Key
sub  =>    Public Subkey

生成子密钥

你日常使用应该使用子密钥，主密钥除了签发新的子密钥不要使用。

建议为不同环境，不同用途都单独生成子密钥，互不干扰。

# step 0
gpg --edit-key linus # 或者key id  

# step 1  进入gpg交互界面	
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  rsa3072/99F583599B7E31F1
     created: 2021-01-11  expires: never       usage: SC
     trust: ultimate      validity: ultimate
ssb  rsa3072/6FE9C71CFED44076
     created: 2021-01-11  expires: never       usage: E
[ultimate] (1). linus <linus@outlook.com>C

# step 2  
gpg>   addkey
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)
  (14) Existing key from card
Your selection? 4   
# 根据你的用途选择， 这里生成一个只用于签名的子密钥（sign only）

#  后面的选择和主密钥生成的大同小异，按提示操作即可

# 生成完毕后
sec  rsa3072/99F583599B7E31F1
     created: 2021-01-11  expires: never       usage: SC
     trust: ultimate      validity: ultimate
ssb  rsa3072/6FE9C71CFED44076
     created: 2021-01-11  expires: never       usage: E
ssb  rsa3072/FDB960B857D397F6
     created: 2021-01-11  expires: never       usage: S
[ultimate] (1). linus <linus@outlook.com>

#  last step
gpg>  save  #  记得save， 直接退出的话什么也没有

生成撤销证书

假如你忘了主密钥的密码，或者丢失了对主密钥的控制权（丢失，被夺取），如果没有撤销凭证的话， 除了一个个通知你的朋友们没有任何办法 证明你不再使用这个密钥，这简直是灾难。

# step 0
gpg --gen-revoke -ao   revoke.pgp   linus # uid 或者key id

# step 1
sec  rsa3072/99F583599B7E31F1 2021-01-11 linus <linus@outlook.com>

Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
(Probably you want to select 1 here) 3

# 按提示走完流程就可以

生成的revoke.pgp就是撤销凭证， 有了这个撤销凭证，你可以在没有密码的情况下使一个公钥失效，所以一定要妥善保存，而且最好比主密钥多一份。

列出密钥

# 列出所有公钥、子公钥
gpg --list-keys 
# 列出所有密钥、子密钥
gpg --list-secret-keys 

# 简化命令
gpg -k 
gpg -K  


# 输出 
sec   rsa3072 2021-01-11 [SC]
      705358AB85366CAB05C0220F99F583599B7E31F1
uid           [ultimate] linus <linus@outlook.com>
ssb   rsa3072 2021-01-11 [E]
ssb   rsa3072 2021-01-11 [S]

这样并没有列出子密钥的id, 而且没有打印出指纹信息， 是不安全的。所以在你查看密钥时应该

• 加上 --keyid-format long输出长ID

• 加上 --fingerprint 输出指纹信息

比如

 gpg --fingerprint -K --keyid-format long
 
 # 输出
sec   rsa3072/0x99F583599B7E31F1 2021-01-11 [SC]		# 长ID
      Key fingerprint = 7053 58AB 8536 6CAB 05C0  220F 99F5 8359 9B7E 31F1 #指纹信息
uid                   [ultimate] linus <linus@outlook.com>
ssb   rsa3072/0x6FE9C71CFED44076 2021-01-11 [E]            # 斜杠后面的就是子密钥ID
ssb   rsa3072/0xFDB960B857D397F6 2021-01-11 [S]

安全设置

每次都打 --keyid-format long和--fingerprint 很烦对不对， 编辑配置gpg文件, vim ~/.gnupg/gpg.conf

# ~/.gnupg/gpg.conf

keyid-format 0xlong
with-fingerprint

备份

gpg -ao public-key.txt --export linus   # 导出公钥

# 注意这里最后 要带上“!”， 不然会导出全部子密钥， 感谢@Dallas Lu 指正 
gpg  -ao secret-key --export-secret-key 99F583599B7E31F1! 			# 导出主私钥，建议secret-key 替换为你的加密设备备份文件的路径，直接导入到设备中
gpg  -ao sign-subkey --export-secret-subkeys FDB960B857D397F6!   	 #导出有[S]标识、签名用子私钥
gpg  -ao encrypt-subkey --export-secret-subkeys 6FE9C71CFED44076!    #导出有[E]标识、加密用子私钥 ,这里的ID替换为你的子密钥ID


# 别忘了同时将你刚刚生成的撤销凭证也备份起来

删除

备份完后，要将本机的密钥清除干净，首先删除：

gpg --delete-secret-keys linus  # 删除私钥，  UID 也可以替换成子密钥ID, 主密钥Key ID
gpg --delete-keys linus		 # 删除公钥

# 如果想全部删除推荐直接删文件夹,即删除 $HOME/.gnupg

由于gpg生成的私钥会在你的磁盘上使用明文储存，所以一个单独的 rm 或者右键删除 并不能彻底删除掉，可以使用 wipe 工具。如果你使用的是 SSD 且没有 启用全盘加密，是没法彻底删除的。

特别推荐使用 Tails (boum.org)发行版来生成主要使用的密钥， 系统自带pgp和paper key 等工具, 可以确保全程断网操作, 同时此系统重启会擦除所有内容，还免去了擦除密钥的麻烦。

导入

#从文件导入
gpg --import [密钥文件]   # 刚刚备份的子密钥文件， 或者其他人的公钥

# 暂不推荐从公钥服务器导入，具体用法会在公钥服务器一章介绍
# 这里先推荐 练习导入自己的子密钥


 # 输出
sec#   rsa3072/0x99F583599B7E31F1 2021-01-11 [SC]		 # sec 后面带有 # 号说明主密钥未导入，是安全的
      Key fingerprint = 7053 58AB 8536 6CAB 05C0  220F 99F5 8359 9B7E 31F1 #指纹信息
uid                   [unknown] linus <linus@outlook.com>
ssb #    rsa3072/0x6FE9C71CFED44076 2021-01-11 [E]           # 带有 # 号说明该子密钥已导入

签名和验证

这里只讲 如何签名和验证 他人文件， 为他人公钥签名和验证 放在公钥的发布和交换一章讲解。

# 第一种方式，生成二进制签名文件

gpg --sign input.txt  # 当然也可以加上--output参数

# 第二种方式，生成ASCII格式签名
gpg --clearsign input.txt

# 第三种，签名和原文本分开（前两种的签名文件中包含了所有原文本，所以体积会比较大）
gpg --armor --detach-sign input.txt  #不加armor生成会二进制



#  验证签名文件
gpg --verify demo.txt.asc demo.txt

加解密

# 加密：

# recipient指定接收者的公钥ID
gpg --recipient {keyid/uid} --output encrypt.txt --encrypt input.txt
# 也可以按喜好加上--armor选项等

# 我更喜欢用 
gpg  -se  -o  encrypt.txt  -r  {keyid/uid}   input.txt  
# s代表签名  e代表加密
# o是 将结果 输出到文件  encrypt.txt
# r后面跟 接收者的 uid或者 key id， 接收者的公钥必须已经导入过
# input.txt 是你要加密的文件


# 解密：
gpg --decrypt encrypt.txt --output decrypt.txt
# 也可以
gpg -d encrypt.txt   # 输出到终端 直接查看

发布 与 交换

公钥的交换是所有非对称加密算法的脆弱点，所谓现代的使用方式，主要体现在密钥的交换和发布上面， 之后会单独来探讨。

阅读并理解本系列之前请不要发布你的公钥到公钥服务器。

撤销

由于PGP没有提供任何将吊销信息通知其他用户的方式，他不能保证没人会使用撤销了的已经变得不安全的密钥。

你丢失的私钥仍然可以被攻击者使用，并用来解密那些没有更新你的公钥的人发送的加密消息。 revoke 子密钥并更新公钥后，若有人用老的公钥加密信息，虽然你仍然可以解密，但是攻击者同样可以，这时候是极度不安全的。

例如：如果A的私人密钥被盗，她将发出一个密钥撤销证书（key revocation certificate），但是由于这个密钥的分发是非正式的且将费大量的时间和口舌，故不能保证密钥环中每一个有A公开密钥的用户都能收到。由于A必须用她的私人密钥签名撤消的证书，所以如果A同时丢失了私人密钥，她就不能撤销密钥。密钥的撤销问题被认为是整个系统最薄弱的环节。

所以在你将密钥撤销后，请将撤销后的公钥发布到你一贯公布公钥的地方， 并尽可能通知其他人。

撤销主密钥

gpg --import gpg-linus.asc                                               # 在一台新的电脑上导入你的公钥
gpg: key 99F583599B7E31F1: "linus <linus@outlook.com>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1



gpg --import revoke                                                       # 导入你备份的撤销凭证，直接会导致密钥不可用



gpg: key 99F583599B7E31F1: "linus <linus@outlook.com>" revocation certificate imported
gpg: Total number processed: 1
gpg:    new key revocations: 1
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   1  signed:   1  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 1  valid:   1  signed:   0  trust: 1-, 0q, 0n, 0m, 0f, 0u
gpg: next trustdb check due at 2021-09-29



gpg -k																	# 查看密钥，已经revoke


pub   rsa3072 2021-01-11 [SC] [revoked: 2021-01-11]
      705358AB85366CAB05C0220F99F583599B7E31F1
uid           [ revoked] linus <linus@outlook.com>

撤销子密钥

gpg --edit-key linus  
  
gpg >   list  # 列出你所有的子密钥
gpg >   key  {n}  # 选择你要销毁的子密钥的 序号
gpg >   revkey
gpg >   save    # 退出前一定要save, 不然所有更改不会生效

未完待续

The shadow is within. ​ —— 劫 《 英雄联盟》

盲水印和图片隐写术

盲水印

一、演示

首先看 这是一张女朋友

解码水印

接下来我们输入一行神奇的命令:

python bwm.py --action decode --origin Demo.jpg --im ../Gakki.jpg --result res.jpg

可以得到这样的一张图:

以后谁再跟你抢女朋友就可以这样声明版权了嘿嘿.

(脚本和原图都在最后的附录里, 有兴趣的朋友只需要将上面的图片保存为Demo.jpg,附录里的原图保存为Gakki.jpg, 就可以解码出上面的信息)

加密水印

通过今天的方法你可以将信息放入任意图片,来达到加密信息的目的.

附录里的脚本, 加密用法:

python bwm.py --action encode --origin Gakki.jpg --im wm1.png --result Demo.jpg --alpha 2

二、用途

上面 的水印就叫做盲水印，隐藏式的水印是以数字数据的方式加入音频、图片或影片中，但在一般的状况下无法被看见。隐藏式水印的重要应用之一是保护版权，期望能借此避免或阻止数字媒体未经授权的复制和拷贝。

1.不同人加相同水印

声明版权

应用案例：

• 某些画师、摄影师、设计师会在其作品中加入水印。

• 淘宝防盗图功能

2.不同人加不同水印

将某份保密数字资料发送给不同人时，可加上不同标识，如果资料被复制、传播可根据解码出的唯一标识来追究责任人。

应用案例：

• 电影刚刚公映时，每个影院，影厅的 电影底片里都会加入不同的不可见水印， 如果电影流出，就可追究相关影院责任。

• 阿里，华为等公司内部论坛、平台会在HTML页面中加入足够数量 及不被发现的唯一标识。当有内部敏感信息通过截图等方式流出，也可追踪到个人。

三、原理

原理图

傅里叶变换

• 简单复习下傅里叶变换

傅里叶变换简单地说就是将信号在时域或空域的函数转变到频域表示，在和工程学中有许多应用。因其基本思想首先由法国学者约瑟夫·傅里叶系统地提出。

• 再理解下时域和频域

那么，傅里叶变换有什么用呢，

• 先在纸上画一个sin（x），不一定标准，意思差不多就行。不是很难吧。

• 好，接下去画一个sin（3x）+sin（5x）的图形。这个就很难能画得出来。

现在把sin（3x）+sin（5x）的曲线给你，只看图是看不出这整个曲线的方程式是怎样的，现在需要将把sin（5x）从图里拿出去，看看剩下的是什么。这基本是不可能做到的。

但是在频域呢？则简单的很，无非就是几条竖线而已。

这是最简单的一种用法，其他复杂用法不在此赘述。

频谱图

一维信号的变换理解之后，那么图像的频谱图长什么样呢。

图片中明亮的部分就是低频（平缓）部分，暗点的是高频（突变交界）部分。一般为了展示会把频谱图低频的部分移到中心。频谱图上的点跟原图不存在一一对应关系，频谱图的每一点都来自于全部的图像（类似于时域曲线的点，和频域图的点）。

这样可能还不够直观，接下来看这张图。

这是一张400x400的图，共有16 万个像素点。

我们平时怎么来表示一张图片呢，首先是在笛卡尔坐标系中用x,y来定位某一确定的点。那么，我们怎么来描述这个点呢？

我们知道，所有的色彩都是由三原色组成。生活中经常说的红、黄、蓝（青），其实是一种消减型的三原色，光学中的三原色是红、绿、蓝，也就是R、G、B。

通常我们用来描述图像点的方法就是RGB的值，其实图像处理中用的是灰度（Gray scale）来表示图片，但是为了便于理解，下面用的是RGB演示 。

上图是截取了某一行RGB的值做成的曲线图，可以看到，每条曲线都在不停的上下波动，且波动的频率是相同的。有些区域的波动比较小，有些区域突然出现了大幅波动。

对比一下图像就能发现，曲线波动较大的地方，也是图像出现突变的地方。

图像的频谱可以理解为将一维的频谱绕着纵轴旋转一圈，形成一个3维的数学函数图（原图中心对称、镜像对称才可以这样干，其他类似），x、y轴代表两个方向的频率，z轴代表该频率的幅值，只不过频谱图像是一个2维图，所以用亮度来表示幅值了。

二维傅里叶变换的物理意义是将图像的灰度分布函数变换为图像的频率分布函数。

盲水印的特性

鲁棒性一般要能抗（压缩 、裁剪、涂画，旋转）。

1. 隐蔽性

   由于不希望被察觉、不希望干扰用户体验、不希望被模仿等等原因，我们的水印不可见，也就是隐匿性。

2. 不易移除性

   不易移除性跟鲁棒性有些相似， 不同的是：

   鲁棒性更加强调的是数字资源在传播过程中不要被不自觉地干扰和破坏。

   不易移除性是在别有用心者察觉了盲水印的存在后，不被他们自觉地移除或者破坏。

3. 强健性

   强健性通常也被称作鲁棒性，来自于其英文名称（Robustness）的音译。

   简单地说就是耐操性。

   需要说明的一点是，鲁棒性和隐蔽性通常不可兼得。

4. 明确性

   没什么可说的，就是盲水印需要表示出明确的信息。

四、引申

图种

例如这是一张相貌平平的图片, 你可以保存下来,将后缀改为”rar”或者直接用解压工具打开,就可以看到神秘福利.

制作方法也很简单,在win下 入以下命令就可以做一张”图种”了.

copy /b A.jpg + B.zip C.jpg

大约十年以前，图种被广泛上传到论坛等地用来传播资源。后来由于许多网站在上传图片时会判断图片结尾标识，其之后的全部丢弃，慢慢不再有人使用。(https://sm.ms/这个图床还是很给力的, 经测试还是可以解析种子)

隐藏文件

图片可以跟种子文件结合，当然也可以和其他文件结合。

其实隐藏文件和盲水印都属于图片隐写术。

图片隐写术

隐写术（Steganography）也是数字水印的一种应用，双方可利用隐藏在数字信号中的信息进行沟通。

数字照片中的注释数据能记录照片拍摄的时间、使用的光圈和快门，甚至是相机的厂牌等信息，这也是数字水印的应用之一。

某些文件格式可以包含这些称为“metadata”的额外信息。

用途

规避敏感词过滤

​ 所谓的“敏感词过滤”，常翻墙的同学，应该都很熟悉了。用图片来隐藏信息，可以规避GFW的敏感词过滤。

规避肉眼审查

​ 国内的很多网站，对于上传的图片，都会进行人工审查。如果能通过技术手段把信息隐藏在图片中，而图片本身又看不出什么异样，人工审核就看不出来。

传递加密信息

​ 不希望被别人看到的资料、信息等。

常见方法

原理

内容覆盖法

通常来说，图片文件都有包含2部分：文件头和数据区。

而“内容覆盖法”，就是把要隐藏的文件，直接【覆盖】到图片文件的【数据区】的【尾部】。

比方说，某图片有 100KB，其中文件头占 1KB，那么，数据区就是 99KB。也就是说，最多只能隐藏 99KB 的文件。

切记：覆盖的时候，千万不可破坏文件头。文件头一旦破坏，这个图片文件就不再是一个合法的图片文件了。

使用这种方法，对图片文件的格式，是有讲究的——最好用【24位色的 BMP 格式】。

• BMP 格式本身比较简单，数据区随便覆盖，问题不大；

• 24位色的 BMP 相对其它的格式 BMP，文件尺寸更大，可以隐藏更多内容。

import sys

def embed(container_file, data_file, output_file) :
    """代码没有严格计算 BMP 的文件头尺寸，只是大致预留了 1024 字节"""
    
    container = open(container_file, "rb").read()
    data = open(data_file, "rb").read()

    if len(data)+1024 >= len(container) :
        print("Not enough space to save " + data_file)
    else :
        f = open(output_file, "wb")
        f.write(container[ : len(container)-len(data)])
        f.write(data)
        f.close()

if "__main__" == __name__ :
    try :
        if len(sys.argv) == 4 :
            embed(sys.argv[1], sys.argv[2], sys.argv[3])
        else :
            print("Usage:\n%s container data output" % sys.argv[0])
    except Exception as err :
        print(err)

LSB最低有效位

很多商业软件使用的原理都是这个方法。

例如在PNG图片的储存中，每个颜色会有8bit，LSB（Least Significant Bit）隐写就是修改了像数中的最低的1bit，在人眼看来是看不出来区别的，也把信息隐藏起来了。（每个像数可以携带3bit的信息。）

譬如我们想把’A’隐藏进来的话，如下图，就可以把A转成16进制的0x61再转成二进制的01100001，再修改为红色通道的最低位为这些二进制串。

最后

1. 附上前面演示代码的实现:

   (参考了几个git hub上的项目,不过鲁棒性都不太好)

   # coding=utf-8
   import cv2
   import numpy as np
   import random
   import os
   from argparse import ArgumentParser
      
   ALPHA = 5
      
   class BlindWaterMark():
       """盲水印加解密，无频移简单版"""
       def __init__(self):
           self.parser = ArgumentParser()
           self.parser.add_argument('--action', dest='action', required=True)
           self.parser.add_argument('--origin', dest='ori', required=True)
           self.parser.add_argument('--img', dest='img', required=True)
           self.parser.add_argument('--result', dest='res', required=True)
           self.parser.add_argument('--alpha', dest='alpha', default=ALPHA)
      
       def encode(self, ori_path, wm_path, res_path, alpha):
           img = cv2.imread(ori_path)
           img_f = np.fft.fft2(img)  # 2维离散傅里叶变换
      
           height, width, channel = np.shape(img)
           watermark = cv2.imread(wm_path)
           wm_height, wm_width = watermark.shape[0], watermark.shape[1]
      
           # 水印随机编码
           x, y = range(height / 2), range(width)
           random.seed(height + width)   # 随机数解码时可控
           random.shuffle(x)
           random.shuffle(y)
              
           # 按目标图片大小 对水印图进行对称
           tmp = np.zeros(img.shape)  # 根据图片形状，生成0填充的矩阵
      
           for i in range(height / 2):
               for j in range(width):
                   if x[i] < wm_height and y[j] < wm_width:
                       tmp[i][j] = watermark[x[i]][y[j]]
                       tmp[height - 1 - i][width - 1 - j] = tmp[i][j]
      
           res_f = img_f + alpha * tmp  # 原图频域值  +  水印频域值
           res = np.fft.ifft2(res_f)      # 傅里叶逆变换
           res = np.real(res)  # 转换为实数
      
           cv2.imwrite(res_path, res, [int(cv2.IMWRITE_JPEG_QUALITY), 100])
      
      
       def decode(self, ori_path, img_path, res_path, alpha):
           ori = cv2.imread(ori_path)
           img = cv2.imread(img_path)
      
           ori_f = np.fft.fft2(ori)
           img_f = np.fft.fft2(img)
      
           height, width = ori.shape[0], ori.shape[1]
           watermark = (ori_f - img_f) / alpha
      
           watermark = np.real(watermark)
           res = np.zeros(watermark.shape)
      
           random.seed(height + width)
      
           x = range(height / 2)
           y = range(width)
           random.shuffle(x)
           random.shuffle(y)
      
           for i in range(height / 2):
               for j in range(width):
                   res[x[i]][y[j]] = watermark[i][j]
                   res[height - i - 1][width - j - 1] = res[i][j]
      
           cv2.imwrite(res_path, res, [int(cv2.IMWRITE_JPEG_QUALITY), 100])
      
       def run(self):
           options = self.parser.parse_args()
           action = options.action
           ori = options.ori
           img = options.img
           res = options.res
           alpha = float(options.alpha)
      
           if not os.path.isfile(ori):
               parser.error("image %s does not exist." % ori)
           if not os.path.isfile(img):
               parser.error("watermark %s does not exist." % img)
      
           if action == "encode":
               self.encode(ori, img, res, alpha)
           elif action == "decode":
               self.decode(ori, img, res, alpha)
      
      
   if __name__ == '__main__':
       bwm = BlindWaterMark()
       bwm.run()
      
   

2.隐写术是一门很深、应用很广泛的学问，这里讲的很泛，权当做抛砖引玉。图片隐写术只是其中一种，有兴趣的同学可以看下面这本书。

我们大多数人至少都要工作三十年，这三十年里还会有很多东西要学。所以不用太在意之前学了什么，更重要的是看你还能学会什么。无论之前学过什么，将来都要再学新东西。无论之前学的是什么，将来也都会有用。艺无止境，功不唐捐。

​ —— tombkeeper

RFID卡片

前言

这篇只是最近学习RFID技术的一个笔记，请勿用于非法用途。

简介

射频识别（英语：Radio Frequency IDentification，缩写：RFID）是一种无线通信技术，可以通过无线电信号识别特定目标并读写相关数据，而无需识别系统与特定目标之间建立机械或者光学接触。

常用的ETC，门禁卡，手机的NFC功能，二代身份证，电子护照，动物识别标签等都是应用了RFID技术。

常见卡片分类

介绍各种IC卡片的文章浩如烟海，不过大部分只介绍了低频的id卡以及符合ISO-14443A 标准的mifare系列卡。

因为搬家之后，坑爹物业只给一张门禁卡，于是Nerd之血熊熊燃烧, 花了几百大洋买了个Proxmark3，当然要好好研究下RFID技术啦，也不会仅止步于常见几种卡片的探索。

其实只看上面的脑图基本上就对RFID各种卡有个大致印象了，下面是对一些好玩的卡的详细介绍，无耐心可跳过。

低频

ID卡

ID卡是我们的俗称，内部芯片的全名叫做EM4100或EM41XX ，频率是125kHz。每张卡出厂就有独一无二的ID号，不可改写。没有任何加密，只要知道卡号就可以模拟。

特殊的还有250K、375K、500K频率的ID卡，原版proxmark3不支持这种卡的读写，祖国魔改版有些支持。

T5577卡

T5577 卡是一种可以写入数据可以加密的低频卡。最特别之处是，写入ID号可以变身成为ID卡，写入HID号可以变身HID卡，写入Indala卡号，可以变身Indala卡。

T5577一共有8个块，每个块只能存8位数。第0块是用来设置卡片类型和调制方式的，决定了卡片是ID卡还是HID卡，如果随意修改会导致读不到卡。最后一个块，在没有加密时是数据区，加密后，其数据就变成了密码。

国内这卡主要是用来模拟ID卡用的。

高频 -14443A

M1 S50卡

目前最常见的高频卡，也是我们口中俗称的IC卡。M1卡科储存的数据大小为8k，分为16个扇区，每个扇区分4个块，每个块为16个字节，以块为存取单位。每个扇区都有独立的一组密码及访问控制，每张卡有唯一的一个32位的序列号。每个扇区的0,1,2块为数据块，用来存储数据，第3块为控制块，包括了密A、存取控制、密码B 每张卡的第0扇区的第0块用来春芳厂商代码，不可更改。

中间4字节控制字是管理密码权限，用来设置A密码和B密码的功能。默认不修改的时候，可以用A密码读写所有数据。A密码不可读出，B密码可以用A密码读出。密码不一定可以读取，由控制字决定。

这个卡又分 非加密卡 、半加密卡 和 全加密卡。

非加密卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF。

而加密卡中，其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF，部分扇区加密的卡称半加密卡，所有扇区都加密的卡称全加密卡。

M1 UID卡

全称l Mifare UID Chinese magic card（中国魔术卡），简称UID卡。

M1 UID卡是针对M1 S50卡特制的变种卡，用起来和M1 S50完全一样，只是多了一个功能，就是0扇区块的数据可以随意修改。因此UID号也可以随意修改，厂家信息也可以随意修改。UID卡修改0扇区0块数据是靠指令进入工厂模式，可以直接对全卡任何数据编辑，不需要密码即可读写卡，同时不怕写坏卡，即使写错0块，写坏扇区控制字，也可以随时修复回来，不影响后续使用。

CUID卡

CUID卡是针对UID卡做的优化。CUID卡可以重复修改0块，但是它和UID卡的区别是，UID卡是通过指令修改0块，CUID使用的是常规密码验证的方法写0块（写错了之后重写需要清卡），其他扇区和标准M1卡相同。缺点是，还是有可能会被检测出来，而且如果不小心写错了UID号的校验位导致无法读卡，没办法修复只能报废。

FUID卡

FUID卡是针对UID卡做的优化。新的读卡系统，通过检测卡片对特殊指令的回应，可以检测出UID卡，因此可以来拒绝UID卡的访问，来达到屏蔽复制卡的功能。FUID可以修改0块，但只可以修改一次，写错也没办法更改，也不能重复利用。修改后和M1卡完全一样，很难被屏蔽检测。

CFUID卡

​ 鉴于FUID卡写错的成本太高，又发展出了这种卡。 CFUID卡 0扇区固化前可随意修改（相当于UID卡），固化（锁卡）后就跟M1卡完全一样。

侦测卡：

可用122等设备写入id号然后用来读取并记录设备发出的密码信息，用于侦测密码，但其功能鸡肋，前有pm3离线侦测，后有变色龙模拟加侦测，现在基本淘汰。

EMV卡

EMV规范是由Europay、Mastercard、Visa三大信用卡国际组织联合制定的IC（智能）卡金融支付应用标准，非接触传输协议方面也是遵循的14443A标注，是一种CPU芯片卡。

目前基于EMV卡的非接触式支付的实现有三个：VISA的payWave，MasterCard的PayPass以及银联的闪付QuickPass。目前从外观来看，银联发行的卡面有芯片的IC卡均支持闪付，部分银行支持VISA的payWave。

高频 -14443B

跟ISO 14443 -Type A 标准 的不同主要在于载波的调制深度及位的编码方式。TYPE A采用开关键控(On-Off keying)的Manchester编码，TYPE B采用NRZ-L的BPSK编码。

TYPE B与TYPE A相比，具有传输能量不中断、速率更高、抗干扰能力强的优点。RFID的核心是防冲突技术，这也是和接触式IC卡的主要区别。ISO14443-3规定了TYPEA和TYPE B的防冲突机制。二者防冲突机制的原理不同，前者是基于位冲突检测协议，而TYPE B通信系列命令序列完成防冲突。

目前的二代身份证，社保卡，护照都是基于此标准，研究这个标准最初是为了能读出身份证信息或者护照，其中曲折下一篇文章再说。

Proxmark3的14b部分有对 ST Microelectronics 公司的 SRI512卡 和SRIX4K卡 的特别支持。

NFC标签

目前有五种，分别基于14a, 14b，Felica ，ISO/IEC 15693 标准, 详见上面脑图。

高频卡 低频卡区分方法

直接淘宝复制来的，比较直观：

门禁卡破解思路

ID卡使用手持机或者proxmark3等设备直接读出卡号即可模拟，最是无脑，CPU卡建议直接放弃。

所以这里的门禁卡单质 Mafira系列。

IC卡加密方式

要知道怎么破解，先要知道他们是怎么加密。

目前常见的加密方式有这几种：

1.固定加密（校验码）：

彼时来自东方的神秘技术 ：中国魔术卡 尚未降世，就算复制出来原卡数据，每张IC的ID也是不一样的，厂家只需要校验UID跟校验位匹配不匹配就可以防复制卡了。

这种只需要UID卡复制其UID以及校验位即可完美破解。

2.一卡一密：

这种加密方式只是把校验码，改成了密码。刷卡机读卡是根据卡号算出这张卡独一无二的密码，然后再用密码访问/修改金额 。

运用UID卡复制，也可简单解决。

3.全加密：

即IC卡16扇区均加入密码，一般是一个卡商用同一密码，密码破解可通过 侦测卡或pm3离线侦测，密码已知后，写入普通卡或UID卡，即可实现复制。

后来又出现了一种 一卡一密+ 全加密的卡，不过在PM3及UID卡面前不过是土鸡瓦狗而已。

4.动态码加密：

每次刷卡后，卡内数据都会变化。

这种比较麻烦，可以分几种情况：

1. 有些系统比较简单，每次刷新后某个数据加一，或者加固定数字，这种很容易发现规律和破解。

2. 有些卡数据刷新后没有什么规律，明显用了某种算法，这种有能力的可以多刷几次，尝试逆向算法，不过难度比较大，

3. 通过更改控制位或者修改卡内某些地方的数据来压制卡内数据的滚动，这是利用了早期某些厂家的读头不会校验计算后的数据是否写入成功的漏洞。

4. 一些系统识别到卡里数据是从未滚动过的初始值后，就不会再做任何校验，认为这是张新卡。这种只要记录下初始数据，复制卡每次刷卡后 重置数据即可。 (刚了解到还有一种GTU卡（gtu、guid、gid、gpu，处女卡）, 可以锁定滚动码，让读卡器写卡失败卡)

5. 一些系统识别到卡里数据是初始值后，还会进行校验，这时候我们可以使用同厂家同型号同版本的发卡器，通过修改发卡器发卡规则使得规则与物业的发卡规则相同来发卡。但是破解发卡规则同样很难，同时梯控厂家也不会向个人单独销售配套发卡器。

6. 社工大法：通过保洁阿姨、保安大哥或者特别的技法获取 全通卡，就是给内部员工用的“万能钥匙”，这种卡一般不做加密，搞到之后复制一张基本就OK了。

注意事项：复制卡不确定是否是滚动码时， 复制后第一次刷卡原则上请刷原卡，不然数据滚动之后，原卡可能作废 。 卡与原卡仅一张有效

5.防复制加密：

用UID卡复制成功以后去现场刷卡没任何反应 或 就可以使用一次以后就给设备破环了拷贝卡的问题。

也存在几种情况，目前最常用的：

1. 校验magic指令，UID卡会响应magic指令，所以防火墙只要发现有magic指令的响应直接ban掉改卡，于是CUID卡应运而生。

2. 防火墙尝试修改卡的0扇区，修改成功则说明是CUID卡，ban掉。 这种用FUID或者CFUID复制即可。

6.复合卡加密：

利用ID或IC设备复制成功以后就可以开启其中一个地方，其他地方不可以同时开启。一般是IC+ID的结构，需要同时复制高频低频两个芯片。

7.CPU芯片加密：

这种分析数据时全是零， 可能目标卡是CPU卡模拟的M1卡 或是 修改了控制位的数据把卡号隐藏起来。 这种可以最多可以做到复制UID，模拟刷个门禁啥的，涉及金额的就别想了。

一般流程

流程图如下：

Proxmark3

前言

之前想买个proxmark3 玩，但是发现淘宝卖家基本都是自吹自擂，对自己是PM3哪个版本都遮遮掩掩，语焉不详。 谷歌到的中文资料也比较少，大多是互相复制粘贴的资料，没人仔细介绍过PM3都有哪些版本，于是有了写这篇的动力，希望能使新手对proxmark3有个直观了解。

简介

Proxmark3是由Jonathan Westhues为了他的硕士论文设计开发的开源硬件，其主要用途是实现RFID卡片 的嗅探、读取破解以及克隆等等操作。

提到RFID， 就不得不提Proxmark3，PM3 属于这个领域的大杀器，基本相当于kali之于安全，node之于前端。它可以嗅探、模拟以及读取多种不同种类型的RFID，同时它还有一个官方社区，这里有不少同样的爱好者在里面学习交流。

Proxmark，确切来说是prox（接近的），mark（标签），翻译过来的意思就是“不用接触，靠近就能刷的卡片”。

版本

Proxmark2

Proxmark是没有1的 ，Proxmark3 前身是Proxmark2。

Proxmark2版本是因为Jonathan Wesrhues 为了复制Verichip才应运而生的。 而Proxmark2的前身就是一个便携式的Verichips，该硬件可以读取并且重放Verichip的ID，如果利用天线去靠近Verichip，那样子设备就可以永远的保留ID在芯片里面，实际上Jonathan Westhues只是采用逆向工程把Verichip的频率和调制模式进行捕抓，从而进行回放操作。

Proxmark3 原版

原型机，长这样，开源硬件，电路板github有，已经过时了，不是商业产品，不卖。

其他版本都是基于此版的原理做的改板。

Proxmark3 RDV2

这个版本算是Proxmark3第一次商业化的版本，研发团队是Elechouse（深圳一家硬件厂商） 。 RDV2 即是 Revision Two（重制版2 )。

Proxmark3 RDV2 修改和更新了Proxmark3所有主要的硬件组件，包括微控制器，FPGA和闪存。

但是，最重要的变化是天线的设计和实现。 Proxmark 3的笨重，笨拙和未调谐的天线已替换为紧凑的，预先调谐的HF和LF天线，使用标准的SMA接口代替以前使用的USB-Hirose电缆。

这个版本预装了可拆的低频和高频天线，也是首个“ALL-IN-ONE”的版本。但是天线性能存在已知问题，并且会被继电器故障影响。

有些论坛说的血贵的就是这个版本，之前貌似上千，现在五六百左右吧。

技术规格

• CPU AT91SAM7S512

• Storage 512Kb SPI flash

• Interface 4x mode LEDs, 1x button.

• Battery 独立外接电源

• 天线

  • LF 预装，可拆

  • HF 预装，可拆

Proxmark3 EASY

同样是 Elechouse团队的作品，是Proxmark3 RDV2 的阉割版，主要为了迎合中国市场在某宝卖的。

基本上某宝卖的都是基于这个版本或Proxmark3 RDV2 的魔改版。

比RDV2阉割了CPU、内存,还有外接电池。

技术规格

• CPU AT91SAM7S256

• Storage 256Kb SPI flash

• Interface 4x mode LEDs, 1x button.

• 天线

  • LF 需自行组装

  • HF 一体，不可拆

长这样：

Proxmark 3 EVO

Proxmark 3 EVO(Evolution，进化版)，是Elechouse 开发的最后一个Proxmark 3版本，更加的小型化，用了ABS 的材质，加了点灯，适配了安卓平台。

技术规格

• CPU AT91SAM7S512

• Storage External 2MBits / 512Kb SPI flash

• Interface 1x RGB LED, 1x button.

• 电源 外接独立电池

• 天线

  • LF 预装，一体

  • HF 预装，一体

这个版本国内见的不多，优化也有限，长这样：

Proxmark3 RDV4

Proxmark3 RDV4是目前Proxmark3 平台 最新的版本，由 RRG团队开发，就是开官方论坛和固件很受欢迎的iceman 所在的团队 。 不过价格比较贵，基础版要一千五左右，所有外设买齐得好几千，需要海淘。

版本特色

• 更小的体积 54 x 87 x 10mm （EVO是60 x 90 x 12mm）

• 支持了 SIM/Smart 卡的嗅探和读取

• 可扩展框架：

  • 可热插拔的中长距离天线

  • 增加了 蓝牙 和 wifi 模式

技术规格

• CPU SAM7S512

• Storage External 2MBits / 256Kb SPI flash

• Interface 4x power LEDs, 4x mode LEDs, 1x button.

• 天线

  • LF (125KHz): 70mm @ 65V

  • HF (13.56MHz): 88mm @ 44V

Proxmark3 各种祖国版

商家鼓吹什么3.0、4.0、5.0，终极 版本，其实各种版本基本都是Proxmark3 RDV2 或者easy 魔改的，选购时关注下cpu版本和内存 线圈和做工即可。

不过有时候会看到各种颜色，颜色只是印刷电路板用的阻焊剂（阻焊漆）不一样，油墨颜色不一样，不会影响实际功能和质量。

常见的电路板颜色有绿色、红色、蓝色、黑色。详细信息可以自行百度。原来的pm3是黑色的，看上去高端一些。现在新出了蓝色的，没别的原因，就是为了降低成本。虽然不影响质量，但是绿色、红色、蓝色的油墨用得比较多，量大价格就低。

不要听一些商家瞎吹做了什么升级，保证元器件没有任何改动。商家鼓吹蓝色是升级款，只是为了掩盖他的真实原因是为了降低成本，外加一波营销。

说是最新自主研发5.0系统，其实就是RDV2的魔改版，他家利用隔板的空间，集成了变色龙，还在隔板上装了显示屏、按钮，类似手持机的功能，可以不开电脑复制ID卡。

特色是中文GUI客户端一直在优化，适合小白使用。

变色龙 Mini ,ChameleonMini

在网购PM3时，经常可以看到有PM3变色龙一体机卖，当时询问js ,他们也是语焉不详 。所以这里再单独介绍下变色龙是个啥。

变色龙 ChameleonMini 是一款可编程的 NFC 安全分析工具的开源硬件项目，可模拟各种ic卡、侦测密码，可同时储存六组卡片数据随时可以手动切换，体积跟普通卡差不多方便携带。

ChameleonMini 常见的有两个版本 ChameleonMini Rev.E 与 ChameleonMini Rev.G 其中 Rev.G 是最新升级的版本，自带电池供电。

说白了，变色龙就是一张先进的侦测卡，不具备读写功能，需要配合其他读写设备使用。 PM3的现场嗅探功能其实比较弱，集成了变色龙之后就补齐了这个短板。

使用

中文GUI主要是对43a的IC卡和 低频ID做的支持，对其他协议的卡片都没有支持。

熟悉基本操作之后，想要探索PM3的魅力还是推荐使用 命令行， 命令行教程汉化可以看RadioWar的wiki RadioWar:Proxmark3命令帮助，其他教程也非常的多，可以自行查找。

打开方法是进入软件安装目录：

./prommark3.exe   com4   # com号会变，根据自己实际情况调整

参考链接

[1]. Porxmark 官网

[2]. 智能卡破解入门二三事

[3]. Proxmark3 Easy破解门禁卡学习过程

[4]. 低成本安全硬件 RFID on PN532

[5]. 非接触IC卡主要产品简介

[6]. STMicroelectronics 芯片卡

[7]. iCLASS说明文件

[8].[NFC Forum标签平台四种标签类型详细介绍]

[9]. 初识CPU卡、SAM卡/CPU卡简介、SAM卡简介 【转】

[10]. 手把手教 如何模拟IC加密卡

[11]. IC卡加密解密方式

[12].除了支付/刷卡还能干嘛？三分钟教你玩转RFID

[13].使用HackCube-Special分析滚动码信号

[14]. Proxmark3（PM3）硬件简单拆解与介绍

[15].梯控、IC卡滚动码防复制原理和破解

[16]. 简单讨论滚动码技术

[17]. RadioWar:Proxmark3命令帮助

[18]. 来自空中的威胁

[19]. 《非接触IC卡原理与应用》[电子工业出版社 2006-09-01]