如何在命令行上进行非对称加密，而不依赖于已安装的密钥环等？

我一直在研究这个问题，我认为我有一个方法。

首先，在进行备份之前，请执行一次：

生成 RSA 密钥对：

$ openssl genpkey -out backupkey.pem -aes-256-cbc -algorithm rsa
.................++
............................++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
$ 

使用好的密码短语 - 不是任何人都能破解的东西。六到八个随机单词效果很好。不要从最喜欢的书或歌曲中挑选引语。

接下来，从刚刚创建的 .pem 文件中提取新的公钥：

$ openssl rsa -in backupkey.pem -pubout -out backupkey.key
Enter pass phrase for backupkey.pem:
writing RSA key
$ ls -l backupkey.*
-rw-r--r-- 1 jdege jdege  800 Jan 15 20:26 backupkey.key
-rw-r--r-- 1 jdege jdege 3418 Jan 15 20:16 backupkey.pem
$ 

将它们保存在某个地方，您将在每次备份时使用它们。我将它们与我的备份脚本一起存储，并将副本放在我的 KeePass 密码数据库中。

然后，在每次备份时

生成随机会话密钥：

$ openssl rand -hex 128 > session.key
$

然后，运行备份，使结果加密成为管道中的最后一步：

$ generate-my-backup.sh |
> gzip |
> openssl enc -aes-256-cbc -pass file:./session.key -out /mnt/backups/20190115/backup.bup.gz.enc
$ 

接下来，使用公共 RSA 密钥加密会话密钥，删除会话密钥，然后将加密的会话密钥复制到备份媒体：

$ openssl rsautl -encrypt -inkey backupkey.key -pubin -in session.key -out session.key.enc
$ cp session.key.enc /mnt/backups/20190115/
$ rm session.key
$ 

并将包含您的私钥的文件复制到您的备份媒体：

$ cp backupkey.pem /mnt/backups/20190115/
$ 

如果你必须恢复

如果你知道私钥的密码，那就很简单了：

$ openssl rsautl -decrypt -inkey backupkey.pem  -in session.key.enc |
> openssl enc -d -aes-256-cbc -in backup.bup.gz.enc -pass stdin |
> gunzip |
> restore-my-backup.sh
Enter pass phrase for backupkey.pem:
$

我们运行“openssl rsautl”将加密的会话密钥解密到标准输出，然后运行“openssl enc -d”解密备份文件，从标准输入读取其密钥，并将输出写入标准输出，这样它就可以传递给管道中其他需要将文件放到其所属位置的地方。