來自電子前線基金會的計畫
要使用 PGP
交換加密電子郵件,您必須結合三個程式:GnuPG、Mozilla Thunderbird 和 Enigmail。GnuPG 是實際加密和解密郵件內容的程式,Mozilla Thunderbird 是一個電子郵件用戶端,讓您在不使用瀏覽器的情況下讀寫電子郵件,而 Enigmail 是一個 Mozilla Thunderbird 的附加元件,將三個程式串連在一起。
本指引教導的是如何在 Mozilla Thunderbird 中使用 PGP,這是一個與 Outlook 執行類似功能的電子郵件用戶端程式。您可能擁有自己喜歡的電子郵件軟體程式 (或使用 Gmail 或 Outlook.com 等網路郵件服務)。本指引不會教您如何在這些程式使用 PGP。您可以選擇安裝 Thunderbird 並試用 PGP,也可以尋找其他解決方案來在您習慣的軟體上使用 PGP。對於這些程式,我們還沒有找到一個令人滿意的解決方案。
使用 PGP 不會完全加密您的電子郵件:寄件人和收件人資訊不會被加密。將寄件人和收件人資訊加密會毀損電子郵件。使用 Mozilla Thunderbird 和 Enigmail 附加元件可以讓您輕鬆加密電子郵件的內容。
您首先要下載所有需要的軟體、進行安裝,然後進行配置以及學習如何使用結果。
優良保密協定 (PGP ) 是一種保護您的電子郵件通訊,除了預期的收件人,不會被其他人閱讀的方式。它可以防止公司、政府或犯罪分子監視您的網際網路連線,並能在儲存電子郵件的電腦遭竊或入侵時,保護電子郵件不被讀取。
它也可以用來證明一封電子郵件來自特定的某人,而非另一個寄件人發送的假訊息 (否則電子郵件很容易假造)。如果您成為監控或誤導的目標,這些都是重要的防禦措施。
要使用 PGP,您需要安裝一些額外的軟體,這些軟體將與您當前的電子郵件程式共同運作。您還需要建立一個私密金鑰,將其保持私密。您將用私密金鑰來解密發送給您的電子郵件,並對您發送的電子郵件進行數位簽章,以證明其確實由您寄出。最後,您將學習如何散布您的公開金鑰,這是一小段資訊,其他人在向您發送加密郵件之前,需要知道這段資訊,並且可以用來驗證您發送的電子郵件。
取得和安裝 GnuPG Anchor link
您可以從 GnuPG 下載頁面下載小型安裝程式,取得 Mac OS X 版 GnuPG (又稱為 GPG)。
按一下「GnuPG 現代版簡易安裝程式」(Simple installer for GnuPG modern) 旁邊的 Mac OS X 版 GnuPG (GnuPG for OS X),將下載 GPG 安裝程式。
您將被轉往 SourceForge 下載網站。
取得 Mozilla Thunderbird Anchor link
按一下寫著「免費下載」(Free Download) 的綠色按鈕。Mozilla Thunderbird 網站將偵測您的偏好使用語言。如果您想以其他語言使用 Thunderbird,請按一下「系統和語言」(Systems & Languages) 連結,然後從中進行選擇。
安裝 GnuPG Anchor link
按一下 Dock 中的下載 (Download) 圖示,然後按一下 GnuPG-2.11-002.dmg 檔案。
畫面上會出現一個視窗,顯示您的進度。
畫面上將打開一個視窗,概述說明安裝檔案和其他檔案。按一下「Install.pkg」圖示。
接下來,畫面上將打開一個視窗,開始引導安裝。按一下「繼續」(Continue) 按鈕。
GnuPG 為系統軟體封裝,安裝時需要您的使用者名稱和密碼。輸入您的密碼,然後按一下「安裝軟體」(Install Software)。
您會看到一個視窗,寫著「安裝成功」(The installation was successful)。按一下「關閉」(Close) 按鈕。
安裝 Mozilla Thunderbird Anchor link
按一下 Dock 中的下載 (Download) 圖示,然後按一下 Thunderbird 45.2.0.dmg 檔案。
畫面上會出現一個視窗,顯示您的進度。
畫面上會出現一個有 Thunderbird 圖示和連往您的 Application 檔案夾連結的視窗。將 Thunderbird 拖曳到 Applications 檔案夾中。
畫面上會出現一個帶有進度條的視窗,完成後視窗會關閉。
務必退出掛載的 DMG 檔案。
準備 Enigmail 安裝 Anchor link
Mozilla Thunderbird 第一次啟動時,Mac OS X 會詢問您是否確定要開啟它。Mozilla Thunderbird 是從 mozilla.org 下載的,應該是安全的,按一下「開啟」(Open) 按鈕 。
Mozilla Thunderbird 可以與 Mac OS X address book 整合,我們將此選擇留給您。
Mozilla Thunderbird 第一次啟動時,您會看到這個小小的確認視窗,詢問一些預設設定。我們建議按一下「設為預設值」(Set as Default) 按鈕。
Mozilla Thunderbird 第一次次啟動時,系統會詢問您是否需要新增電子郵件位址。按一下「跳過並使用我現有的電子郵件」(Skip this and use my existing email) 按鈕。現在您將設定讓 Mozilla Thunderbird 來接收和發送電子郵件。如果您習慣藉由 gmail.com、outlook.com 或 yahoo.com 閱讀和發送電子郵件,那麼 Mozilla Thunderbird 將是一種全新的體驗,但總體來說差異不大。
新增郵件帳戶至 Mozilla Thunderbird Anchor link
畫面上會打開一個新視窗:
輸入您的名字、電子郵件位址和電子郵件帳戶的密碼。Mozilla 無法存取您的密碼或電子郵件帳戶。按一下「繼續」(Continue) 按鈕。
多數情況下,Mozilla Thunderbird 會自動檢測必要的設定。
某些情況下,Mozilla Thunderbird 沒有完整的資訊,您需要自行輸入。以下是 Google 為 Gmail 提供的說明範例:
- 內送郵件 (IMAP) 伺服器 - 需要 SSL
- imap.gmail.com
- 通訊埠:993
- 需要 SSL:是
- 外寄郵件 (SMTP) 伺服器 - 需要 TLS
- smtp.gmail.com
- 通訊埠:465 或 587
- 需要 SSL:是
- 需要認證:是
- 使用與內送郵件伺服器相同的設定
- 全名或顯示名稱:[您的名字或假名]
- 帳戶名稱或使用者名稱:您的完整 Gmail 位址 (username@gmail.com)。Google Apps 使用者請輸入 username@your_domain.com
- 電子郵件位址:您的完整 Gmail 位址 (username@gmail.com) Google Apps 使用者,請輸入 username@your_domain.com
- 密碼:您的 Gmail 密碼
如果您在 Google 使用雙因素驗證 (而且根據您的威脅模型,您可能應該使用!),則您不能在 Thunderbird 上使用標準 Gmail 密碼,而需要為 Thunderbird 建立一個新的應用程式專用密碼,才能存取您的 Gmail 帳戶。請參閱 Google 的指引。
所有資訊正確輸入後,按一下「完成」(Done) 按鈕。
Mozilla Thunderbird 將開始下載您的電子郵件副本到您的電腦。嘗試發送測試郵件給您的朋友。
安裝 Enigmail Anchor link
Enigmail 的安裝方式與 Mozilla Thunderbird 和 GnuPG 不同。如前所述,Enigmail 是一個 Mozilla Thunderbird 的附加元件。按一下「功能表按鈕」(又叫漢堡按鈕),然後選擇「附加元件」。
您會前往一個附加元件管理工具 (Add-ons Manager) 分頁。在「附加元件」(Add-on) 搜尋欄位中輸入「Enigmail」,在 Mozilla 附加元件網站上查找 Enigmail。
Enigmail 將是第一個選項。按一下「安裝」(Install) 按鈕。
安裝 Enigmail 附加元件後,Mozilla Thunderbird 將要求重新啟動瀏覽器來啟用 Enigmail。按一下「立即重新啟動」(Restart Now) 按鈕,Mozilla Thunderbird 將重新啟動。
Mozilla Thunderbird 重新啟動時,會打開一個額外的視窗,開始設定 Enigmail 附加元件的流程。保持選擇「立即開始安裝」(Start setup now) 按鈕,然後按一下「繼續」(Continue) 按鈕。
我們認為 Enigmail 的「標準配置」(standard configuration) 選項是個不錯的選擇。按一下「繼續」(Continue) 按鈕。
現在,您將開始建立您的私密金鑰和公開金鑰。
建立公開金鑰和私密金鑰 Anchor link
除非您已經設定了多個電子郵件帳戶,否則 Enigmail 將選擇您已經設定的電子郵件帳戶。您需要做的第一件事,是為您的私密金鑰提供一個複雜密碼。
按一下「繼續」(Continue) 按鈕。
您的金鑰將在某個時間到期;發生這種情況時,其他人將不再完全使用它來寄送新的電子郵件給您,雖然您可能完全不會收到警告或原因的解釋。所以,您可能要在日曆上註記,並在到期日期前一個月左右注意這個問題。
可以給現有金鑰一個新的、較晚的到期日期來延長使用壽命,或者可以重新建立一個新金鑰來取代它。這兩種流程可能需要聯繫發送電子郵件給您的人,並確保他們獲得更新的金鑰;目前的軟體對於將這一點自動化的效果不是很好。所以請提醒您自己;如果您不認為自己做得到,那麼可以考慮將金鑰設置為永不過期,儘管在這種情況下,其他人可能會在將來與您聯繫時嘗試使用它,即使您不再擁有私密金鑰或不再使用 PGP。
Enigmail 會產生金鑰,完成後會打開一個小視窗,要求您產生一個撤銷憑證。這個撤銷憑證非常重要,因為它可讓您使私密金鑰和公開金鑰失效。需要注意的是,僅僅刪除私密金鑰不會使公開金鑰失效,並可能導致其他人向您發送的加密郵件無法解密。按一下「產生憑證」(Generate Certificate) 按鈕。
首先您必須提供建立 PGP 金鑰時使用的密碼。按一下「確定」(OK) 按鈕。
畫面上將打開一個視窗,為您提供一個保存撤銷憑證的地方。雖然可以將檔案儲存到電腦上,我們建議將儲存在您沒有用在其他地方的 USB 隨身碟上,並將隨身碟存放在安全的地方。我們還建議從有金鑰的電腦中刪除撤銷憑證,以避免意外撤銷。更好的辦法是把這個檔案保存在加密磁碟上。選擇您要保存該檔案的位置,然後按一下「儲存」(Save) 按鈕。
現在 Enigmail 會提供更多關於保存撤銷憑證檔案的資訊。按一下「確定」(OK) 按鈕。
現在您產生了私密金鑰和公開金鑰。按一下「完成」(Done) 按鈕。
選用設定步驟 Anchor link
顯示指紋和金鑰效期
接下來的步驟是完全自由選用的,但在使用 OpenPGP 和 Enigmail 時可能會有幫助。簡而言之,金鑰 ID 是指紋的一小部分。要驗證公開金鑰是否屬於某個人時,指紋是最好的方法。更改預設顯示可以更容易讀取您所知道的憑證指紋。按一下設置按鈕,然後按一下 Enigmail 選項,再按金鑰管理 (Key Management)。
畫面上會出現一個顯示兩欄的視窗:名稱和金鑰 ID。
在最右邊有一個小按鈕。按一下該按鈕來設置各欄。取消選擇金鑰 ID (Key ID) 選項,然後按一下指紋 (Fingerprint) 選項和金鑰效期 (Key Validity) 選項。
現在會有三列:名稱、金鑰效期和指紋。
尋找其他使用 PGP 的人 Anchor link
以電子郵件取得公開金鑰
您可能會收到以電子郵件附件發送給您的公開金鑰。按一下「匯入金鑰」(Import Key) 按鈕。
一個小視窗會打開,要求您確認匯入 PGP 金鑰。按一下「是」(Yes) 按鈕。
一個新的視窗將打開,顯示匯入的結果。按一下「確定」(OK) 按鈕。
如果您重新載入原始電子郵件,您會看到電子郵件的列已更改。
如果您再次打開 Enigmail 金鑰管理視窗,可以檢查結果。您的 PGP 金鑰以粗體顯示,因為您同時擁有私密金鑰和公開金鑰。您剛匯入的公開金鑰不是粗體,因為它不包含私密金鑰。
以檔案取得公開金鑰
您可能從網站上下載公開金鑰,或藉由聊天軟體收到他人發送的公開金鑰。在這種情況下,我們假設您將檔案下載到 Downloads 檔案夾。
打開 Enigmail 金鑰管理工具。
按一下「檔案」(File) 功能表。選擇「從檔案匯入金鑰」(Import Keys from File)。
選擇公開金鑰,它可能會有各種的副檔名,例如 .asc、.pgp 或 .gpg。按一下「開啟」(Open) 按鈕。
一個小視窗會打開,要求您確認匯入 PGP 金鑰。按一下「是」(Yes) 按鈕。
一個新的視窗將打開,顯示匯入的結果。按一下「確定」(OK) 按鈕。
以 URL 取得公開金鑰
可以直接從 URL 下載公開金鑰
打開 Enigmail 金鑰管理工具,然後按一下「編輯」(Edit) 功能表。選擇「從 URL 匯入金鑰」(Import Keys from URL)。
輸入 URL。該 URL 可以有幾種形式。大多數情況下,這可能是一個以檔案為結尾的網域名稱。
一旦您的網址正確,按一下「確定」(OK) 按鈕。
一個小視窗會打開,要求您確認匯入 PGP 金鑰。按一下「是」(Yes) 按鈕。
一個新的視窗將打開,顯示匯入的結果。按一下「確定」(OK) 按鈕。
如果您看看 https://www.eff.org/about/staff,會發現員工照片下的「PGP Key」連結。例如,Danny O'Brien 的 PGP 金鑰可以在以下網址找到:https://www.eff.org/files/pubkeydanny.txt。
以金鑰伺服器取得公開金鑰
金鑰伺服器可以是取得公開金鑰的實用方式。嘗試尋找一個公開金鑰。
從金鑰管理介面按一下「金鑰伺服器」(Keyserver) 功能表並選取「搜尋金鑰」(Search for Keys)。
畫面上會打開一個有搜尋欄位的小視窗。您可以使用完整的電子郵件位址、部分電子郵件位址或名稱進行搜尋。在這種情況下,您將搜尋包含「samir@samirnassar.com」的金鑰。按一下「確定」(OK) 按鈕。
畫面上會打開一個有很多選項的較大視窗。如果向下捲動,您會注意到一些金鑰是灰色斜體字。這些是已經被撤銷或過期的金鑰。
Samir Nassar 有幾個 PGP 金鑰,我們還不知道要選擇哪一個。一個金鑰是灰色斜體字,這表示它已被撤銷。因為我們不知道要使用哪一個,所以把它們全部匯入。按一下左邊的方塊選擇金鑰,然後按下「確定」(OK) 按鈕。
畫面上會打開一個小的通知視窗,讓您知道匯入是否成功。按一下「確定」(OK) 按鈕。
Enigmail 金鑰管理工具現在將向您顯示新增的金鑰:
請注意,三個匯入的金鑰中有一個已過期,一個已撤銷,另一個目前是有效金鑰。
讓別人知道您正在使用 PGP Anchor link
現在您已經擁有了 PGP,您想讓別人知道您正在使用它,所以他們也可以使用 PGP 給您發送加密的訊息。
使用 PGP 不會完全加密您的電子郵件,將寄件人和收件人資訊加密。將寄件人和收件人資訊加密會毀損電子郵件。使用 Mozilla Thunderbird 和 Enigmail 附加元件可以讓您輕鬆加密和解密電子郵件的內容。
讓我們看看告訴別人您在使用 PGP 的三種不同方式。
讓別人知道您正在用電子郵件使用 PGP
您可以很容易地將您的公開金鑰副本以電子郵件附件方式發送給他人。
按一下 Mozilla Thunderbird 中的「Write」(撰寫) 按鈕。
填寫一個位址和主題,或許是我的「我的公開金鑰」,按一下「附加我的公開金鑰」(Attach My Public Key) 按鈕。如果您已經為要接收 PGP 金鑰的人匯入了 PGP 金鑰,則 Enigmail 欄中的鎖頭圖示將會醒目顯示。此外,您還可以按一下鉛筆圖示對電子郵件進行簽章,為收件人提供一種驗證電子郵件真實性的方法。
畫面上將打開一個視窗,詢問您是否忘記加入附件。這是 Enigmail 和 Mozilla Thunderbird 之間互動的一個錯誤,但不要擔心,您的公開金鑰會附加進去。按一下「不,立即發送」(No, Send Now) 按鈕。
讓別人知道您在您的網站上使用 PGP
除了電子郵件之外,您還可以在您的網站上公佈您的公開金鑰。最簡單的方法是上傳檔案並將它連結到網站。本指南不會說明如何執行這些操作,但是您應該知道如何將金鑰匯出為檔案供日後使用。
按一下設置按鈕,然後按一下 Enigmail 選項,再按金鑰管理 (Key Management)。
選取粗體顯示的金鑰,然後按一下右鍵以顯示功能表,並選擇將金鑰匯出至檔案 (Export Keys To File)。
Anchor link
畫面上會打開一個有三個按鈕的小視窗。按一下「僅匯出公開金鑰」(Export Public Keys Only) 按鈕。
畫面上將打開一個視窗,讓您可以儲存該檔案。為使以後更容易找到檔案,請儲存到「文件」(Documents) 檔案夾中。現在您可以視需要使用這個檔案。
注意不要按「匯出祕密金鑰」(Export Secret Keys) 按鈕,因為如果有人能夠猜出您的密碼,則匯出祕密金鑰可能會讓其他人可以冒充您。
上傳到金鑰伺服器
金鑰伺服器讓搜尋和下載他人的公開金鑰變得更容易。大多數的現代金鑰伺服器正在進行同步,這表示上傳到一部伺服器的公開金鑰,最後會到達所有伺服器。
雖然將公開金鑰上傳到金鑰伺服器可能是告知他人您擁有公開 PGP 憑證的一種便利方式,但您應該知道,由於金鑰伺服器的運作方式,公開金鑰上傳後無法刪除。
在將公開金鑰上傳到金鑰伺服器之前,建議您花點時間考慮是否希望讓全世界知道您擁有公開憑證,而無法在日後刪除這些資訊。
如果您選擇將公開金鑰上傳到金鑰伺服器,您將返回到 Enigmail 金鑰管理視窗。
用滑鼠右鍵按一下您的 PGP 金鑰,然後選擇「將公開金鑰上傳到金鑰伺服器」(Upload Public Keys to Keyserver) 選項。
發送 PGP 加密郵件 Anchor link
現在您將發送您的第一封加密電子郵件給收件人。
在 Mozilla Thunderbird 主視窗中按一下「Write」(撰寫) 按鈕。畫面上會打開一個新視窗。
寫下您的訊息,然後輸入收件人。在此次測試,請選擇您已經擁有其公開金鑰的收件人。Enigmail 會檢測到,並自動加密電子郵件。
主旨列不會被加密,所以寫一些無傷大雅的東西,例如「您好」。
電子郵件的正文會加密和轉換。例如,上面的文字將轉換成如下所示:
接收 PGP 加密郵件 Anchor link
讓我們來看看收到加密郵件時,會發生什麼事。
請注意,Mozilla Thunderbird 會告訴您收到新的郵件。按一下訊息。
一個小視窗會打開,要求您輸入 PGP 金鑰的密碼。記得:不要輸入您的電子郵件密碼。按一下「確定」(OK) 按鈕。
現在訊息將解密顯示。
撤銷 PGP 金鑰 Anchor link
從 Enigmail 介面撤銷您的 PGP 金鑰
Enigmail 產生的 PGP 金鑰在五年後自動失效。所以,如果您遺失了所有檔案,您會希望一旦金鑰過期,其他人就會知道要向您索取另一組金鑰。
您可能有個充分的理由,在 PGP 金鑰過期之前停用它。也許您想要產生一個新的、更強大的 PGP 金鑰。在 Enigmail 中撤銷自己的 PGP 金鑰,最簡單的方法是藉由 Enigmail 金鑰管理工具。
右鍵按一下您的 PGP 金鑰 (以粗體顯示) 然後選擇「撤銷金鑰」(Revoke Key) 選項。
畫面上將打開一個視窗,讓您知道發生了什麼事,並要求您確認。按一下「撤銷金鑰」(Revoke Key) 按鈕。
密碼視窗會打開,請輸入您的 PGP 金鑰密碼,然後按一下「確定」(OK) 按鈕。
現在畫面上會打開一個視窗,讓您知道撤銷成功。按一下「確定」(OK) 按鈕。
回到 Enigmail 金鑰管理視窗時,您會注意到 PGP 金鑰的變化。它現在變成灰色斜體字。
用撤銷憑證撤銷 PGP 金鑰
就像我們之前提到的那樣,您可能有個充分的理由,在 PGP 金鑰過期之前停用它。同樣的,其他人也可能有充分的理由,撤銷現有的金鑰。在上一節中,您可能已經注意到,使用 Enigmail 金鑰管理工具撤銷金鑰時,Enigmail 將在內部產生並匯入撤銷憑證。
您可能會收到來自朋友的撤銷憑證,說明他們要撤銷其金鑰。既然您已經有一個撤銷憑證,您將使用之前產生的撤銷憑證。
從 Enigmail 金鑰管理工具開始,按一下「檔案」(File) 功能表,並選擇「從檔案匯入金鑰」(Import Keys from File)。
畫面上將打開一個視窗,讓您可以選取撤銷憑證。按一下檔案,然後按一下「開啟」(Open) 按鈕。
您會收到通知,告訴您憑證已成功導入,而且金鑰已撤銷。按一下「確定」(OK) 按鈕。
回到 Enigmail 金鑰管理視窗時,您會注意到 PGP 金鑰的變化。它現在變成灰色斜體字。
現在您已經擁有了所有的適當工具,請嘗試發送您自己的 PGP 加密電子郵件。