只要正確使用加密,您的通訊或資訊應該只能由您以及與您通訊的人讀取。端對端加密可保護您的資料不受第三方的監視,但是如果您不確定正在與您通話的人的身分,那麼端對端加密所能發揮的功能便很有限。這也就是金鑰驗證所要介入的地方。藉由驗證公開金鑰,您與通訊對象透過確認彼此的身分,為您的通訊添加了另一層保護,讓您能更確定您是在跟正確的對象通訊。
金鑰驗證是一種在端對端加密的協定中常見的功能,例如 PGP 和 OTR。在 Signal,它們被稱為「安全號碼 (safety numbers)」。要在排除干擾風險的環境下驗證金鑰,建議使用與要加密的金鑰不同的另一種通訊方法,也就是頻外驗證(out-of-band verification)。例如,假設你們正在驗證 OTR 指紋,你們也可用電子郵件互相發送指紋。在這個例子中,電子郵件就是第二種驗證的通訊管道。
頻外金鑰驗證 Anchor link
有幾種方法可以完成頻外驗證。如果可以安全、方便地進行驗證,那麼面對面驗證金鑰會是最理想的方式。這通常會在交換金鑰聚會或同事之間達成。
如果無法面對面,除了您正用來驗證金鑰的通訊方式,您也可以用其他方式與您的通訊對象聯繫。例如,假設您正試圖與某人驗證 PGP 金鑰,您可以使用電話或 OTR 交談來完成驗證。
無論您使用的是哪個程式,您都能夠找到您與您通訊對象的金鑰。
雖然各個程式查找金鑰的方法有所不同,驗證金鑰的方法大致上是相同的。您可以將您的金鑰指紋大聲讀出來 (如果您是面對面或使用電話),或是複製貼上到通訊程式中,但無論您選擇哪種方式,都務必要檢查每位字母和數字。
提示:嘗試與您的朋友驗證金鑰。要了解如何驗證特定程式中的金鑰,請瀏覽該程式的操作指引。
上次查閱:
2017 年 1 月 13 日