文件 > 應用程式指南 > 資訊管理 >

章 8. KGpg︰簽署和加密資料

目錄

8.1. 為何要簽署和加密?
8.2. 產生新的金鑰配對
8.3. 匯出公開金鑰
8.4. 匯入其他人的公開金鑰
8.5. 金鑰伺服器對話方塊
8.6. 加密資料
8.7. 如需更多資訊

您可以使用 GnuPG 的圖形使用者介面 KGpg 來簽署或加密資料。本程式可幫助您產生和管理所有必需的金鑰。使用其編輯器功能可快速建立和加密檔案,或使用面板中的 Applet 以拖曳方式加密或解密檔案。其他程式如郵件程式 (Kontact 或 Evolution) 等都需要金鑰資料來處理已簽署或加密的資料。後續幾節將介紹在使用 KGpg 簽署及加密資料時如何執行下列必要步驟:

  1. 產生新的金鑰配對

  2. 匯出公開金鑰

  3. 匯入其他人的公開金鑰

  4. 加密資料

8.1. 為何要簽署和加密?

簽署

簽署是指在郵件甚至是軟體中附加電子簽名,以檢驗其來源。為了避免他人冒用您的名義撰寫郵件以及保護您和收件者的安全,您應當對自己的郵件進行簽署。借助簽名,您可以輕鬆地檢查所收到之郵件的寄件者,並區分可信郵件和惡意郵件。

軟體開發人員會在其軟體上進行簽署,以便您能夠檢查軟體的完整性。即使軟體並非來自正式伺服器,您也可以使用簽章來驗證套件。

加密

您可能有一些機密資訊不希望他人獲悉。加密可以幫助您轉換這些資料,使其他人無法讀取。這對於必須保護內部資訊以及員工隱私的公司而言尤為重要。

8.2. 產生新的金鑰配對

若要和其他使用者交換加密的訊息,首先要產生您自己的金鑰配對。其中一部分 (公開金鑰) 是配送給您的通訊夥伴,讓它可以用來加密所傳送的檔案或電子郵件訊息。金鑰配對的另一個部分 (私密金鑰) 是用來解密加密的內容。

[Important]私密金鑰與公開金鑰

只有您能夠存取私密金鑰。請勿授權其他使用者存取此資料。

私密金鑰受密碼片語的保護。請謹慎選擇密碼片語:不要使用字典中的單字,要將字母與非字母字元組合使用。

若要建立新的金鑰配對,請執行以下步驟:

  1. 從主功能表啟動 KGPG 或按 Alt+F2 並輸入kgpg。第一次啟動程式時,將會有精靈引導您完成組態設定。請依照指示在提示您的地方建立金鑰。

  2. 若要建立新的金鑰配對,請選取金鑰+產生金鑰配對

    圖形 8.1. KGpg:建立金鑰

    KGpg:建立金鑰

  3. 輸入名稱、電子郵件地址,並選擇性輸入註解。如果您不喜歡提供的預設設定,請同時設定金鑰的到期時間、金鑰大小以及所使用的加[密演算法。

  4. 若要產生標準金鑰,請按一下確定確認您的設定。按一下確定之後,會有一個對話方塊提示您輸入密碼片語兩次。密碼片語會保護您的私密金鑰。密碼強度計量器 (Password Strength Meter)會測量並顯示您所選的密碼的相對長度。此時會產生金鑰配對。這個過程可能需要一些時間。

    [Note]進階模式

    如果您經驗豐富,可以使用專家模式定義其他選項。此操作會開啟終端機視窗,您可以在其中設定要產生的金鑰類型、金鑰大小 (以位元計) 以及過期日。輸入名稱與電子郵件地址後,系統會提示您輸入用於保護私密金鑰的密碼片語。

  5. 金鑰產生過程結束後,會顯示一個摘要。儲存並列印註銷憑證,然後將其保存在安全的位置。當您忘記密碼片語時,需要使用此證書來廢止該密碼片語。在您按確定確認後,KGpg 會顯示其主視窗,表示您已完成操作。

    圖形 8.2. KGpg 視窗:金鑰管理

    KGpg 視窗:金鑰管理

主視窗顯示您的金鑰圈中所包含的金鑰:您自己的金鑰以及您匯入的其他人的金鑰。GnuPG 使用一種較為複雜的金鑰配對實作,因此每個使用者名稱均會對應多個子金鑰,但這一點與本章之目的相關性較小,所以未在此處予以說明。除了金鑰與 ID 的過期日或建立日期等詳細資料之外,主視窗還會顯示每個金鑰的信任等級,並以不同的色彩表示。白色表示信任等級未知,藍色表示信任等級高。如需詳細資訊,請參閱第 8.4.2 節「信任金鑰」

[Note]KGpg 圖示與主視窗

在稍後的工作階段中啟動 KGpg 時,系統匣中只會顯示包含掛鎖的小圖示。按一下該圖示可在桌面上顯示 KGpg 主視窗。

8.3. 匯出公開金鑰

在產生金鑰配對之後,要讓其他使用者使用公開金鑰。這樣可讓他們使用金鑰來加密或簽署傳送給您的訊息或檔案。例如,您利用使用者 tux 的公開金鑰來加密傳送給他的郵件。tux 則使用自己的私密金鑰來解密郵件。如果 tux 要向您傳送郵件,他會使用您的公開金鑰加密郵件,而您要使用您的私密金鑰來解密該郵件。

若要讓其他人可以使用公開金鑰,請選取金鑰+匯出公開金鑰。開啟的對話方塊提供四個選項:

電子郵件

您的公開金鑰會透過電子郵件傳送給您選擇的收件者。如果您啟用此選項並按一下確定予以確認,則會出現一個對話框,讓您以預設的郵件程式建立一封新的電子郵件。請輸入收件者並按一下傳送。收件者將收到您的金鑰並用來傳送加密內容給您。

剪貼簿

您可以在繼續處理之前先將公開金鑰放置在此處。

預設金鑰伺服器

若要讓大量的使用者使用您的公開金鑰,請將它匯出到網際網路上其中一個金鑰伺服器。若需更多資訊,請參閱第 8.5 節「金鑰伺服器對話方塊」

檔案

如果您想要透過資料媒體中的檔案而不是以傳送電子郵件的方式配送您的金鑰,請按一下此選項,確認或變更檔案路徑與名稱,再按一下確定

8.4. 匯入其他人的公開金鑰

如果您在檔案中收到金鑰 (例如,電子郵件附件),可以使用匯入金鑰將它整合到您的金鑰環中,用來和傳送者進行加密通訊。如果您要與其通訊的人已將其公開金鑰儲存在公用伺服器中,則您還可以從該伺服器匯入金鑰。如需詳細資訊,請參閱第 8.5 節「金鑰伺服器對話方塊」。這個程序和上述的匯出金鑰相似。

8.4.1. 簽署金鑰

金鑰可以像任何其他檔案一樣簽署,以保證驗證性與完整性。如果您十分確定匯入的金鑰屬於擁有者指定的個人,您可以用簽章來表達您對金鑰驗證性的信任。

[Important]建立信任網路

加密的通訊僅可保障在特定使用者之間流通的公開金鑰之延伸。藉由交叉確認以及簽署這些金鑰,便可促成信任網路的建立。鑒於這些原因,請確定只簽署您親自檢查過的金鑰。

使用金鑰之前,您需要自行對其進行簽署。

過程 8.1. 簽署金鑰

  1. 金鑰管理視窗中,選取金鑰清單中要簽署的金鑰。

  2. 選取金鑰+簽署金鑰

  3. 在以下對話方塊中,選取要用於簽名的私密金鑰。簽署之前會出現警示,提醒您檢查這個金鑰的驗證性。在下拉式清單中,選取您在檢查金鑰是否屬於您要通訊的人時的仔細程度。

  4. 按一下繼續並在下一步中輸入密碼片語。輸入密碼片語亦即使用自己的私密金鑰簽署金鑰。完成之後,經簽署的金鑰便會以綠色顯示在信任欄中。

其他使用者現在可以藉由您的公開金鑰來檢查簽章。

8.4.2. 信任金鑰

通常,對應的程式將詢問您是否信任該金鑰,也即您是否認為它確實由其授權擁有者使用。這在每次需要加密郵件或檢查簽名時都會發生。要避免這種情況,可以編輯新匯入金鑰的信任等級。若要信任金鑰並設定某個信任等級,請執行以下操作:

  1. 在金鑰上按一下滑鼠右鍵,然後選取金鑰內容

  2. 擁有者信任下拉式清單中,調整信任等級。此值表示您對此金鑰擁有者能正確驗證其簽署之金鑰身分的信任程度。

  3. 關閉內容對話方塊。如果將信任等級設定為完全最高,則信任欄中的金鑰會立即顯示為藍色。

信任程度越低,表示您信任金鑰簽署者已經檢查簽署金鑰身分的程度也越低。有時,您可能完全信任某位簽署者的身分,但該使用者在簽署他人的金鑰時,或許並未適當檢查過其身分。請注意,信任等級不會觸發 KGpg 執行的任何自動動作。

8.5. 金鑰伺服器對話方塊

數個以網際網路為基礎的金鑰伺服器,提供許多使用者的公開金鑰。若想要與大量使用者進行加密通訊,請使用這些伺服器來配送您的公開金鑰。基於此原因,請將您的公開金鑰匯出至其中一個伺服器。同樣地,KGpg 可供您在這些伺服器其中之一搜尋一些人的金鑰,並從伺服器匯入他們的公開金鑰。請從檔案+金鑰伺服器對話方塊來開啟金鑰伺服器對話方塊。

8.5.1. 從金鑰伺服器匯入金鑰

利用金鑰伺服器對話方塊中的匯入分頁,可從其中一個網際網路為基礎的金鑰伺服器匯入公開金鑰。選取其中一個預先設定的金鑰伺服器,並輸入搜尋字串 (通訊夥伴的電子郵件地址) 或要尋找的金鑰 ID。當您按一下搜尋時,系統會連接至網際網路,搜尋指定的金鑰伺服器以尋找符合您規格的金鑰。

圖形 8.3. 匯入金鑰的搜尋畫面

匯入金鑰的搜尋畫面

如果您在金鑰伺服器上的搜尋成功,取回的所有伺服器項目清單會顯示在新視窗中。選取想要包括在您金鑰環中的金鑰並按一下匯入。按一下確定確認以下訊息,然後按一下關閉結束金鑰伺服器對話框。然後匯入的金鑰會出現在金鑰管理員的主要概觀中,並且可供使用。

8.5.2. 將您的金鑰匯出至金鑰伺服器

若要將您的金鑰匯出到網際網路上可自由存取的金鑰伺服器,請選取金鑰伺服器對話方塊中的匯出分頁。利用兩個下拉式功能表指定目標伺服器和要匯出的金鑰。然後按匯出來開始匯出。

圖形 8.4. 將金鑰匯出至金鑰伺服器

將金鑰匯出至金鑰伺服器

8.6. 加密資料

產生金鑰配對、匯出您的公開金鑰並從其他人處匯入公開金鑰之後,您還可以傳送或接收加密郵件。請參閱第 5.2.5 節「簽署與加密電子郵件」 瞭解如何使用 KMail 中的這些選項。

KGpg 還能加密文字。若要開啟整合的編輯器,請選擇檔案+開啟編輯器

8.6.1. 從檔案管理員加密與解密

KGpg 也已整合到 Dolphin 或 Konqueror 等檔案管理員中。通常,PGP 加密的檔案會帶有字尾 asc。系統提供了多個在檔案管理員中加密或解密檔案的選項。

加密檔案

若要在檔案管理員中加密檔案,請在檔案上按一下滑鼠右鍵,然後選取動作+加密檔案。在對話框中選擇其中一個信任的金鑰。按一下對話框中的確定,即會在同一個目錄下建立一個字尾為 asc 的新檔案。

即時解密檔案

若要即時對加密的檔案進行解密,請在檔案上按一下滑鼠右鍵,然後選取用 KGpg 開啟。如果原始的檔案名稱已經存在,系統會開啟對話方塊以詢問您如何命名檔案或者要覆寫檔案。KGpg 會提示您輸入私密金鑰的密碼,並將解密檔案儲存在同一目錄下。

使用編輯器解密

若要使用編輯器對加密的檔案進行解密,請在檔案管理員中以右鍵按一下檔案,然後選取動作+檢視解密後檔案

8.6.2. KGpg 編輯器

如果不想先在外部編輯器中建立加密內容,然後再用上述方法之一加密檔案,可以使用 KGpg 的整合編輯器。若要開啟編輯器,請選取檔案+開啟編輯器。在編輯器中,輸入所需文字 (或從剪貼簿或任何檔案複製到編輯器中),然後按一下加密。接著選取要使用的金鑰,並完成加密程序。若要解密檔案,請使用 解密,並輸入與金鑰相關的密碼。

產生並檢查簽名與直接從編輯器加密一樣簡單。移至簽名+產生簽名,接著從檔案對話方塊中選取要簽名的檔案。選取要使用的私密金鑰,並輸入相關密碼。KGpg 會通知您成功產生簽名。檔案也可從編輯器產生簽章,僅需按一下簽署/確認。若要檢查已簽署的檔案,請移至簽名+確認簽名,然後從以下對話方塊中選取要檢查的檔案。確認選擇後,KGpg 將檢查簽名並報告作業結果。其他可能性是將簽名檔案載入編輯器並按一下簽名/確認

8.7. 如需更多資訊

如需加密方法的所有背景資訊,請參閱 http://www.gnupg.org/documentation/index.en.html 上的 GnuPG 專案頁面。

文件 > 應用程式指南 > 資訊管理 >