章 9. Seahorse︰簽署和加密資料

章 9. Seahorse︰簽署和加密資料¶

9.1. 簽署與加密
9.2. 產生新的金鑰組合
9.3. 修改金鑰內容
9.4. 匯入金鑰
9.5. 匯出金鑰
9.6. 簽署金鑰
9.7. 加密優先設定

GNOME 密碼及加密金鑰程式是系統中重要的加密基礎架構元件。借助此程式，您可以建立和管理 PGP 與 SSH 金鑰，匯入和匯出 PGP 與 SSH 金鑰，與其他人共用金鑰，備份金鑰與金鑰圈，快取密碼片語，以及加密和解密剪貼簿。選擇電腦+其他應用程式+工具+密碼及加密金鑰啟動程式

圖形 9.1. 密碼及加密金鑰主視窗

9.1. 簽署與加密¶

簽署即在電子郵件甚至是軟體中附加電子簽名，以檢驗其來源。為防止他人使用您的名字撰寫郵件，也為了保護您自己以及收件者，您應該為郵件加上簽名。借助簽名，您可以輕鬆地檢查所收到之郵件的寄件者，並區分可信郵件和惡意郵件。

軟體開發人員為軟體附加簽名，可以幫助您檢查軟體的完整性。即使軟體並非來自正式伺服器，您也可以使用簽名來驗證套件。

有一些機密資訊您可能不希望他人獲悉。加密可以幫助您轉換這些資料，使其他人無法讀取。這對公司而言很重要，因為這樣可以幫助他們保護內部資訊以及員工的隱私。

9.2. 產生新的金鑰組合¶

若要與其他使用者交換加密郵件，必須先產生自己的新金鑰組合。其中一部分 (公開金鑰) 配送給您的通訊夥伴，讓他可以用於加密所傳送的檔案或電子郵件。金鑰組合的另一個部分 (私密金鑰) 是用來解密加密的內容。


公開金鑰適用於公共場合，應該配送給您所有的通訊夥伴。但是，只有您才可以存取私密金鑰。請勿授權其他使用者存取此資料。

9.2.1. 建立 OpenPGP 金鑰¶

OpenPGP 是一項非專屬的通訊協定，使用基於 PGP 的公開金鑰加密方法來加密電子郵件。它為交換公開金鑰定義了加密郵件的標準格式、簽名、私密金鑰以及證書。

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
按一下檔案+新增+PGP 金鑰。
指定您的全名、電子郵件地址以及備註 (如有需要)。
按一下進階金鑰選項可指定金鑰的進階選項。
加密類型
指定用於產生金鑰的加密演算法。建議選擇DSA ElGamal，因為它可讓您加密、解密、簽署以及驗證 (如有需要)。DSA (僅簽名)與RSA (僅簽名)只允許簽署。
金鑰效力
以位元為單位指定金鑰長度。金鑰越長便越安全 (如果使用增強式密碼片語的話)，但請注意，使用長金鑰執行任何操作都會比使用短金鑰所需時間長。接受的值為 1024 至 4096 個位元。建議至少為 2048 個位元。
過期日期
指定金鑰不再可用於執行加密或簽名操作的日期。此時間段過後，您必須變更過期日或產生新金鑰或子金鑰。在舊金鑰過期前，用其簽署新金鑰可保持信任狀態。
按一下建立以建立新金鑰組合。
此時會開啟新 PGP 金鑰的密碼片語對話方塊。
指定新金鑰的密碼片語兩次，然後按一下確定。
指定密碼片語的方式與建立增強式密碼的方式相同。密碼與密碼片語的主要區別在於密碼片語中可以使用空格字元。

9.2.2. 建立安全外圍程序金鑰¶

安全外圍程序 (SSH) 是指登入遠端電腦以在其中執行指令的方法。SSH 金鑰用於基於金鑰的驗證系統，這種系統可替代預設的密碼驗證系統。使用基於金鑰的驗證時無需手動輸入密碼來進行驗證。

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
按一下檔案+新增+SSH 金鑰。
選取安全外圍程序金鑰，然後按一下繼續。
對金鑰的用途加以描述。
您可以使用電子郵件地址或其他任何提醒。
或者，按一下進階金鑰選項以指定下列進階金鑰選項。
加密類型. 指定用於產生金鑰的加密演算法。選取RSA將使用 Rivest-ShamirAdleman (RSA) 演算法建立 SSH 金鑰。這是建議的操作，也是更安全的選擇。選取DSA將使用數位簽名演算法 (DSA) 建立 SSH 金鑰。
金鑰效力. 以位元為單位指定金鑰長度。金鑰越長便越安全 (如果使用增強式密碼片語的話)，但請注意，使用長金鑰執行任何操作都會比使用短金鑰所需時間長。接受的值為 1024 至 4096 個位元。建議至少為 2048 個位元。
按一下只建立金鑰以建立新金鑰，或按一下建立並設定以建立金鑰並設定其他電腦使用該金鑰進行驗證。
指定新金鑰的密碼片語，再按一下確定，然後重複以上動作。
指定密碼片語的方式與建立增強式密碼的方式相同。密碼與密碼片語的主要區別在於密碼片語中可以使用空格字元。

9.3. 修改金鑰內容¶

您可以修改現存 OpenPGP 或 SSH 金鑰的內容。

9.3.1. 編輯 OpenPGP 金鑰內容¶

本節的描述適用於所有 OpenPGP 金鑰。

按一下電腦+其他應用程式+工具+密碼及加密金鑰，然後切換至我的個人金鑰分頁。
連按兩下要檢視或編輯的 PGP 金鑰 (或選取該金鑰，然後按一下工具列中的內容)。
使用擁有者分頁上的選項，可以為金鑰新增相片或變更與金鑰相關的密碼片語。
相片 ID 允許金鑰擁有者將自己的一或多張圖片嵌入金鑰。這些身分可以像一般的使用者 ID 一樣進行簽署。相片 ID 必須為 JPEG 格式。建議大小為 120×150 像素。
如果所選影像不符合要求的檔案類型或大小，「密碼及加密金鑰」可即時調整其大小或將其轉換成 GDK 文件庫支援的影像格式。
按一下名稱與簽名分頁，將使用者 ID 新增至金鑰。
如需相關資訊，請參閱第 9.3.1.1 節「新增使用者 ID」。
按一下詳細資料分頁，其中包含以下內容：
金鑰 ID: 金鑰 ID 類似於指紋，但它僅包含指紋的最後八個字元。通常情況下，僅透過金鑰 ID 即可識別金鑰，但有時兩個金鑰可能會有相同的金鑰 ID。
類型：. 指定用於產生金鑰的加密演算法。DSA 金鑰只能用於簽名。ElGamal 金鑰用於加密。
效力：. 指定金鑰的位元長度。金鑰越長便越安全。但是，長金鑰並不能彌補效力不足的密碼片語。
指紋：. 準確職別金鑰的唯一字元字串。
已建立: 建立金鑰的日期。
到期: 金鑰不能再使用的日期 (金鑰到期後不能再用於執行金鑰操作)。將金鑰的過期日變更為將來的某個時間可重新啟用該金鑰。通常比較好的作法是擁有一個永久有效的萬能金鑰，然後再由此萬能金鑰簽署多個會過期的子金鑰。
覆寫擁有者信任︰. 您可以在此設定對金鑰擁有者的信任層級。信任度可指示您對某個人是否能正確延伸信任網路的把握度。當遇到您未簽署的金鑰時，對方金鑰的有效性就取決於所收集的簽名以及您是否信任進行簽名的人。
匯出整個金鑰︰. 將金鑰匯出至檔案。
子金鑰：. 如需相關資訊，請參閱第 9.3.1.2 節「編輯 OpenPGP 子金鑰內容」。
按一下關閉。

9.3.1.1. 新增使用者 ID¶

使用者 ID 允許將多個身分與電子郵件地址用於同一個金鑰。舉例而言，當您需要一個身分用於工作，另一個身分用於朋友間的信件往來時，便可以新增使用者 ID。它們採用以下格式：

Name (comment) <e-mail address>

按一下電腦+其他應用程式+工具+密碼及加密金鑰，然後切換至我的個人金鑰分頁。
連按兩下要檢視或編輯的 PGP 金鑰 (或選取該金鑰，然後按一下工具列中的內容)。
按一下名稱與簽名分頁，然後按一下新增名稱。
在全名欄位中指定名稱。
此欄位中至少須輸入五個字元。
在電子郵件地址欄位中指定電子郵件地址。
透過您的電子郵件地址，大多數人可在金鑰伺服器或其他金鑰提供者處找到金鑰。繼續操作之前，請確定地址正確無誤。
在金鑰備註欄位中，指定要顯示在新 ID 名稱中的其他資訊
此資訊可在金鑰伺服器中進行搜尋。
按一下關閉。

9.3.1.2. 編輯 OpenPGP 子金鑰內容¶

每個 OpenPGP 金鑰都有一個僅用於簽名的萬能金鑰。子金鑰則用於加密與簽名。在這種方式下，如果子金鑰洩露，您無需廢止萬能金鑰。

按一下電腦+其他應用程式+工具+密碼及加密金鑰，然後切換至我的個人金鑰分頁。
連按兩下要編輯的 PGP 金鑰 (或選取該金鑰，然後按一下工具列中的內容)。
按一下詳細資料分頁，然後按一下子金鑰。
使用對話方塊左側的按鈕可新增、刪除、廢止子金鑰，或使其過期。
每個子金鑰都包含以下資訊：
ID: 子金鑰的識別碼。
類型：. 指定用於產生子金鑰的加密演算法。DSA 金鑰只能用於簽名，ElGamal 金鑰只能用於加密，而 RSA 金鑰可用於簽名或加密。
已建立: 指定建立金鑰的日期。
到期: 指定金鑰不能再使用的日期。
狀態：. 指定金鑰的狀態。
效力：. 指定金鑰的位元長度。金鑰越長便越安全。但是，長金鑰並不能彌補效力不足的密碼片語。
按一下關閉。

9.3.2. 編輯安全外圍程序金鑰內容¶

本節的描述適用於所有 SSH 金鑰。

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
連按兩下要檢視或編輯的安全外圍程序金鑰 (或選取該金鑰，然後按一下工具列中的內容)。
使用金鑰分頁上的選項可以變更金鑰名稱或與該金鑰相關的密碼片語。
按一下詳細資料分頁，其中包含以下內容：
演算法：. 指定用於產生金鑰的加密演算法。
強度：. 指示金鑰的位元長度。金鑰越長便越安全。但是，長金鑰並不能彌補效力不足的密碼片語。
位置：. 私密金鑰的儲存位置。
指紋：. 準確職別金鑰的唯一字元字串。
匯出整個金鑰︰. 將金鑰匯出至檔案。
按一下關閉。

9.4. 匯入金鑰¶

匯入金鑰：

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
按一下檔案+匯入。
選取包含至少一個 ASCII 封裝之公開金鑰的檔案。
按一下開啟以匯入金鑰。

您還可以在「密碼及加密金鑰」中貼上金鑰。

選取 ASCII 封裝的公用文字區塊，然後將其複製到剪貼簿。
按一下電腦+其他應用程式+工具+密碼及加密金鑰。
按一下編輯+貼上

9.5. 匯出金鑰¶

匯出金鑰：

按一下電腦+其他應用程式+工具+密碼及加密金鑰，然後切換至我的個人金鑰分頁。
選取您要匯出的金鑰。
按一下檔案+匯出。
指定匯出金鑰的檔案名稱與位置。
按一下儲存以匯出金鑰。

您還可以將金鑰做為 ASCII 封裝的文字區塊匯出至剪貼簿。

按一下電腦+其他應用程式+工具+密碼及加密金鑰，然後切換至我的個人金鑰分頁。
選取您要匯出的金鑰。
按一下編輯+複製。

9.6. 簽署金鑰¶

簽署其他人的金鑰表示您信任這個人。在簽署金鑰之前，請仔細檢查金鑰的指紋以確定該金鑰確實屬於這個人。

信任度可指示您對某個人是否能正確延伸信任網路的把握度。當遇到您未簽署的金鑰時，對方金鑰的有效性就取決於所收集的簽名以及您是否信任進行簽名的人。依預設，未知金鑰需要三個具有臨界信任值的簽名或一個完全受信任的簽名。

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
從我的個人金鑰或其他金鑰分頁中選取要簽署的金鑰。
按一下檔案+簽署。
選取金鑰檢查的仔細程度，然後指示簽名是否應位於金鑰圈，以及簽名是否可以廢止。
按一下簽名。

9.7. 加密優先設定¶

「密碼及加密金鑰」工具的功能可以進行自訂。本節對可能出現的選項進行了介紹。

9.7.1. 密碼金鑰圈¶

您可以使用密碼金鑰圈優先設定來建立或移除金鑰圈，設定應用程式密碼的預設金鑰圈，或變更金鑰圈的解鎖密碼。若要建立新的金鑰圈，請執行以下步驟：

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
按一下檔案+新增+密碼鑰匙圈，然後按一下繼續。
為金鑰圈輸入新名稱，然後按新增。
為金鑰圈設定新的密碼並確認，然後按一下建立。

若要變更現存鑰匙圈的解鎖密碼，請按一下密碼分頁中的鑰匙圈，然後按變更密碼。變更解鎖密碼時必須提供舊密碼。

若要變更應用程式密碼的預設鑰匙圈，請按一下密碼分頁中的鑰匙圈，然後按設為預設值。

9.7.2. 金鑰伺服器¶

您可以定期將金鑰與遠端金鑰伺服器同步，以便讓金鑰保持最新。同步可確保您在所有金鑰上均作了最新簽名，以便信任網路能夠發揮效用。

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
按一下編輯+優先設定，然後按一下金鑰伺服器分頁。
「密碼及加密金鑰」支援 HKP 與 LDAP 金鑰伺服器。
HKP 伺服器：. HKP 金鑰伺服器是一般的網路金鑰伺服器，例如廣受歡迎的 hkp://pgp.mit.edu:11371 (亦可存取 http://pgp.mit.edu)。
LDAP 金鑰伺服器：. LDAP 金鑰伺服器較為少見，它對金鑰使用的是標準的 LDAP 協定。ldap://keyserver.pgp.com 便是一個不錯的 LDAP 伺服器。
您可以使用左側的按鈕來新增或移除要使用的金鑰伺服器。若要新增金鑰伺服器，請視需要設定其類型、主機與連接埠。
設定是否要自動發佈您的公開金鑰，以及要使用的金鑰伺服器。設定是否要自動從金鑰伺服器擷取金鑰，以及是否將修改的金鑰與金鑰伺服器同步。
按一下關閉。

9.7.3. 金鑰共享¶

金鑰共享由 DNS-SD (也稱為 Bonjour 或 Rendezvous) 提供。啟用金鑰共享會將「密碼及加密金鑰」本地使用者的公開金鑰圈新增至遠端搜尋對話方塊。使用這些本地金鑰伺服器通常會比存取遠端伺服器更快。

按一下電腦+其他應用程式+工具+密碼及加密金鑰。
按一下編輯+優先設定，然後按一下金鑰共享分頁。
選取在我的網路中共享我的金鑰。
按一下關閉。