PGP MAC OSX 工具指南

PGP MAC OSX 工具指南

蘋果電腦的郵件加密

**學習內容:[

  • 電子郵件](umbrella://lesson/email)** 下載處:
  • GPG Suite
  • Mozilla Thunderbird
  • Enigmail 系統需求:網路連線、運行 OS X 作業系統的蘋果電腦、電子郵件帳號 本指南使用版本: - GPG Suite Beta 4
  • Mozilla Thunderbird 31.2.0
  • Enigmail 1.7.2 版權宣告:自由軟體;混合式自由軟體 程度:專家 其它參考資料: http://support.gpgtools.org/ 需要時間: 30-60 分鐘

PGP 可讓你:

  • 保護你的郵件通訊安全不會讓收件者以外的人所讀取
  • 證明郵件是來自某人而不是任意偽造送寄者的訊息(要偽造寄出電子郵件並不困難)。這兩者都是遇上被監控或是資訊被誤導時的重要防衛。

1.0 開始之前

使用 Pretty Good Privacy(PGP),需要先安裝某些額外軟體以相容於你所使用的電子郵件程式。你也需要創建保一個保存良好隱祕的私鑰。這組私鑰可以讓你解密給你的郵件訊息,進行數位簽證來憑證你真的是寄件者。最後,你會知道如何傳播你的公鑰資訊給需要知道的人,好讓他們可以寄送給你加密的郵件以及確認你寄來的郵件。

本指南讓你知道如何在蘋果電腦上使用 PGP,不管是利用其內鍵的 Mail 郵件軟體還是 Mozilla Thunderbird,後者是一個開源流行的電郵軟體。

你無法在網頁電郵,如 Gmail、Hotmail、 Yahoo! Mail 或 Outlook Live 上直接使用 PGP,但你還是能利用這些網頁郵件來設定電腦上的 Thunderbird 接收寄送。

留意電子郵件的寄收兩端都必須使用 PGP 相容軟體才能發功效。

通常人們只在自己個人電腦上才使用 PGP 而不會在公用電腦上進行。幸好現在 PGP 已經普遍能在多數的桌面環境、手機設備上運作,你可以告訴對方如何找到適合他們安裝使用的版本資訊。這份指南則是給蘋果電腦使用者的說明。

2.0 在蘋果電腦上安裝 GPGTools

PGP 是一個開放標準,這意謂著多種軟體皆可利用它。這裏我們要介紹的 PGP 軟體叫作 GPG Suite,它是來自 GPG Tools,其運行在蘋果電腦,任何人皆可免費使用。它同時也是開源軟體,其碼源可受外界檢驗是否有問題或是後門。

一旦安裝好 GPG Suite,可初次設定自己的密鑰,然後在 Apple Mail 上啟動 PGP,或是使用 Thunderbird 郵件軟體。

步驟 1: 安裝程式

首先打開瀏覽器,到 https://www.gpgtools.org/並選擇 “Download GPG Suite.“ image

最後會看到一個磁碟圖像,請點擊它來進行軟體安裝。如果不熟悉在自己的電腦上安裝第三方的軟體,可請求精通蘋果電腦的朋友來協助。這些人未必須要懂關於 PGP 或加密的知識。 image

點擊安裝後會出現一串將加到電腦上的工具列表。 image

在這裏到底安裝了什麼?

有些工具在枱面背景下工作,因此你的蘋果電腦上可能有不少程式會用得上 PGP。想想其它程式可以用到的程式,而不只是你直接使用的那幾個應用軟體。 GPGMail 可讓 Apple Mail 來傳送與讀取 PGP 電郵,GPG Keychain Access 可讓你在蘋果電腦上儲存其它密碼一樣的方式來保存公鑰和私鑰。

GPGServices 可選地在 OS X 新增了一項功能,能讓用戶直接在一些軟體中使用 PGP (例如,文字處理編輯軟體)。GPGPreferences 則是負責管理蘋果電腦上的 PGP 偏好設定變更。最後, MacGPG2 是任何軟體需要來進行加密和簽名任務的基本工具。

2014年 10 月, GPG Tools 團隊宣佈 GPGMail 即將開始收費,它是套件包的一部份,可讓用戶在蘋果電腦的 Mail 應用程式下來使用 GPG。 這裏的教學則是以關於 Thunderbird 的 GPG 使用,所以其不會使用這個元件。如果願意,用戶可繼續只使用 GPG Suite 兔費的部份。這個選項有益於這些自由軟體,表示用戶仍然可以自由地來檢查、編輯和散佈 GPG Mail 的基礎源代碼,因此它們能更為安全。更多資訊,請參考 GPG Tool 的說明 own FAQ

點 “Continue” 來安裝 GPG Suite. image

安裝完成後,如果它未自動開啟,請打開 GPG Keychain (可在應用程式目錄下找到),它會彈出要你在安裝後要來製作自己的 PGP 金鑰。點「新建」來產生一組 PGP 密鑰。 image

步驟 2: 建立 PGP 金鑰

有時在安裝新軟體時,電腦會纏著你詢問一些沒有明確答案的問題,也不給任何清楚的回答提示,這裏便是其中之一。

要緊的是,花一點時間來想想你所給出的回答,因為變更 PGP 密鑰的資料可能之後會難以再變動。如果你已將公鑰在某處公開,你就無法再作回復的動作。(自1990年代後,就有上千個舊公鑰四處流動,它們都帶著創建人的姓名和舊的電郵地址。)

PGP 金鑰包含姓名和電子郵件地址,以和當事人有所關連結。這個電子郵件地址將會其它人來找到利用關聯公鑰以用來加密要寄給你的電子訊息。

何時不應在 PGP 金鑰中放入自己的真名或是電郵地址?何種情況不適合上傳我的公鑰?

對大多數人而言,在金鑰中放入真正使用的電郵地址並上傳到公鑰伺服器是合情合理,這樣才便於讓他人可以找到你的金鑰,以便直接利用正確的公鑰寄送加密的電郵給你。當他們收到有你的數位簽名電子郵件時,也能知道的確是你寄出的訊息。

然而對於某些人來說,並不適當把自己的真實姓名放入到金鑰。例如如果個人的威脅模型狀況,一旦自己的身份公開地連結到某些公鑰(或是電郵地址),恐怕會有不好旳結果。Edward Snowden 利用 PGP 和一個匿名的電郵地址來和新聞記者聯絡,之後才揭露自己的真實身份;他的 PGP 金鑰並未標註自己的實名。

上傳公開你的公鑰是一項正常行為,但這也會揭露你正在使用加密工具,即便你沒用自己的真名。此外,我們將會介紹, 其它人或許會上傳以為你名義的公鑰,暗示你和他們之間有所關聯。如果你使用了密鑰通訊但不希望外人知道,這種情況可能會帶來傷害。如果你沒用密鑰通訊,這也很麻煩,因為你的攻擊者想讓別人認為你和上傳者有關。

這裏談點精粗淺的介紹:如果你考慮使用假名,請用這個假名(和替代電郵地址)來標記你的金鑰。如果處在更危險的環境,根本不希望讓別人知道你有使用 PGP 或是察覺你所通訊聯繫的對像,就不要上傳公鑰到公開的伺服器。此外也要確保與你通信知道你公鑰的聯絡人,不會把你的公鑰上傳。另一個方法是驗證這些從公鑰伺服器上的取得 的公鑰,請見電子前鋒基金會的 Key Verification 求取進一步資訊。

點擊 “Upload public key after generation” 方框,好讓其它人可以快速地找到你的公鑰,以便寄送加密郵件。也可以把你的電話號碼放入到公開的電話目錄:你雖用不上,但這樣方便別人查找。

產生金鑰之前,擴大為「進階選項」,備註處可以留空白,選擇金鑰類型為”RSA and RSA (default).” 確保將長度欄改為 4096。 image

你的密鑰可能過了一段時間後會到期。這種情況下,有些人會停止使用過期的密鑰來傳送郵件。所以你也不會收到任何警告或解釋原因的訊息,或者你希望註記上日期來提醒你即將到期的問題。

它可以延長現有密鑰的到期日,也可以用另一組新密鑰來替換。但兩者都需要通知收件人讓他們獲得更新的密鑰資訊。而目前這套軟體尚無法自動作到這點,所以你得自己留意;如果你不認為自己可以搞定此事,不妨考慮設定一組永不過期的密鑰。如果你不再保有這組私鑰或不再使用 PGP,某些人可能還是會利用這個資訊來聯絡你。

準備妥當之後,請點”Generate key”按鈕。

此刻電腦會自動開始產生一組公私鑰,大約要花幾分鐘的時間來完成(因為電腦需要一點時間來收集亂數以建立金鑰。想像成電腦正在不斷重覆地擲一對骰子。) image

當完成了公私鑰的製作,在 GPG Keychain Access 會看到它已列在其中。你可以雙擊這個金鑰來看看它的相關資訊,包含它的「指紋」,指紋是一種特別的方式來識別你的 PGP 金鑰。

現在正是製作一個撤銷憑證的好時機。(撤銷憑證是一個檔案,讓金鑰所有人可以用來宣告自己不再信任原有的金鑰。當你仍持有私鑰時,可以先製作一份憑證,並保留它以備來日不時之需。) 之後,如果你擔心自己的私鑰可能被他人複製或是意外地刪除、還失了私鑰,或是忘了自己的私鑰密語,你就可以利用此憑證來告訴別人原有的金鑰己被撤銷或取消。

最好現在就建立一個吧,因為你需要私鑰和密語來建立撤銷憑證。如果以後才製作,你可能已遺失了私鑰或是弄丟忘了密語,那一切就來不及了。要建立撤銷憑證,請點擊你自己的金鑰,然後選擇 “Key” 選單條目,再選”Create Revocation Certificate.”。這時會彈出一個小視窗可讓你儲存該檔案到某個位置。你可能希望將此檔案和金鑰的備份放在一起(請見下一個步驟的說明)。

步驟 3: 備份自己的 PGP 私鑰

如果遺失了私鑰,將無法解密任何收到的 PGP 來信或是過去的舊郵件。另一方面,也要儘可能地維持私鑰的安全。

也許可以把私鑰備份到一個 USB 隨身碟,然後小心地把它安全地藏好。一旦當你遺失了原本的私鑰時,才把它派上用場。因安全考量,它最好能遠離,不會落入潛在對手手上。

如果攻擊者取得了我的 PGP 私鑰,所有的東西會消失嗎?

如果你的蘋果電腦,或是你的備份私鑰遺失,會怎樣呢?這是否意謂著你的 PGP 訊息就變得脆弱不堪?不:如果你有挑選了一個良好的密語,且沒人可以猜得出來,那麼應該大部份的資料都還能好好保護。考虙到安全,你可能要撤銷舊有的金鑰,並建立一組新的 PGP 密鑰。這不會阻止舊鑰變得無法解密過去的郵件訊息,但它會不便於其它人再利用舊的公鑰來寄新郵件給你。

要備份私鑰,請啟動 GPG Keychain Access,選擇你的私鑰檔案,點選工具列上的「滙出」。把 USB 隨身碟接上電腦,在儲存的對話框中選擇它作為存放目的地。勾選「同意私鑰滙出」的選項。

選項 A) 設定 Apple Mail

第一次啟動 Apple Mail 時,會看到一個安裝精靈來協助用戶設定其郵件地址。填入姓名、電郵地址和密碼後,點「建立」。 image

Mail 帳戶設定精靈

如果使用的像 Gmail 這類的免費電郵,當點選「繼續」按鈕後,Mail 應會自動地偵測其郵件設定。如果它無反應,則需要手動來調整郵件伺服器 IMAP/SMTP 設定。如果你不知道這些資訊,請聯絡你的電郵服務商,或詢問了解相關設定的技術人員(辦公室的 IT 人員,或使用相同郵件服務又懂技術的朋友。他們不必知道如何使用 PGP,但你可以請教他們如何設定你的Apple Mail 電子郵件的伺服器 IMAP 和 SMTP 設定)。

image

Mail 帳戶設定自動偵測

當你在撰寫新郵件時,主旨欄底下會有二個圖標,一個是小掛鎖(代表加密郵件)一個是星號(代表數位簽名的電子郵件)。如果掛鎖是關閉的,它表示這封電子郵件將 會被加密,如果星星有勾勾在上頭,則表示這封郵件會被數位簽署。

傳送 PGP 簽署的或是加密的郵件** image

你可以為寄出的郵件附上簽名,即便收件者未使用 PGP。因為數位簽署的電子郵件會要求送件者的私鑰,當第一次欲為電郵加上簽名時, Mail 會彈出一個視窗來詢問密私鑰的密語。

只有在收件人有使用 PGP 且你有其公鑰的時況下,才能寄給對方加密的郵件。如果加密的小掛鎖圖標為未上鎖狀態與灰色,這樣就不能點選它。這表示得先滙入收件人的公鑰。不管是直接請對方寄給你或是使用 GPG Keychain Access 應用在公共金鑰伺服器上找到對方的公鑰。

若要絕對安全,則需進一步查驗從公鑰伺服器下載的金鑰或是對方提供的金鑰。請參考電子前鋒基金會 EFF 的指南 Key Verification 來取得更多資訊。

選項 B) 在 Mozilla Thunderbird 上使用 PGP

接下來一步步介紹如何在自由、開源,由 Mozilla 開發的 Thunderbird 客戶端郵件軟體來使用 GPG,以及 Enigmail 的郵件加密外掛。

首先下載 Thunderbird https://www.mozilla.org/thunderbird, 一如之前在 GPG Tools的方法,掛戴該磁碟並把 Thunderbird 拉迄到應用程式區。當第一次啟動它時,它會詢問是否要將其設定為預設的電子郵件客戶端軟體。請繼續並點 “Set as Default.” image

接下來會看到初次使用的小幫手,設定現有的電子郵件地址,請選點 “Skip this and use my existing email“,然後輸入你的名字、電子郵件、密碼 image

如果你使用的是流行的免費信箱如 Gmail,Thunderbird 應可自動偵測其郵件設定,請點「繼續」 ”Continue“。如果它未奏效,則必須手動來調整郵件伺服器 IMAP/SMTP 設定。如果你不知道這些資訊,請聯絡你的電郵服務商,或詢問了解相關設定的技術人員求助。有時候 Thunderbird 只能猜測正確的設定。  

如果你啟動了 Google 二步驟驗證功能 (依你受到的威脅程度應該要啟用!) 在此你就無法使用一般的密碼登入 Thunderbird。相反地你得先設定一個特別的應用程式專用密碼給 Thunderbird 以便近用你的Gmail帳號.相關操作請見 Google’s 官網的指南 image

完成設定 Thunderbird 來檢查電子郵件後,請點「完成」,然後點選左上方的”Inbox”以載入電子郵件。

現在已安裝設定好了 Thunderbird 來收取寄送電子郵件,接下來則是安裝 Enigmail,它是 Thunderbird 軟體的 GPG 外掛。在 Thunderbird 程式下,點擊右上方的選單圖標,並選擇 Add-ons。 image

在右上方的搜尋方塊中找”enigmail” image

點擊 Enigmail 延伸套件旁的下載按鈕,好下載安裝 Enigmail,完成後,點”Restart Now” 來重新啟動 Thunderbird。

初次執行 Thunderbird 與 Enigmail 時,它會打開 OpenPGP 設定精靈。請按 “Cancel.”,我們要以手動方式來進行 Enigmail 設定。

點擊選單,滑動到偏好設定然後選擇帳號設定。 image

到 OpenPGP 安全分頁下,確保勾選了 “Enable OpenPGP support (Enigmail) for this identity”。”Use specific OpenPGP key ID” 也應被選最,如果你的金鑰尚未被選取,可以點”Select Key” 來選取密鑰檔案。

也須要勾選 “Sign non-encrypted message by default,” “Sign encrypted messages by default,” 以及 “Use PGP/MIME by default,” 但不包括 “Encrypt messages by default.”(大多數人適用)

如果和你通信的人大多有使用 PGP(或者你該多鼓勵他們這麼作),則可能會希望將加密設為默認。理想上最好可以加密所有送出的郵件,但這似乎不太可能。記住,僅能向有使用 PGP的收件者傳送加密郵件,你需要把對方的公鑰放入你的鑰匙圈。對大多數人而言,手動地選擇每一封郵件是否加密可能是比較合理的狀況。

image

點 “OK” 以儲存所有設定。

恭喜,你已完成了 Thunderbird 和 Enigmail 的設定!這裏有幾則快速要點:

  • 可以點擊選單按鈕,滑動到 OpenPGP 上方,然後打開 Key Management 來看看 PGP 密鑰管理員,這是 Enigmail 所內鍵的功能,它和 GPG Keychain Access很類似,可為使用的選擇。
  • 當撰寫新郵件時,在視窗的右下方有二個圖標:一個是筆(數位簽名的電子郵件)另一個是鑰匙(加密電子郵件)。如果圖標呈現金色,表示其為選中狀態,如果是銀色則為未被選取。在撰寫郵件時,點它們可以調整郵件的簽名和加密與否。 image