8 密碼及金鑰︰簽署及加密資料 #
GNOME 密碼及金鑰程式是系統中重要的加密基礎架構元件。憑藉此程式,您可以建立及管理 PGP 與 SSH 金鑰;輸入、輸出及共用金鑰;備份金鑰與金鑰圈;快取密碼片語。
選擇
› › 以啟動程式8.1 簽署與加密 #
簽署: 在資訊片段 (例如電子郵件或軟體) 中附加電子簽名,以證明資訊的來源。為防止他人使用您的名字撰寫郵件,也為了保護您自己以及收件者,您應該為郵件加上簽名。借助簽名,您可以檢查所收到之郵件的寄件者,並區分可信郵件和惡意郵件。
軟體開發人員為軟體附加簽名,可以幫助您檢查軟體的完整性。即使軟體並非來自正式伺服器,您也可以使用簽名來驗證套件。
加密: 有一些機密資訊您可能不希望他人獲悉。加密可以幫助您轉換這些資料,使其他人無法讀取。這對公司而言很重要,因為這樣可以幫助他們保護內部資訊以及員工的隱私。
8.2 產生新的金鑰組合 #
若要與其他使用者交換加密郵件,必須先產生自己的金鑰組合。金鑰組合包括兩個部分︰
公用金鑰: 此金鑰用於加密。可將它配送給您的通訊夥伴,以便他們用它來加密傳送給您的檔案或郵件。
私密金鑰: 此金鑰用於解密。使用該金鑰可使其他人 (或您自己) 傳送的已加密檔案或訊息恢復為可閱讀模式。
如果其他人能夠存取您的私密金鑰,他們可以解密原本只有您才能閱讀的檔案和郵件。切勿授權其他人存取您的私密金鑰。
8.2.1 建立 OpenPGP 金鑰 #
OpenPGP 是一項非專屬的通訊協定,使用基於 PGP 的公用金鑰加密方法來加密電子郵件。它為交換公開金鑰定義了加密郵件的標準格式、簽名、私密金鑰以及證書。
按一下
› › 。按一下
› 。選取
,然後按一下 。指定您的全名和電子郵件地址。
按一下
可指定金鑰的進階選項。- 備註
選填備註。
- 加密類型
指定用於產生金鑰的加密演算法。建議選擇
,因為它可讓您加密、解密、簽署以及驗證 (如有需要)。 與 只允許簽署。- 金鑰效力
以位元為單位指定金鑰長度。金鑰越長便越安全 (如果使用增強式密碼片語)。但請注意,使用長金鑰執行任何操作都會比使用短金鑰所需時間長。接受的值為 1024 至 4096 個位元。建議至少設定 2048 位元。
- 過期日期
指定金鑰不再可用於執行加密或簽名操作的日期。此時間段過後,您需要變更過期日或產生新金鑰或子金鑰。在舊金鑰過期前,用其簽署新金鑰可保持信任狀態。
按一下
以建立新金鑰組合。此時會開啟
對話方塊。指定新金鑰的密碼片語兩次,然後按一下
。指定密碼片語的方式與建立增強式密碼的方式相同。
8.2.2 建立安全外圍程序金鑰 #
安全外圍程序 (SSH) 是一種登入遠端電腦以在其中執行指令的方法。SSH 金鑰用於基於金鑰的驗證系統,這種系統可替代預設的密碼驗證系統。使用基於金鑰的驗證時無需手動輸入密碼來進行驗證。
按一下
› › 。按一下
› 。選取
,然後按一下 。對金鑰的用途加以描述。
您可以使用電子郵件地址或其他任何備忘。
或者,按一下
以指定下列進階金鑰選項。加密類型: 指定用於產生金鑰的加密演算法。選取 將使用 Rivest-Shamir-Adleman (RSA) 演算法建立 SSH 金鑰。這是建議的操作,也是更安全的選擇。選取 將使用數位簽名演算法 (DSA) 建立 SSH 金鑰。
金鑰效力: 以位元為單位指定金鑰長度。金鑰越長便越安全 (如果使用增強式密碼片語)。但請注意,使用長金鑰執行任何操作都會比使用短金鑰所需時間長。接受的值為 1024 至 4096 個位元。建議至少為 2048 個位元。
按一下
以建立新金鑰,或按一下 以建立金鑰並設定其他電腦使用該金鑰進行驗證。指定新金鑰的密碼片語,再按一下
,然後重複以上動作。指定密碼片語的方式與建立增強式密碼的方式相同。
8.3 修改金鑰內容 #
您可以修改現存 OpenPGP 或 SSH 金鑰的內容。
8.3.1 編輯 OpenPGP 金鑰內容 #
本節的描述適用於所有 OpenPGP 金鑰。
按一下
› › 。連按兩下要檢視或編輯的 PGP 金鑰
使用
分頁上的選項,可以為金鑰新增相片或變更與金鑰相關的密碼片語。相片 ID 允許金鑰擁有者將自己的一或多張圖片嵌入金鑰。這些身分可以像一般的使用者 ID 一樣進行簽署。相片 ID 必須為 JPEG 格式。建議大小為 120×150 像素。
如果所選影像不符合要求的檔案類型或大小,只要其為 GDK 文件庫支援的影像格式,
可即時調整其大小並對其進行轉換。按一下
分頁,將使用者 ID 新增至金鑰。如需相關資訊,請參閱第 8.3.1.1 節 「新增使用者 ID」。
按一下
分頁,其中包含以下內容︰金鑰 ID: 金鑰 ID 類似於指紋,但它僅包含指紋的最後八個字元。通常情況下,僅透過金鑰 ID 即可識別金鑰,但有時兩個金鑰可能會有相同的金鑰 ID。
類型: 指定用於產生金鑰的加密演算法。DSA 金鑰只能用於簽名。ElGamal 金鑰用於加密。
效力: 指定金鑰的位元長度。金鑰越長便越安全。但是,長金鑰並不能彌補效力不足的密碼片語。
指紋: 準確職別金鑰的唯一字元字串。
已建立: 建立金鑰的日期。
到期: 金鑰不能再使用的日期 (金鑰到期後不能再用於執行金鑰操作)。將金鑰的過期日變更為將來的某個時間可重新啟用該金鑰。通常比較好的作法是擁有一個永久有效的萬能金鑰,然後再由此萬能金鑰簽署多個會過期的子金鑰。
覆寫擁有者信任: 您可以在此設定對金鑰擁有者的信任層級。信任度可指示您對某個人正確延伸信任網路之能力的確定程度。如果某個金鑰未經您的簽署,該金鑰的有效性將由其簽名以及您對簽名人員的信任程度來決定。
輸出機密金鑰: 將金鑰匯出至檔案。
子金鑰: 如需相關資訊,請參閱第 8.3.1.2 節 「編輯 OpenPGP 子金鑰內容」。
按一下
。
8.3.1.1 新增使用者 ID #
使用者 ID 允許將多個身分與電子郵件地址用於同一個的金鑰。舉例而言,當您需要一個身分用於工作,另一個身分用於朋友間的信件往來時,便可以新增使用者 ID。它們採用以下格式︰
Name (COMMENT) <E-MAIL>
按一下
› › 。連按兩下要檢視或編輯的 PGP 金鑰
按一下
分頁,然後按一下 。在
欄位中指定名稱。此欄位中至少須輸入五個字元。
在
欄位中指定電子郵件地址。透過您的電子郵件地址,大多數人可在金鑰伺服器或其他金鑰提供者處找到金鑰。繼續操作之前,請確定地址正確無誤。
在
欄位中,指定要顯示在新 ID 名稱中的其他資訊。此資訊可在金鑰伺服器中進行搜尋。
確認您的變更,並在系統提示您輸入密碼片語時進行輸入。
8.3.1.2 編輯 OpenPGP 子金鑰內容 #
每個 OpenPGP 金鑰都有一個僅用於簽名的萬能金鑰。子金鑰則用於加密與簽名。在這種方式下,如果子金鑰洩露,您無需撤銷主金鑰。
8.3.2 編輯安全外圍程序金鑰內容 #
本節的描述適用於所有 SSH 金鑰。
8.4 匯入金鑰 #
可將金鑰輸出至文字檔。這些檔案在金鑰的開頭與結尾包含使用者看得懂的文字。此格式稱為 ASCII 封裝的金鑰。
匯入金鑰︰
按一下
› › 。按一下
› 。選取至少包含一個 ASCII 封裝之公用金鑰的檔案。
按一下
以匯入金鑰。
您還可以在
中貼上金鑰︰選取 ASCII 封裝的公用文字區塊,然後將其複製到剪貼簿。
按一下
› › 。按一下
›
8.5 匯出金鑰 #
匯出金鑰︰
按一下
› › 。選取您要輸出的金鑰。
按一下
› 。指定輸出之金鑰的檔案名稱與位置。
按一下
以匯出金鑰。
您還可以將金鑰做為 ASCII 封裝的文字區塊輸出至剪貼簿。
按一下
› › 。選取您要輸出的金鑰。
按一下
› 。
8.6 簽署金鑰 #
簽署其他人的金鑰表示您信任這個人。在簽署金鑰之前,請仔細檢查金鑰的指紋以確定該金鑰確實屬於這個人。
信任度可指示您對某個人正確延伸信任網路之能力的確定程度。如果某個金鑰未經您的簽署,該金鑰的有效性將由其簽名以及您對簽名人員的信任程度來決定。
8.7 密碼金鑰圈 #
您可以使用密碼金鑰圈優先設定來建立或移除金鑰圈,設定應用程式密碼的預設金鑰圈,或變更金鑰圈的解鎖密碼。若要建立新的金鑰圈,請執行以下步驟︰
按一下
› › 。按一下
› › ,然後按一下 。為金鑰圈輸入名稱,然後按一下
。為金鑰圈設定新的
並確認,然後按一下 。
若要變更現有金鑰圈的解鎖密碼,請在
索引標籤中的金鑰圈上按一下滑鼠右鍵,然後按一下 。需要提供舊密碼才能變更解鎖密碼。若要變更應用程式密碼的預設金鑰圈,請在
索引標籤中的金鑰圈上按一下滑鼠右鍵,然後按一下 。8.8 金鑰伺服器 #
您可以定期與遠端金鑰伺服器同步金鑰,以便讓金鑰保持最新。同步可確保您在所有金鑰上均做了最新簽名,以便信任網路能夠發揮效用。
按一下
› › 。按一下
› ,然後按一下 分頁。HKP 金鑰伺服器: HKP 金鑰伺服器是普通的 Web 金鑰伺服器,例如常用的
hkp://pgp.mit.edu:11371
,在 http://pgp.mit.edu 上亦可存取。LDAP 金鑰伺服器: LDAP 金鑰伺服器較為少見,但它使用標準的 LDAP 通訊協定提供金鑰。
ldap://keyserver.pgp.com 便是一個不錯的 LDAP 伺服器。
您可以使用左側的按鈕來
或 要使用的金鑰伺服器。若要新增金鑰伺服器,請視需要設定其類型、主機與連接埠。設定是否要自動發佈您的公開金鑰,以及要使用的金鑰伺服器。設定是否要自動從金鑰伺服器擷取金鑰,以及是否將修改的金鑰與金鑰伺服器同步。
按一下
。
8.9 金鑰共享 #
金鑰共享由 DNS-SD (也稱為 Bonjour 或 Rendezvous) 提供。啟用金鑰共用會將
本地使用者的公用金鑰圈新增至遠端搜尋對話方塊。使用這些本地金鑰伺服器通常會比存取遠端伺服器更快。按一下
› › 。按一下
› ,然後按一下 分頁。選取
。按一下
。