8 :簽署及加密資料 #
GNOME 密碼及金鑰程式是系統中重要的加密基礎架構元件。憑藉此程式,您可以建立及管理 PGP 與 SSH 金鑰;輸入、輸出及共用金鑰;備份金鑰與金鑰圈;快取密碼片語。
若要啟動該應用程式,請按 Meta 開啟「活動概覽」,然後搜尋 pass。
8.1 簽署與加密 #
簽署: 在資訊片段 (例如電子郵件或軟體) 中附加電子簽名,以證明資訊的來源。為防止他人使用您的名字撰寫郵件,也為了保護您自己以及收件者,您應該為郵件加上簽名。借助簽名,您可以檢查所收到之郵件的寄件者,並區分可信郵件和惡意郵件。
軟體開發人員為軟體附加簽名,可以幫助您檢查軟體的完整性。即使軟體並非來自正式伺服器,您也可以使用簽名來驗證套件。
加密: 有一些機密資訊您可能不希望他人獲悉。加密可以幫助您轉換這些資料,使其他人無法讀取。這對公司而言很重要,因為這樣可以幫助他們保護內部資訊以及員工的隱私。
8.2 產生新的金鑰組合 #
若要與其他使用者交換加密郵件,必須先產生自己的金鑰組合。金鑰組合包括兩個部分:
公鑰: 此金鑰用於加密。可將它配送給您的通訊夥伴,以便他們用它來加密傳送給您的檔案或郵件。
私鑰: 此金鑰用於解密。使用該金鑰可使其他人 (或您自己) 傳送的已加密檔案或訊息恢復為可閱讀模式。
如果其他人能夠存取您的私密金鑰,他們可以解密原本只有您才能閱讀的檔案和郵件。切勿授權其他人存取您的私密金鑰。
8.2.1 建立 OpenPGP 金鑰 #
OpenPGP 是一項非專屬的通訊協定,使用基於 PGP 的公用金鑰加密方法來加密電子郵件。它為交換公開金鑰定義了加密郵件的標準格式、簽名、私密金鑰以及證書。
按一下 › › 。
按一下 › 。
選取,然後按一下。
指定您的全名和電子郵件地址。
按一下可指定金鑰的進階選項。
- 備註
選填備註。
- 加密類型
指定用於產生金鑰的加密演算法。建議選擇,因為它可讓您加密、解密、簽署以及驗證 (如有需要)。與只允許簽署。
- 金鑰效力
以位元為單位指定金鑰長度。金鑰越長就越安全 (如果使用了強式密碼片語)。請記住,對較長的金鑰執行任何操作所需的時間都比對較短金鑰執行操作所需的時間要長。接受的值為 1024 至 4096 個位元。建議至少設定 2048 位元。
- Expiration date
指定金鑰不再可用於執行加密或簽名操作的日期。此時間段過後,您需要變更過期日或產生新金鑰或子金鑰。在舊金鑰過期前,用其簽署新金鑰可保持信任狀態。
按一下以建立新金鑰組合。
此時會開啟對話方塊。
指定新金鑰的密碼片語兩次,然後按一下。
指定密碼片語的方式與建立增強式密碼的方式相同。
8.2.2 建立安全外圍程序金鑰 #
安全外圍程序 (SSH) 是一種登入遠端電腦以在其中執行指令的方法。SSH 金鑰用於基於金鑰的驗證系統,這種系統可替代預設的密碼驗證系統。使用基於金鑰的驗證時無需手動輸入密碼來進行驗證。
按一下 › › 。
按一下 › 。
選取,然後按一下。
對金鑰的用途加以描述。
您可以使用電子郵件地址或其他任何備忘。
或者,按一下以指定下列進階金鑰選項。
加密類型: 指定用於產生金鑰的加密演算法。選取將使用 Rivest-Shamir-Adleman (RSA) 演算法建立 SSH 金鑰。這是建議的操作,也是更安全的選擇。選取將使用數位簽名演算法 (DSA) 建立 SSH 金鑰。
金鑰效力: 以位元為單位指定金鑰長度。金鑰越長就越安全 (如果使用了強式密碼片語)。請記住,對較長的金鑰執行任何操作所需的時間都比對較短金鑰執行操作所需的時間要長。接受的值為 1024 至 4096 個位元。建議至少為 2048 個位元。
按一下以建立新金鑰,或按一下以建立金鑰並設定其他電腦使用該金鑰進行驗證。
指定新金鑰的密碼片語,再按一下,然後重複以上動作。
指定密碼片語的方式與建立增強式密碼的方式相同。
8.3 修改金鑰內容 #
您可以修改現存 OpenPGP 或 SSH 金鑰的內容。
8.3.1 編輯 OpenPGP 金鑰內容 #
本節的描述適用於所有 OpenPGP 金鑰。
按一下 › › 。
連按兩下要檢視或編輯的 PGP 金鑰
使用分頁上的選項,可以為金鑰新增相片或變更與金鑰相關的密碼片語。
相片 ID 允許金鑰擁有者將自己的一或多張圖片嵌入金鑰。這些身分可以像一般的使用者 ID 一樣進行簽署。相片 ID 必須為 JPEG 格式。建議大小為 120×150 像素。
如果所選影像不符合要求的檔案類型或大小,只要其為 GDK 文件庫支援的影像格式,可即時調整其大小並對其進行轉換。
按一下分頁,將使用者 ID 新增至金鑰。
如需詳細資訊,請參閱第 8.3.1.1 節 「新增使用者 ID」。
按一下分頁,其中包含以下內容:
金鑰 ID:: 金鑰 ID 類似於指紋,但它僅包含指紋的最後八個字元。通常情況下,僅透過金鑰 ID 即可識別金鑰,但有時兩個金鑰可能會有相同的金鑰 ID。
類型: 指定用於產生金鑰的加密演算法。DSA 金鑰只能用於簽名。ElGamal 金鑰用於加密。
效力:: 指定金鑰的位元長度。金鑰越長便越安全。但是,長金鑰並不能彌補效力不足的密碼片語。
指紋:: 準確職別金鑰的唯一字元字串。
已建立:: 建立金鑰的日期。
到期:: 金鑰不能再使用的日期 (金鑰到期後不能再用於執行金鑰操作)。將金鑰的過期日變更為將來的某個時間可重新啟用該金鑰。通常比較好的作法是擁有一個永久有效的萬能金鑰,然後再由此萬能金鑰簽署多個會過期的子金鑰。
覆寫擁有者信任:: 您可以在此設定對金鑰擁有者的信任層級。信任度可指示您對某個人正確延伸信任網路之能力的確定程度。如果某個金鑰未經您的簽署,該金鑰的有效性將由其簽名以及您對簽名人員的信任程度來決定。
匯出機密金鑰:: 將金鑰匯出至檔案。
子金鑰:: 如需詳細資訊,請參閱第 8.3.1.2 節 「編輯 OpenPGP 子金鑰內容」。
按一下。
8.3.1.1 新增使用者 ID #
使用者 ID 允許將多個身分與電子郵件地址用於同一個的金鑰。舉例而言,當您需要一個身分用於工作,另一個身分用於朋友間的信件往來時,便可以新增使用者 ID。它們採用以下格式:
Name (COMMENT) <E-MAIL>
按一下 › › 。
連按兩下要檢視或編輯的 PGP 金鑰
按一下分頁,然後按一下。
在欄位中指定名稱。
此欄位中至少須輸入五個字元。
在欄位中指定電子郵件地址。
透過您的電子郵件地址,大多數人可在金鑰伺服器或其他金鑰提供者處找到金鑰。繼續操作之前,請確定地址正確無誤。
在欄位中,指定要顯示在新 ID 名稱中的其他資訊.
此資訊可在金鑰伺服器中進行搜尋。
確認您的變更,並在系統提示您輸入密碼片語時進行輸入。
8.3.1.2 編輯 OpenPGP 子金鑰內容 #
每個 OpenPGP 金鑰都有一個僅用於簽名的萬能金鑰。子金鑰則用於加密與簽名。在這種方式下,如果子金鑰洩露,您無需撤銷主金鑰。
按一下 › › 。
連按兩下要編輯的 PGP 金鑰。
按一下索引標籤,然後按一下以顯示類別。
使用對話方塊左側的按鈕可新增、刪除、撤銷子金鑰,或使其過期。
每個子金鑰都包含以下資訊:
ID: 子金鑰的識別碼。
類型: 指定用於產生子金鑰的加密演算法。DSA 金鑰只能用於簽名,ElGamal 金鑰只能用於加密,而 RSA 金鑰可用於簽名或加密。
用法: 顯示金鑰是否可用於簽名、認證或者加密。
已建立:: 指定建立金鑰的日期。
到期:: 指定金鑰不能再使用的日期。
狀態:: 指定金鑰的狀態。
效力:: 指定金鑰的位元長度。金鑰越長便越安全。但是,長金鑰並不能彌補效力不足的密碼片語。
按一下。
8.3.2 編輯安全外圍程序金鑰內容 #
本節的描述適用於所有 SSH 金鑰。
按一下 › › 。
連按兩下要檢視或編輯的安全外圍程序金鑰。
使用分頁上的選項可以變更金鑰名稱或與該金鑰相關的密碼片語。
按一下分頁,其中包含以下內容:
演算法:: 指定用於產生金鑰的加密演算法。
強度:: 指示金鑰的位元長度。金鑰越長便越安全。但是,長金鑰並不能彌補效力不足的密碼片語。
位置:: 私密金鑰的儲存位置。
指紋:: 準確職別金鑰的唯一字元字串。
匯出完整金鑰:: 將金鑰匯出至檔案。
按一下。
8.4 匯入金鑰 #
可將金鑰匯出至文字檔。這些檔案在金鑰的開頭與結尾包含使用者看得懂的文字。此格式稱為 ASCII 封裝的金鑰。
匯入金鑰:
按一下 › › 。
按一下 › 。
選取至少包含一個 ASCII 封裝之公用金鑰的檔案。
按一下以匯入金鑰。
您還可以在中貼上金鑰:
選取 ASCII 封裝的公用文字區塊,然後將其複製到剪貼簿。
按一下 › › 。
按一下 ›
8.5 匯出金鑰 #
匯出金鑰:
按一下 › › 。
選取您要匯出的金鑰。
按一下 › 。
指定輸出之金鑰的檔案名稱與位置。
按一下以匯出金鑰。
您還可以將金鑰做為 ASCII 封裝的文字區塊輸出至剪貼簿。
按一下 › › 。
選取您要匯出的金鑰。
按一下 › 。
8.6 簽署金鑰 #
簽署其他人的金鑰表示您信任這個人。在簽署金鑰之前,請仔細檢查金鑰的指紋以確定該金鑰確實屬於這個人。
信任度可指示您對某個人正確延伸信任網路之能力的確定程度。如果某個金鑰未經您的簽署,該金鑰的有效性將由其簽名以及您對簽名人員的信任程度來決定。
按一下 › › 。
從或分頁中選取要簽署的金鑰。
按一下 › 。
選取金鑰檢查的仔細程度,然後指示簽名是否應位於金鑰圈,以及簽名是否可以撤銷:
按一下。
8.7 密碼金鑰圈 #
您可以使用密碼金鑰圈優先設定來建立或移除金鑰圈,設定應用程式密碼的預設金鑰圈,或變更金鑰圈的解鎖密碼。若要建立新的金鑰圈,請執行以下步驟:
按一下 › › 。
按一下 › › ,然後按一下。
為金鑰圈輸入名稱,然後按一下。
為金鑰圈設定新的並確認,然後按一下。
若要變更現有金鑰圈的解鎖密碼,請在索引標籤中的金鑰圈上按一下滑鼠右鍵,然後按一下。需要提供舊密碼才能變更解鎖密碼。
若要變更應用程式密碼的預設金鑰圈,請在索引標籤中的金鑰圈上按一下滑鼠右鍵,然後按一下。
8.8 金鑰伺服器 #
您可以定期與遠端金鑰伺服器同步金鑰,以便讓金鑰保持最新。同步可確保您在所有金鑰上均做了最新簽名,以便信任網路能夠發揮效用。
按一下 › › 。
按一下 › ,然後按一下分頁。
支援 HKP 與 LDAP 金鑰伺服器。
HKP 金鑰伺服器:: HKP 金鑰伺服器是普通的 Web 金鑰伺服器,例如常用的
hkp://pgp.mit.edu:11371,在 http://pgp.mit.edu 上亦可存取。LDAP 金鑰伺服器:: LDAP 金鑰伺服器較為少見,但它使用標準的 LDAP 通訊協定提供金鑰。
ldap://keyserver.pgp.com 便是一個不錯的 LDAP 伺服器。您可以使用左側的按鈕來或要使用的金鑰伺服器。若要新增金鑰伺服器,請視需要設定其類型、主機與連接埠。
設定是否要自動發佈您的公用金鑰,以及要使用的金鑰伺服器。設定是否要自動從金鑰伺服器擷取金鑰,以及是否將修改的金鑰與金鑰伺服器同步。
按一下 (關閉)。
8.9 金鑰共用 #
金鑰共用由 DNS-SD (也稱為 Bonjour 或 Rendezvous) 提供。啟用金鑰共用會將本地使用者的公用金鑰圈新增至遠端搜尋對話方塊。使用這些本地金鑰伺服器通常會比存取遠端伺服器更快。
按一下 › › 。
按一下 › ,然後按一下分頁。
選取。
按一下。