跳至內容跳至頁面導覽:上一頁 [access key p]/下一頁 [access key n]
documentation.suse.com / SUSE Linux Enterprise Server 文件 / GNOME 使用者指南 / 連接性、檔案和資源 / 密碼及金鑰:簽署及加密資料
適用範圍 SUSE Linux Enterprise Server 15 SP4

8 密碼及金鑰:簽署及加密資料

 

瞭解如何建立及管理 PGP 和 SSH 金鑰。

GNOME 密碼及金鑰程式是系統中重要的加密基礎架構元件。憑藉此程式,您可以建立及管理 PGP 與 SSH 金鑰;匯入、匯出及共用金鑰;備份金鑰與鑰匙圈;快取密碼片語。

若要啟動該應用程式,請按 Meta 開啟活動綜覽,然後搜尋 pass

密碼及金鑰主視窗
圖 8.1︰ 密碼及金鑰主視窗
 

8.1 簽署與加密

 

簽署: 在資訊片段 (例如電子郵件或軟體) 中附加電子簽名,以證明資訊的來源。為防止他人使用您的名字撰寫郵件,也為了保護您自己以及收件者,您應該為郵件加上簽名。借助簽名,您可以檢查所收到之郵件的寄件者,並區分可信郵件和惡意郵件。

軟體開發人員為軟體附加簽名,可以幫助您檢查軟體的完整性。即使軟體並非來自正式伺服器,您也可以使用簽名來驗證套件。

加密: 有一些機密資訊您可能不希望他人獲悉。加密可以幫助您轉換這些資料,使其他人無法讀取。這對公司而言很重要,因為這樣可以幫助他們保護內部資訊以及員工的隱私。

8.2 產生新的金鑰組合

 

若要與其他使用者交換加密郵件,必須先產生自己的金鑰組合。金鑰組合包括兩個部分:

  • 公鑰: 此金鑰用於加密。可將它配送給您的通訊夥伴,以便他們用它來加密傳送給您的檔案或郵件。

  • 私鑰: 此金鑰用於解密。使用該金鑰可使其他人 (或您自己) 傳送的已加密檔案或訊息恢復為可閱讀模式。

重要
重要:存取私密金鑰

如果其他人能夠存取您的私密金鑰,他們可以解密原本只有您才能閱讀的檔案和郵件。切勿授權其他人存取您的私密金鑰。

8.2.1 建立 OpenPGP 金鑰

 

OpenPGP 是一項非專屬的通訊協定,使用基於 PGP 的公用金鑰加密方法來加密電子郵件。它為交換公開金鑰定義了加密郵件的標準格式、簽名、私密金鑰以及證書。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 按視窗左上角的 + 按鈕。

  4. 從清單中選取 GPP 金鑰

  5. 全名欄位中輸入您的姓名。

    (選擇性) 新增您的電子郵件地址以及一則備註來描述金鑰。

  6. 按一下建立以建立新金鑰組合。

    在密碼對話方塊中,輸入金鑰的密碼。

  7. 按一下確定加以確認。

    指定密碼片語的方式與建立增強式密碼的方式相同。

8.2.2 建立安全外圍程序金鑰

 

安全外圍程序 (SSH) 是一種登入遠端電腦以在其中執行指令的方法。SSH 金鑰用於基於金鑰的驗證系統,這種系統可替代預設的密碼驗證系統。使用基於金鑰的驗證時無需手動輸入密碼來進行驗證。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 按視窗左上角的 + 按鈕。

  4. 從清單中選取安全外圍程序金鑰

  5. 輸入金鑰的描述。

    (選擇性) 變更加密類型或金鑰效力的預設設定。

    加密類型: 指定用於產生金鑰的加密演算法。選取RSA將使用 Rivest-Shamir-Adleman (RSA) 演算法建立 SSH 金鑰。這是建議的操作,也是更安全的選擇。選取DSA將使用數位簽名演算法 (DSA) 建立 SSH 金鑰。

    金鑰效力: 以位元為單位指定金鑰長度。金鑰越長就越安全 (如果使用了強式密碼片語)。請記住,對較長的金鑰執行任何操作所需的時間都比對較短金鑰執行操作所需的時間要長。接受的值為 1024 至 4096 個位元。建議至少為 2048 個位元。

  6. 按一下僅建立金鑰建立並設定進行確認。後者將引導您完成安裝公用金鑰的步驟。

8.3 修改金鑰內容

 

您可以修改現存 OpenPGP 或 SSH 金鑰的內容。

8.3.1 編輯 OpenPGP 金鑰內容

 

本節的描述適用於所有 OpenPGP 金鑰。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 從左側面板中選取 GnuPG 金鑰

  4. 在要編輯的 PGP 金鑰上按一下滑鼠右鍵,然後選取內容

    一個對話方塊即會開啟,其中會顯示以下金鑰內容:

    金鑰 ID:: 金鑰 ID 類似於指紋,但它僅包含指紋的最後八個字元。通常情況下,僅透過金鑰 ID 即可識別金鑰,但有時兩個金鑰可能會有相同的金鑰 ID。

    指紋:: 準確職別金鑰的唯一字元字串。

    到期:: 金鑰不能再使用的日期 (金鑰到期後不能再用於執行金鑰操作)。將金鑰的過期日變更為將來的某個時間可重新啟用該金鑰。通常比較好的作法是擁有一個永久有效的萬能金鑰,然後再由此萬能金鑰簽署多個會過期的子金鑰。

    子金鑰:: 如需詳細資訊,請參閱第 8.3.1.2 節 「編輯 OpenPGP 子金鑰內容」

    覆寫擁有者信任:: 您可以在此處設定對金鑰擁有者的信任層級。信任度可指示您對某個人正確延伸信任網路之能力的確定程度。如果某個金鑰未經您的簽署,該金鑰的有效性將由其簽名以及您對簽名人員的信任程度來決定。

  5. 按一下加號按鈕可為金鑰新增相片,或變更與金鑰關聯的密碼片語。

    相片 ID 允許金鑰擁有者將自己的一或多張圖片嵌入金鑰。這些身分可以像一般的使用者 ID 一樣進行簽署。相片 ID 必須為 JPEG 格式。建議大小為 120×150 像素。

    如果所選影像不符合要求的檔案類型或大小,只要其為 GDK 文件庫支援的影像格式,密碼及金鑰可即時調整其大小並對其進行轉換。

  6. 關閉對話方塊以完成該過程。

8.3.1.1 新增使用者 ID

 

使用者 ID 允許將多個身分與電子郵件地址用於同一個的金鑰。舉例而言,當您需要一個身分用於工作,另一個身分用於朋友間的信件往來時,便可以新增使用者 ID。它們採用以下格式: 

Name (COMMENT) <E-MAIL>

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 從左側面板中選取 GnuPG 金鑰鑰匙圈。

  4. 從清單中選取個人 PGP 金鑰

  5. 在金鑰上按一下滑鼠右鍵,然後選取內容 › 新增使用者 ID

  6. 在對話方塊中,填寫新使用者 ID 的全名電子郵件地址金鑰備註,然後按一下確定

    透過您的電子郵件地址,大多數人可在金鑰伺服器或其他金鑰提供者處找到金鑰。繼續操作之前,請確定地址正確無誤。

  7. 輸入密碼片語,然後按一下確定完成該過程。

8.3.1.2 編輯 OpenPGP 子金鑰內容

 

每個 OpenPGP 金鑰都有一個僅用於簽名的萬能金鑰。子金鑰則用於加密與簽名。在這種方式下,如果子金鑰洩露,您無需撤銷主金鑰。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 從清單中選取 GnuPG 金鑰

  4. 從清單中選取個人 PGP

  5. 在所選金鑰上按一下滑鼠右鍵,然後選取內容

  6. 選擇金鑰的內容。

  7. 關閉對話方塊以確認變更。

8.3.2 編輯安全外圍程序金鑰內容

 

本節的描述適用於所有 SSH 金鑰。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 從清單中選取 OpenSSH 金鑰,然後在要編輯的金鑰上按一下滑鼠右鍵。

  4. 一個對話方塊即會開啟,您可以在其中查看和編輯以下內容:

    演算法:: 指定用於產生金鑰的加密演算法。

    位置:: 私密金鑰的儲存位置。

    指紋:: 準確職別金鑰的唯一字元字串。

    匯出: 將金鑰匯出至檔案。

  5. 關閉對話方塊以確認變更。

8.4 匯入金鑰

 

可將金鑰匯出至文字檔。這些檔案在金鑰的開頭與結尾包含使用者看得懂的文字。此格式稱為 ASCII 封裝的金鑰。

若要匯入金鑰,請執行以下操作:

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 按左上角的 + 按鈕。

  4. 從清單中選取從檔案匯入

  5. 在對話方塊中選取要匯入的金鑰。SSH 公用金鑰以 pub 結尾。

  6. 按一下開啟以匯入金鑰。

您還可以在密碼及金鑰中貼上金鑰:

  1. 選取 ASCII 封裝的公用文字區塊,然後將其複製到剪貼簿。

  2. 開啟活動綜覽,然後輸入 pass

  3. 開啟密碼和金鑰

  4. 按左上角的 + 按鈕。

  5. 在相應的位置貼上金鑰。

8.5 匯出金鑰

 

若要匯出金鑰,請執行以下操作:

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

    從左側面板中選取要匯出的 GnuPG 金鑰鑰匙圈。

  3. 選取要匯出的個人 PGP 金鑰

  4. 在金鑰上按一下滑鼠右鍵,然後選取匯出

  5. 若要以 ASCII 格式儲存金鑰,請選取封裝的 PGP 金鑰

  6. 選擇位置,然後按一下匯出進行確認。

8.6 簽署金鑰

 

簽署其他人的金鑰表示您信任這個人。在簽署金鑰之前,請仔細檢查金鑰的指紋以確定該金鑰確實屬於這個人。

信任度可指示您對某個人正確延伸信任網路之能力的確定程度。如果某個金鑰未經您的簽署,該金鑰的有效性將由其簽名以及您對簽名人員的信任程度來決定。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 匯入要簽署的金鑰。

  4. GnuPG 金鑰清單中選取匯入的金鑰。

  5. 在金鑰上按一下滑鼠右鍵,然後選取內容 › 信任

  6. 按一下簽署此金鑰按鈕。

  7. 選擇檢查金鑰的仔細程度。

  8. 決定是否要在以後撤銷簽名,以及是否要將您的簽名公開。

  9. 按一下簽署進行確認。

8.7 密碼鑰匙圈

 

您可以使用密碼鑰匙圈偏好設定來建立或移除鑰匙圈,設定應用程式密碼的預設鑰匙圈,或變更鑰匙圈的解鎖密碼。若要建立新的鑰匙圈,請執行以下步驟:

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 按一下左上角的 + 按鈕。

  4. 從清單中選取密碼鑰匙圈

  5. 為鑰匙圈輸入名稱,然後按一下新增

  6. 為鑰匙圈設定一個新密碼並確認,然後按一下繼續以建立鑰匙圈。

若要變更現有鑰匙圈的解鎖密碼,請在密碼索引標籤中的鑰匙圈上按一下滑鼠右鍵,然後按一下變更密碼。需要提供舊密碼才能變更解鎖密碼。

若要變更應用程式密碼的預設鑰匙圈,請在密碼索引標籤中的鑰匙圈上按一下滑鼠右鍵,然後按一下設定為預設值

8.8 金鑰伺服器

 

您可以定期與遠端金鑰伺服器同步金鑰,以便讓金鑰保持最新。同步可確保您在所有金鑰上均做了最新簽名,以便信任網路能夠發揮效用。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 選取要同步的 PGP 金鑰。

  4. 按一下標題列中的功能表按鈕。

  5. 選取同步並發佈金鑰

    HKP 金鑰伺服器:: HKP 金鑰伺服器是普通的 Web 金鑰伺服器,例如常用的 hkp://pgp.mit.edu:11371,在 http://pgp.mit.edu 上亦可存取。

    LDAP 金鑰伺服器:: LDAP 金鑰伺服器較為少見,但它使用標準的 LDAP 通訊協定提供金鑰。ldap://keyserver.pgp.com 便是一個不錯的 LDAP 伺服器。

    您可以使用左側的按鈕來新增移除要使用的金鑰伺服器。若要新增金鑰伺服器,請視需要設定其類型、主機與連接埠。

  6. 設定是否要自動發佈您的公用金鑰,以及要使用的金鑰伺服器。設定是否要自動從金鑰伺服器擷取金鑰,以及是否將修改的金鑰與金鑰伺服器同步。

  7. 按一下同步按鈕以同步您的金鑰。

8.9 金鑰共用

 

金鑰共用由 DNS-SD (也稱為 Bonjour 或 Rendezvous) 提供。啟用金鑰共用會將密碼及金鑰本地使用者的公用鑰匙圈新增至遠端搜尋對話方塊。使用這些本地金鑰伺服器通常會比存取遠端伺服器更快。

  1. 開啟活動綜覽,然後輸入 pass

  2. 開啟密碼和金鑰

  3. 從左側面板中選取 GnuPG 金鑰

  4. 從清單中選取要共用的個人 PGP 金鑰

  5. 按一下標題列中的功能表按鈕。

  6. 選取同步並發佈金鑰

  7. 按一下金鑰伺服器按鈕,以查看金鑰伺服器清單。

  8. 若要發佈金鑰,請從功能表中選取某個伺服器。關閉視窗並回到先前的對話方塊。

  9. 按一下同步以完成該過程。