你有沒有自問過,電子郵件在傳輸過程中會不會被別人讀取?不幸的是,即便是陌生人也可以不動聲色地截取甚至篡改你的電子郵件。
在傳統的郵寄方式(又稱“蝸牛”)中,信件通常是封在信封內,貼上郵票,然後在郵局間傳遞,直到它們到達其目的地。通過互聯網來郵寄信件沒有傳統方式安全;電子郵件通常在服務器間明文傳輸,沒有采取任何特別措施來防止通信被別人偷看或篡改。
要幫助你保護個人隱私權,Red Hat Linux 9 包括了 GnuPG - GNU Privacy Guard (GNU 隱私衛士)- 它在典型 Red Hat Linux 安裝中被默認安裝。它又稱為 GPG .
GnuPG 是用於安全通信的工具;它是對 PGP(Pretty Good Privacy,一種廣受歡迎的加密程序)加密技術的完全和免費的代替。使用 GnuPG,你可以給你的數據和通信加密,並可以使用 數碼簽名(digitally signing) 來驗證你的通信。GnuPG 還能夠解密及校驗 PGP 5. x 。
因為 GnuPG 和其它加密標准兼容,你的安全通信可能會與其它操作系統(如 Windows 和 Macintosh)上的電子郵件程序兼容。
GnuPG 使用 公鑰加密術(public key cryptography) 來為用戶提供安全的數據交換。在公鑰加密術方案中,你生成兩把鑰匙:公鑰和密鑰。你和通信對方或鑰匙服務器互換你的公鑰,你決不應該出示你的密鑰。
加密依賴於對鑰匙的使用。在傳統的或對稱的加密術中,傳輸雙方都有相同的鑰匙,他們可以使用這把相同的鑰匙來給彼此的傳輸解密。在公鑰加密術中,兩把鑰匙並存:一把公鑰,一把密鑰。個人或組織把他們的密鑰保密,但是公布他們的公鑰。用公鑰加密的數據只能用密鑰才能解密;用密鑰加密的數據只能用公鑰才能解密。
重要:記住,你可以把公鑰送給任何你想與之進行安全通信的人,但是你決不能向任何人提供你的密鑰。
加密術的多數知識已超出本書涉及的范圍;關於它的著述比比皆是。在本章中,我們只希望你對 GnuPG 有足夠的了解,因而能在你自己的通信中開始使用加密術。關於 GnuPG、PGP 和加密技術的詳細信息,請參見第 B.8 節。
B.1.配置文件在你第一次運行 GnuPG 命令的時候,你的主目錄中會創建一個 .gnupg 目錄。從版本 1.2 起,其配置文件名已從 .gnupg/options 改為 .gnupg/gpg.conf 。如果在你的主目錄中找不到 .gnupg/gpg.conf , .gnupg/options 文件就會被使用。如果你只使用版本 1.2 或更高,推薦你使用以下格式重新命名你的配置文件:
mv ~/.gnupg/options ~/.gnupg/gpg.conf如果你從 1.0.7 以前的版本中升級,你可以在你的鑰匙圈中創建簽名緩存來減短鑰匙圈的訪問時間。要執行這一操作,執行一次以下命令:
gpg --rebuild-keydb-caches B.2.警告消息在執行 GnuPG 命令時,你可能會看到這條消息:
gpg: Warning: using insecure memory!出現該警告是由於非根用戶無法鎖定內存頁。如果用戶無法鎖定內存頁,他們可以執行內存外的“拒絕服務”(DoS)攻擊;這就可能會造成安全問題。有關細節請參閱 http://www.gnupg.org/(en)/documentation/faqs.Html#q6.1 。
你可能會看到以下消息:
如果你的配置文件的權限被設置為允許其他人讀取,這則消息就會被顯示。如果你看到這條警告,推薦你執行以下命令來改變文件的權限:
chmod 600 ~/.gnupg/gpg.conf另一條常見的警告消息是:
gpg: WARNING: unsafe enclosing Directory permissions on configuration file "/home/ username /.gnupg/gpg.conf"如果你的配置文件所在的目錄的權限被設置為允許其他人讀取,這則消息就會被顯示。如果你看到這條警告,推薦你執行以下命令來改變文件的權限:
chmod 700 ~/.gnupg如果你從以前的版本中升級 GnuPG,你可能會看到以下消息:
gpg: /home/ username /.gnupg/gpg.conf:82: deprecated option "honor-http-proxy" gpg: please use "keyserver-options honor-http-proxy" instead出現該警告是因為你的 ~/.gnupg/gpg.conf 文件包含以下行:
honor-http-proxy版本 1.0.7 和更高喜歡使用另一種語法。把以上行改成:
keyserver-options honor-http-proxy B.3.生成鑰匙對要開始使用 GnuPG,你必須首先生成一組新的鑰匙對:一把公鑰和一把密鑰。
要生成鑰匙對,在 shell 提示下,鍵入以下命令:
gpg --gen-key因為你使用最頻繁的是你的用戶帳號,你應該登錄到你的用戶帳號(而不是根帳號)時執行該命令。
你會看到一個介紹屏幕,其中有鑰匙選項,包括一個 推薦的選項(默認),該屏幕類似:
gpg (GnuPG) 1.2.1; Copyright (C) 2002 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details.Please select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (5) RSA (sign only) Your selection?
多數要求你選擇選項的屏幕會在括號內列出默認選項。你可以按 [Enter] 鍵來接受默認選項。
在第一個屏幕上,你應該接受默認選項: (1) DSA and ElGamal 。該選項會允許你生成數碼簽名,並用兩種技術來加密(和解密)。鍵入 1 然後按 [Enter] 鍵。
下一步,選擇鑰匙大小或長短。通常,鑰匙越長,你的消息抵御攻擊的能力就越強。默認的 1024 位對多數用戶來說已足夠強勁,因此按 [Enter] 鍵來接受默認。
下一個選項請你指定鑰匙的有效期,通常,使用默認值( 0 = key does not eXPire )就可以。如果你想設立一個 過期日期,請記住,你需要通知和你互換公鑰的人員 這個過期日期並向他們提供一把新公鑰。如果你不設立過期日期,你會被要求確認這個決定。按 [y] 來確認你的決定。
你的下一個任務是提供用戶 ID,這包括你的姓名、電子郵件地址,以及其它可選注解。當你結束後,你的面前就會出現你輸入的信息的摘要。
一旦你接受了你的選擇,你還必須輸入一個口令句。
竅門:和你的帳號口令一樣,好的詞組口令是 GnuPG 安全保障的基本條件。譬如,你可以在口令中混和大小寫字母、數字或標點符號。
輸入並校驗口令句之後,你的鑰匙就生成了。你會 看到一條和以下相仿的消息:
We need to generate a lot of random bytes. It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during輸入並校驗口令句之後,你的鑰匙就生成了。你會 看到一條和以下相仿的消息:
We need to generate a lot of random bytes. It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during