如果你一直在考慮如何加密電子郵件，那么在眾多的郵件服務(wù)和郵件客戶(hù)端中挑來(lái)挑去一定是件頭痛的事情．可以考慮兩種加密方法：SSL或TLS加密會(huì)保護(hù)發(fā)送到郵件服務(wù)器的登錄名和密碼．Gunpg是一款標(biāo)準(zhǔn)的、強(qiáng)大的Linux加密工具，可以加密和認(rèn)證消息．如果你可以管理自己的GPG加密，并不考慮第三方工具，那它就夠了，其它的我們將在稍后討論．

即便加密了消息，你仍然會(huì)暴露在流量分析中，因?yàn)橄㈩^部必須是明文形式．所以需要另一款比如Tor network來(lái)隱藏你在互聯(lián)網(wǎng)上的足跡．我們會(huì)看看各種郵件服務(wù)和客戶(hù)端，以及其中的利弊．

忘掉Web郵件

如果你使用過(guò)GMail, Yahoo，Hotmail或者其它Web郵件提供商的郵件服務(wù)，那就忘掉它們吧．你在Web瀏覽器里輸入的任何信息都會(huì)暴露在Ja v aScript攻擊中，而且無(wú)論服務(wù)提供商提供什么保障都是過(guò)眼云煙(譯者注:此說(shuō)法靠譜否?)．GMail,Yahoo和Hotmail均提供SSL/TLS加密來(lái)防止消息被聽(tīng)．但是它們不會(huì)提供任何保護(hù)來(lái)阻礙它們自己的數(shù)據(jù)挖掘，因此并不會(huì)提供端到端的加密．Yahoo和Google都聲稱(chēng)將在明年推出端到端的加密．對(duì)此我持懷疑態(tài)度，因?yàn)槿绻坏┧鼈兊暮诵臉I(yè)務(wù)數(shù)據(jù)挖掘受到干預(yù)，它們就什么都干不了了．

市面上也有各式各樣的聲稱(chēng)可以為所有類(lèi)型的電子郵件都能提供安全加密的第三方郵件加密服務(wù)，比如Virtru和SafeMess．對(duì)此我依舊表示懷疑，因?yàn)闊o(wú)論是誰(shuí)，只要持有加密秘鑰就可以訪(fǎng)問(wèn)你的消息，所以你還是要依賴(lài)于對(duì)他們的信任而不是技術(shù)．

對(duì)等消息可以避免許多使用集中化服務(wù)中的缺陷．RetroShare和Bitmessage是兩種流行的范例．我不知道它們是否如實(shí)所述，但這么說(shuō)肯定有其可取之處．

那Anddroid和iOS又如何呢?假設(shè)大部分的Android和iOS應(yīng)用都沒(méi)有權(quán)限獲取你的消息的話(huà)，那就是最安全的．不要照搬我說(shuō)的 -- 在應(yīng)用將要安裝到你的設(shè)備上時(shí)麻煩讀讀相關(guān)的服務(wù)條款并檢查所要求的權(quán)限．即便在初次安裝時(shí)它們的條款是可接受的，也記得單方面的條款改變是行業(yè)的標(biāo)準(zhǔn)，所以做最壞的打算是最安全的．

零知識(shí)（Zero Knowledge）

Proton Mail是一款全新的郵件服務(wù)，聲稱(chēng)采用零知識(shí)就可以實(shí)現(xiàn)消息加密．認(rèn)證和消息加密分為兩個(gè)單獨(dú)的步驟，Proton遵照Swiss隱私條款，它們不會(huì)通過(guò)日志記錄用戶(hù)的活動(dòng)．零知識(shí)加密提供真正的安全．這代表只有你擁有你的加密秘鑰，如果你丟了它們，你的消息就無(wú)法恢復(fù)了．

也有許多加密電子郵件服務(wù)聲稱(chēng)可以保護(hù)你的隱私．認(rèn)真閱讀細(xì)則，查看紅色標(biāo)注的地方，比如受限的用戶(hù)數(shù)據(jù)采集，與好友分享，與執(zhí)法部門(mén)的合作等．這些條款暗示它們會(huì)收集和共享用戶(hù)數(shù)據(jù)，擁有權(quán)限獲取你的加密秘鑰，并讀取你的消息．

Linux郵件客戶(hù)端

一款開(kāi)源郵件客戶(hù)端，比如, Mutt, Claws, Evolution, Sylpheed和Alpine，可建立你自己控制的GnuPG秘鑰，給你大部分的保護(hù)．（建立更安全的電子郵件和Web瀏覽的最容易的方式是運(yùn)行TAILS live的Linux發(fā)行版．詳情查看通過(guò) Tor、TAILS 和 Debian 在網(wǎng)上保護(hù)你自己。）

無(wú)論你使用的是TAILS還是一款標(biāo)準(zhǔn)Linux發(fā)行版，管理GnuPG的方法是相同的，所以下面來(lái)學(xué)習(xí)如何使用GnuPG加密消息．

使用GnuPG

首先，熟悉一下相關(guān)術(shù)語(yǔ)。OpenPGP是一種開(kāi)放的電子郵件加密和認(rèn)證協(xié)議，基于菲利普·齊默曼的Pretty Good Privacy (PGP)。GNU Privacy Guard (GnuPG or GPG)是OpenPGP的GPL實(shí)現(xiàn)。GnuPG使用對(duì)稱(chēng)公鑰加密算法，也就是說(shuō)會(huì)生成一對(duì)密鑰：一個(gè)任何人都可以用來(lái)加密發(fā)送給你的消息的公鑰和一個(gè)只有你自己擁有用來(lái)解密消息的的私鑰。GnuPG執(zhí)行兩個(gè)分開(kāi)的函數(shù)：數(shù)字化簽名消息以證明消息來(lái)自你和加密消息。任何人都可以讀到你的數(shù)字簽名消息，但只有那些與你交換密鑰的人才可以讀取加密消息。切記千萬(wàn)不要與他人分享你的密鑰！只能分享公鑰。

Seahorse是GnuPG對(duì)應(yīng)的GNOME圖形化前端，KGpg是KDE圖形化的GnuPG工具。

Kgpg為了創(chuàng)建了管理加密秘鑰提供了一個(gè)很好的GUI界面．

現(xiàn)在我們執(zhí)行生成和管理GunPG密鑰的基本步驟。這個(gè)命令生成一個(gè)新的密鑰：

$ gpg --gen-key

這個(gè)過(guò)程有許多步驟；對(duì)于大部分人來(lái)說(shuō)，只需要回答所有的問(wèn)題，遵循默認(rèn)設(shè)置就好。當(dāng)你生成你的密鑰時(shí)，記下來(lái)并將其保存在一個(gè)安全的地方，因?yàn)槿绻銇G掉了它，你就不能解密任何消息了。任何關(guān)于不要寫(xiě)下密碼的建議都是錯(cuò)誤的。我們中的大部分人要記住許多登錄名和密碼，包括那些我們幾乎從來(lái)不會(huì)用到的，所以全部記住它們是不現(xiàn)實(shí)的。你知道當(dāng)人們不寫(xiě)下他們的密碼時(shí)會(huì)發(fā)生什么嗎？他們會(huì)選擇生成簡(jiǎn)單的密碼并不斷重復(fù)使用。你存儲(chǔ)在電腦里的任何東西都潛在地會(huì)被攻擊竊??；一個(gè)保存在上鎖的柜子里的小本是無(wú)法通過(guò)滲透獲取的，除了物理的入侵，當(dāng)然入侵者要知道如何去尋找它。

我必須叮囑你們?nèi)ヅ宄绾问褂眯旅荑€去配置郵件客戶(hù)端，因?yàn)槊恳粋€(gè)都不同。你可以按照如下操作列出你的密鑰：

$ gpg --list-keys/home/carla/.gnupg/pubring.gpg------------------------------pub   2048R/587DD0F5 2014-08-13uid                  Carla Schroder (my gpg key) sub   2048R/AE05E1E4 2014-08-13

這能快速地獲知像密鑰的位置、名稱(chēng)（也就是UID）等必要信息。假設(shè)你想要把公鑰上傳到密鑰服務(wù)器，可以參考實(shí)例操作：

$ gpg --send-keys 'Carla Schroder' --keyserver http://example.com

當(dāng)你生成了一個(gè)新的密鑰要上傳到公鑰服務(wù)器，你也應(yīng)該生成一個(gè)撤銷(xiāo)證書(shū)。不要推遲到以后做———當(dāng)你生成新密鑰時(shí)就生成它。你可以給它取任意的名稱(chēng)，比如使用一個(gè)像mycodeproject.asc的描述性名稱(chēng)來(lái)代替revoke.asc：

$ gpg --output revoke.asc --gen-revoke 'Carla Schroder'

如果你的密鑰變得不可靠了，你可以通過(guò)向keyring導(dǎo)入撤銷(xiāo)證書(shū)來(lái)撤銷(xiāo)它：

$ gpg --import ~/.gnupg/revoke.asc

然后生成并上傳一個(gè)新的密鑰來(lái)取代它。當(dāng)它們更新到密鑰數(shù)據(jù)庫(kù)時(shí)，所有使用舊密鑰的用戶(hù)都會(huì)被通知。

你必須像保護(hù)私鑰一樣保護(hù)撤銷(xiāo)證書(shū)。將它拷貝到CD或USB存儲(chǔ)器中，并加鎖，然后從電腦中刪除。這是明文密鑰，所以你甚至可以將它打印出來(lái)。

如果你需要一份復(fù)制粘貼的密鑰，比如在允許將密鑰粘貼到網(wǎng)頁(yè)表格中的公用keyring中，或者是想將公鑰發(fā)布到個(gè)人站點(diǎn)上，那么你必須生成一份公鑰的ASCII-armored版本：

$ gpg --output carla-pubkey.asc --export -a 'Carla Schroder'

這會(huì)生成可見(jiàn)的明文公鑰，就像下面這個(gè)小例子：

相信上面的教程應(yīng)該使你學(xué)會(huì)如何使用GnuPG。如果不夠，The GnuPG manuals上有使用GnuPG和相關(guān)全部配置的詳細(xì)信息。

最新評(píng)論