目录
本教程解释为了信息安全,如何设置 Thunderbird 数字签名、加密和解密消息。
简介
人人都用的电子邮件的基础设施,从设计上,就是不安全的。虽然大多数人通过安全连接("SSL")连到电子邮件服务器,但是还是有些服务器允许不安全的访问。另外,当消息从发件人一步步传输到收件人时,传输路径上各个服务器之间的连接也不保证安全。第三方有可能在传输路径上截获、阅读和改变电子邮件。
当你 数字签署 消息时,你在消息里嵌入了你的身份认证信息。当你加密消息时,消息看起来是 "秘密的",只有持有解密密钥的人才能阅读该消息。数字签名保证消息来自所示的发件人。加密保证消息在传输时没被阅读或改变。
要加密消息,你可以使用 公共密钥加密系统。在该系统中,每个参与者都有两个独立的密钥:一个公共加密密钥 和 一个私人解密密钥。人们向你发送加密消息时,他们使用你的公共密钥来加密消息。当你收到消息后,你必须使用你的私人密钥来解密该消息。
这个加密电子邮件的协议叫做 PGP(相当好的隐私/Pretty Good Privacy)。要在 Thunderbird 中使用 PGP,你必须安装:
这两个应用也提供消息数字签名的功能。
安装 GPG 和 Enigmail
要安装 GnuPG,请从 GnuPG 二进制页 下载合适的安装包。参照你的下载包的安装指南执行安装。更多关于在不同操作系统上安装 PGP 的信息,请参阅
要安装 Enigmail:
- 在 Thunderbird中,选择 。
- 在右上角的搜索栏搜索 Enigmail。
- 在搜索结果中选择 Enigmail 并根据指南安装该附加组件。
创建 PGP 密钥
根据以下步骤创建你的公共和私人密钥:
- 在 Thunderbird 菜单栏,点击 并选择 。
- 如下图所示,选择 是,我希望向导帮我开始。点击 。
- 向导会询问你是想签署所有邮件还是为不同收件人设置不同的规则。签署所有邮件可以让大家知道邮件确实来自你,所以这通常是一个好主意。收件人无须使用数字签名或 PGP 来阅读数字签名消息。选择 是,我要签署我的全部邮件 然后点击 。
- 下一步,向导会问你是否要加密全部邮件。除非你为所有你预计的收件人都提供了公共密钥,你不要选此项。选择 不,我要为向我发送了公共密钥的收件人提供收件规则,然后选择 。
- 向导会询问它是否可以修改你的邮件设置以更好地和 PGP 一起工作。最好选择 是。然后点击 。
- 选择要创建密钥的电子邮件账户。你需要在‘Passphrase(密码)’ 框里输入密码,它可以保护你的私人密钥。该密码将用于加密消息,所以不要忘记。密码应该至少八位,而且不是字典里的单词。(参看 此 Wikipedia 文章 来了解更多关于好密码的信息。)输入密码两次然后点击 。
- 此页显示你设置的偏好。如果你觉得满意,点击 。
- 设置密码完成后,点击 。
- 向导会询问你是否创建一个 ‘吊销证书’,在密钥对不再安全时,该证书可用于告诉他人你的密钥对已失效。如果你要创建此文件,请点击 然后按指导继续。不创建的话,直接点击 。
- 向导最后会说创建已完成。点击 即退出向导。
发送和接收公共密钥
用电子邮件发送公共密钥
要想接收他人的加密消息,你必须首先把你的公共密钥发送给他们。
- 编写消息。
- 从 Thunderbird 菜单栏选择
- 正常发送该消息。
用电子邮件接收公共密钥
要想给他人发送加密消息,你必须接收和保存他们的公共密钥:
- 打开有公共密钥的消息。
- 在窗口底部,双击扩展名是 '.asc' 的附件。(此文件含有公共密钥。)
- Thunderbird 会自动认出这是一个 PGP 密钥。打开的对话框会询问你是‘导入’还是‘查看’该公共密钥。点击
- 确认消息会告诉你密钥已成功导入。点击 即完成。
发送数字签名和/或加密电子邮件
- 如常编辑消息。
- 要想数字签名消息,从 Thunderbird 菜单栏选择
- 如果你的电子邮件地址和 PGP 密钥关联,消息就会用该密钥加密。如果没有关联,系统会请你在列表里选择一个密钥。
阅读数字签名和/或加密电子邮件
当你收到加密消息时,Thunderbird 会问你密码以解密该消息。要确定收到的消息是否数字签名或加密,你需要查看消息内容上面的信息栏。
如果 Thunderbird 认出签名,消息上会显示一个绿色栏(如下所示)。
如果消息是签名并加密,绿色栏还显示“加密消息”。
如果消息是加密但没有签名,消息上栏如下显示。
吊销密钥
如果你认为你的私人密钥已“泄漏”(即有人访问了含有该私人密钥的文件),你应该尽快吊销当前的密钥对并创建新的密钥对。要吊销当前密钥对:
- 从 Thunderbird 菜单栏,点击
- 如下对话框会出现。点击 默认显示全部密钥 来显示全部密钥。
- 右击需要吊销的密钥并选择 吊销密钥
- 出现的对话框会问你是否真的要吊销。点击 。
- 另一个对话框会要你输入密码。输入密码并点击 就完成吊销。
发送吊销证书给你的联系人,他们就知道你当前的密钥已经失效。这就保证如果有人试图用你的密钥模仿你,收件人就会知道那个密钥对已经失效。