数字签名和加密消息

Thunderbird Thunderbird 最后更新于: 50% 的用户认为有帮助
注意:本文适用于 Thunderbird 68 及以前的版本。从 版本78 开始,Thunderbird 采用了内置的 OpenPGP 加密技术,因此 Enigmail 插件已经停止使用。更多信息,请参考 在 Thunderbird 中使用 OpenPGP —— 怎么做以及问题解答

本教程解释为了信息安全,如何设置 Thunderbird 数字签名、加密和解密消息。

简介

人人都用的电子邮件的基础设施,从设计上,就是不安全的。虽然大多数人通过安全连接("SSL")连到电子邮件服务器,但是还是有些服务器允许不安全的访问。另外,当消息从发件人一步步传输到收件人时,传输路径上各个服务器之间的连接也不保证安全。第三方有可能在传输路径上截获、阅读和改变电子邮件。

当你 数字签署 消息时,你在消息里嵌入了你的身份认证信息。当你加密消息时,消息看起来是 "秘密的",只有持有解密密钥的人才能阅读该消息。数字签名保证消息来自所示的发件人。加密保证消息在传输时没被阅读或改变。

要加密消息,你可以使用 公共密钥加密系统。在该系统中,每个参与者都有两个独立的密钥:一个公共加密密钥一个私人解密密钥。人们向你发送加密消息时,他们使用你的公共密钥来加密消息。当你收到消息后,你必须使用你的私人密钥来解密该消息。

注意:永远不要向任何人分享你的私人密钥。

这个加密电子邮件的协议叫做 PGP(相当好的隐私/Pretty Good Privacy)。要在 Thunderbird 中使用 PGP,你必须安装:

  • GnuPG:(GNU 隐私护卫):一个实现 PGP 协议的自由软件
  • Enigmail:一个 Thunderbird 附加组件

这两个应用也提供消息数字签名的功能。

安装 GPG 和 Enigmail

要安装 GnuPG,请从 GnuPG 二进制页 下载合适的安装包。参照你的下载包的安装指南执行安装。更多关于在不同操作系统上安装 PGP 的信息,请参阅

要安装 Enigmail:

  1. 在 Thunderbird中,选择 工具 > 附加组件
  2. 在右上角的搜索栏搜索 Enigmail。
  3. 在搜索结果中选择 Enigmail 并根据指南安装该附加组件。

创建 PGP 密钥

根据以下步骤创建你的公共和私人密钥:

  1. 在 Thunderbird 菜单栏,点击 OpenPGP 并选择 设置向导
  2. 如下图所示,选择 是,我希望向导帮我开始。点击 下一步
    OpenPGP-1
  3. 向导会询问你是想签署所有邮件还是为不同收件人设置不同的规则。签署所有邮件可以让大家知道邮件确实来自你,所以这通常是一个好主意。收件人无须使用数字签名或 PGP 来阅读数字签名消息。选择 是,我要签署我的全部邮件 然后点击 下一步
  4. 下一步,向导会问你是否要加密全部邮件。除非你为所有你预计的收件人都提供了公共密钥,你不要选此项。选择 不,我要为向我发送了公共密钥的收件人提供收件规则,然后选择 下一步
  5. 向导会询问它是否可以修改你的邮件设置以更好地和 PGP 一起工作。最好选择 。然后点击 下一步
  6. 选择要创建密钥的电子邮件账户。你需要在‘Passphrase(密码)’ 框里输入密码,它可以保护你的私人密钥。该密码将用于加密消息,所以不要忘记。密码应该至少八位,而且不是字典里的单词。(参看 此 Wikipedia 文章 来了解更多关于好密码的信息。)输入密码两次然后点击 下一步
  7. 此页显示你设置的偏好。如果你觉得满意,点击 下一步
  8. 设置密码完成后,点击 下一步
  9. 向导会询问你是否创建一个 ‘吊销证书’,在密钥对不再安全时,该证书可用于告诉他人你的密钥对已失效。如果你要创建此文件,请点击 创建证书 然后按指导继续。不创建的话,直接点击 跳过
  10. 向导最后会说创建已完成。点击 完成 即退出向导。

发送和接收公共密钥

用电子邮件发送公共密钥

要想接收他人的加密消息,你必须首先把你的公共密钥发送给他们。

  1. 编写消息。
  2. 从 Thunderbird 菜单栏选择 OpenPGP 然后是 附加我的公共密钥
    AttachPublicKey
  3. 正常发送该消息。

用电子邮件接收公共密钥

要想给他人发送加密消息,你必须接收和保存他们的公共密钥:

  1. 打开有公共密钥的消息。
  2. 在窗口底部,双击扩展名是 '.asc' 的附件。(此文件含有公共密钥。)
  3. Thunderbird 会自动认出这是一个 PGP 密钥。打开的对话框会询问你是‘导入’还是‘查看’该公共密钥。点击 导入 可以导入该密钥。
    ImportPublicKey
  4. 确认消息会告诉你密钥已成功导入。点击 确认 即完成。

发送数字签名和/或加密电子邮件

  1. 如常编辑消息。
  2. 要想数字签名消息,从 Thunderbird 菜单栏选择 OpenPGP 并启用 签署消息 选项。要想加密消息,请启用 加密消息 选项。在加密前,系统可能会询问密码。
    SignEncryptedEmail
  3. 如果你的电子邮件地址和 PGP 密钥关联,消息就会用该密钥加密。如果没有关联,系统会请你在列表里选择一个密钥。
注意:消息的标题不被加密。

阅读数字签名和/或加密电子邮件

当你收到加密消息时,Thunderbird 会问你密码以解密该消息。要确定收到的消息是否数字签名或加密,你需要查看消息内容上面的信息栏。

如果 Thunderbird 认出签名,消息上会显示一个绿色栏(如下所示)。

GoodSignature

如果消息是签名并加密,绿色栏还显示“加密消息”。

Signature&Encrypted

如果消息是加密但没有签名,消息上栏如下显示。

EncryptedNotSigned
注意:没有签名的消息可能是来自试图模仿发件人的其他人。

吊销密钥

如果你认为你的私人密钥已“泄漏”(即有人访问了含有该私人密钥的文件),你应该尽快吊销当前的密钥对并创建新的密钥对。要吊销当前密钥对:

  1. 从 Thunderbird 菜单栏,点击 OpenPGP 并选择 密钥管理
    RevokeKey
  2. 如下对话框会出现。点击 默认显示全部密钥 来显示全部密钥。
  3. 右击需要吊销的密钥并选择 吊销密钥
  4. 出现的对话框会问你是否真的要吊销。点击 吊销密钥
  5. 另一个对话框会要你输入密码。输入密码并点击 确认 就完成吊销。

发送吊销证书给你的联系人,他们就知道你当前的密钥已经失效。这就保证如果有人试图用你的密钥模仿你,收件人就会知道那个密钥对已经失效。

这篇文章对您有帮助吗?

请稍候...

此文章在这些用户的协助下写成:

Illustration of hands

志愿者

分享知识并培养专业技能。解答问题并改进我们的知识库。

详细了解