<meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>电子邮件加密指南 - 使用 GnuPG 加密对抗大规模监控</title>
<meta name="keywords" content="GnuPG, GPG, openpgp, 监控, 隐私, 电子邮件, 安全, GnuPG2, 加密" />
-<meta name="description" content="电子邮件健康侵犯了我们的基本权利,破坏了言论自由。本指南将在四十分钟里教会你如何使用 GnuPG 加密。" />
+<meta name="description" content="电子邮件监控侵犯了我们的基本权利,威胁了言论自由。本指南将在四十分钟里教会你如何使用 GnuPG 加密。" />
<meta name="viewport" content="width=device-width, initial-scale=1" />
<link rel="stylesheet" href="../static/css/main.css" />
<link rel="stylesheet" href="../static/css/main.zh-hans.css" />
<a href="windows.html">Windows</a></li>-->
<li class="spacer"><a href="workshops.html">研讨会</a></li>
<li class="spacer"><a
+href="http://hhldo3tnt5solzj2bwfvh7xm4slk2forpjwjyemhcfrlob5gq75gioid.onion/zh-hans"
+target="_blank">本站洋葱暗网服务</a></li>
+<li class="spacer"><a
href="https://fsf.org/share?u=https://u.fsf.org/zb&t=Email%20encryption%20for%20everyone%20via%20%40fsf">
分享
<img src="../static/img/gnu-social.png" class="share-logo"
<p>我们为计算机用户争取权利,促进自由软件发展,对抗大规模监控对我们至关重要。</p>
-<p><strong>捐款支持本指南。我们将一直改进它,使其充实。让普通人迈出他们自己隐私保护的第一步,并从中受益。</strong></p>
+<p><strong>捐款支持本指南。我们将一直改进它,使其充实,让普通人迈出隐私保护的第一步,并从中获益。</strong></p>
</div>
<h5>注册</h5>
<form action="https://my.fsf.org/civicrm/profile/create?reset=1&gid=31" method="post">
-<p>输入电子邮箱以获取我们每月新闻简报<br /><a href="https://www.fsf.org/free-software-supporter/">自由软件支持者</a></p>
+<p>输入电子邮箱以获取我们每月新闻简报<br /><a href="https://www.fsf.org/free-software-supporter/">《自由软件支持者》</a></p>
<p><input id="frmEmail" type="text" name="email-Primary" size="18"
maxlength="80" /></p>
<p><a id="infographic" href="infographic.html"><img
src="../static/img/zh-hans/infographic-button.png"
alt="查看并分享我们的信息图" /></a>
-大规模监控侵犯了我们的基本权利,威胁了言论自由。本指南将会教授一个基本的监控自我保护技巧:加密电子邮件。学会后,你将能够收发其他人(包括截获邮件的监控代理和窃贼)无法阅读的电子邮件。你需要的是一台带网络连接的计算机,一个电子邮箱账å\8f·å\92\8c大约å\9b\9bå\8d\81å\88\86é\92\9fæ\97¶é\97´ã\80\82</p>
+大规模监控侵犯了我们的基本权利,威胁了言论自由。本指南将会教授一个基本的监控自我保护技巧:加密电子邮件。学会后,你将能够收发其他人(包括截获邮件的监控代理和窃贼)无法阅读的电子邮件。你需要的是一台带网络连接的计算机,一个电子邮箱账æ\88·å\92\8c大约å\9b\9bå\8d\81å\88\86é\92\9fæ\97¶é\97´ã\80\82</p>
<p>即使你没有不可告人的秘密,使用加密可以保护对方的隐私,使得大规模监控系统变得难以运作。如果你确实有重要的东西需要保护,那么你并不孤独;告密者在揭发人权侵犯、腐败和其他犯罪问题时,也是使用同样的工具保护他们身份。</p>
<h2><em>#1</em> 获取软件</h2>
-<p class="notes">本指南
依赖于<a
-href="https://www.gnu.org/philosophy/free-sw.zh-cn.html">自由许可</a>的软件;它是完全透明的,任何人都可以复制它,制作自己的版本。这使得它比专有软件(比如
+<p class="notes">本指南
需要使用<a
+href="https://www.gnu.org/philosophy/free-sw.zh-cn.html">自由许可</a>的软件;自由软件是完全透明的,任何人都可以复制它,制作自己的版本。这使得它比专有软件(比如
Windows 和 macOS)更难受到监控。在 <a href="https://u.fsf.org/ys">fsf.org</a>
上了解更多关于自由软件的信息。</p>
<p>大多数 GNU/Linux 操作系统自带 GnuPG,如果你正在使用这类系统,你不必下载 GnuPG。如果你使用的是 macOS 和
Windows,请按以下步骤下载 GnuPG。在配置 GnuPG 前,你需要一款桌面电子邮件程序。大多数 GNU/Linux 发行版已经安装好
-IceDove äº\86ï¼\8cå®\83å\8f¯è\83½å\8f«å\8f¦ä¸\80个å\90\8då\97 Thunderbirdã\80\82ç\94µå\90é\82®ä»¶ç¨\8båº\8fæ\98¯å\8f¦ä¸\80ç§\8d访é\97®é\82®ç®±è´¦å\8f·ç\9a\84é\80\94å¾\84ï¼\88你也可以像 Gmail
-é\82£æ ·é\80\9aè¿\87æµ\8fè§\88å\99¨è®¿é\97®ï¼\89ï¼\8cä½\86å®\83æ\8f\90ä¾\9bäº\86更多的功能。</p>
+IceDove äº\86ï¼\8cå®\83å\8f¯è\83½å\8f«å\8f¦ä¸\80个å\90\8då\97 Thunderbirdã\80\82ç\94µå\90é\82®ä»¶ç¨\8båº\8fæ\8f\90ä¾\9bäº\86访é\97®é\82®ç®±è´¦æ\88·ç\9a\84æ\96°é\80\94å¾\84ï¼\88å½\93ç\84¶你也可以像 Gmail
+é\82£æ ·é\80\9aè¿\87æµ\8fè§\88å\99¨è®¿é\97®ï¼\89ï¼\8cä½\86å®\83æ\8b¥æ\9c\89更多的功能。</p>
</div>
<dt>向导程序没有启动</dt>
<dd>你可以手动启动它,但不同邮件程序的菜单选项不尽相同。启动它的按钮在程序的主菜单里,“新建”或者类似的,标题类似于“添加账号”或“新建/已有电子邮件帐户”。</dd>
-<dt>向导程序找不到我的账å\8f·æ\88\96æ\97 æ³\95ä¸\8bè½½é\82®ä»¶</dt>
+<dt>向导程序找不到我的账æ\88·æ\88\96æ\97 æ³\95ä¸\8bè½½é\82®ä»¶</dt>
<dd>在网上搜索解决方案之前,我们建议你问问你身边使用相同邮件系统的人,以检查设置是否正确。</dd>
<dt>我找不到菜单</dt>
<dl>
<dt>使用第三方包管理器安装 GnuPG</dt>
<dd>
-<p>macOS 的默认包管理器安装 GnuPG 和其他自由软件非常困难(比如 Emacs、GIMP 和 Inkscape)。我们推荐安装叫 Homebrew
-的第三方包管理器,用它安装 GnuPG,能够使安装变得简单。对此,我们需要用到一个叫“终端”(Terminal)的程序,它已经预安装在 macOS
-上了。</p>
+<p>macOS 的默认包管理器安装 GnuPG 和其他自由软件非常困难(比如安装 Emacs、GIMP 和 Inkscape)。我们推荐安装叫
+Homebrew 的第三方包管理器,用它安装
+GnuPG,能够使安装过程变得简单。对此,我们需要用到一个叫“终端”(Terminal)的程序,它已经预安装在 macOS 上了。</p>
<p># 在 <a href="https://brew.sh/">Homebrew</a>
主页点击剪贴板图标复制第一条命令,把它粘贴在终端里。按回车键,等待安装完成。</p>
<p>你的私钥更像是现实中的钥匙,你需要自行保管(在你的计算机中)。你使用 GnuPG
和你的私钥来解密他人发给你的加密邮件。<strong>无论如何,你都不应该向他人分享你的私钥。</strong></p>
-<p>除了加密和解密,你可以使用这些密钥对消息进行签名,并检查其他人签名的真实性。我们将在下一节里详细探讨它。</p>
+<p>除了加密和解密,你可以使用这些密钥对消息进行签名,并验证其他人签名的真实性。我们将在下一节里详细探讨它。</p>
</div>
<dl>
<dt>高级密钥对</dt>
<dd>当 GnuPG 创建一个新的密钥对时,加密函数和签名函数会通过<a
-href="https://wiki.debian.org/Subkeys">子密钥</a>分离开来。如果你谨慎地使用子密钥,你能够更加安全地保证
-
GnuPG 身份,并迅速从密钥泄漏中恢复回来。对于如何安全配置子密钥,推荐阅读 <a
+href="https://wiki.debian.org/Subkeys">子密钥</a>分离开来。如果你谨慎地使用子密钥,GPG
+
身份安全性会越高,能够迅速从密钥泄漏中恢复过来。如何安全配置子密钥,推荐阅读 <a
href="https://alexcabal.com/creating-the-perfect-gpg-keypair/">Alex
Cabal</a> 和 <a href="http://keyring.debian.org/creating-key.html">Debian
wiki</a> 的文档。</dd>
<h4>创建吊销证书</h4>
<p>你需要生成吊销证书,并把它保存在安全的地方(请参考<a href="#step-6c">第 6.C
-步</a>了解如何安全保存吊销证书)。它能够在发生密钥丢失或密钥泄露用到。此步骤是本指南的重要步骤,您将在<a href="#section5">第 5
-节</a>里了解原因。</p>
+步</a>了解如何安全保存吊销证书)。它能够在发生密钥丢失或密钥泄露时用到。此步骤是本指南的重要步骤,您将在<a href="#section5">第
+5 节</a>里了解原因。</p>
<p># 复制 KeyID:<code>gpg --list-key [你的邮箱]</code> 这条命令将列出公钥信息,它包括
KeyID,这是一串由数字字母组成的独一无二的字符。复制 KeyID,你将在下面命令中使用它。</p>
<dl>
<dt>无法上传密钥到服务器</dt>
-<dd>除了使用常规的命令上传密钥,你可以使用特定的命令,将密钥服务器加进你的命令之中 <code>gpg --keyserver
-keys.openpgp.org --send-key [keyID]</code>。</dd>
+<dd>除了使用常规的命令上传密钥,你可以使用特定的命令,将密钥服务器加进你的命令之中: <code>gpg --keyserver
+keys.openpgp.org --send-key [keyID]</code></dd>
<dt>无法使用密钥或是“权限拒绝”</dt>
<dd><p>像其他文件和目录一样,gpg 密钥是权限的主体。如果权限没有正确设置,系统可能无法接受你的密钥。下面步骤将帮助你排查问题,更正权限设置。</p>
<dl>
<dt>关于密钥服务器</dt>
<dd>你可以在<a
-href="https://www.gnupg.org/gph/en/manual/x457.html">这篇手册中</a>了解关于密钥服务器的更多信息。<a
-href="https://sks-keyservers.net/overview-of-pools.php">SKS
-网站</a>维护着一个高度互连的密钥服务器列表。你也可以<a
+href="https://www.gnupg.org/gph/en/manual/x457.html">这篇手册中</a>了解关于密钥服务器的更多信息。你也可以<a
href="https://www.gnupg.org/gph/en/manual/x56.html#AEN64">直接导出公钥文件</a>到你的计算机中。</dd>
<dt>转移密钥</dt>
<p>你需要爱德华的公钥才能给他发送加密邮件,因此你需要从密钥服务器下载它。有两种不同方式可以做到:</p>
<p><strong>选项一</strong> 爱德华的公钥在它回复你的第一封邮件里。在邮件右侧,撰写区域的上方,你能够找到 OpenPGP
-按钮,旁边有锁和齿轮图标。点击它,选择“此消息是用您没有的密钥所签名的”旁的 <i>寻找</i>。爱德华密钥的细节将会显示。</p>
+按钮,旁边有锁和齿轮图标。点击它,选择“此消息是用您没有的密钥所签名的”旁边的 <i>寻找</i>。爱德华密钥的细节将会显示。</p>
<p><strong>选项二</strong> 打开 OpenPGP 密钥管理器,在密钥服务器选择
<i>在网上寻找密钥</i>。输入爱德华电子邮箱,导入密钥。</p>
<dt>无法发送消息</dt>
<dd>当你尝试发送加密邮件时可能会遇到下列问题:“由于下列收件人的密钥有问题,无法用端到端加密的方式发送此消息:edward-zh@fsf.org。”则通常是导入密钥时选择了
-不接受 (未验证) 选项。到 OpenPGP 密钥管理器里选择此密钥,右键“密钥属性”,在窗口底部的“接受”选项中选择
+<i>不接受 (未决定) 选项</i>。到 OpenPGP 密钥管理器里选择此密钥,右键“密钥属性”,在窗口底部的“接受”选项中选择
<i>接受,但我未验证过是否为正确密钥</i> 。重新发送邮件。</dd>
<dt>我找不到爱德华的公钥</dt>
<p>GnuPG
提供了对消息或文件签名的方式,验证它们的确来自于你,并且始终未被篡改。这些签名比笔头签名更强有力——因为无法被伪造,没有你的私钥就无法签名(这是保护私钥安全另一个的原因)。</p>
-<p>你可以向任何人签名消息,因此让对方意识到你在使用 GnuPG——他们可以和你安全的通信——是个不错的主意。如果他们没有
-GnuPG,他们仍将有能力阅读你的消息并查看你的签名。如果他们有,他们将有能力验证你签名的真实性。</p>
+<p>你可以向任何人签名消息,因此让对方意识到你在使用 GnuPG——他们可以和你进行安全的通信——是个不错的主意。如果他们没有
+GnuPG,他们仍将有能力阅读你的消息并查看你的签名。如果他们有 GnuPG,他们将有能力验证你签名的真实性。</p>
<p>要想对发给爱德华的邮件签名,并撰写一些消息给他,点击紧邻锁形图标的铅笔图标,它会变成金黄色。你要是对消息签名,GnuPG
可能会在你点击发送消息前询问你密码,这是因为签名需要解锁私钥。</p>
<div id="step-4e" class="step">
<div class="main">
-<h3><em>第 3.e 步</em> 接收回信</h3>
+<h3><em>第 4.e 步</em> 接收回信</h3>
<p>当爱德华收到你的邮件,他将会使用你的公钥(你在<a href="#step-3a">第 3.A
步</a>发给他了)验证你发送的消息未经篡改,并以加密形式给你回复。</p>
<p>签署密钥和消息签名使用了同种类型的数学运算,但有着不同的含义。通常,对自己邮件进行签名是一种良好实践,但随意签署别人的公钥,最终你会意外地为冒充者做了担保。</p>
<p>使用你的公钥的人可以看到谁签署了此公钥。长期使用 GnuPG
-å\90\8eï¼\8cä½ ç\9a\84å¯\86é\92¥å\8f¯è\83½æ\9c\89æ\95°ç\99¾æ\94¯ç¾å\90\8dã\80\82ä½ å\8f¯ä»¥è®¤ä¸ºï¼\8cå\85¬é\92¥ä¸\8aä½ ä¿¡ä»»ç\9a\84人ç\9a\84ç¾å\90\8d数量越多,那么这支公钥越可信。信任网是 GnuPG
+å\90\8eï¼\8cä½ ç\9a\84å¯\86é\92¥å\8f¯è\83½æ\9c\89æ\95°ç\99¾æ\94¯ç¾å\90\8dã\80\82ä½ å\8f¯ä»¥è®¤ä¸ºï¼\8cå\80¼å¾\97ä¿¡ä»»ç\9a\84人对è¿\99æ\94¯å\85¬é\92¥ç¾å\90\8dç\9a\84数量越多,那么这支公钥越可信。信任网是 GnuPG
用户的聚集地,他们用签名传递着信任链,连接彼此。</p>
</div>
<h3>何时该加密?何时该签名?</h3>
-<p>加密消息是多多益善的。如果你只是偶然加密邮件,每封的加密消息就像向监控系统发送警报。如果全部邮件都是加密的,做监控的人会不知道从何处开始——这不是说加密部分邮件毫无帮助——它使大规模监控变得困难,这是重要的开始。</p>
+<p>加密消息是多多益善的。如果你只是偶然加密邮件,突兀的加密消息就像给监控系统发出警报。如果全部邮件都是加密的,监控人员将不知道从何处开始——这不是说加密部分邮件毫无帮助——它使大规模监控变得困难,这是重要的开始。</p>
<p>除非你不想暴露身份(这还要求其他保护措施),每一封邮件都不签名是没有理由的,无论你是否加密。除了允许 GnuPG
验证消息确实来自于你,签名是一种非侵入性的方式,提醒别人你在使用 GnuPG,并表示对安全通信的支持。如果你经常给不熟悉 GnuPG
的设置,以及你的公钥指纹是什么。将本指南链接发送给他们,让他们加入你的队伍。别忘了还有一幅很棒的<a
href="infographic.html">信息图</a>值得分享。</p>
-<p class="notes">在所有显示你邮箱地址的地方,附上公钥指纹。
一些好地方有:你的电子邮件签名(这里的签名指的是文字,而非密码学签名)、社交媒体简历、博客、网站和商务名片。在自由软件基金会,我们把它放在了<a
+<p class="notes">在所有显示你邮箱地址的地方,附上公钥指纹。
这里有一些好地方:你的电子邮件签名(这里的签名指的是文字,而非密码学签名)、社交媒体简历、博客、网站和商务名片。在自由软件基金会,我们把它放在了<a
href="https://fsf.org/about/staff">雇员页面</a>。我们需要创造一种文化:当我们看到电子邮箱地址却没有看到公钥指纹,就好像缺少了某样东西。</p>
</div>
alt="自由软件基金会"
src="../static/img/fsf-logo.png" /></a></h4>
-<p>
版权所有 © 2014-2021 <a href="https://u.fsf.org/ys">Free Software
+<p>
Copyright © 2014-2021 <a href="https://u.fsf.org/ys">Free Software
Foundation</a>, Inc. <a
href="https://my.fsf.org/donate/privacypolicy.html">隐私政策</a>. <a
href="https://u.fsf.org/yr">成为会员</a>,支持我们的工作。</p>
projects / enc.git / blobdiff