From 4c47229eda90fae83011fee424f299f7d1b4524d Mon Sep 17 00:00:00 2001 From: Xuxin He Date: Tue, 6 Sep 2022 16:18:20 +0800 Subject: [PATCH] zh-hans: regenerate the HTML files. --- zh-hans/confirmation.html | 138 +++++ zh-hans/index.html | 1211 +++++++++++++++++++++++++++++++++++++ zh-hans/infographic.html | 135 +++++ zh-hans/next_steps.html | 349 +++++++++++ zh-hans/workshops.html | 364 +++++++++++ 5 files changed, 2197 insertions(+) create mode 100644 zh-hans/confirmation.html create mode 100644 zh-hans/index.html create mode 100644 zh-hans/infographic.html create mode 100644 zh-hans/next_steps.html create mode 100644 zh-hans/workshops.html diff --git a/zh-hans/confirmation.html b/zh-hans/confirmation.html new file mode 100644 index 00000000..f3a5b2a4 --- /dev/null +++ b/zh-hans/confirmation.html @@ -0,0 +1,138 @@ + + + + +电子邮件加密指南 - 使用 GnuPG 加密对抗大规模监控 + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + diff --git a/zh-hans/index.html b/zh-hans/index.html new file mode 100644 index 00000000..d645568c --- /dev/null +++ b/zh-hans/index.html @@ -0,0 +1,1211 @@ + + + + +电子邮件加密指南 - 使用 GnuPG 加密对抗大规模监控 + + + + + + + + + + + + + + + + + + + + + +
+ + + +
+ +

#1 获取部件

+ +

本指南依赖于自由许可的软件;它是完全透明的,任何人都可以复制它,制作自己的版本。这使得它比专有软件(比如 +Windows 和 macOS)更难受到监控。在 fsf.org +上了解更多关于自由软件的信息。

+ +

大多数 GNU/Linux 操作系统自带 GnuPG,如果你正在使用这类系统,你不必下载 GnuPG。如果你使用的是 macOS 和 +Windows,请按以下步骤下载 GnuPG。在配置 GnuPG 前,你需要一款桌面电子邮件程序。大多数 GNU/Linux 发行版已经安装好 +IceDove 了,它可能叫另一个名字 Thunderbird。电子邮件程序是另一种访问邮箱账号的途径(你也可以像 Gmail +那样通过浏览器访问),但它提供了更多的功能。

+ +
+ + + + +
+
+ +

+ +
+ +
+ +

第 1.a 步 配置电子邮件帐号

+ +

打开电邮程序,按照向导一步一步配置好电邮帐号。通常第一步是从“帐号设置”→“添加电子邮件帐号”开始的。从系统管理员和电邮帐号帮助页面可以获得电邮服务器设置信息。

+ + + + +
+ +

疑难解答

+ +
+
向导程序没有启动
+
你可以手动启动它,但不同邮件程序的菜单选项不尽相同。启动它的按钮在程序的主菜单里,“新建”或者类似的,标题类似于“添加账号”或“新建/已有电子邮件帐户”。
+ +
向导程序找不到我的账号或无法下载邮件
+
在网上搜索解决方案之前,我们建议你问问你身边使用相同邮件系统的人,以检查设置是否正确。
+ +
我找不到菜单
+
在许多新型电子邮件程序中,主菜单是用三横杠图标表示的。
+ + + +
+ +
+ +
+ +
+ + + + +
+
+ +

第 1.b 步 安装 GnuPG

+ +

如果使用的是 GNU/Linux,或是已经安装了 GnuPG,请跳至第 2 节。

+ +

如果你使用的是 macOS 或 Windows,你首先需要安装 GnuPG +程序。在下面根据你选择操作系统进行操作。在本指南后面的篇幅,所有操作系统的步骤都是相同的。

+ + + +
+ +

macOS

+ +
+
使用第三方包管理器安装 GnuPG
+
+

macOS 的默认包管理器安装 GnuPG 和其他自由软件非常困难(比如 Emacs、GIMP 和 Inkscape)。我们推荐安装叫 Homebrew +的第三方包管理器,用它安装 GnuPG,能够使安装变得简单。对此,我们需要用到一个叫“终端”(Terminal)的程序,它已经预安装在 macOS +上了。

+ +

# 在 Homebrew +主页点击剪贴板图标复制第一条命令,把它粘贴在终端里。按回车键,等待安装完成。

+

# 在终端输入如下命令安装 GnuPG:
+brew install gnupg gnupg2

+
+
+ +
+ + + + +
+ +

Windows

+ +
+
下载 GPG4Win 获取 GnuPG
+

GPG4Win 是一个包含 GnuPG +的电邮文件加密的软件包。下载安装它的最新版本,所有步骤都选择默认选项。安装结束后,你可以关闭程序创建的窗口。

+
+
+ +
+ +
+ +
+ + + + +
+
+ +

GnuPG 和 OpenPGP 有何区别?

+ +

通常,术语 GnuPG, GPG, GNU Privacy Guard, OpenPGP 和 PGP +可以互换其称呼。技术上说,OpenPGP(Pretty Good Privacy)是一种加密标准, GNU Privacy Guard(常被缩写为 +GPG 或 GnuPG)是实现该标准的程序。大多数电邮程序提供了 GnuPG 接口,GnuPG 也有叫 GnuPG2 的新版本。

+ +
+ +
+ + +
+ + + + +
+ + + +
+ +

#2 生成密钥

+

大头机器人手里握着私钥和公钥

+ +

要使用 GnuPG +系统,你将会用到一把公钥和一把私钥,他们合称为密钥对。每一把都是随机生成的一长串数字和字母的值,它是独一无二的。你的公钥和私钥是由一种特殊的数学函数联系在一起。

+ +

你的公钥不像现实中的钥匙,它公开储存在被称之为密钥服务器的在线目录上。人们可以下载使用它,借助 +GnuPG,人们向你发送加密邮件。你可以把密钥服务器想象成一本电话簿;想要给你发送加密邮件的人能够找到你的公钥。

+ +

你的私钥更像是现实中的钥匙,你需要自行保管它(在你的计算机中)。你使用 GnuPG +和你的私钥来解密他人发给你的加密邮件。无论如何,你都不应该向他人分享你的私钥。

+ +

除了加密和解密,你可以使用这些密钥对消息进行签名,并检查其他人签名的真实性。我们将在下一节里详细探讨它。

+ +
+ + + + +
+
+

+ +

+ +
+ +
+ +

第 2.a 步 生成密钥对

+ +

生成密钥对

+ +

我们将在终端里使用 GnuPG 程序的命令完成创建密钥对。

+ +

无论在 GNU/Linux、macOS 还是 Windows 系统,你都能够使用终端(macOS 叫 Termial,Windows 叫 +PowerShell),一些 GNU/Linux 发行版可以通过快捷键 Ctrl + Alt + T 打开终端。

+ +

# 输入 gpg --full-generate-key 开始生成密钥。

+

# 创建何种类型的密钥,请选择默认选项: 1 RSA and RSA.

+

# 输入以下密钥长度: 4096 来得到强壮的密钥。

+

# 选择失效日期;我们建议 2y (两年)。

+

按照提示继续设置个人信息。

+

使用 --gen-key 还是 --full-generate-key 视使用的 GPG +版本而定.

+ +

设置密码

+

在“密码”界面,取一个强壮的密码吧!你可以自行取密码,也可以使用 Diceware 模式。自己取密码虽然快捷,但不安全。使用 Diceware +需要更长时间,并要求掷骰子,但它能生成攻击者难以猜测的密码。要使用它,请阅读 Micah Lee 写的这篇文章的“使用 +Diceware 生成安全密码 ”章节。

+ + +

如果你喜欢自己取密码,想一个能记住的至少十二字符长的东西,至少包含一个小写和一个大写字母,和一个数字或标点符号。永远不要使用你在其他地方使用过的密码。不用使用任何可辨认的规律,诸如生日、电话号码、宠物名字、歌词或书中的名言等等。

+ + + +
+ +

疑难解答

+
+
未安装 GnuPG
+
+通过命令 gpg --version 可以检查是否安装了 GnuPG。如果未安装,在 GNU/Linux +操作系统下会有类似提示:Command 'gpg' not found, but can be installed with: sudo +apt install gnupg。使用此安装 GnuPG。
+ +
gpg --full-generate-key 命令没用
+
一些发行版的 GPG 版本不同。当你看到类似 gpg: Invalid option +"--full-generate-key" 错误提示时,请尝试:
+sudo apt update
+sudo apt install gnupg2
+gpg2 --full-generate-key
+如果问题得以解决,你将在下面使用 gpg2 而非 gpg 完成本指南的下列步骤。 +

使用 --gen-key 还是 --full-generate-key 视使用的 GPG +版本而定.

+
+ +
太难想一个好密码了
+
没关系。想一个好密码很重要。当你准备好了,请从头开始按照步骤生成密钥。
+ +
怎么才能看到我的密钥?
+
+使用命令 gpg --list-keys 查看所有密钥。你的密钥将会显示在上面,在稍后的第 3 节,爱德华的密钥也会显示出来。
+如果只想查看自己的密钥,使用命令 gpg --list-key [你的邮箱]。
+你也可以使用 gpg --list-secret-key 查看自己的私钥。
+ +
更多资源
+
更多信息,请参考文档 The +GNU Privacy Handbook。请确保选择的是"RSA and RSA" (the +default),它比文档中推荐的算法更新更安全。如果你想更安全,你的密钥至少应当 4096 bits。
+ + + +
+ +
+ + + + +
+ +

进阶指南

+
+
高级密钥对
+
当 GnuPG 创建一个新的密钥对时,加密函数和签名函数会通过子密钥分离开来。如果你谨慎地使用子密钥,你能够更加安全地保证 +GnuPG 身份,并迅速从密钥泄漏中恢复回来。对于如何安全配置子密钥,推荐阅读 Alex +Cabal 和 Debian +wiki 的文档。
+
+ +
+ +
+ +
+ + + + +
+
+

+ +
+ +
+ +

第 2.b 步 生成密钥的一些重要步骤

+ +

上传公钥到密钥服务器

+

我们将上传公钥到密钥服务器,想给你发送加密信息的人可以从因特网上下载到你的公钥了。上传时菜单中有多个密钥服务器可供选择,他们拥有彼此的完整副本,所以你选择哪一个无关紧要,但最好记住上传密钥的原始服务器。请注意,新密钥上传后,服务器间可能要数小时才能完成同步。

+

# 复制 KeyID:gpg --list-key [你的邮箱] 这条命令将列出公钥信息,它包括 +KeyID,这是一串由数字字母组成的独一无二的字符。复制 KeyID,你将在下面命令中使用它。

+

# 上传密钥到服务器:gpg --send-key [keyID]

+ +

导出密钥

+

使用下面命令导出私钥,并在下一步中导入到电邮客户端中。将它储存在安全的地方,如果需要传输,请保证以可行的方式传输,避免泄露私钥。使用下面命令导出密钥:

+

$ gpg --export-secret-keys -a [keyID] > my_secret_key.asc
+$ gpg --export -a [keyID] > my_public_key.asc

+ +

创建吊销证书

+

你需要生成吊销证书,并把它保存在安全的地方(请参考第 6.C +步了解如何安全保存吊销证书)。它能够在发生密钥丢失或密钥泄露用到。此步骤是本指南的重要步骤,您将在第 5 +节里了解原因。

+ +

# 复制 KeyID:gpg --list-key [你的邮箱] 这条命令将列出公钥信息,它包括 +KeyID,这是一串由数字字母组成的独一无二的字符。复制 KeyID,你将在下面命令中使用它。

+

# 生成吊销证书: gpg --gen-revoke --output revoke.asc [keyID]

+

# 它将引导你输入吊销原因,我们建议选择 1 = key has been compromised。

+

# 但你也可以不输入原因;将它留空,按回车键,确认选择。

+ + + + +
+ +

疑难解答

+ +
+
无法上传密钥到服务器
+
除了使用常规的命令上传密钥,你可以使用特定的命令,将密钥服务器加进你的命令之中 gpg --keyserver +keys.openpgp.org --send-key [keyID]。
+ +
无法使用密钥或是“权限拒绝”
+

像其他文件和目录一样,gpg 密钥是权限的主体。如果权限没有正确设置,系统可能无法接受你的密钥。下面步骤将帮助你排查问题,更正权限设置。

+ +

# 检查权限: ls -l ~/.gnupg/*

+

# 设置权限为只有你可以读、写和执行。这是该目录的推荐权限设置。
+使用此命令设置:chmod 700 ~/.gnupg

+

# 设置权限为只有你可以读和写。这是目录里密钥文件的推荐权限设置。
+使用此命令设置: chmod 600 ~/.gnupg/*

+ +

如果需要在 ~/.gnupg 里创建目录,你必须对这个目录给予执行权限。打开目录需要执行权限。关于权限的更多信息,请查看这篇指南。

+
+ + + +
+ +
+ + + + +
+ +

进阶指南

+ +
+
关于密钥服务器
+
你可以在这篇手册中了解关于密钥服务器的更多信息。SKS +网站维护着一个高度互连的密钥服务器列表。你也可以直接导出公钥文件到你的计算机中。
+ +
传输密钥
+
+

使用下面命令传输密钥。将它保存在安全的地方,以可信的方式进行传输,避免密钥泄露。如下是导入和导出密钥的命令:

+ +

$ gpg --export-secret-keys -a [keyID] > my_private_key.asc
+$ gpg --export -a [keyID] > my_public_key.asc
+$ gpg --import my_private_key.asc
+$ gpg --import my_public_key.asc

+ +

确认 KeyID 是正确的,将它添加到完全信任之中:

+ +

$ gpg --edit-key [你的邮箱]

+ +

因为这是你的密钥,你应当选择 ultimate。你不应该对他人的密钥选择完全信任。

+ +

参考第 2.B +步的疑难解答有关权限的信息。当传输密钥时,权限设置可能会变得混乱,提示出现一些错误。这是一些简单的避免方法

+
+
+ +
+ +
+ +
+ +
+ + + + +
+ + + +
+ +

#3 设置邮件加密

+

Icedove(或 Thunderbird)电邮程序集成了 PGP 功能,这让它非常便于使用。我们将在下面一系列步骤中带你在电邮客户端里使用密钥。

+ +
+ + + + +
+
+ +

+ +

+ +

+ +

+
+ +
+ +

第 3.a 步 配置电子邮件帐号

+ +

完成邮件加密设置后,你就帮助增加了因特网上的加密流量。首先我们把密钥导入到电邮客户端,我们也将学习如何从服务器导入其他人的公钥,这样你就可以发送和接收加密邮件。

+ +

# 打开电邮客户端,选择“工具” → OpenPGP 密钥管理器

+

# 选择“文件” → 从文件中导入私钥

+

# 选择你在第 2.B 步 +

# 使用密码解锁

+

# 你会看到 “OpenPGP 密钥成功导入” 的窗口确认导入成功

+

# 在 “帐号设置” → “端到端加密”里,确认你的密钥已经导入,并选择 Treat this key as a Personal +Key。

+ +
+ + + + +
+
+

疑难解答

+
+
我不知道是否已正确导入密钥
+
+在 “帐号设置” → “端到端加密”里查看。在这里你可以看到与此电邮帐号相关的密钥是否存在。如果没有,请重试 添加密钥 +选项。确保你有正确、未过期的私钥文件。 +
+ + + +
+ +
+ +
+ +
+ +
+ + + + +
+ + + +
+ +

#4 试一试!

+

插图说明:房子里有一个人和一只猫,房间连接到服务器

+

现在你将要尝试与名为爱德华(Edward)的 FSF 计算机程序进行通信,它掌握了如何加密。除非另有说明,你与真人通信时也遵循同样的步骤。

+ + + + +
+
+ + + + +
+
+ +

+ +
+ +
+ +

第 4.a 步 发送公钥给爱德华

+ +

这一步很特别,因为你和真人通信时不需要做。在你的邮件程序菜单中,选择“工具” → +“OpenPGP密钥管理器”。你应当看到你的密钥在弹窗的列表中。在你的密钥处右键,选择“通过邮件发送公钥”。这会创建一封草稿消息,就好像你点击了“撰写”按钮,在附件中会看到你的公钥。

+ +

收信人地址填写 edward-zh@fsf.org。在邮件主题栏和正文里任意撰写内容。先别发送。

+ +

我们希望爱德华能够打开你的密钥文件,因此我们需要第一风特别邮件是未经加密的。请下拉菜单“安全”,选择 Do Not +Encrypt,将加密关闭。加密关闭后,点击发送。

+ +

爱德华可能需要两三分钟回复邮件。在这期间,你可以跳过前面的部分并查阅本指南善用加密章节。爱德华回复后,继续下面的步骤。从这里开始,你所要做的与真人通信时相同。

+ +

你打开爱德华的回复邮件,在使用私钥解密消息时,GnuPG 可能会提示要求输入密码。

+ +
+ +
+ + + + +
+
+ +

+ +

+
+ + +
+ +

第 4.b 步 发送一封测试加密邮件

+ +

获取爱德华的密钥

+ +

你需要爱德华的公钥才能给他发送加密邮件,因此你需要从密钥服务器下载它。有两种不同法师可以做到:

+

选项一 爱德华的公钥在它回复你的第一封邮件里。在邮件右侧,撰写区域的上方,你能够找到 OpenPGP +按钮,旁边有锁和齿轮图标。点击它,选择“这封信由一个尚未保存的密钥进行签名”旁的 Discover。爱德华密钥的细节将会显示。

+ +

选项二 打开 OpenPGP 密钥管理器,在密钥服务器选择 Discover Keys +Online。输入爱德华电子邮箱,导入密钥。

+ +

Accepted (unverified) 选项将这个你要添加到密钥管理器,现在它将用于向爱德华发送加密电邮和验证数字签名。

+ +

弹出窗口将确认是否导入爱德华密钥,你会看到这个密钥关联了许多邮箱。这没问题,你可以安全导入密钥。

+ +

因为你使用了爱德华的公钥加密邮件,解密则就要求爱德华的私钥。爱德华是唯一有它私钥的人,因此除了他,没人能解密。

+ +

给爱德华发送一封加密邮件

+ +

在你的邮件程序中写一封新的邮件,收信人地址填写 edward-zh@fsf.org。在主题中填写“加密测试”或类似的词语,并在正文中写一些内容。

+ +

这次,在“安全”下拉菜单里安全 Require Encryption 将加密开启。加密开启后,点击发送。

+ + + + +
+ +

疑难解答

+ +
+
“收件人不合法,不受信任或未找到”
+
你可能会遇到上述错误提示,或是“无法用端到端加密发送此消息,因为下列收件人的密钥存在问题:……”这种情况很可能是由于向你没有公钥的人发送加密邮件,根据上面步骤将密钥导入密钥管理器。打开 +OpenPGP 密钥管理器,确认收件人密钥在上面。
+ +
无法发送消息
+
当你尝试发送加密邮件时可能会遇到下列问题:“无法使用端到端加密发送此消息,因为下列收件人的密钥存在问题:edward-en@fsf.org。”则通常是导入密钥时选择了 +unaccepted (unverified) 选项。到 OpenPGP 密钥管理器里选择此密钥,右键“密钥属性”,在窗口底部的 Acceptance +选项中选择 Yes, but I have not verified that this is the correct key +。重新发送邮件。
+ +
我找不到爱德华的公钥
+
关闭点击发送时的弹窗,确保你已经连接上因特网并再试一次。如果仍然无效,请手动在密钥服务器下载密钥,并在 +OpenPGP 密钥管理器中选择 Import Public Key(s) from File选项导入密钥。
+ +
已发送文件夹中解密的消息
+
即便你无法解密用其他人公钥加密过的消息,你的邮件程序会自动用你的公钥保存一份副本,这就使得你能够在已发送文件夹像查看普通邮件一样查看它。这是正常的,它并不代表你已发的邮件没有被加密。
+ + + +
+ +
+ + + + +
+ +

进阶指南

+ +
+
使用命令行加密消息
+
如果你喜欢,你也可以用命令行加解密消息和文件。命令选项 +--armor 能够使加密输出显示为常规字符集。
+
+ +
+ +
+ +
+ + + + +
+
+ +

重要: 安全提示

+ +

即便你加密了邮件,主题行是不受加密的,因此不要在主题里填写私人信息。发送人和接收人的邮件地址也是不经过加密的,因此监控系统可以知道你在和谁通信。同时,监控代理将会知道你使用了 +GnuPG,即便它不知道你在说什么。当你发送附件时,Enigmail 会让你选择是否加密,加密附件是独立于真实邮件的。

+ +

为了防范潜在的攻击,你可以关闭 HTML 格式,使用纯文本渲染正文。在 Icedove/Thunderbird 中,到 查看 > 消息体为 +> 纯文本 å¯ä»¥åšåˆ°è¿™ä¸€ç‚¹ã€‚

+ +
+ +
+ + + + +
+
+ +

+ +
+ + +
+ +

第 4.c 步 接收回信

+ +

当爱德华收到你的邮件,它会使用它的私钥去解密消息,并给你回复。

+ +

爱德华可能需要两三分钟回复邮件。在这期间,你可以跳过前面的部分并查阅本指南善用加密章节。

+ +

爱德华将用加密邮件给你回信,告知你的邮件已经收到并被解密。你的邮件客户端会自动解密爱德华的消息。

+ +

邮件里的 OpenPGP +将会在锁形图标上显示绿色标记,表明消息已经加密。橙色警告表明密钥已经被接受但未经验证。如果你未接受密钥,你会看到小问号标记。点击提示按钮将引导你设置密钥属性。

+ +
+ +
+ + + + +
+
+ +

第 4.d 步 发送一封测试签名邮件

+ +

GnuPG +提供了对消息或文件签名的方式,验证它们的确来自于你,并且始终未被篡改。这些签名比笔头签名更强有力——因为无法被伪造,没有你的私钥就无法签名(这是保护私钥安全另一个的原因)。

+ +

你可以向任何人签名消息,因此让对方意识到你在使用 GnuPG——他们可以和你安全的通信——是个不错的主意。如果他们没有 +GnuPG,他们仍将有能力阅读你的消息并查看你的签名。如果他们有,他们将有能力验证你签名的真实性。

+ +

要想对发给爱德华的邮件签名,并撰写一些消息给他,点击紧邻锁形图标的铅笔图标,它会变成金黄色。你要是对消息签名,GnuPG +可能会在你点击发送消息前询问你密码,这是因为签名需要解锁私钥。

+ +

在“帐号设置” → “端到端加密”,你可以选择 add digital signature by default。

+ +
+ +
+ + + + +
+
+ +

第 3.e 步 接收回信

+ +

当爱德华收到你的邮件,他将会使用你的公钥(你在第 3.A +步发给他了)验证你发送的消息未经篡改,并以加密形式给你回复。

+ +

爱德华可能需要两三分钟回复邮件。在这期间,你可以跳过前面的部分并查阅本指南善用加密章节。

+ +

爱德华的回复会是加密的,因为他能加密就加密。如果一切顺利,他会回复“你的签名已被验证”。如果你的测试签名邮件也是加密的,他会优先提及。

+ +

当你接收爱德华的邮件并打开它时,电邮程序会自动检测它是否使用你的公钥加密,接下来使用你的私钥解密消息。

+ +
+ +
+ +
+ + + +
+ + + +
+ +

#5 了解信任网

+

插图说明:各种密钥由交错的线网彼此连接在一起

+ +

邮件加密是一种强有力的技术,但它有弱点:它要求验证某人的公钥的确是属于他的。否则,无法阻止攻击者使用你朋友姓名和邮件地址,生成密钥,进行冒充。这就是为什么自由软件程序员开发出密钥签名和信任网。

+ +

当你签署了某人的公钥,相当于你公开声称这把公钥经你验证是属于他的,而不是其他人。

+ +

签署密钥和消息签名使用了同种类型的数学运算,但有着不同的含义。通常,对自己邮件进行签名是一种良好实践,但随意签署别人的公钥,最终你可能会意外地为冒充者做了担保。

+ +

使用你的公钥的人可以看到谁签署了此公钥。长期使用 GnuPG +后,你的密钥可能有数百支签名。你可以认为,公钥上你信任的人的签名数量越多,那么这支公钥越可信。信任网是 GnuPG +用户的聚集地,他们用签名传递着信任链,连接彼此。

+ +
+ + + + +
+
+ +

+ +
+ +
+ +

第 5.a 步 签署密钥

+ +

在电邮菜单中,找到 OpenPGP 密钥管理器,右键爱德华的密钥,选择密钥属性。

+ +

在 Your Acceptance 里,选择 Yes, I've verified in person this key has the +correct fingerprint"。

+ +

你刚刚有力地表达了“我信任爱德华的公钥,它的确属于爱德华”。由于爱德华是一个机器人,这对它并不意味着什么,但这是一个良好的实践。但对于真人,这很重要。在签名前检查 ID + + + +

+ +
+ + + + +
+
+ +

验证密钥:指纹和 ID

+ +

密钥的指纹可以确认使用的公钥,指纹是像 F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 +(这是爱德华的密钥)的数字串。电邮程序菜单的 OpenPGP +密钥管理,右键选择密钥属性,可以查看当前计算机中你和其他人的公钥指纹。在告诉他人你邮箱地址的同时,分享你的指纹是一个不错的实践,这样人们可以在从服务器下载你公钥的时候,再次检查下载的公钥是否正确。

+ +

你可能已经看到有人使用短 key ID 表示公钥。密钥管理窗口中,你可以直接看到 key +ID。这八位字符曾经用于表示身份,现已经不再安全可靠。你需要检查完整的指纹,以验证你拥有对方正确的密钥。不幸的是,有人故意生成的后六位指纹与另一支密钥相同的密钥,这种伪造是很常见的。

+ +
+ +
+ + + + +
+
+ +

重要: 签署密钥时需要考虑什么

+ +

在签署密钥前,你需要严格确认密钥是属于他的,的确是他自己所声称的那个人。这种确信来自逐步地沟通交流,以及目睹了他与其他人的交流过程。任何时候签署密钥都应该要求查看完整的公钥指纹,而不只是短 +key ID。如果你认为,所要签署人的公钥相当重要,可以要求他出示身份证明,确保身份证上的姓名与公钥的姓名相符。

+ + + +
+ +

进阶指南

+ +
+
精通信任网
+
不幸地是,信任并不是像大多数人想象的那样在用户之间传递。深入理解信任网是如何运作的,并在条件允许的情况下,谨慎地对尽可能多的人的密钥进行签名,是增强 +GnuPG 社区的最佳方式之一。
+
+ +
+ +
+ +
+ +
+ + + + +
+ + + +
+ +

#6 善用加密

+ +

每个人使用 GnuPG 方法不尽相同,遵循一些基本实践是保护邮件安全的重要方式。一旦不遵守,你便是拿着通信双方的隐私做冒险,并且危及信任网。

+ +
+ + + + +
+
+ +

+ +
+ +
+ +

何时该加密?何时该签名?

+ +

加密消息是多多益善的。如果你只是偶然加密邮件,每封的加密消息就像向监控系统发送警报。如果全部邮件都是加密的,做监控的人会不知道从何处开始——这不是说加密部分邮件毫无帮助——它使大规模监控变得困难,这是重要的开始。

+ +

除非你不想暴露身份(这还要求其他保护措施),没有理由不对每封信签名,无论是否加密。除了允许 GnuPG +验证消息确实来自于你,签名是一种非侵入性的方式,提醒别人你在使用 GnuPG,并表示对安全通信的支持。如果你经常给不熟悉 GnuPG +的人发送签名消息,在你的标准邮件签名(这里的签名指的是文字,而非密码学签名)中附上本指南的链接将会不错。

+ +
+ +
+ + + + +
+
+ +

+ +
+ +
+ +

警惕非法密钥

+ +

GnuPG 能够使邮件更安全,但仍要小心非法密钥,它可能导致消息落入坏人之手。使用非法密钥加密的邮件可能能被监控程序读取。

+ +

在邮件程序里,回到爱德华发给你的第一封加密邮件。因为爱德华用你的公钥加密了它,在 OpenPG 按钮上方会有一个绿色标记。

+ +

使用 GnuPG 时,要养成看通知条的习惯。如果你收到的邮件是用不受信任的密钥签名的,程序会提醒你。

+ +
+ +
+ + + + +
+
+ +

备份吊销证书到安全的地方

+ +

还记得你何时生成密钥和保存 GnuPG +生成的吊销证书的吗?是时候将证书备份到安全的数字储存设备上——理想的地方是闪存盘,磁盘或者硬盘,他们存放在家中安全的地方——而不是你随身携带的设备。我们已知的最安全方式是将吊销证书打印出来,保存的安全地方。

+ +

如果你的私钥丢失或失窃,你需要这张证书文件让人们知道你不再使用这对密钥对。

+ +
+ +
+ + + + +
+
+ +

重要: 如果某人获得了你的私钥,要迅速行动

+ +

如果你丢失了私钥或是某人取得了它(比如你的计算机失窃或是被入侵),在其他人使用你私钥阅读你的加密邮件或是伪造签名前,立即吊销它显得格外重要。本指南不包含如何吊销密钥,但你可以遵循这些指示。在你吊销完成后,生成新的密钥对,并给所有使用你的密钥的人发送邮件,并附上新密钥的拷贝,确保他们知道发生了什么。

+ +
+ +
+ + + + +
+
+ +

网页邮箱和 GnuPG

+ +

当你使用网页浏览器获取你的邮件,那么你使用的是网页邮箱,它是一个直接储存在网站里的电子邮件程序。和网页邮箱不同,你的桌面邮件程序是运行在你自己的计算机上。即使网页邮箱无法解密加密过的邮件,它仍然会以加密形式显示出来。如果你常用的是网页邮箱,当你收到一封混乱的电子邮件时,你应当知道去打开你的电子邮件客户端。

+ +
+ +
+ + + + +
+
+ +

将公钥作为网络身份的组成部分

+ +

在电子邮件签名里加入你的公钥指纹,给你的至少五位朋友撰写邮件,告诉他们你刚刚完成了 GnuPG +的设置,以及你的公钥指纹是什么。将本指南链接发送给他们,让他们加入你。别忘了还有一幅很棒的信息图值得分享。

+ +

在所有显示你邮箱地址的地方,附上公钥指纹。一些好地方有:你的电子邮件签名(这里的签名指的是文字,而非密码学签名),社交媒体简历,博客,网站,商业名片。在自由软件基金会,我们把把它放在了我们的雇员页面。当我们看到电子邮箱地址却没有看到公钥指纹好像缺少了某样东西,这就是我们需要创造的文化。

+ +
+ +
+ +
+ + + + +
+ + +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + diff --git a/zh-hans/infographic.html b/zh-hans/infographic.html new file mode 100644 index 00000000..6c5bfd5a --- /dev/null +++ b/zh-hans/infographic.html @@ -0,0 +1,135 @@ + + + + +电子邮件加密指南 - 使用 GnuPG 加密对抗大规模监控 + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + diff --git a/zh-hans/next_steps.html b/zh-hans/next_steps.html new file mode 100644 index 00000000..4c8a02f4 --- /dev/null +++ b/zh-hans/next_steps.html @@ -0,0 +1,349 @@ + + + + +电子邮件加密指南 - 使用 GnuPG 加密对抗大规模监控 + + + + + + + + + + + + + + + + + + + +
+ + + +
+ +

#7 下一步

+ +

你已经掌握了使用 GnuPG 加密电子邮件的基本知识,采取行动反对大规模监控。以下的步骤会充分利用你已经掌握的知识。

+ +
+ + + + +
+
+ +

返回指南

+
+ +

+ +
+ +
+ +

加入运动

+ +

你已经迈出了保护你自己在线隐私的一大步,但我们彼此单枪匹马战斗是远远不够的。我们需要发起一场所有计算机用户的自治和自由的运动。加入自由软件基金会的社区,会见志同道合的朋友,一起见证改变。

+ +

+ GNU Social  |  + Mastodon  |  Twitter

+ +

阅读为什么 GNU Social 和 Mastodon +要胜于 Twitter,以及为什么我们不使用 +Facebook。

+ +
+ + +
+ +
+ + + + +
+
+ +

将本指南带给新人

+ +

理解并设置电子邮件加密对多数人而言是一项令人生畏的任务。为了欢迎他们,你要让你的公钥容易被找到,并提供加密上的帮助。以下是一些建议:

+ +
    +
  • # 使用我们的教学指南,为你的朋友和社区举办一场电子邮件加密研讨会。
    • + +
  • # 使用我们的分享页面,给几个朋友撰写消息,请求他们加入加密邮件的队伍。记得附上你的 GnuPG +公钥指纹,这样他们可以容易地下载你的公钥。
    • + +
  • # +在所有显示你邮箱地址的地方,附上公钥指纹。一些好地方有:你的电子邮件签名(这里的签名指的是文字,而非密码学签名),社交媒体简历,博客,网站,商业名片。在自由软件基金会,我们把它放在了雇员页面。
    • +
+ +
+ +
+ + + + +
+
+ +

保护你的数字生活

+ +

学习更多有关即时通讯、硬盘储存、在线分享的反监控技术,尽在自由软件基金会隐私包和 +prism-break.org。

+ +

如果你正在使用 Windows、macOS 或其他专有操作系统,我们建议你换用自由软件操作系统,比如 +GNU/Linux。攻击者通过隐藏后门入侵你的计算机会愈加困难。查看自由软件基金会推荐的 GNU/Linux +发行版。

+ +
+ +
+ + + + +
+
+ +

可选:使用 Tor 增加对电子邮件的保护

+ +

洋葱路由网络以多重加密封装网络通讯,并在全球多次传递。如果使用得当,Tor 能够迷惑监控代理和全球监控设备。和 GnuPG +加密配合使用能够带给你最佳的安全。

+ +

要通过 Tor 在电子邮件程序收发邮件,在附件组建搜索安装 Torbirdy +插件。

+ +

在通过 Tor 检查邮件前,确保你了解权衡所涉及的安全问题。我们在电子前哨基金会的朋友制作了 +Tor 如何保证安全的信息图。

+ +
+ +
+ + + + +
+
+ +


+ +

返回指南

+ +
+ +
+ +

完善本指南

+ +

留下够能提升本指南的反馈和建议。我们欢迎译员,但我们要求你在翻译开始前发邮件 +campaigns@fsf.org +联系我们,这样我们可以和联系其他译员,和你一起将它翻译成你的语言。

+ +

如果你喜欢编程,你可以为 GnuPG 贡献代码。

+ +

要走的更远,支持自由软件基金会,我们可以持续地提升本指南,并制作其他类似工具。

+ +

+ +
+
+ +
+ + + + + + + + +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + diff --git a/zh-hans/workshops.html b/zh-hans/workshops.html new file mode 100644 index 00000000..d6ef19a8 --- /dev/null +++ b/zh-hans/workshops.html @@ -0,0 +1,364 @@ + + + + +电子邮件加密指南 - 使用 GnuPG 加密对抗大规模监控 + + + + + + + + + + + + + + + + + + + +
+
+ + + +
+

+

#1 让你的朋友和社区感兴趣

+ +

如果你听过朋友抱怨他们缺乏隐私,询问他们是否愿意出席电子邮件加密研讨会。如果你的朋友并未抱怨过,你可能需要说服他们。你甚至可能会听到经典的“光明磊落的人无可畏惧”论据来反对使用加密。

+ +

下面是你可以用来解释的为什么值得学习 GnuPG 要点。并结合自己的观点,解释为什么它对你的社区有意义:

+ +
+ +
+
+ + +
+ +
+ +

人多力量大

+ +

每个使用加密反抗大规模监控的人,同时也让他人更容易反抗。普遍使用强加密有着多种强大的效果:这意味着那些最需要隐私的人,潜在的告密者和活动人士更有可能接触到加密。越多的人对越多的事物使用加密的同时,监控系统查找信息的成本会大到无法负担。

+ +
+ +
+ +

你所尊敬的人可能已经在使用加密

+ +

许多记者,告密者,活动人士以及研究者在使用 GnuPG,因此你的朋友可能不知不觉中听说过几位在使用它的人了。你可以搜索 "BEGIN PUBLIC +KEY BLOCK" 加上关键词,制作出一个在使用 GnuPG 人物和组织列表,它包括众所周知的组织。

+ +
+ +
+ +

尊重朋友的隐私

+ +

没有方法判断是否存在隐私敏感的通信。因此,不要因为你觉得发给发给朋友的信件无关紧要(你的朋友也可能是这么想的),而假定它不隐私敏感。通过加密消息,向你的好友表示尊重。

+ +
+ +
+ +

隐私技术在现实世界很常见

+ +

在现实世界中,我们拉上百叶窗,密封信封以及关闭房门来作为保护我们隐私的手段。为什么数字世界要有不同?

+ +
+ +
+ +

我们不应当信任邮件服务提供商给予的隐私

+ +

有些邮件提供商非常值得信赖,但绝大多数提供商并没有保护你隐私和安全的动机。我们需要从“下层建筑”建立起自己的安全,才能成为数字公民。

+ +
+ +
+ +
+ + + + +
+ + + +
+ +

#2 筹划

+ +

你和几位感兴趣的朋友约好时间,便可以筹备研讨会了。告诉与会者带上他们的计算机和 ID(用于相互签名)。预先准备好骰子,这样你的朋友能够很方便地用 Diceware +方法生成密码。确保你选定的地点能方便上网,并做好研讨会当天断网的预案。图书馆,咖啡店以及社区中心都是合适地点之选。试着让与会者在会前安装基于 +Thunderbird 的邮件客户端。如果他们遇到问题,直接联系邮件提供商的信息技术部门。

+ +

研讨会预计会持续四十分钟,每多一位与会者将额外花费十分钟。请准备好额外的时间应对问题和技术故障。

+ +

研讨会的成功取决于了解每一位与会者的背景并满足他们的需求。研讨会应当是小规模的,这样每位与会者都能受到个性化的指导。如果想要参与会者超出了你所能应付的范围,那么应该根据与会者增加教员的人数,或者举办多场研讨会。小型研讨会往往效果更好!

+ +
+ +
+ + + + +
+ + + +
+ +

#3 分组学习

+ +

分组完成电子邮件加密指南中的步骤。具体而微地解释步骤,但确保不要超过与会者理解的上限。对于技术娴熟的与会者,可以提高指示的难度。确保组内成员完成了一步后再进行下一步。考虑为理解概念有困难的人,或迅速掌握又想学到更多新知识的人提供第二次辅导研讨会。

+ +

在本指南的第 2 节 +,让所有与会者都上传公钥到相同服务器(因为有时密钥服务器之间同步有延迟),他们可以稍后立即下载各自的公钥。在 第 3 节,让与会者有时间相互发送测试邮件,而不是给爱德华发邮件。相似地,在 第 4 节,鼓励与会者相互对彼此公钥签名。最后,提醒他们将吊销证书保存在安全的地方。

+ +
+ +
+ + + +
+ + + +
+ +

#4 常见错误

+ +

提醒与会者,加密只有在明确使用时才有用;他们无法向未设置加密的人发送加密信件。同时提醒与会者,在点击发送前再次检查加密图标,以及邮件主题和时间戳从来不会被加密。

+ +

解释运行专有操作系统的危险,并提倡使用自由软件,因为没有自由软件,我们就无法行之有效地对抗政府对我们数字隐私和自治的侵犯。

+ +
+ +
+ + + + +
+ + + +
+ +

#5 附加资源

+ +

GnuPG 的高级操作太复杂,在一场研讨会上教授它是不可能的。如果与会者想了解更多,告诉他们本指南中有进阶章节,或者考虑参加下一场研讨会。你也可以分享 +GnuPG的官方文档和邮件列表,以及电子邮件加密指南的反馈页。许多 +GNU/Linux 发行版也提供了一些对 GnuPG 高级功能的说明页面。

+ +
+ +
+ + + + +
+ + + +
+ +

#6 坚持到底

+ +

确保所有人在离开前交换了电子邮箱地址和公钥指纹。通过互相发送邮件,鼓励与会者继续使用 +GnuPG,增加使用经验。在活动结束一周后,给他们各自发送一封加密邮件,提醒他们将公钥 ID 放置在他们公开邮箱地址的地方。

+ +

如果你有任何对本指南的建议,请来信 campaigns@fsf.org +告知我们。

+ +
+ +
+ + + + + + + + + + + + + + + + + + + + -- 2.25.1