四.PGP 5.5.3i for Windows 基本设定
◆安装◆
如前所述请下载档案: pgp553i-win95nt.exe。然后直接执行,即可进入 PGP 程序安装画面,请依屏幕指示操作,我们将较重要的步骤示范如下:。
☆请注意:
1.个人公钥 Full name 字段格式, 为方便 Key Server 查询, 请统一以 "服务单位 中文姓名 英文姓名" 格式, 否则中心将不予登录.
2.Email 地址请填写正确, 否则薪资加密系统将无法找到您的公钥.
图4.1 设定 PGP Public Key Information
PGP 5.0 以后建议编码方式改用 Diffie-Hellman/DSS 算法,安全性比较高。而且在 PGP 6.0 以后将不支持 RSA 编码了。请大家按 PGP 的建议吧!
图 4.2 设定 PGP Key 编码方式
理论上,钥匙编码长度愈长,安全性愈高,但解密时间及档案大小也会相对增加。请自行衡量需要的加密长度。
图 4.3 设定 PGP Key 编码长度
一般我们都不设定钥匙的有效期限,除非有特别的安全考量,PGP 也有提供这项功能。
图 4.4 设定 PGP Key 有效期限
请对自己的私钥设定一组密码,在激活私钥时都需加以核对,以增加安全性,但一直输入密码也很讨厌,因此 PGP 有很人性化的考虑,他会自动判断需不需要核对密码。
图 4.5 设定 PGP Private Key 密码
在产生公钥/私钥的过程中,请记得要不断的移动鼠标,制造随机数,才能完成喔!
图 4.6 产生 PGP Private 及 Public Key
原来 PGP 能自动为我们传送公钥到 Key Server,但因为中研院的 Key Server 已经取消使用者自行上传公钥的功能(原因后述),所以在这里请不必勾选这项功能。
图 4.7 是否直接传送 Public Key 到预设的 Key Server
图 4.8 完成自己的 PGP Key 制作
(终于完成第一对 PGP 金钥了,请好好欣赏吧!)
个人的 PGP 私钥及密码在 PGP 机制中是最重要的部份,一定要妥善保管,万一遗失或担心已经泄露,可将公钥也一并作废(Revoke),重新制作一组公钥及私钥。个人的 PGP公?最好透过安全的管道传送给自己的亲朋好友,让对方用来加密文件寄给自己。除了您主动交付公钥给对方之外,PGP 机制中还有 PGP Key Server 的功能,让使用者公布个人公钥并开放给任何人下载。因此在 PGP 5.x.i 版建立钥匙的过程中,会询问:「Send my key to the default server now」就是自动为你将已产生的公钥传送到指定的 Key Server 上。中心也为全院建立 Key Server,网址为: http://pks.sinica.edu.tw。但是在一般 Key Server 的操作中,有个潜在的困扰就是: 可能会有人假造他人的公钥传送到 Key Server,所以使用者必需利用相互加签的方式,来验证对方公钥的真伪。因此,我们做了部份修改,院内的 Key Server 将不开放上传公钥的功能,若使用者想公布自己的公钥,必需先存在磁盘上,然后亲自来中心办理认证(请参考相关说明及申请表格,http://www.sinica.edu.tw/cc/netsrv/pks.html),因此中心将负责所有 Key Server 上每一把公钥的认证,让所有人可以放心的由 Key Server 上得到对方的公钥。
◆输出文字文件的 Public Key◆
汇出公钥及私钥的步骤,非常简单,在 PGPkeys 的 [Keys] 选单内有 [Export] 功能,会帮你将公钥或私钥产生 ASCII 格式的档案,这个 ASCII格式的档案就是您的公钥了,可用来公布在 Key Server 上或和你的朋友互相交换。
图 4.9 输出文字文件格式的 PGP Public Key
除了产生公钥的文字文件之外,若您勾选了 「Export Private Key」,将同时产生私钥的文字文件,扩展名习惯上都是 *.asc ,当然私钥的文字文件请小心保管,可别到处流传喔!
图 4.10 设定 PGP Public Key 文字文件文件名
◆设定 PGP Key Server◆
这个版本的 PGP 增加对 Key Server 支持的新功能,能直接传送公钥、搜寻、更新公钥,和邮件软件的配合更是天衣无缝,但 PGP 内定的 Key Server 并不是中研院,所以请记得一定要新增中研院的 Key Server (http://pks.sinica.edu.tw) 并设为预定值,至于其它 PGP 内含的 Key Server,建议各位在还未习惯 PGP 各种操作前,先别将自己的公钥传送其它的 Key Server,免得将来要异动时很麻烦(所有的 Key Server 都不能让使用者自行删除公钥!)。
◇请选择[Edit]/[Preference]
图 4.11 进入 PGP 的其它设定部份
◇请选择[Servers]类别,并且将右边[Listed]的打勾都拿掉。
图 4.12 设定 PGP Key Server
图 4.13 建立一组新的 PGP Key Server
图 4.14 设定中研院的 Key Server
图 4.15 指定中研院的 Key Server 为预设
◆PGP 的认证方式◆
PGP 的基本规则是: 要利用别人的公钥送加密文件给对方之前,必需先将对方的公钥加入到自己的公钥环(Public Key Ring)。
您可以透过各种妥善管道取得对方的公钥,例如直接由对方交付、或由网络传送等等,最重要的您一定要确定这把公钥真的是对方所有的! 否则你们之间的通讯安全就无法保证了。因为 PGP 是以相互加签方式来验证公钥的真伪,我们要先接受第一个朋友的公钥,然后透过第一个朋友的加签验证后,才能接受其它的公钥。因此,千万别轻易为别人加签,除非确实是自己可信赖的人,免得因为 PGP 层层加签的制度而产生安全漏洞。总之,PGP 也等于自己在网络世界的信用指数,可别随便拿自己的名誉开玩笑喔!
中心在讨论中研院的 PKI 建置过程时,也发现 PGP 公钥不易判断真伪的问题,将成为推动 PKI 应用的最大阻力,因此我们改变 PGP 认证方式,由中心负责公钥认证,所以和传统的 PGP 操作有若干差异:
1.使用者必需亲自来中心申请登录公钥,办理认证。
2.中研院的 Key Server 不开放公钥上传功能,只能查询。
3.因此中研院的 Key Server 上每一把公钥应该都是真的。
