用GnuPG插件实现Linux应用程序通信安全

实现Linux的安全通信可以有很多途径，其中加密或签名就是一种可靠的选择。比如GNU 隐私卫士（GNU Privacy Guard，简称为GnuPG）允许用户加密、解密、签名、验证通信和数据，并创建和管理这些任务所需要的密钥。GnuPG是一个符合OpenPGP标准的完全开源工具，并与许多Linux应用程序集成，从剪贴板程序到即时通信客户端。这些应用程序使得在GNU网络对象模型环境（GNOME）中将GnuPG用于数字通信的安全更加容易。

本文介绍的这些应用程序几乎可以透明地使用GnuPG技术，而且用户无需对加密或数字通信安全有太多了解就可以成功地实现。

为了使用GnuPG实现数字安全通信，需要设置GnuPG密钥。此后就可以将密钥用于GNOME桌面应用程序中，这些应用程序支持GnuPG以保障消息通信、电子邮件、文本以及文件等的安全。

Seahorse

让我们先从Seahorse开始，这是一个GnuGP图形用户界面的为GNOME编写的程序，用户可以用来设置并管理其GnuPG密钥。多数Linux发行版本都将其包括在存储库中，因此其安装是相当简单的。在安装过程中，它会增加一些用于gEdit、 Nautilus、Epiphany Web浏览器等的插件。

要运行Seahorse，请在Applications（应用程序）菜单中查找，打开Seahorse后,找到Passwords and Encryption Keys（口令和加密密钥），在key（密钥）上单击，并选择“Create New Key”（ 创建新的密钥）菜单。如图1：

在弹出的窗口中，选择“PGP Key”选项以创建一个新的PGP密钥。如图2：

单击“Continue”,在弹出的窗口中，输入用户的姓名和电子邮件地址，并选择密钥类型等。如图3：

在密钥创建过程中Seahorse为其它选项提供的默认设置对多数人来说通常已经足够了。在此过程中用户会被提示为自己的私钥（private key）输入一个密码短语。用户应选择一个安全的密码短语，并应牢记之。如果忘记了密码短语，用户就不能用私钥解密或为数据签名了。一旦输入了自己的密码短语，用户只需单击“确定（OK）”，系统就会为用户创建密钥对（Key Pair）。如图4：

一旦用户拥有了密钥对，就可以通过将其包含到电子邮件的签名中或将其放置到Web站点或博客中与朋友共享了。为了构建信任站点，用户需要使公钥被朋友签名，并签名朋友的公钥。

用户有可能会想到将公钥发布到一个密钥服务器，为了在Seahorse中实现此功能，选择Remote -> Sync and Publish Keys。如图5：

一旦设置完成GnuPG密钥，用户的GNOME桌面将成为其数字安全的工作站。

要通过下面列示的应用程序使用GnuPG，其过程通常如下：

　　1、选择用户想签名、加密、验证或解密的数据。

　　2、选择用户希望用于此过程的密钥。

　　3、如果用户正使用私钥，应提供密码短语。

文本编辑器Gedit

Seahorse为gEdit安装一个插件，它允许用户加密、解密、签署并验证纯文本。要为gEdit启用此GnuGP插件，从“Edit”菜单选择“Preferences”。如图6：

单击“Plugins”选项卡，选择“Text Encryption”,单击“OK”。然后选择想要加密、解密、签名的文本，并选择“Edit”菜单下的加密选项。完成后，将加密的文本复制、粘贴到其它应用程序中。

剪贴板文本加密小程序

Seahorse还安装了一个剪贴板文本加密小程序，用户可以将其添加到面板上，从而可将文本复制到剪贴板上，并对它加密，然后再复制到另外一个应用程序中。这是一个通过基于Web的电子邮件客户端使用加密的方法。要想启用它，在一个面板上右击，单击“Add to Panel”（添加到面板）。

选择“Clipboard Text Encryption”（ 剪贴板文本加密）小程序，然后单击“Add”。此后，无论用户是剪切或复制文本，用户可以在这个程序上单击，实现对剪贴板上的文本加密或签名。如果文本已经加密或签名，在此程序上单击就会允许用户解密或验证文本。

文件管理器

用户通过使用由Seahorse提供的另外一个插件可以将对数据加密和签名的菜单项目添加到Nautilus File Manager（Nautilus文件管理器）。这些菜单项目可以在Nautilus 的“Edit”菜单中找到，当用户在一个文件或文件夹上右击时也可以在弹出的菜单中找到。要使用这些项目，选择想要操作的文件或文件夹，单击“Edit”/“Encrypt or Edit”/“Sign”。GnuPG就会为用户加密的任何文件创建一个扩展名为.pgp的新文件；如果用户为任何文件进行了签名，文件的扩展名就为.sig。用户原始的、未加密的文件仍会保持不加密状态。

要验证扩展名为.sig的文件上的签名，在文件上右击，选择“Open with Verify Signature”。要解密一个扩展名为.pgp的文件，在其上右击，选择“Open with Decrypt File”。在Nautilus插件的较老版本上，用户不会看到这个最后的选项，用户可以选择“Open With”/“Open with Other Application”，单击“Open with Custom Command”选项，在出现的文本框中输入“seahorse-tool -d”。完成后，当用户在一个加密的文件上右击时就会看到“Open with seahorse-tool”，单击这个选项就会为用户解密这个文件。

Web浏览器

Epiphany Web浏览器可以从Seahorse所提供的另外一个GnuPG插件中获益，通过它用户可以在Web页面上的文本框中加密和签名文本。当然，用户需要安装Epiphany扩展，这样一来用户就可以通过“Tools”/“Extensions”菜单启用Seahorse的扩展。在用户的输入焦点处于某个文本字段内时，就会启用右击后的上下文菜单加密选项。用户还可以借助于FireGPG单元使用Firefox，直接加密及签名Web页面中的文本字段。要使用它，在一个文本字段上右击，在FireGPG的子菜单下可用的加密选项中选择即可。这些工具使得通过基于Web的应用程序（如Gmail 、 Yahoo! Mail等）使用GnuPG成为非常轻松的事情。

电子邮件

电子邮件的安全进展来自于对内置GnuPG的支持。雷鸟（Thunderbird）通过Enigmail插件支持GnuPG。Enigmail插件是一个综合性的GnuPG前端程序。此外，Balsa 和Claws这两个应用程序也支持GnuPG。

即时通信（IM）

在这方面的软件产品很多，Psi是一个跨平台的甲吧(jabber)客户端，它支持运用GnuPG的加密通信。而Gabber，是另一个甲吧(jabber)客户端，也使用GnuPG。Pidgin（即以前的Gaim）也拥有一个加密插件和OTR插件，它也可以对即时通信进行加密，不过二者都不使用GnuPG。

其它平台

虽然我们文章的题目是关于Linux程序的安全通信问题，不过在共享签名或加密的数据时，用户有可能会将数据与那些并不把Linux作为其主要操作系统的人们共享。非常幸运的是，GnuPG也可以在Windows和Mac OS X平台上实现，而且在这些平台上也有大量的应用程序允许我们在桌面电脑上使用GnuPG及其数据保护特性。

结束语

GNOME桌面提供了大量实用的应用程序，这些程序内建了或插入了对GnuPG的支持，这使得通过桌面程序实现数字通信的安全变得相当容易。更有甚者，前面列示的多数支持GnuPG的应用程序在KDE中都有其等价产品，并提供相同或类似的功能。我们相信，在数字通信安全日益受到重视的今天，Linux桌面提供的大量工具将可以满足我们的需要。