使用充气城堡创建 Thunderbird 可用的 public PGP 密钥
using bouncy castle to create public PGP key usable by Thunderbird
我使用 org.bouncycastle.openpgp.PGPKeyRingGenerator. After making a change suggested by GregS, the public key is a .asc file, and the private key is a .skr file. I need to distribute the public key at first to Thunderbird users, and then later to users of Outlook and other email clients. I read these instructions for receiving a public key in thunderbird 创建了 public 和私有 PGP 密钥,但说明仅指定了 .asc 扩展名,而没有指定 contents/structure .asc 文件。
如何设置,以便我的(修改过的?)下面的代码创建一个 public 密钥,Thunderbird 的远程用户可以使用该密钥发送加密的电子邮件,然后可以用我的私钥解密,也是由下面的(修改过的?)代码创建的? 接受的答案将包括分步说明,不仅用于对下面的代码进行任何必要的更改,还用于设置每个远程 Thunderbird 用户使用 below-generated-public-key 发送电子邮件由我的应用程序中的私钥解密,由下面的(修改过的?)代码创建。
这是我的 key-generating 代码初稿:
import java.io.BufferedOutputStream;
import java.io.FileOutputStream;
import java.math.BigInteger;
import java.security.SecureRandom;
import java.util.Date;
import org.bouncycastle.bcpg.ArmoredOutputStream;
import org.bouncycastle.bcpg.HashAlgorithmTags;
import org.bouncycastle.bcpg.SymmetricKeyAlgorithmTags;
import org.bouncycastle.bcpg.sig.Features;
import org.bouncycastle.bcpg.sig.KeyFlags;
import org.bouncycastle.crypto.generators.RSAKeyPairGenerator;
import org.bouncycastle.crypto.params.RSAKeyGenerationParameters;
import org.bouncycastle.openpgp.PGPEncryptedData;
import org.bouncycastle.openpgp.PGPKeyPair;
import org.bouncycastle.openpgp.PGPPublicKeyRing;
import org.bouncycastle.openpgp.PGPKeyRingGenerator;
import org.bouncycastle.openpgp.PGPPublicKey;
import org.bouncycastle.openpgp.PGPSecretKeyRing;
import org.bouncycastle.openpgp.PGPSignature;
import org.bouncycastle.openpgp.PGPSignatureSubpacketGenerator;
import org.bouncycastle.openpgp.operator.PBESecretKeyEncryptor;
import org.bouncycastle.openpgp.operator.PGPDigestCalculator;
import org.bouncycastle.openpgp.operator.bc.BcPBESecretKeyEncryptorBuilder;
import org.bouncycastle.openpgp.operator.bc.BcPGPContentSignerBuilder;
import org.bouncycastle.openpgp.operator.bc.BcPGPDigestCalculatorProvider;
import org.bouncycastle.openpgp.operator.bc.BcPGPKeyPair;
public class RSAGen {
public static void main(String args[]) throws Exception {
char pass[] = {'h', 'e', 'l', 'l', 'o'};
PGPKeyRingGenerator krgen = generateKeyRingGenerator("alice@example.com", pass);
// Generate public key ring, dump to file.
PGPPublicKeyRing pkr = krgen.generatePublicKeyRing();
ArmoredOutputStream pubout = new ArmoredOutputStream(new BufferedOutputStream(new FileOutputStream("/home/user/dummy.asc")));
pkr.encode(pubout);
pubout.close();
// Generate private key, dump to file.
PGPSecretKeyRing skr = krgen.generateSecretKeyRing();
BufferedOutputStream secout = new BufferedOutputStream(new FileOutputStream("/home/user/dummy.skr"));
skr.encode(secout);
secout.close();
}
public final static PGPKeyRingGenerator generateKeyRingGenerator(String id, char[] pass) throws Exception{
return generateKeyRingGenerator(id, pass, 0xc0);
}
// Note: s2kcount is a number between 0 and 0xff that controls the number of times to iterate the password hash before use. More
// iterations are useful against offline attacks, as it takes more time to check each password. The actual number of iterations is
// rather complex, and also depends on the hash function in use. Refer to Section 3.7.1.3 in rfc4880.txt. Bigger numbers give
// you more iterations. As a rough rule of thumb, when using SHA256 as the hashing function, 0x10 gives you about 64
// iterations, 0x20 about 128, 0x30 about 256 and so on till 0xf0, or about 1 million iterations. The maximum you can go to is
// 0xff, or about 2 million iterations. I'll use 0xc0 as a default -- about 130,000 iterations.
public final static PGPKeyRingGenerator generateKeyRingGenerator(String id, char[] pass, int s2kcount) throws Exception {
// This object generates individual key-pairs.
RSAKeyPairGenerator kpg = new RSAKeyPairGenerator();
// Boilerplate RSA parameters, no need to change anything
// except for the RSA key-size (2048). You can use whatever key-size makes sense for you -- 4096, etc.
kpg.init(new RSAKeyGenerationParameters(BigInteger.valueOf(0x10001), new SecureRandom(), 2048, 12));
// First create the master (signing) key with the generator.
PGPKeyPair rsakp_sign = new BcPGPKeyPair(PGPPublicKey.RSA_SIGN, kpg.generateKeyPair(), new Date());
// Then an encryption subkey.
PGPKeyPair rsakp_enc = new BcPGPKeyPair(PGPPublicKey.RSA_ENCRYPT, kpg.generateKeyPair(), new Date());
// Add a self-signature on the id
PGPSignatureSubpacketGenerator signhashgen = new PGPSignatureSubpacketGenerator();
// Add signed metadata on the signature.
// 1) Declare its purpose
signhashgen.setKeyFlags(false, KeyFlags.SIGN_DATA|KeyFlags.CERTIFY_OTHER);
// 2) Set preferences for secondary crypto algorithms to use when sending messages to this key.
signhashgen.setPreferredSymmetricAlgorithms
(false, new int[] {
SymmetricKeyAlgorithmTags.AES_256,
SymmetricKeyAlgorithmTags.AES_192,
SymmetricKeyAlgorithmTags.AES_128
});
signhashgen.setPreferredHashAlgorithms
(false, new int[] {
HashAlgorithmTags.SHA256,
HashAlgorithmTags.SHA1,
HashAlgorithmTags.SHA384,
HashAlgorithmTags.SHA512,
HashAlgorithmTags.SHA224,
});
// 3) Request senders add additional checksums to the message (useful when verifying unsigned messages.)
signhashgen.setFeature(false, Features.FEATURE_MODIFICATION_DETECTION);
// Create a signature on the encryption subkey.
PGPSignatureSubpacketGenerator enchashgen = new PGPSignatureSubpacketGenerator();
// Add metadata to declare its purpose
enchashgen.setKeyFlags(false, KeyFlags.ENCRYPT_COMMS|KeyFlags.ENCRYPT_STORAGE);
// Objects used to encrypt the secret key.
PGPDigestCalculator sha1Calc = new BcPGPDigestCalculatorProvider().get(HashAlgorithmTags.SHA1);
PGPDigestCalculator sha256Calc = new BcPGPDigestCalculatorProvider().get(HashAlgorithmTags.SHA256);
// bcpg 1.48 exposes this API that includes s2kcount. Earlier versions use a default of 0x60.
PBESecretKeyEncryptor pske = (new BcPBESecretKeyEncryptorBuilder(PGPEncryptedData.AES_256, sha256Calc, s2kcount)).build(pass);
// Finally, create the keyring itself. The constructor takes parameters that allow it to generate the self signature.
PGPKeyRingGenerator keyRingGen =
new PGPKeyRingGenerator(PGPSignature.POSITIVE_CERTIFICATION, rsakp_sign,
id, sha1Calc, signhashgen.generate(), null,
new BcPGPContentSignerBuilder(rsakp_sign.getPublicKey().getAlgorithm(), HashAlgorithmTags.SHA1), pske);
// Add our encryption subkey, together with its signature.
keyRingGen.addSubKey(rsakp_enc, enchashgen.generate(), null);
return keyRingGen;
}
}
当我 运行 上面的代码生成 .asc 文件,然后尝试将 .asc 文件导入 Thunderbird 时,出现以下错误屏幕:
请注意,我没有在我的 CentOS 7 机器上安装 GnuPG。
此外,您可以在自己的机器上轻松重现此问题,因为 Thunderbird 是免费的。 You can download thunderbird for free using this link。或者,在我的 CentOS 7 机器上,我用 yum install thunderbird 下载了 Thunderbird。您可以通过将以下内容添加到 pom.xml 来下载充气城堡:
<dependency>
<groupId>org.bouncycastle</groupId>
<artifactId>bcpg-jdk15on</artifactId>
<version>1.51</version>
</dependency>
编辑#1:
为了解决 JRichardSnape 的问题,我发现 maven 也必须自动下载 org.bouncycastle.crypto 库,因为它是 bcpg-jdk15on 的依赖项。 JRichardSnape 是正确的 RSAKeyGenerationParameters and RSAKeyPairGenerator 不在 bcpg-jdk15on.jar 手动下载中。 (注意:链接中的版本可能不是最新的。)但是,两个 类 都在自动 Maven 下载中,该下载来自上面显示的 pom.xml 的单个依赖项片段。 我这样说是因为我的 pom.xml 中没有其他 bouncycastle 依赖项。我正在使用 Java 7.
Eclipse 将两个 类 导入为:
import org.bouncycastle.crypto.params.RSAKeyGenerationParameters;
import org.bouncycastle.crypto.generators.RSAKeyPairGenerator;
我将 RSAGen.java 中的所有 import 语句添加到上面我的 OP 中的代码段。我认为问题可能与密钥需要 name/signature 有关。
谷歌搜索此错误会导致以下链接,其中包括:
Convert userId to UTF8 before generating signature #96
non-ascii characters in Name field #92
Unable to import PGP certificate into Keychain
编辑#2
按照@JRichardSnape 的建议,我尝试了 Enigmail->Key management ->File ->Import keys from file。这导致出现以下对话框,这似乎表明在导入密钥时,密钥未签名。因此,似乎没有名称或电子邮件地址与导入的 .asc 文件关联。该密钥之后也不会出现在 EnigMail 的密钥列表中。
编辑#3
使用 gpg --gen-key,我能够让 CentOS 7 终端创建一个密钥对,包括一个 public 密钥,我能够成功地将其导入 Thunderbird,这样 Thunderbird 现在可以将 terminal-gpg-generated public 键与预期的电子邮件收件人相关联。但是,当我采取所有步骤使用 public 密钥从 Thunderbird 发送加密电子邮件时,电子邮件及其附件仍然未加密。我使用 public 密钥从远程 Thunderbird 向具有私钥的服务器发送加密电子邮件所采取的步骤是 described in this SuperUser posting。
鉴于 gpg --gen-key 似乎有效,目前剩下的主要问题似乎是这个赏金问题的 Thunderbird 部分。我已经在上一段中发布了解决 SuperUser 问题中 Thunderbird 部分的很多进展。你的帮助回答它也会对回答这个问题有很大帮助。
编辑#4
我仍然无法将 BouncyCastle 创建的密钥导入 Thunderbird。但是,当我使用 gpg --gen-key 在 CentOS 7 终端上创建的密钥时,我能够完成以下步骤:
1.) I configured my Thunderbird to manage another (second)
email account I have not been using.
2.) I then created a gpg key for that second account and
configured encryption for that second account in Thunderbird.
3.) I sent an encrypted email containing an attachment from the
first Thunderbird account to the second Thunderbird account.
4.) I was able to see that the attachment remained encrypted in
the second account's inbox until I used the recipient key's
passphrase to decrypt it.
我的 CentOS 7 服务器仍在生成 un-encrypted 附件,当我从同一 "first" Thunderbird 帐户向它发送电子邮件时,如本编辑所述。我正在尝试确定这是否是由于 CentOS 7 服务器中 dovecot/postfix/mailx/gpg 中的某些 "auto-decryption",或者是否是由于 Thunderbird 发件人中的某些设置。我正在研究这个。
我将尝试一一解决这些问题:
Java bouncycastle 密钥环生成
Java 代码确实有效并生成了可用的密钥环对。我已经用不同的电子邮件和不同的密码对其进行了测试,没有任何问题。我有一个第 3 方使用 public 密钥向我发送了一封电子邮件,并使用此 Java 代码生成的私钥成功解密了它。该密钥已与以下组合一起使用
- Thunderbird (31.4.0) + Enigmail (1.7.2) + gpg (Gpg4win) Windows 8
- ubuntu 14.10 上的 Thunderbird + Enigmail(使用 xfer 桌面管理器)
然而
OP 发现导入密钥失败时出现问题,这意味着 CentOS / Thunderbird / pgp 组合中没有用户 ID。类似地,导入失败,并显示 Windows / Outlook / Kleopatra 插件上没有用户 ID 的错误(已测试,尽管问题特别引用了 Thunderbird)。
我无法重现错误 - 强烈怀疑这是由于 GNU PG 中的配置差异或版本差异造成的。我的设置显示 gpg --version
的以下内容
gpg (GnuPG) 2.0.26 (Gpg4win 2.2.3)
libgcrypt 1.6.2
直接用 gpg 测试 Java 生成的密钥
您可以使用 java 代码生成密钥,转到命令行并执行
gpg --import dummy.asc
然后通过执行
进行测试
gpg --edit-key alice@example.com
通过在 gpg> 提示符下键入 check 来检查它是否有用户 ID。示例输出:
uid alice@example.com
sig!3 14AEE94A 2015-02-05 [self-signature]
如果这有效 - 您已经消除了密钥导入的 gpg 问题 - 检查 Thunderbird / Enigmail 版本。
使用 Thunderbird
我的评论建议通过 Enigmail->Key management ->File ->Import keys from file 结合超级用户 OP 的 this related question 导入密钥,这似乎解决了大部分问题。
另请注意 - 在 Enigmail 的密钥管理对话框中有一个 "generate" 选项。如果不需要 Java 生成,这可用于生成密钥对 - 据我所知,这与直接通过 gpg 生成基本相同。
使用 Thunderbird 的其余问题似乎是对加密缺乏信心,因为消息以纯文本形式出现在 OP 的服务器上(似乎密钥将用于 server/client客户端向服务器发送加密电子邮件的组合)。
为了确保邮件确实已加密 - 我建议更改 Enigmail 设置:
Enigmail -> Preference -> Sending tab- select
"Manual encryption settings"
- select
"Always" 在 "confirm before sending" 框中
然后您将在发送前看到加密邮件和确认框。
我不能说如何阻止你的服务器自动解密收到的邮件,因为这取决于你的服务器配置,最好作为一个单独的问题来问,很可能在 superuser or serverfault StackExchange 站点上.
正在测试 PGP 电子邮件
您也可以考虑遵循 the Enigmail tutorial 的建议并将加密邮件发送至
Adele, the "Friendly OpenPGP Email Robot". Adele accepts OpenPGP
messages and replies in an explanatory way to any kind of OpenPGP
messages.
地址是adele <at> gnupp <dot> de
我使用 org.bouncycastle.openpgp.PGPKeyRingGenerator. After making a change suggested by GregS, the public key is a .asc file, and the private key is a .skr file. I need to distribute the public key at first to Thunderbird users, and then later to users of Outlook and other email clients. I read these instructions for receiving a public key in thunderbird 创建了 public 和私有 PGP 密钥,但说明仅指定了 .asc 扩展名,而没有指定 contents/structure .asc 文件。
如何设置,以便我的(修改过的?)下面的代码创建一个 public 密钥,Thunderbird 的远程用户可以使用该密钥发送加密的电子邮件,然后可以用我的私钥解密,也是由下面的(修改过的?)代码创建的? 接受的答案将包括分步说明,不仅用于对下面的代码进行任何必要的更改,还用于设置每个远程 Thunderbird 用户使用 below-generated-public-key 发送电子邮件由我的应用程序中的私钥解密,由下面的(修改过的?)代码创建。
这是我的 key-generating 代码初稿:
import java.io.BufferedOutputStream;
import java.io.FileOutputStream;
import java.math.BigInteger;
import java.security.SecureRandom;
import java.util.Date;
import org.bouncycastle.bcpg.ArmoredOutputStream;
import org.bouncycastle.bcpg.HashAlgorithmTags;
import org.bouncycastle.bcpg.SymmetricKeyAlgorithmTags;
import org.bouncycastle.bcpg.sig.Features;
import org.bouncycastle.bcpg.sig.KeyFlags;
import org.bouncycastle.crypto.generators.RSAKeyPairGenerator;
import org.bouncycastle.crypto.params.RSAKeyGenerationParameters;
import org.bouncycastle.openpgp.PGPEncryptedData;
import org.bouncycastle.openpgp.PGPKeyPair;
import org.bouncycastle.openpgp.PGPPublicKeyRing;
import org.bouncycastle.openpgp.PGPKeyRingGenerator;
import org.bouncycastle.openpgp.PGPPublicKey;
import org.bouncycastle.openpgp.PGPSecretKeyRing;
import org.bouncycastle.openpgp.PGPSignature;
import org.bouncycastle.openpgp.PGPSignatureSubpacketGenerator;
import org.bouncycastle.openpgp.operator.PBESecretKeyEncryptor;
import org.bouncycastle.openpgp.operator.PGPDigestCalculator;
import org.bouncycastle.openpgp.operator.bc.BcPBESecretKeyEncryptorBuilder;
import org.bouncycastle.openpgp.operator.bc.BcPGPContentSignerBuilder;
import org.bouncycastle.openpgp.operator.bc.BcPGPDigestCalculatorProvider;
import org.bouncycastle.openpgp.operator.bc.BcPGPKeyPair;
public class RSAGen {
public static void main(String args[]) throws Exception {
char pass[] = {'h', 'e', 'l', 'l', 'o'};
PGPKeyRingGenerator krgen = generateKeyRingGenerator("alice@example.com", pass);
// Generate public key ring, dump to file.
PGPPublicKeyRing pkr = krgen.generatePublicKeyRing();
ArmoredOutputStream pubout = new ArmoredOutputStream(new BufferedOutputStream(new FileOutputStream("/home/user/dummy.asc")));
pkr.encode(pubout);
pubout.close();
// Generate private key, dump to file.
PGPSecretKeyRing skr = krgen.generateSecretKeyRing();
BufferedOutputStream secout = new BufferedOutputStream(new FileOutputStream("/home/user/dummy.skr"));
skr.encode(secout);
secout.close();
}
public final static PGPKeyRingGenerator generateKeyRingGenerator(String id, char[] pass) throws Exception{
return generateKeyRingGenerator(id, pass, 0xc0);
}
// Note: s2kcount is a number between 0 and 0xff that controls the number of times to iterate the password hash before use. More
// iterations are useful against offline attacks, as it takes more time to check each password. The actual number of iterations is
// rather complex, and also depends on the hash function in use. Refer to Section 3.7.1.3 in rfc4880.txt. Bigger numbers give
// you more iterations. As a rough rule of thumb, when using SHA256 as the hashing function, 0x10 gives you about 64
// iterations, 0x20 about 128, 0x30 about 256 and so on till 0xf0, or about 1 million iterations. The maximum you can go to is
// 0xff, or about 2 million iterations. I'll use 0xc0 as a default -- about 130,000 iterations.
public final static PGPKeyRingGenerator generateKeyRingGenerator(String id, char[] pass, int s2kcount) throws Exception {
// This object generates individual key-pairs.
RSAKeyPairGenerator kpg = new RSAKeyPairGenerator();
// Boilerplate RSA parameters, no need to change anything
// except for the RSA key-size (2048). You can use whatever key-size makes sense for you -- 4096, etc.
kpg.init(new RSAKeyGenerationParameters(BigInteger.valueOf(0x10001), new SecureRandom(), 2048, 12));
// First create the master (signing) key with the generator.
PGPKeyPair rsakp_sign = new BcPGPKeyPair(PGPPublicKey.RSA_SIGN, kpg.generateKeyPair(), new Date());
// Then an encryption subkey.
PGPKeyPair rsakp_enc = new BcPGPKeyPair(PGPPublicKey.RSA_ENCRYPT, kpg.generateKeyPair(), new Date());
// Add a self-signature on the id
PGPSignatureSubpacketGenerator signhashgen = new PGPSignatureSubpacketGenerator();
// Add signed metadata on the signature.
// 1) Declare its purpose
signhashgen.setKeyFlags(false, KeyFlags.SIGN_DATA|KeyFlags.CERTIFY_OTHER);
// 2) Set preferences for secondary crypto algorithms to use when sending messages to this key.
signhashgen.setPreferredSymmetricAlgorithms
(false, new int[] {
SymmetricKeyAlgorithmTags.AES_256,
SymmetricKeyAlgorithmTags.AES_192,
SymmetricKeyAlgorithmTags.AES_128
});
signhashgen.setPreferredHashAlgorithms
(false, new int[] {
HashAlgorithmTags.SHA256,
HashAlgorithmTags.SHA1,
HashAlgorithmTags.SHA384,
HashAlgorithmTags.SHA512,
HashAlgorithmTags.SHA224,
});
// 3) Request senders add additional checksums to the message (useful when verifying unsigned messages.)
signhashgen.setFeature(false, Features.FEATURE_MODIFICATION_DETECTION);
// Create a signature on the encryption subkey.
PGPSignatureSubpacketGenerator enchashgen = new PGPSignatureSubpacketGenerator();
// Add metadata to declare its purpose
enchashgen.setKeyFlags(false, KeyFlags.ENCRYPT_COMMS|KeyFlags.ENCRYPT_STORAGE);
// Objects used to encrypt the secret key.
PGPDigestCalculator sha1Calc = new BcPGPDigestCalculatorProvider().get(HashAlgorithmTags.SHA1);
PGPDigestCalculator sha256Calc = new BcPGPDigestCalculatorProvider().get(HashAlgorithmTags.SHA256);
// bcpg 1.48 exposes this API that includes s2kcount. Earlier versions use a default of 0x60.
PBESecretKeyEncryptor pske = (new BcPBESecretKeyEncryptorBuilder(PGPEncryptedData.AES_256, sha256Calc, s2kcount)).build(pass);
// Finally, create the keyring itself. The constructor takes parameters that allow it to generate the self signature.
PGPKeyRingGenerator keyRingGen =
new PGPKeyRingGenerator(PGPSignature.POSITIVE_CERTIFICATION, rsakp_sign,
id, sha1Calc, signhashgen.generate(), null,
new BcPGPContentSignerBuilder(rsakp_sign.getPublicKey().getAlgorithm(), HashAlgorithmTags.SHA1), pske);
// Add our encryption subkey, together with its signature.
keyRingGen.addSubKey(rsakp_enc, enchashgen.generate(), null);
return keyRingGen;
}
}
当我 运行 上面的代码生成 .asc 文件,然后尝试将 .asc 文件导入 Thunderbird 时,出现以下错误屏幕:
请注意,我没有在我的 CentOS 7 机器上安装 GnuPG。
此外,您可以在自己的机器上轻松重现此问题,因为 Thunderbird 是免费的。 You can download thunderbird for free using this link。或者,在我的 CentOS 7 机器上,我用 yum install thunderbird 下载了 Thunderbird。您可以通过将以下内容添加到 pom.xml 来下载充气城堡:
<dependency>
<groupId>org.bouncycastle</groupId>
<artifactId>bcpg-jdk15on</artifactId>
<version>1.51</version>
</dependency>
编辑#1:
为了解决 JRichardSnape 的问题,我发现 maven 也必须自动下载 org.bouncycastle.crypto 库,因为它是 bcpg-jdk15on 的依赖项。 JRichardSnape 是正确的 RSAKeyGenerationParameters and RSAKeyPairGenerator 不在 bcpg-jdk15on.jar 手动下载中。 (注意:链接中的版本可能不是最新的。)但是,两个 类 都在自动 Maven 下载中,该下载来自上面显示的 pom.xml 的单个依赖项片段。 我这样说是因为我的 pom.xml 中没有其他 bouncycastle 依赖项。我正在使用 Java 7.
Eclipse 将两个 类 导入为:
import org.bouncycastle.crypto.params.RSAKeyGenerationParameters;
import org.bouncycastle.crypto.generators.RSAKeyPairGenerator;
我将 RSAGen.java 中的所有 import 语句添加到上面我的 OP 中的代码段。我认为问题可能与密钥需要 name/signature 有关。
谷歌搜索此错误会导致以下链接,其中包括:
Convert userId to UTF8 before generating signature #96
non-ascii characters in Name field #92
Unable to import PGP certificate into Keychain
编辑#2
按照@JRichardSnape 的建议,我尝试了 Enigmail->Key management ->File ->Import keys from file。这导致出现以下对话框,这似乎表明在导入密钥时,密钥未签名。因此,似乎没有名称或电子邮件地址与导入的 .asc 文件关联。该密钥之后也不会出现在 EnigMail 的密钥列表中。
编辑#3
使用 gpg --gen-key,我能够让 CentOS 7 终端创建一个密钥对,包括一个 public 密钥,我能够成功地将其导入 Thunderbird,这样 Thunderbird 现在可以将 terminal-gpg-generated public 键与预期的电子邮件收件人相关联。但是,当我采取所有步骤使用 public 密钥从 Thunderbird 发送加密电子邮件时,电子邮件及其附件仍然未加密。我使用 public 密钥从远程 Thunderbird 向具有私钥的服务器发送加密电子邮件所采取的步骤是 described in this SuperUser posting。
鉴于 gpg --gen-key 似乎有效,目前剩下的主要问题似乎是这个赏金问题的 Thunderbird 部分。我已经在上一段中发布了解决 SuperUser 问题中 Thunderbird 部分的很多进展。你的帮助回答它也会对回答这个问题有很大帮助。
编辑#4
我仍然无法将 BouncyCastle 创建的密钥导入 Thunderbird。但是,当我使用 gpg --gen-key 在 CentOS 7 终端上创建的密钥时,我能够完成以下步骤:
1.) I configured my Thunderbird to manage another (second)
email account I have not been using.
2.) I then created a gpg key for that second account and
configured encryption for that second account in Thunderbird.
3.) I sent an encrypted email containing an attachment from the
first Thunderbird account to the second Thunderbird account.
4.) I was able to see that the attachment remained encrypted in
the second account's inbox until I used the recipient key's
passphrase to decrypt it.
我的 CentOS 7 服务器仍在生成 un-encrypted 附件,当我从同一 "first" Thunderbird 帐户向它发送电子邮件时,如本编辑所述。我正在尝试确定这是否是由于 CentOS 7 服务器中 dovecot/postfix/mailx/gpg 中的某些 "auto-decryption",或者是否是由于 Thunderbird 发件人中的某些设置。我正在研究这个。
我将尝试一一解决这些问题:
Java bouncycastle 密钥环生成
Java 代码确实有效并生成了可用的密钥环对。我已经用不同的电子邮件和不同的密码对其进行了测试,没有任何问题。我有一个第 3 方使用 public 密钥向我发送了一封电子邮件,并使用此 Java 代码生成的私钥成功解密了它。该密钥已与以下组合一起使用
- Thunderbird (31.4.0) + Enigmail (1.7.2) + gpg (Gpg4win) Windows 8
- ubuntu 14.10 上的 Thunderbird + Enigmail(使用 xfer 桌面管理器)
然而
OP 发现导入密钥失败时出现问题,这意味着 CentOS / Thunderbird / pgp 组合中没有用户 ID。类似地,导入失败,并显示 Windows / Outlook / Kleopatra 插件上没有用户 ID 的错误(已测试,尽管问题特别引用了 Thunderbird)。
我无法重现错误 - 强烈怀疑这是由于 GNU PG 中的配置差异或版本差异造成的。我的设置显示 gpg --version
gpg (GnuPG) 2.0.26 (Gpg4win 2.2.3)
libgcrypt 1.6.2
直接用 gpg 测试 Java 生成的密钥
您可以使用 java 代码生成密钥,转到命令行并执行
gpg --import dummy.asc
然后通过执行
进行测试gpg --edit-key alice@example.com
通过在 gpg> 提示符下键入 check 来检查它是否有用户 ID。示例输出:
uid alice@example.com
sig!3 14AEE94A 2015-02-05 [self-signature]
如果这有效 - 您已经消除了密钥导入的 gpg 问题 - 检查 Thunderbird / Enigmail 版本。
使用 Thunderbird
我的评论建议通过 Enigmail->Key management ->File ->Import keys from file 结合超级用户 OP 的 this related question 导入密钥,这似乎解决了大部分问题。
另请注意 - 在 Enigmail 的密钥管理对话框中有一个 "generate" 选项。如果不需要 Java 生成,这可用于生成密钥对 - 据我所知,这与直接通过 gpg 生成基本相同。
使用 Thunderbird 的其余问题似乎是对加密缺乏信心,因为消息以纯文本形式出现在 OP 的服务器上(似乎密钥将用于 server/client客户端向服务器发送加密电子邮件的组合)。
为了确保邮件确实已加密 - 我建议更改 Enigmail 设置:
Enigmail->Preference->Sending tab- select
"Manual encryption settings" - select
"Always"在"confirm before sending"框中
然后您将在发送前看到加密邮件和确认框。
我不能说如何阻止你的服务器自动解密收到的邮件,因为这取决于你的服务器配置,最好作为一个单独的问题来问,很可能在 superuser or serverfault StackExchange 站点上.
正在测试 PGP 电子邮件
您也可以考虑遵循 the Enigmail tutorial 的建议并将加密邮件发送至
Adele, the "Friendly OpenPGP Email Robot". Adele accepts OpenPGP messages and replies in an explanatory way to any kind of OpenPGP messages.
地址是adele <at> gnupp <dot> de