cover_image

PGP 加密使用教學(2025版)

Kurt Pan XPTY
2025年03月24日 14:08

PGP(Pretty Good Privacy)是一種電子郵件加密工具,最早於 1991 年推出,三十多年來廣泛用於保障電子郵件和資料的安全 。PGP 採用公鑰密碼學技術,使用者會產生一組密鑰對:包含公開密鑰和私密密鑰 。公開密鑰可以分享給任何人,用來將郵件或檔案加密,只有配對的私密密鑰才能解密讀取 。反之,私密密鑰應妥善保管、不與他人分享,用來解密別人發給你的加密內容,以及對你發出的訊息進行數位簽章以驗證身分 。透過這種方式,PGP 可確保訊息內容在傳輸過程中不被第三方窺視,只有預期的收件人才能解讀 。PGP 除了提供機密性,還支援數位簽章功能,寄件人可用私鑰對訊息簽名,收件人用寄件人的公開密鑰即可驗證訊息確實出自所聲稱的發件人 。總而言之,PGP 將對稱式加密(速度快)與非對稱式加密(無需事先共享密碼)的優點結合,用於電子郵件、檔案等資料的加密保護,是提高通信隱私和安全性的有效工具 。

Pasted image 20250324125229.png

PGP 的主要用途是保護電子郵件內容、檔案資料,以及驗證訊息來源真偽等。加密後的郵件即使被攔截,未持有私鑰者也無法讀取;而數位簽章可防止訊息被篡改並證明身份。這讓 PGP 成為隱私通信的重要技術。然而,PGP 並非完全沒有限制:一方面,發送雙方都需要使用 PGP 才能建立端對端加密,這代表你只能與也具備 PGP 的對象加密通信 ;另一方面,初始設定和密鑰管理對一般用戶而言有些複雜,需要先交換並信任彼此的公開密鑰,否則就無法真正達成保密通信 。本教學將面向中階用戶,介紹如何在 2025 年的 macOS 環境下使用 PGP 來加密電子郵件、檔案,以及在即時訊息中應用加密技術的實踐方法。

工具選擇與安裝:macOS 上的 PGP 工具

要在 macOS 上使用 PGP,加密/解密電子郵件與檔案,首先需要安裝支援 OpenPGP 標準的工具。目前 macOS 上常見的 PGP 工具有以下幾種:

  • GnuPG (GPG): GNU Privacy Guard,是 OpenPGP 標準最廣泛使用的免費實作。macOS 使用者可以透過 GPG Suite 安裝一整套工具,包括圖形介面應用程式 GPG Keychain(管理密鑰)、GPG Services(系統服務整合)以及 MacGPG(後端加密引擎)等 。下載 GPG Suite 安裝檔後按照指示完成安裝即可 。安裝完成後,你可以在「應用程式」中找到 GPG Keychain 來建立或匯入你的 PGP 密鑰,並在 Finder 的服務功能表(Services) 中看到與 OpenPGP 有關的項目(如加密、解密、簽名等)。若偏好使用 Homebrew,也可以執行 brew install gnupg 安裝純命令列版的 GPG 工具。

    • https://gpgtools.org/

  • OpenPGP 標準及其他實作: 「OpenPGP」指的是 PGP 加密的開放標準(RFC 9580),任何符合該標準的軟體都可以互相操作。例如,GnuPG 就是 OpenPGP 的實作之一。另外還有 Sequoia PGP,一個使用 Rust 語言開發的新一代 OpenPGP 實作方案。Sequoia 提供名為 sq 的命令列工具(可透過 MacPorts 安裝),目標是提升安全性與現代化,但目前主要面向開發者或進階用戶。在 2025 年,主流 macOS 平台上的 PGP 應用還是以 GPG Suite 為主,因其穩定性與完整的功能組合適合大多數使用者。

    • https://www.rfc-editor.org/rfc/rfc9580
    • https://sequoia-pgp.org/

  • 其他工具與插件: 除了 GPG Suite,本身是綜合性方案,有些使用者會搭配郵件客戶端的插件(如 Apple Mail 的 GPG Mail 插件,需額外付費訂閱GPG Suite的支援方案才能長期使用)來直接在郵件App內加解密。但由於本教學以 Proton Mail 網頁版為主要平台,郵件插件將不是重點。對於檔案加密,GPG Suite 已內建 Finder 右鍵服務;如果需要獨立的圖形介面工具,也可以考慮第三方軟體如 GPG Frontend 等。不過這些大多也是基於 GnuPG 後端運作,所以安裝 GPG Suite 通常即可滿足需求。總之,建議先安裝 GPG Suite 作為 macOS 平台的 PGP 工具起點。

Pasted image 20250324130614.png圖:macOS 平台上的 GPG Keychain 應用,用於建立新的 PGP 密鑰對(輸入使用者名稱、電子郵件與密碼後點擊「Generate Key」即可) 。產生密鑰對後,公開密鑰可分享給通信對象,私密密鑰則需自行妥善保存。

  • 工具安裝與配置提示: 安裝 GPG Suite 後,建議首先開啟 GPG Keychain 並產生你的個人密鑰對。你只需輸入姓名(或暱稱)與電子郵件地址,以及設定一個安全的密鑰密碼,即可生成 RSA 或 ECC 密鑰對。密鑰建立完成後,你可以在 GPG Keychain 中看到「sec/pub」字樣,表示包含私鑰(sec)與公鑰(pub)。接著,你可以將公鑰匯出(例如以 .asc 檔案形式)分享給朋友或同事,也可以透過 GPG Keychain 搜尋密鑰伺服器來取得他人的公鑰 。GPG Suite 也自帶了 Finder 服務,你可在 Finder 中右鍵點選檔案 > Services > OpenPGP 子選單,直接使用「Encrypt File」(檔案加密)或「Decrypt File」(檔案解密)等功能。這種 Finder 整合由 GPG Services 提供,能將 GPG 的功能無縫地融入系統介面,在任何應用中透過服務選單調用 。對於熟悉終端機的用戶,也可以直接使用命令列來執行加密/解密操作,詳情可參考後續「檔案加密」章節。

Proton Mail:設定與使用 PGP 加密郵件

Proton Mail 是一款注重隱私安全的電子郵件服務,它將 PGP 技術完整整合在郵件系統中,使得用戶能夠輕鬆享受端對端加密電子郵件的好處 。在 Proton Mail 上使用 PGP 有幾個層面需要了解:密鑰管理、與其他用戶交換密鑰、郵件自動加密設定,以及與非 PGP 用戶通信的方法。本節將逐一介紹。此外,我們也會說明 Proton Mail 免費版與付費版在這方面的功能差異。

  • https://proton.me/mail

1. Proton Mail 的內建 PGP 與自動加密

Proton Mail 用戶之間(即 @proton.me 等域名互寄)發送的郵件預設都經由 PGP 自動端對端加密,你無需額外設定即可享受這種保護 。所有存在你信箱中的郵件內容也以加密形式儲存於 Proton Mail 伺服器(所謂「零存取加密」,Proton 無法查看你的郵件內容) 。當你給非 Proton Mail 的電郵地址發信時,若對方沒有特別處理,郵件將以一般方式傳送(在 Proton Mail 端加密儲存,但經網際網路傳輸給對方時仍是明文) 。為了在與外部用戶通信時也提供端對端加密,Proton Mail 提供了兩種方案:其一是使用密碼保護的郵件(Secure Message),其二就是使用PGP 加密 。使用 PGP 時,Proton Mail 容許你和外部用戶交換公開密鑰以實現雙方都用 PGP 來加密通信。

2. 密鑰管理(匯入、匯出、備份)

Proton Mail 會自動為你的帳戶產生必要的加密密鑰,但也提供進階用戶自行管理密鑰的功能,包括匯入你現有的 OpenPGP 密鑰、導出公開或私密密鑰等 。你可以在 Proton Mail 的 「設定 > 全部設定 > Proton Mail > 加密與密鑰」 介面看到你帳號下每個電郵地址對應的密鑰列表 。點擊某一地址旁的下拉選單,可看到「匯出公鑰/私鑰」、「產生新密鑰」、「匯入密鑰」等操作 。建議你定期匯出備份私密密鑰並安全保存(匯出時需要輸入你的登入密碼來解鎖,再設定一個新密碼加密匯出檔案) 。匯出的公鑰檔案則可自由分發給通信對象使用 。Proton Mail 允許每個地址最多匯入 20 把密鑰 (包括歷史密鑰或與不同通信對象兼容的多把密鑰);若超過需刪除不用的密鑰才能繼續匯入 。一般用戶通常不會用到這麼多密鑰,但此限制確保系統效能與管理有序。

3. 與其他用戶交換公開密鑰

若對方也是 Proton Mail 用戶,情況最簡單——彼此使用 Proton Mail 則全程自動完成加密,無需顧慮密鑰交換(Proton Mail 會在後端自動管理並交換必要的密鑰資訊)。但當你要和外部使用者(非 Proton Mail)通信且希望使用 PGP 加密時,就需要先交換公開密鑰。這可透過以下兩種方式來完成:

  • 方式 A:郵件附加公鑰 – 你可以直接將自己的公鑰檔案附加在郵件中發給對方,對方也需要將他們的公鑰提供給你。Proton Mail 提供一個方便的選項來自動附上你的公鑰:在撰寫郵件視窗的左下角點擊「更多」(⋯)按鈕,啟用「附加公鑰」(Attach public key)功能,接著撰寫郵件並寄出時,系統就會自動附加你的公鑰檔案 。例如,Alice 使用 Proton Mail 發郵件給使用 Gmail 的 John 時,可以附上自己的 PGP 公鑰,如此 John 收到後即可將其匯入PGP工具中。(註:只有在需要與外部 PGP 用戶通信時才需要這麼做,Proton Mail 用戶間無需手動附加密鑰。)

CleanShot 2025-03-24 at 13.23.15@2x.png圖:在 Proton Mail 網頁介面撰寫郵件時,點擊左下角的「⋯」按鈕,可看到「Attach public key」(附加公鑰)選項 。啟用後寄出郵件時會自帶你的公鑰檔案,方便對方取得。

  • 方式 B:透過聯絡人詳情手動匯入對方公鑰 – 如果外部聯絡人沒有主動給你發附有公鑰的郵件,你也可以主動取得對方公鑰並將其匯入。取得對方公鑰的途徑包括:請對方直接寄給你公鑰檔案(副檔名通常為 .asc),或從對方提供的下載連結/密鑰伺服器上取得。拿到對方公鑰後,登入 Proton Mail 網頁版,進入 「聯絡人」(Contacts) 管理頁面,選擇該聯絡人,點擊其電郵地址旁的「電子郵件設定」齒輪按鈕。在展開的 「郵件設定」 視窗中,點擊 「顯示進階 PGP 設定」(Show advanced PGP settings),然後在 「公開密鑰」(Public keys) 一欄點擊 「上傳」(Upload) 按鈕,選擇剛才取得的對方公鑰檔案匯入 。匯入完成後,Proton Mail 會將該公鑰與此聯絡人關聯,並允許你對此聯絡人啟用郵件加密。

CleanShot 2025-03-24 at 13.24.14@2x.png圖:在 Proton Mail 的聯絡人詳情中匯入聯絡人的 PGP 公鑰 。點擊「Upload」上傳取得的公鑰檔案後,就可以啟用針對該聯絡人的自動加密(Encrypt emails)開關。

完成上述設定後,打開該聯絡人的 PGP 設定區域,可以看到「加密郵件」(Encrypt emails)的開關已可使用,將其切換為啟用狀態並儲存設定 。此後,你在 Proton Mail 網頁或行動 App 中寫信給該聯絡人時,Proton Mail 會自動使用你上傳的那把公鑰進行加密,再寄出郵件。第一次加密通信前的注意事項:建議雙方互相確認公鑰的指紋(Fingerprint)以確保未被第三方掉包。如果是在面對面或透過可信管道交換公鑰檔案,風險較低;但若經由公開網絡傳輸,最好透過其他途徑(例如當面、視訊或電話)核對公鑰指紋碼。Proton Mail 本身有地址驗證(Address Verification)機制,可鎖定聯絡人的公鑰避免遭調包攻擊,但這屬進階功能,可視需要使用 。

4. 信任密鑰

當 Proton Mail 收到帶有 PGP 簽名及公鑰的來信時,郵件上方會提示「此郵件由附上的密鑰簽名,但尚未被信任」,並提供一個 「Trust key」(信任密鑰) 按鈕。你可以點擊 Trust key,再於彈出的確認視窗中再次點擊確認 。Proton Mail 會將該聯絡人的公鑰標記為已信任並儲存,往後此聯絡人的郵件會自動用該公鑰加解密。被信任的聯絡人,其郵件中的鎖頭圖示上會出現一個核取記號,表示密鑰已驗證 。完成信任的設置後,你即可放心與之進行加密通信。

CleanShot 2025-03-24 at 13.25.57@2x.png圖:收到外部聯絡人 Bob 寄來的一封 PGP 加密郵件(內含 Bob 的公鑰附件)時,Proton Mail 會顯示提醒,允許你點擊「Trust key」來信任並匯入對方的公開密鑰 。一旦信任,往後寄信給這位聯絡人即可自動進行 PGP 加密。

5. 自動附加公鑰與預設加密設定:

如果你經常需要跟多位外部 PGP 用戶通信,可以啟用 Proton Mail 的自動附加公鑰功能。進入 「設定 > 全部設定 > Proton Mail > 加密與密鑰頁面,向下捲動找到 「對外部收件者自動附加公鑰」的選項並將其打開 。啟用後,你每次發信給 Proton Mail 之外的地址時,系統都會自動在郵件中附加你的公開密鑰 (Proton 官方建議僅進階用戶開啟此功能,以免對方不明就裡收到附檔反而疑惑 )。另外,在與外部 PGP 聯絡人通信時,Proton Mail 支援兩種 PGP 郵件格式:PGP/MIME 和 PGP/Inline。預設為 PGP/MIME,這種格式可以加密郵件的完整內容與附件,且對非英文文本支援較好,因此通常是較佳選擇 。除非特別需要,否則建議保持使用 PGP/MIME。這些選項在聯絡人>電子郵件設定的進階PGP設定中也能調整(如需要將某聯絡人的郵件改用 PGP/Inline,可在該聯絡人的設定中更改「PGP scheme」為 Inline)。

6. 與非 PGP 用戶通信

若收件人沒有使用任何 PGP 加密(例如普通的 Gmail/Yahoo 用戶),你仍然可以透過 Proton Mail 與其通信,此時有兩種策略:

  • 純文字通信: 你可以直接寄送普通郵件(不加密內容)。Proton Mail 仍會確保你的信箱儲存該郵件的加密副本,但由於對方沒有 PGP,所以郵件內容對他而言是一般明文。這適用於內容無須特別保密的場合。對方回信給你時,內容在 Proton Mail 端也會被儲存加密,只是傳輸過程中不具備端對端加密保障。

  • Password-protected Emails(口令保護郵件): 這是 Proton Mail 提供給非 PGP 用戶的一種替代方案。寄信時你可以點擊郵件撰寫視窗下方的鎖頭圖示,為這封郵件設定一組口令及提示問題。對方將收到一封通知,點擊其中連結並輸入你先前告知的口令後,才能在瀏覽器中查看加密儲存在 Proton Mail 伺服器上的郵件內容 。對方甚至可以透過同一個網頁界面進行加密回覆,而你會在 Proton Mail 中收到解密後的回信。這種方法不需要對方安裝任何軟體或掌握 PGP 知識,就能臨時享有一次性的加密通信。密碼郵件功能對免費用戶也開放 ,因此在你需要與非技術類型的聯絡人分享敏感資訊時非常實用。其缺點是需要透過其他安全管道(例如電話或面對面)預先將密碼告知對方,且不如 PGP 那樣端對端透明(因為解密是在 Proton Mail 的臨時網頁上進行)。

7. 免費與付費帳戶功能差異

Proton Mail 免費方案在安全性和易用性上與付費方案相同,所有加密功能均可用 。免費用戶可以:建立 1 個 Proton Mail 地址、使用所有內建的 PGP 加密/解密功能、收發端到端加密郵件、啟用密碼郵件等 。主要差異在於進階和用量方面:付費用戶(Plus/Unlimited等)可擁有多個電郵地址、更多儲存空間、自訂網域,以及使用 Proton Mail Bridge 工具將 Proton 郵件帳號與第三方郵件客戶端(如 Thunderbird、Outlook)整合 。特別地,Proton Mail Bridge 僅限付費方案 。Bridge 可以在本地提供一個 IMAP/SMTP 界面,讓你用傳統郵件應用程式收發 Proton Mail(郵件在本地由 Bridge 自動加解密),甚至與 GnuPG/Enigmail 等結合使用。如果你想將 Proton Mail 帳號用於 Delta Chat 等需要 IMAP 存取的應用,就需要升級為付費方案並使用 Bridge 。此外,付費用戶也享有更高的每日發信量上限(免費150封/天,付費無限制)等 。總而言之,免費方案足夠一般個人安全通信使用;而如果你有多帳號管理或需要在不同客戶端中使用 Proton Mail,那升級付費就有其必要性。

8. Proton Mail 網頁版 vs 行動 App:

目前 Proton Mail 提供網頁版(適用於桌面瀏覽器)、行動裝置 App(iOS/Android),以及桌面版應用程式(2024 年推出 Beta,付費用戶可用)等途徑。就 PGP 加密功能而言,網頁版功能最完整,包括密鑰的進階設定與聯絡人公鑰管理介面 。建議你使用網頁版完成 PGP 密鑰的匯入信任設定;一旦設置完成,Proton Mail 手機 App 在寄送郵件時也會自動套用相同的加密設定(例如你已為某聯絡人上傳公鑰並啟用加密,手機寄信給此聯絡人同樣會加密)。手機 App 本身並沒有獨立的密鑰管理 UI,但會與你的帳戶設定同步。此外,如果你是 Proton Mail 付費用戶並安裝了桌面版應用(或使用 Proton Mail Bridge 搭配郵件客戶端),你一樣可以讀取和發送加密郵件——所有裝置上的 Proton Mail 都共用帳戶的密鑰資料。請注意,在非 Proton Mail 的郵件客戶端中(透過 Bridge)使用時,還是要確保你在 Proton Mail 網頁端先行匯入並信任了聯絡人的公鑰 。Proton Mail 的跨裝置體驗讓你無論在電腦或手機上,都能方便地收發加密郵件。

文件加密:使用 PGP 保護檔案

除了電子郵件內容,PGP 也常用來對檔案進行加密與解密,保障檔案在儲存或傳輸過程中的機密性。以下將介紹在 macOS 上利用 GPG 工具對檔案加解密的兩種方式:一種是借助 Finder 的圖形介面(GPG Services 右鍵選單);另一種是透過終端機命令列使用 gpg 指令直接操作。

透過 Finder 服務加密檔案(GUI方式)

安裝 GPG Suite 後,Finder 右鍵選單的 Services(服務)子選單中會新增「OpenPGP: Encrypt File / Decrypt File」等項目 。你可以直接在 Finder 中選擇要加密的檔案,點擊右鍵並滑到 Services,然後點選 “OpenPGP: Encrypt File” 。接著會彈出一個視窗讓你選擇收件人的公鑰(即你要讓誰能解密這個檔案,就選擇對應的公鑰)。選擇後確認,GPG Suite 會將檔案加密並生成一個新的檔案,副檔名通常為 .gpg(例如加密 test.txt 後會得到 test.txt.gpg) 。此 .gpg 檔就是已加密的檔案內容,只有持有你選擇的那把私鑰的人才能將其解密恢復原始內容。相反地,若你收到別人以你的公鑰加密的 .gpg 檔案,你只需在 Finder 裡右鍵該檔案,選擇 “OpenPGP: Decrypt File”,輸入你的私鑰密碼,即可得到解密後的原始檔案。小技巧: GPG Services 支援一次選擇多個檔案一併加密。如果你選取多個文件進行加密,它會先自動將檔案壓縮成一個 .zip,再對該壓縮包進行加密 。這對於批量傳輸多個檔案很實用。

CleanShot 2025-03-24 at 13.37.11@2x.png圖:在 macOS Finder 中透過 GPG Suite 的服務功能表加密檔案。右鍵點選檔案(如 test.txt),展開 Services,然後選擇 “OpenPGP: Encrypt File” 進行加密;要解密則選擇 “OpenPGP: Decrypt File”。此服務由 GPG Services 提供,可方便地在圖形介面使用 PGP 功能。

透過終端機命令列加解密檔案(CLI方式)

對於熟悉命令列的用戶,使用 gpg 指令可以更靈活地加解密檔案。以下是一些常用範例:

  • 加密檔案給特定對象: 假設你已經擁有收件人的公鑰(已匯入至本機 GPG 密鑰環),可以使用 --encrypt 參數來加密。範例命令:
gpg --output secret.docx.gpg --encrypt --recipient bob@example.com secret.docx

這會使用識別為 bob@example.com 的公鑰將檔案 secret.docx 加密,輸出為 secret.docx.gpg 。只有持有 Bob 私鑰的人能解開此檔。若有多個收件人,可用多個 --recipient 參數加入,每個收件人都能用各自私鑰解密同一檔案 。注意:除非你同時將自己的公鑰也列為收件人之一,否則你自己加密的檔案將無法由自己解密(因為你的私鑰不在接收名單中) 。

  • 解密檔案: 使用 --decrypt 參數,GPG 會自動找到匹配的私鑰解密。範例:
gpg --output secret.docx --decrypt secret.docx.gpg

執行後若你的私鑰受密碼保護,會提示輸入通行密碼,正確輸入後即可得到解密後的 secret.docx 檔案 。如果加密時有多個收件人,只要你的私鑰是其中之一就能成功解密。

  • 使用對稱式加密: 有時你可能希望快速加密檔案但不與他人分享(或對方沒有公鑰)。此時可使用對稱加密方式(以密碼作為密鑰)。命令:
gpg --output archive.zip.gpg --symmetric archive.zip

系統會要求你輸入自行設定的密碼,完成後產生 archive.zip.gpg 。未來只要使用相同密碼,就可用 gpg --decrypt 解密出 archive.zip。對稱加密適合檔案自行備份或臨時分享使用,但要確保密碼強度夠高且傳輸安全。切記:對稱加密的密碼應與你私鑰的密碼不同,以免一組密碼洩漏導致雙重風險 。

上述操作在 macOS 與 Linux 等類Unix系統通用,只要裝有 GnuPG 工具即可。Windows 用戶則可使用類似的命令(前提是已安裝 Gpg4win 之類的套件)。善用 PGP 檔案加密,可以確保你在雲端硬碟、USB 隨身碟或電子郵件附件中儲存的敏感檔案不會遭未經授權者存取。

訊息加密:即時訊息平台與 PGP 的結合

除了電子郵件,許多人關心在即時通訊(聊天訊息)中如何運用加密技術保障隱私。值得注意的是,大部分現代即時通訊軟體(如 Signal、WhatsApp、Telegram、Matrix/Element 等)已內建了端對端加密機制,不需要也不相容於 PGP。它們通常使用專為即時互動設計的協議(例如 Signal Protocol 或 Matrix 的 Olm/Megolm 協議)來達成前向保密和裝置同步等功能,而這些是傳統 PGP 不易實現的。因此,我們在聊天場景下通常不會直接使用 PGP 來加密每則訊息,而是使用專門的通訊加密方案。然而,仍有一些平台或應用結合了電子郵件與即時聊天的概念,使 PGP 能夠在類似聊天的體驗中使用。以下介紹兩個相關例子:

  • Matrix/Element(不使用 PGP,但提供現代端對端加密): Matrix 是一種開放通訊協議,Element 是其中一個知名的聊天客戶端。Matrix 網路中的消息傳遞採用預設開啟的端對端加密(E2EE),但其加密並非基於 PGP,而是使用另一套被廣泛接受的 Olm/Megolm 演算法 。這種加密由應用自動完成,對使用者而言是無縫的(例如在 Element 中和好友聊天時,對話會自動加密,並以鎖頭符號標示安全)。Matrix 的加密特色在於支援多設備訊息同步和前向保密,因此不建議嘗試用 PGP 取代 Matrix 內建的加密。如果你使用 Element 進行即時通訊,只需確認加密功能已啟用,並透過掃描 QR Code 或比較安全碼的方式來驗證聯絡人的身分,就能獲得強大的通訊隱私保護。總結而言,Matrix/Element 是現代化的安全聊天方案,本身與 PGP 無直接關聯,兩者各司其職。

    • https://matrix.org/

  • Delta Chat(將電子郵件變成聊天介面,使用自動 PGP 加密): Delta Chat 是一個特別的應用——它看起來像即時通訊軟體,實際底層使用電子郵件傳輸訊息 。Delta Chat 支援所有具IMAP/SMTP服務的信箱,用戶可以用自己的電子郵件帳戶登入,之後發送的每則聊天訊息其實是一封郵件(預設發送到收件者的 DeltaChat 專用資料夾,以免干擾正常收信)。Delta Chat 最大的特色是實作了 Autocrypt 標準,能自動交換公鑰並加密郵件 。當兩位使用 Delta Chat 的用戶開始對話時,應用會在背景交換彼此的 PGP 公鑰(附在郵件頭或隱藏訊息中),往後訊息就以 OpenPGP 加密方式傳遞,而用戶界面看起來和一般即時聊天無異。例如,你給對方發出第一則訊息時會是明文,但附帶了你的公鑰;對方回覆時也附上公鑰。自此之後雙方訊息自動端對端加密。優點是用戶不必手動管理密鑰檔案或輸入密碼,一切都由 Autocrypt 處理,降低了 PGP 使用門檻 。Delta Chat 與 Proton Mail 的互通性: 由於 Delta Chat本質是電子郵件,用戶當然可以給任何電郵地址發送訊息,包括 Proton Mail 用戶。但要注意,Proton Mail 與 Delta Chat 無法自動端對端加密通信 。這是因為 Proton Mail 有自己的密鑰管理機制,並不使用 Autocrypt 標準。因此,如果你用 Delta Chat 發訊息給 Proton Mail 聯絡人,該訊息會以一般郵件抵達對方信箱(Proton Mail 會用其方法在伺服器端加密儲存,但並非端到端加密) 。相反地,Delta Chat 最佳的安全效果是在雙方都使用 Delta Chat(或任一支持 Autocrypt 的郵件用戶端,如 Thunderbird+Enigmail 等)時 。另外,Proton Mail 免費用戶無法直接用 Delta Chat 登入他們的帳號,因 Proton 不提供 IMAP 存取(除非升級付費並透過 Proton Mail Bridge) 。因此,在選擇方案時,可依對象和需求決定:若對方樂於使用 Delta Chat,彼此將獲得一種去中心化且安全的聊天體驗;否則,可能改用其他主流安全通訊軟體更為方便。

綜合建議: 如果你的主要需求是與朋友即時聊天且確保安全,優先考慮使用內建加密的通訊軟體(如 Signal、Element 等)。這些工具針對頻繁互動和多媒體傳輸做了優化,比 PGP 更適合即時性。不過,若你偏好電子郵件生態或希望與電子郵件用戶融為一體的聊天,Delta Chat 是一個有趣的選擇,其在熟悉介面下提供了 OpenPGP 保護。對於一般使用者,重要的是了解:PGP 更擅長於電子郵件和文件加密,在即時訊息方面並非主流方案;選擇合適工具能達到事半功倍的效果。

附錄:常見錯誤排解、最佳實踐與安全提示

在實際使用 PGP 加密的過程中,你可能會遇到一些問題或需要注意安全細節。本附錄匯總了中階用戶應知的一些常見錯誤排解方法安全最佳實踐

常見錯誤與排解

  • 無法解密訊息/檔案: 如果你收到加密的郵件或檔案卻無法解密,首先確認你是否擁有對應的私密密鑰,以及是否在裝置上正確匯入該密鑰。同時檢查是否輸入了正確的私鑰密碼。GPG 解密時若出現「no secret key」之類的錯誤,表示你的密鑰環中沒有相符的私鑰,需要匯入正確的私鑰才能解開。若提示「bad passphrase」,請確認密碼拼寫無誤且沒有 Caps Lock 等問題。

  • 對方無法解讀你的郵件: 如果你使用 Proton Mail 或 GPG 加密了郵件,但收件人表示看到的是亂碼或附件無法開啟,可能是對方沒有正確設定 PGP。請確認對方已匯入你的公鑰並使用支援 PGP 的郵件客戶端開啟郵件。如果對方不是 PGP 用戶,請改用 Proton Mail 的密碼郵件功能,或直接傳送非加密郵件(視敏感程度而定)。

  • 密鑰過期或無效: PGP 密鑰可以設定有效期限。若你的密鑰已過期,別人將無法用它加密給你,你自己也可能無法解開以前加密的資料。最好及時更新或產生新的密鑰,並將新公鑰提供給聯絡人。Proton Mail 若偵測到聯絡人的公鑰已過期,將不允許對其啟用加密 。此時你需要向對方索取新的公鑰。

  • 郵件簽章驗證失敗: 收到帶有數位簽章的郵件卻顯示簽章不可信,這通常是因為你尚未匯入寄件人的公鑰或尚未將其標記為信任。解決方法是從信中提取對方公鑰檔案匯入(Proton Mail 可直接點擊 “Trust key” ),然後再驗證簽章。若簽章仍不通過,可能郵件內容在傳輸中被修改或寄件人身份有偽冒嫌疑,需提高警覺。

PGP 最佳實踐

  • 保護私密密鑰: 絕對不要將你的私鑰分享給任何人。私鑰一旦外洩,別人即可冒充你解密或簽署訊息。另外請使用強密碼保護私鑰,密碼建議至少12位以上,混合大小寫字母、數字和符號,避免使用容易猜測的資訊。考慮將私鑰存放在安全的地方,例如受密碼保護的密鑰環、可靠的密碼管理器,或甚至硬體設備(如智能卡、硬體錢包)上,以增加安全性 。

  • 公鑰指紋驗證: 在信任他人公鑰之前,請盡可能驗證公鑰的指紋。指紋是一串獨特的哈希碼,可用於確認密鑰真偽。你可以透過面對面、視訊或電話將指紋向密鑰擁有者核對,以防止中間人攻擊。Proton Mail 的「地址驗證」功能就是用來鎖定指紋防篡改的機制,進階用戶可善加利用 。

  • 使用最新演算法與足夠長度的密鑰: 確保你的密鑰強度符合現代安全要求。一般建議 RSA 密鑰至少 2048 位元(Proton Mail 默認也是2048位元RSA,但也支援4096位元),或使用 ECC 橢圓曲線密鑰(如 Curve25519)以獲得更高的安全性和效率。如果你透過 GPG Suite 產生密鑰,可以在進階選項中選擇密鑰種類與長度。使用強加密演算法(例如 AES-256 對稱加密,SHA-256/SHA-512 雜湊)已是 GnuPG 的預設配置,一般不需特別更改。

  • 定期備份並更新密鑰: 備份你的私密密鑰(連同吊銷憑證,如果有的話)並安全存放,例如離線的加密隨身碟或印出紙本(所謂紙質密鑰)。一旦遺失私鑰且無備份,你將無法解密先前加密的任何資料。若你懷疑私鑰被盜或裝置遺失,立即使用吊銷憑證(Revoke Certificate)將密鑰作廢,通知聯絡人停止使用該公鑰,加速切換到新密鑰。

  • 最小化明文暴露面: 即使使用 PGP 加密,郵件的一些元素如信件標題(Subject) 在使用 PGP/MIME 時仍是明文傳輸的。因此,避免在郵件標題洩漏敏感資訊。在分享加密檔案時,可先將多個檔案壓縮,這不僅方便加密傳輸,也隱匿了檔名等中繼資訊。

安全提示

  • 提防釣魚與假公鑰: 攻擊者可能會偽裝身份,提供惡意的公鑰企圖誘使你加密郵件給他們。因此只透過可信管道取得聯絡人公鑰,或者使用 WKD(Web Key Directory) 等自動發現機制。Proton Mail 支援 WKD,可自動從一些郵件服務提供者查找對方的公鑰 。這降低了手動交換密鑰的麻煩,同時減少出錯風險。若 Proton Mail 能自動找到並加密,那對方的郵件服務應已驗證該密鑰屬於其用戶 。

  • 知悉PGP的限制: 雖然 PGP 能保障靜態資料和電郵的安全,但它不提供前向保密(Forward Secrecy)。也就是說,如果你的私鑰未來某天洩漏,過去攔截的加密郵件就可能被解密。因此,極機密的溝通如涉及即時通訊和前向保密需求,建議使用專為此設計的協議(如 Signal 協議)。PGP 在保障資料長期存放的安全上依然表現優異,只是不同場景要選擇適合的工具。

  • 保持軟體更新: 定期更新你的 GPG 軟體、郵件用戶端以及 Proton Mail App。安全軟體的更新往往修補已知漏洞或改進使用體驗。例如,針對早年發現的「EFAIL」漏洞,Proton Mail 的網頁端其實不受影響,且 GnuPG 也早已修補問題 。透過更新軟體,可以免於遭受已曝光的攻擊手法威脅。

  • 隱私意識: 別忘了,加密只能保護內容,但信封資訊(如郵件的寄件人、收件人、時間、主旨行〔若非加密〕)仍可能被窺探到。所以在非常敏感的情況下,除內容加密外,也要考量匿名性(例如使用匿名電子郵件服務或 Tor 網路)和元數據防護。對一般用戶而言,PGP 已提供良好的內容保護,但完整的隱私安全需要全盤思考。

透過本教學的指引,你應能在 macOS 系統順利安裝並使用 PGP 工具,搭配 Proton Mail 來收發加密電子郵件、使用 GPG 對檔案進行加解密,以及理解在即時通訊環境下加密的取捨。如果在操作過程中遇到問題,可回顧上述步驟或參考相關文件 。持續學習和實踐將使你對 PGP 加密運用更加得心應手,在數位通信中有效保護自己的資訊安全。祝你加密愉快且放心!

參考資料:

  1. Proton Mail 官方說明:How to use PGP with Proton Mail https://proton.me/support/how-to-use-pgp

  2. Proton Mail 支援文件:PGP Key Management https://proton.me/support/pgp-key-management

  3. Check Point 資安知識庫:什麼是 PGP 加密? https://www.checkpoint.com/tw/cyber-hub/threat-prevention/what-is-email-security/what-is-pgp-encryption/

  4. Kevin Peters 技術部落格:How to share files securely with GPG Suite https://www.kevinpeters.net/how-to-share-files-securely-with-gpg-suite

  5. Delta Chat 官方常見問題 (Autocrypt 相容性說明)https://delta.chat/en/help

  6. Privacy Guides 隱私指南(繁體中文):電子郵件服務與 OpenPGP https://www.privacyguides.org/zh-Hant/email/