這是過去一個月以來投入Security First’s umbrella app 正體中文化的最後一篇數位安全相關的技術性貼文。目前感覺轉貼過來的初稿實在有點雜亂,我應該會另外再依umbrella 的編寫架構,作一篇滙整與中文化超連結整合。或許這樣讀者比較有全盤的概念來想像這個手機應用程式(或更精準的說:一個手機上的隨身電子書)的內容。
至於本文介紹的工具APG與K9 Mail,我是有下載前者到手機上,不過既然都沒人和我網路即時通私密聊天、試玩桌機版的PGP電郵加密,台灣人一手好幾隻的智慧手機即時通訊都逃不過line臉書獨霸,那麼我在手機上安裝APG根本就是一個心酸的啊。  

本文為Security First製作的手機應用umbrella app正體中文化翻譯系列資料之一。目前仍為初稿狀態,虛心接受指正批評。原始的json資料格式配合app電子書的html編輯標籤,轉貼到部落格上排版混亂也欠缺原始圖檔請見諒。

K9 & APG工具指南:Android的電子郵件加密軟體
K9-mail APG
學習內容: Email
軟體下載:APG 官網;K9 Mail 官網
手機系統要求:Android 1.5 以上版本,安裝 K-9 Mail之前必須先安裝好APG
本指南中使用的軟體版本: **APG 1.1.1; K-9 5.001
**版權宣告:
APG:自由開源軟體(Gnu GPL v3);K-9: 自由開源軟體(Apache 2.0)
其它參考資料:「密碼課程」;「行動電話」課程
程度:進階
所需時間: 30-40分鐘
K-9 & APG 可以:APG 用於加密、解密手機上的單一郵件或檔案.APG和K-9 一起使用可以讓你輕易地在手機上使用加密郵.**安卓設備上的Android Privacy Guard (APG) **

1.0 如何安裝APG
第1步.在你的安卓設備上,從Google Play商店下載軟體後,點擊「安裝」“Install”.
第2步:開始安裝之前,你會被要求檢視該應用程式可以取得的手機權限.請仔細閱讀.當你同同意該授權後,按「同意」“Accept”,以進入安裝程序.如果你不同意給予這些權限,按「返回」以取消安裝過程.

1.1 密鑰管理
初次使用APG來進行檔案與訊息加密時,你會被問道是否要滙入已有的GPG密鑰還是在手機上新創密鑰.注意:如果要加密檔案或訊息給他們, 你必須要有對方旳公鑰或決定要使用共享密碼.

1.1.1 密鑰管理 - 創建公私密鑰
如果你未曾有過GPG 密鑰或是想在不同的設備上分開使用不同的GPG密鑰,可以利用APG來創建新鑰.
第1步:第一次開啟APG時,請點擊「創建新密鑰」“Creating your own key”按鈕,其如上圖示.
第2步:等候2 - 3分鐘後,GPG密鑰即會産生. 你也可以把自己的名字與電子郵件指定給這組密鑰.
第3步:後面的晝面中:我們強烈建議你用密碼來保護自己的GPG密鑰.請選擇「設定密語」“Set Passphrase”並提供一組高強度的密碼.有關密碼如何設定可參考「密碼」課程;填入你的_姓名,電子郵件_;
你可以為GPG密鑰設置一個到期日,時間到了之後密鑰就失去了加密的能力.
第4步 : 所有資料正確完成後,輕觸畫面上方的「儲存」“Save”,以回到APG 主畫面,那裏你可以看你所有的密鑰清單, 其如下圖所示.

1.1.2 密鑰管理 - 由檔案滙入密鑰
要使用在其它設備上創建的GPG密鑰,或是滙入別人的公鑰:
第1步:利用記憶卡或是電子郵件將GPG密鑰存到你的Android設備上.
第2步: 在APG主畫面下,點擊「滙入密鑰」按鈕”Importing Keys”.
第3步:接下來點擊主螢𦮹幕上方的「開啟」“Open” 以打開檔案瀏覧器.
第4步: 從檔案瀏覧器下,選擇要滙入的密鑰.
第5步:檢視將要滙入的密鑰然後輕擊「滙入選擇的密鑰檔案」“Import Selected Keys”到APG.你也可以利用反選功能來決定哪些密鑰不被滙入.
第6步:滙入完畢後你會被帶回到主畫面,並可以看到所有密鑰的清單.

1.1.3 密鑰管理 -從剪貼簿來滙入密鑰
GPG密鑰也可以透過電子郵件的內文方式傳送取代附檔案方式
第1步:由電子郵件內文複制GPG 密鑰到剪貼簿.下圖即為一封電子郵件內文為GPG 密鑰.
第2步:打開APG並輕壓主畫面的左上方以展開其側邊選單.
第3步:選擇「滙入密鑰」“Import Keys”以進到匯入密鑰的畫面.
第4步: 輕觸「密鑰伺服器」“Keyserver”以出現匯入選單並選擇「自剪貼簿匯入」“Import form clipboard”.
第5步:輕觸「自剪貼簿取得密鑰」“Get key from the clipboard”以從剪貼簿複制密鑰.
第6步:輕觸主畫面下方的「滙入所選的密鑰」“Import selected keys” 以完成將密鑰匯入到APG

1.1.4 密管理 -以_檔案方式_分享自己的公鑰
為了讓對方可以寄給你加密郵件, 你首先要把自己的_公鑰_寄給他們
第1步:APG主畫面視窗下輕觸你的密鑰條目,以進入GPG密鑰的_資訊_畫面(如上圖).
第2步:輕觸畫面右上角三個垂直的點以叫出選單並選擇「滙出到檔案」“Export to file”.
第3步:選擇要存放公鑰的位置與檔名,然後按「確認」“OK”.
第4步:所儲存的檔案不能給你的聯絡人,透過電子郵件或即時通訊方式.

1.1.5 密鑰管理 -_從剪貼簿_來分享你的公鑰
第1步:在APG主畫面下輕觸你的密鑰條目以進入到GPG密鑰_資訊_畫面.
第2步:輕觸畫面上方三個相連的點以進入分享選單,並選擇「分享整串密鑰」“Share whole key”.
第3步: 在接下來的選單中選取「複制到剪貼簿」“Copy to clipboard”,以複制GPG公鑰到剪貼簿上.
第4步: 將公鑰資訊貼到電子郵件或即時通訊的內文上給你的聯絡人.

1.1.6 密鑰管理 -確認身份
為確認你已收到對方正確的GPG公鑰而不是某些假冒者的密鑰,其認證GPG密鑰指紋碼就變很重要了。一般可透過親自交換或由其它管道(如視訊電話或一般電話)來進行認證.
第1步:APG主選單輕觸你的密鑰條目以進入GPG密鑰_資訊_畫面.對方也須進行相同的動作.
第2步:主密碼下首部位置中的「指紋碼」“Fingerprint”,念出其全部40 字元長的字串.
** 第3步:** 你的聯絡人可以查證你所念出的指紋碼,是否與他們手機或電腦上顯示的相符.
第4步:重覆第1到第3步驟,但這回先輕觸對方的密鑰條目.

1.2 訊息加密
APG提供兩種方式來為Android設備上的檔案加密.當使用寄送檔案給其它人而不與之分享任何密語,公鑰加密是比較合適的方法. 但你得需要先收到收件人的公鑰才能寄出加密的檔案. 而當沒有公鑰時,使用密語加密法則能用來解密檔案. 但這個方法需要雙方共享密語以用在進行加密與稍後的解密.如果要在其它程式下儲存加密筆記或是不透過加密郵件軟體K-9 Maild來傳送(網頁郵件, 社交網路訊息等)加密訊息APG底下的訊息加密是很有用的.

1.2.1 訊息加密 -公鑰
第1步: 輕點APG主畫面上方的”APG“以展開側邊選單.
第2步: 選取「加密」“Encrypt”以進入到加密畫面.
第3步: 要檢視連絡人清單請點人像圖示旁的「選擇」鍵. 注意:如果之後要能夠進行訊息解密,你需要記住包括自己在內的收件人清單.
第4步: 在收件人選擇的畫面中,勾選可以能夠解密該訊息的對象後輕觸「確認」“Okay”.
第5步: 選擇如何加密訊息.輕觸「與分享」“Share with”可讓你利用手機上的其它程式寄送加密訊息,例如電子郵件程式. 輕觸「剪貼簿」”Clipboard”則會把加密訊息複制到剪貼簿上以便於貼到其它地方,例如網路論壇.

1.2.2 訊息加密 - 密語
第1步:輕壓“APG”主畫面左上方以出現開展式的選單.
第2步:選擇「加密」“Encrypt”以進入加密畫面.
第3步:壓住 PUBLIC KEY任一側的< or >鍵以變更加密方式為「密語」“PASSPHRASE”.
第4步:在其所提供的欄位上打入強度高的密語.
第5步:輸入要加密的訊息
第6步:選擇如何使用加密訊息.輕觸「與分享」“Share with”可讓你利用手機上的其它程式寄送加密訊息,例如電子郵件程式. 輕觸「剪貼簿」”Clipboard”則會把加密訊息複制到剪貼簿上以便於貼到其它地方,例如網路論壇.注意:如果你打算要與某位聯絡人分享加密訊息,你得要以安全的方式把密語提供給他,例如當面親身交付.從不要透過未曾加密的電子郵件或即時通訊傳送密語.

1.2.3 訊息解密
第1步:長按住由其它程式送來的加密訊息並選擇複制按鈕,以將整篇內容複制到剪貼簿上.
第2步:轉換到 APG 程式下並輕壓“APG”主畫面左上方以出現開展式的側邊選單.
第3步:選擇「解密」“Decrypt”以進入加密畫面.
第4步:APG將自動偵測 剪貼簿是否有加密訊息,如果寄件者是使用公鑰加密台你被要求輸入GPG密碼, 如果是_密語_訊息加密則需輸入密語.
第5步:解密後的訊息會出現在APG內建的文字視窗中.

1.3檔案加密
如同訊息加密一樣,公鑰加密是比較合適的方法.而當沒有公鑰時,使用密語加密法則即使手機上沒安裝私鑰但如果有安裝了APG 或GPG軟體仍然可以解密檔案. 但這個方法需要雙方共享密語以用在進行加密與稍後的解密.

1.3.1 檔案加密 -公鑰
第1步:輕壓“APG”主畫面左上方以出現開展式的側邊選單.**
第2步:選擇「加密」“Encrypt”以進入加密畫面.
第3步:要檢視連絡人清單請點人像圖示旁的「選擇」鍵.注意:如果之後要能夠進行訊息解密,你需要記住包括自己在內的收件人清單.
第4步:在收件人選擇的畫面中,勾選可以能夠解密該訊息的對象後輕觸「確認」“Okay”.
第5步:壓住 「訊息」“MESSAGE”任一側的< or >鍵以變更加密類型為「檔案」“FILE”:.
第6步:輕觸檔案圖示以開啟檔案瀏覧器並其中選擇欲予加密的檔案.
第7步:輕壓「加密檔案」“Encrypt File”以選擇檔案名稱和欲儲存之位置.
第8步: 輕觸「確認」“OK”完成加密過程.

1.3.2 檔案加密 -密語
第1步:輕壓“APG”主畫面左上方以出現開展式的側邊選單.
第2步:選擇「加密」“Encrypt”以進入加密畫面.
第3步:壓住 PUBLIC KEY任一側的< or >鍵以變更加密方式為「密語」“PASSPHRASE”.
**第4步:
在其所提供的欄位上打入強度高的密語.
第5步:壓住 「訊息」“MESSAGE”任一側的< or >鍵以變更加密類型為「檔案」“FILE”.
**第6步:
輕觸檔案圖示以開啟檔案瀏覧器並其中選擇欲予加密的檔案.
第7步:輕壓「加密檔案」“Encrypt File”以選擇檔案名稱和欲儲存之位置.
第8步:輕觸「確認」“OK”完成加密過程.注意: 如果你打算要與某位聯絡人分享加密檔案,你得要以安全的方式把密語提供給他,例如當面親身交付.從不要透過未曾加密的電子郵件或即時通訊傳送密語.

1.3.3 檔案解密
第1步:輕壓“GPG”主畫面左上方以出現開展式的側邊選單.
第2步:選擇「解密」“Decrypt”以進入加密畫面.
第3步:壓住 「訊息」“MESSAGE”任一側的< or >鍵以變更加密類型為「檔案」“FILE”.
第4步:輕觸檔案圖示以開啟檔案瀏覧器並其中選擇欲予解密的檔案.
第7步:壓住「解密」“Decrypt”後,如果是用公鑰加密,會彈出對話框詢問 GPG密鑰 之密碼,如果是用 _密語加密_則會詢問檔案密語.


第8步:輕觸「確認」“OK”以選擇要儲存該解密文件的位置.
第9步:輕觸「確認」“OK”以完成解密過程.K-9 Mail 與APG

2.0 如何安裝_K-9 Mail_
注意:開始使用K-9 Mail之前,你需有一個電子郵件帳號,例如Gmail其支援安全的POP3 或 IMAP 郵件伺服器連接.
第1步.在你的Android設備上, 打開Google Play 商店下載安裝該應用程式.
第2步.開始安裝之前,你會被要求檢視該應用程式可以取得的手機權限.請仔細閱讀.當你同同意該授權後,按「同意」“Accept”,以進入安裝程序.如果你不同意給予這些權限,按「返回」以取消安裝過程.
第3步.輕觸「開啟」“Open”以初次執行該程式。

2.1 如何設定K-9 Mail
安裝完K-9 Mail 並第一次執行它時,你會看到一個歡迎畫面描述這個電子郵件軟體的特色.請按「下一步」“Next”來進行帳號設定.如果可能的話, K-9 Mail會試著自動為你作電子郵件帳號的相關設定. 但如果你希望能更為掌控帳號各種設定方式最好還是自行手動調整.

2.1.1 自動帳號設定
第1步:在所提供的欄位中輸入電子郵件地址與密碼,然後按「下一步」“Next”.
第2步: K-9 Mail會連線網路並試圖進行你的帳號設定.
第3步:一定收到設定回覆後,你會被要求填入要在寄出信件上顯示的姓名以及提供此帳號一個代稱.這個帳號代稱是為了方便區別多組電子郵件帳號.輕觸「完成」“Done”以結束帳號設定.
第4步: K-9 Mail 會顯示目前程式新版本的差異, 輕觸「確認」“OK”以關閉此畫面並進入到你的電子郵件帳號下.
第5步:為確認此帳號可在K-9 Mail下正常運作,試著從桌機電腦上寄給自己一封電子郵件並利用K-9 Mail 軟體來接收下載.

2.1.2 手動設定電子郵件帳號
第1步: 在所提供的欄位中輸入電子郵件地址與密碼,然後按「手動設定」“Manual setup”.
第2步:選擇電子信箱的帳號類型(IMAP/POP/Exchange)然後輕觸符合的按鍵,其如下圖所示.
注意:你可能要參考電腦上的電子郵件軟體設定資訊以確知你的帳號類型與郵件伺服器.
第3步:下一個出現的是收件伺服器設定.如果你無法確定,請參考電腦上的電子郵件軟體設定資訊.記得都要選擇_安全類型_設定,不管是_STARTTLS_ 還是_SSL/TLS_.絕不要使用_「無」”none”選項.
第4步. K-9 Mail會試著連線到你的郵件伺服器以檢查你的設定是否正確.它可能會出現有關安全憑證的警告訊息. _千萬不要忽視這個地方!_這是你唯一可以確認該憑證是否發自你的郵件伺服器的機會.如果你忽視掉這個地方,你將無法確信是否會落入
「中間人攻擊」“Man-in-the-Middle attack”的受害者, 你的通訊也將會受到攔截.你可以看看警告訊息最後面的SHA-1指紋碼.檢查k電腦中若已有安裝了郵件伺服器憑證其指紋碼是否相同,或是找出方法來直接檢查郵件伺服器的憑證是否來看該服務提供者.
第5步. K-9 Mail會詢問寄件伺服器資訊.再次提醒, 確認選擇了 _安全類型
為_STARTTLS_或_SSL/TLS_.其它的設定,請 參考 電腦上的電子郵件軟體裏的設定或是郵件服務商提供的資訊.
第6步. K-9 Mail會詢問你想要多久自動地檢查電子信箱.將此處的選項設成_「永不」never_然後取消勾選_「推送郵件功能」“enable push mail”,如果你要收取郵件就必須用手動方式,否則原先的設定被自動把郵件放入你的收件匧.
第7步.最後一項資訊是請提供此郵件帳號的顯示代稱以及當K-9 Mail送出信件時上面想要顯示的寄件人名字.
第8步:>為確認此帳號可在K-9 Mail下正常運作,試著從桌機電腦上寄給自己一封電子郵件並利用K-9 Mail 軟體來接收下載.我們建議你主要仍以桌機電腦上的電子郵件為主要信件處理工具,K-9 Mail僅為輔助. 因此記得當手機上收到讀取過這些郵件後,它仍然把郵件留在伺服器上好讓你稍後可以從電腦上來下載. K-9 Mail 基本上即設作了這樣的預定, 如果你想知道更多的細節設定可以在
「帳號」“accounts”選項下找到; 要打開「帳號」“accounts”選項,請長按住所欲設定的帳號,然後從選單中選擇「帳號設定」“account settings”. 若想要檢查「收取郵件」“fetching mail”_ 與_「寄出郵件」“sending mail”_ 功能也在帳號選項底下.

2.2 如何寄送與接收加密的電子郵件
使用K-9 Mail的好處之一是它可以來寄送或接收GPG加密電郵. 在寄出與收取加密郵件前,你得先確認有把你的OpenPGP密鑰滙入到APG, 其作法已在前面APG部份介紹過. 如果你已遵照APG 密鑰介紹裏提及的必要步驟,你的密鑰應該已成功地滙入.

2.2.1 寄送加密郵件
第1步:從K-9 Mail畫面上輕觸寄出郵件的圖示以開始撰寫新郵件.
第2步:在信件撰寫的畫面上打入收件人的電子郵件地址或是從通訊錄上找到收件人.
第3步:勾選_「加密」“encrypt”旁邊的小方框以啟用加密郵件功能.
第4步:寫完郵件內容後,請按送出圖示以進行傳送.
第5步: 下一個畫面會詢問你要選擇哪一個GPG密鑰.預設的應是會自動幫你選擇收件對象的公鑰以及你的密鑰.注意:每次都要確認你所選擇的密鑰這樣你才能讀取自己送出的加密郵件.
第6步:一旦選好了收件者的密鑰,請按「確認」“OKAY”以送出郵件.
注意: 目前K-9 Mail 仍無法加密附件檔案,所以在撰寫加密郵件內容之前,需要先利用APG加密任何送出的檔案.其操作方法已在APG加密部份作了介紹.要送附件請輕觸「迴紋針圖示」然後再選擇加密過的檔案 (其副檔名為
.gpg_).

2.2.2 收取加密郵件
第1步:打開_「收件匧」“inbox”_輕觸想要讀取的電郵.
第2步:輕觸「解密」“Decrypt”按鈕.
第3步:在彈出的對話框中輸入你的GPG 密鑰密碼,並按「確認」“OK”以進行訊息解密.注意: K-9 Mail 目前無法對附件的加密檔案進行解密,你得先把這個附件檔存到手機上再用APG來解密,其作法已在APG 解密部份介紹了.