抉擇 - 您收到的郵件是真是假？

您是總經理的專屬秘書。有一天您收到老闆的一封電子郵件：

急件：請在今天 16:00 之前提領 100 萬匯入以下指定帳戶：00X-2159-8399。

您會不會擔心這封信件的真假呢？但只剩 20 分鐘就是 15:30 了，銀行可是不等人的。這下子該怎麼辨呢？

如果您有使用 GPG (GNU Privacy Guard，GNU 隱私防護)，那麼事情就簡單多了...

GPG 簡介：

GPG 是一種極為常見的 電子簽章/訊息加密 系統。GPG 是架構在現今最安全的 公/私鑰 系統上的，您可以藉由 GPG 來斷定某一封信是否來自某人；或是將電子郵件加密，唯有您所指定的收信人才有辨法打開。

公/私鑰 簡介：

公共金鑰/私人密鑰 是一種加密/解密的方法，您可以把它們視成一對用來加密解密的『鑰匙』。簡單得說，被公共金鑰 所加密的訊息，只有私人密鑰能解開，同時，被私人密鑰所加密的訊息，也只有公共金鑰能解開。

公/私 鑰 的實作：

以 GPG 為例，在使用 GPG 之前，您必須先產生一對鑰匙，也就是公共金鑰和私人密鑰。

而在傳送郵件之前，必須先以公共金鑰來加密，然後才傳送出去。而這個加密後的信件只有擁有私人密鑰的人才有辨法解開，沒有私人密鑰的人是完全沒有辨法破解這個加密後的信件的。

公/私 鑰 的優勢：

在 GPG 加密及傳送郵件的過程中，只有用到公共金鑰，所以想由加密後的信件是無法找出私人金鑰的。而同時，雖然公共金鑰和私人密鑰是成對的，但是即使得知了公共金鑰，也完全導不出私人密鑰。這將能確保加密後的資訊難以破解。

而 公/私鑰 其實是建立在『質數』的運算上的。要進行質數的分解唯一的方法是用最最快速的電腦聯合起來一個數字一個數字慢慢計算，但是由於私人密鑰所採用的數字實在太大，所以以現今電腦的運算能力，就算是花上數萬年也未必能夠用暴力的方式找到真正的私人密鑰，所以 公/私鑰 的安全性可以說是無懈可擊的！

公/私 鑰在使用上的注意事項：

由於在傳送郵件之前，必須先以公共金鑰來加密，所以要傳送郵件的人必須保有您的公共金鑰。而事實上，您可以到處發送您的公共金鑰，甚至放在網路上給人自由下載都不會影響您加密的強度。

但相反的，私人密鑰則是兵家必爭之地，千萬不要給任何人得到您的私人密鑰。為了以防萬一，我們還會用另一道密碼保護好私人密鑰，以確保您的私人密鑰被偷了之後，您可以及時發現並更換您的私人密鑰。

雖然公共金鑰可以亂給，但千萬不能亂拿。因為您接受了那份公共金鑰，就代表您完全信任這份金鑰的擁有者。所以我們不會輕易接受經由網路或是電子郵件所得到的金鑰；我們喜歡當面交付公共金鑰，並會要求對方出示身份証或護照以示証明。

GPG 的運作方式：

而 公/私鑰 在電子郵件的應用上就是 GPG。您可以在寄出電子郵件的同時，在電子郵件裡加上您的 GPG 簽章，這個簽章裡會包含這封信的『指紋碼』，並用您的私人密鑰加密。如果收信者可以用您的公共金鑰解密，就表示這封信是由您寄出的；同時 GPG 會計算這封信的指 紋碼，如果和 GPG 簽章所附上的『指紋碼』相符的話，就表示這封信的內容沒有被別人變更過。

同時，您也可以在寄出電子郵件的同時，使用『收信者』的公共金鑰進行加密。唯有擁有『收信者』私人密鑰的人才有辨法解密，其它的人，即使是 FBI，攔截到這封信也只能看到一大堆不知所謂的亂碼...