Linux 桌面版和服务器版具有卓越的安全性。然而这并不意味着你可以放松警惕。你应该一直认为你的数据总是很快就会被破坏。也就是说，你可能需要使用各种加密工具。比如 GnuPG，它可以让你加密和解密文件等更多功能。GnuPG 的一个问题是一些用户不想在命令行输入那么复杂的命令。如果是这样的话，你可以转向桌面文件管理器。许多 Linux 桌面版包含了简易的加密和解密文件的功能，如果这种功能没有内置，那么也是很容易添加的。

我将引导你完成从三个流行的 Linux 文件管理器中对文件进行加密和解密过程：

• Nautilus （即 GNOME Files）
• Dolphin
• Thunar

安装 GnuPG

在我们讨论如何处理这个问题之前，我们必须确保你的系统包含了必要的基本组件 —— GnuPG。大多数发行版本都包含 GnuPG。 在某些偶然情况下，你使用的是没有自带 GnuPG 的发行版，以下是安装方法：

• 基于 Ubuntu 的发行版： sudo apt install gnupg
• 基于 Fedora 的发行版： sudo yum install gnupg
• openSUSE： sudo zypper in gnupg
• 基于 Arch 的发行版：sudo pacman -S gnupg

无论你是刚刚安装了 GnuPG，还是默认安装的，你都必须创建一个 GPG 密钥才能使用。每个桌面版都使用不同的 GUI 工具完成这个工作（或者甚至根本没有包含一个完成这个任务的 GUI 工具），所以让我们从命令行中创建这个密钥。打开终端窗口并输入以下指令：

gpg --gen-key

然后，你将被要求回答以下问题。除非你有充分的理由，否则你可以接受默认值：

• 你想要哪种密钥？
• 你想要多长的密钥？
• 密钥有效期？

一旦你回答了这些问题，输入 y 来表示答案是正确的。接下来你需要提供以下信息：

• 真实姓名。
• Email 地址。
• 备注。

完成上述操作后，然后在提示的时候输入 O （即 ok）。然后，你将被要求为新密钥输入一个密码。一旦系统收集到了足够的熵（你需要在桌面上做一些工作才能做到这一点，LCTT 译注：比如随便敲击键盘），你的密钥就会被创建，然后你就可以开始工作了。

让我们看看如何从文件管理器中加密/解密文件：

Nautilus

让我们从默认的 GNOME 文件管理器开始，因为它是最简单的。Nautilus 不需要额外安装什么或额外的工作就可以从精心设计的界面内加密/解密文件。一旦你创建完 gpg 密钥后，就可以打开文件管理器，导航到包含要加密的文件的目录，右键单击要加密的文件，然后从菜单中选择 “Encrypt” （图1）。

图1：从 Nautilus 中加密文件。

你将被要求选择一个收件人（或者收件人列表 —— 图2）。注意：收件人将是那些你已经导入了公钥的用户。选择所需的密钥，然后从签名信息下拉列表中选择你的密钥（电子邮件地址）。

图2：选择收件人和签名者。

注意：你还可以选择仅使用密码来加密文件。如果文件将保留在你的本地机器上，这一点非常重要（稍后将详细介绍）。一旦你设置好加密后，单击 “OK” 并（在提示时）输入 gpg 密钥的密码。文件将被加密（现在文件名以 .gpg 结尾）并保存在工作目录中。现在你可以将加密后的文件发送给在加密过程中已选择的收件人。

比如说（有你的公钥的）某人已经给你发送了一个加密文件。保存该文件，打开文件管理器，导航到该文件所在的目录，右击这个加密文件，选择 “Open With Decrypt File”，给文件一个新名称（不带 .gpg 的扩展名），然后单击“Save”。当提示时，输入你的 gpg 密钥的密码，该文件就会被解密并准备使用。

Dolphin

在 KDE 前端，必须安装一个软件包才能使用 Dolphin 文件管理器进行加密/解密。 登录到你的 KDE 桌面，打开终端窗口，然后输入以下命令（我正在使用 Neon 进行演示。如果你的发行版不是基于 Ubuntu 的，则必须相应地更改命令）：

sudo apt install kgpg

安装完毕后，注销并重新登录 KDE 桌面。 你可以打开 Dolphin 并右键单击要加密的文件。 由于这是你第一次使用 kgpg，因此你必须完成快速设置向导（不言自明）。当完成该向导后，你可以返回该文件，右键单击它（图3），然后选择 Encrypt File。

图3：在 Dolphin 中加密文件。

系统将提示你选择用于加密的密钥（图4）。 进行选择并单击 “OK”。 该文件将被加密，而且你已准备好将其发送给收件人。

注意：使用 KDE 的 Dolphin 文件管理器市，你无法仅使用密码加密。

图4：选择要加密的收件人。

如果你收到来自有你的公钥的用户的加密文件（或者你有一个自己加密的文件），请打开 Dolphin，导航到相关文件，双击该文件，为该文件指定一个新名称 ，键入加密密码并单击 “OK”。 你现在可以读取到新解密的文件。 如果你使用自己的密钥加密了该文件，则不会提示你键入密码（因为它已经被存储了）。

Thunar

Thunar 文件管理器有点棘手。 没有任何额外的软件包可供安装；相反，你需要为了加密创建新的自定义操作。完成此操作后，你将能够在文件管理器中执行此操作。

要创建自定义操作，请打开 Thunar 文件管理器，然后单击 “Edit > Configure Custom Actions”。 在所得到的窗口中，单击 “+” 按钮（图5）并为加密操作输入以下内容：

• 名称：加密
• 描述：文件加密
• 命令：gnome-terminal -x gpg --encrypt --recipient ％f

单击 “OK” 以保存此操作。

图5：在Thunar中创建自定义操作。

注意：如果 gnome-terminal 不是你的默认终端，请替换该命令以打开你的默认终端。

你还可以创建仅使用密码（而非密钥）加密的操作。 为此，该操作的详细动作将会是以下内容：

• 名称：加密密码
• 说明：仅使用密码加密
• 命令：gnome-terminal -x gpg -c ％f

你不需要为解密过程创建一个自定义操作，因为 Thunar 已经知道如何处理一个加密文件。 要解密文件，只需（在 Thunar 中）右键单击它，选择 “Open With Decrypt File”，为解密文件命名，然后（在提示时）键入加密密码。 Viola，你的加密文件已被解密并可以使用。

一个警告

请注意：如果你使用自己的密钥加密自己的文件，则无需输入加密密码来解密它们（因为你的公钥已存储）。 但是，如果你收到（拥有你的公钥的）其他人的文件，则需要输入你的密码。 如果你想要存储自己的加密文件，而不是使用密钥来加密它们，请使用仅使用密码加密。 Nautilus 和Thunar（但不是 KDE）可以做到这一点。 通过选择密码加密（通过密钥加密），当你解密文件时，它将始终提示你输入密码。

其他文件管理器

还有很多其它的文件管理器，它们中的一些可以使用加密，有些则不能。 你很有可能正在使用这三种工具中的一种，因此不仅可以将加密 / 解密添加到上下文菜单，而且是非常容易。 尝试一下，看看它是否会使加密和解密的过程变得更容易。

从 Linux 基金会和 edX 免费提供的“Linux 介绍”课程了解更多关于 Linux 的信息。

via: https://www.linux.com/learn/intro-to-linux/2018/3/how-encrypt-files-within-file-manager

作者：JACK WALLEN 译者：Auk7f7 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

当你从网上下载一个文件后（比如：安装程序、ISO镜像或者一个压缩包），文件可能在不同的情况下发生了损坏，比如：由于线路传输错误、中断的下载、存储硬件错误、文件系统错误等等。除了这些错误，文件还可能在下载前或者下载中的攻击而被有意地篡改了。比如，一个攻破证书颁发机构的攻击者可以实施一个MITM攻击（中间人攻击），欺骗你从HTTPS网站上下载隐藏恶意软件的文件。

要保护你自己免受这些问题的困扰，建议你去验证从网上下载的文件的可靠性和完整性。特别是你下载了一个非常敏感的文件的时候）（比如：操作系统镜像、二进制应用程序、可执行安装包等等），盲目地相信下载的文件不是一个好习惯。

一个快速和简单地验证下载文件的完整性的方法是使用不同的校验工具（比如：md5sum、sha356sum、cksum）来计算和比较校验码（比如：MD5、SHA、CRC）。然而，然而校验容易受到碰撞攻击，而且同样不能用于验证文件的可靠性（比如：拥有者）。

如果你想要同时验证下载文件的可靠性（拥有者）和完整性（内容），你需要依赖于加密签名。本教程中，我会描述如何使用GnuPG（GNU Privacy Guard）来检查文件的可靠性和完整性。

本例中我会验证一个从 https://onionshare.org 上下载的磁盘镜像。这个网站中，发行商会提供他们的公钥，还有它用于密钥验证的指纹。

至于下载的文件，发行商也会提供它相关的PGP签名。

安装 GnuPG 并且生成一个键对

让我们首先在你的Linux系统上安装GnuPG。

在Debian、Ubuntu和其他Debian衍生版上：

$ sudo apt-get install gnupg 

在Fedora、CentOS或者RHEL上:

$ sudo yum install gnupg

完成安装后，生成一个本篇中会使用到的键对。

$ gpg --gen-key 

在生成键对期间，你会被要求提供你的姓名和email，还有保护你私钥的密码。你同样也可以选择键对何时过期（默认不会过期）。依赖于你选择的key的大小（在1024和4096位之间），key生成会花上几分钟或者更多，同时它要求收集来自你桌面活动的大量的随机数据。（比如键盘输入、鼠标移动、磁盘访问等等，所以这个时候随便动动鼠标键盘什么的）。

一旦key生成完毕后，公钥和私钥会存储在~/.gnupg目录。

与某个文件和拥有者建立信任

验证下载文件的第一步是与任何提供文件下载的人建立信任。出于此，我们下载了这个文件的公钥，并且验证公钥的拥有者是否是他或者她自称的。

在下载完文件拥有者的公钥后：

$ wget https://onionshare.org/signing-key.asc 

使用gpg命令导入公钥到你的keyring中

$ gpg --import signing-key.asc 

一旦拥有者的公钥导入后，他会像下面那样打印出一个key ID（比如："EBA34B1C"）。记住这个key ID。

现在，运行下面的命令检查导入的公钥的指纹：

$ gpg --fingerprint EBA34B1C 

你会看到key的指纹字符串。把这个和网站上显示的指纹做对比。如果匹配，你可以选择信任这个文件拥有者的公钥。

一旦你决定相信这个公钥，你可以通过编辑key来设置信任级别：

$ gpg --edit-key EBA34B1C

这个命令会显示GPG提示符：

在GPG提示符中输入“trust”，它会让你从1-5之间选择这个key的信任等级。

本例中，我决定分配给它“4”，在这之后，输入“sign”用你自己的私钥签名，接着输入在GPG提示符中输入“save”来完成操作。

要注意的是不需要这样明确地给一个公钥指派信任，通过key的导入隐式地信任往往就够了。

给一个key隐式地分配给“完全”的信任就是任何其他由这个完全信任签名的key X都会被认为是对你有效的。通常上，key验证依赖于一个称之为“信任网”的复杂机制。

回到教程，现在让我们检查导入的key列表。

 $ gpg --list-keys 

你至少会看到两个key：一个带 depth 0和终极信任（"1u"），这就是你自己的key，另外一个带depth 1和完全信任("1f")，这是你之前签名的key。

验证文件的可靠性/完整性

一旦你建立了与文件拥有者和他的/她的公钥之间的信任关系，我们需要验证你从拥有者那边下载的文件的可靠性和完整性了。

本例中，文件拥有者分别公布了一个文件和它相关的PGP签名（.asc）。签名所起的作用就是认证（文件）并且在其中加入一个时间戳。

一个典型的签名（*.asc）看上去像这样。

-----BEGIN PGP SIGNATURE-----
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=c9wo
-----END PGP SIGNATURE-----

现在让我们同时下载它的文件和签名：

$ wget https://onionshare.org/files/0.6/OnionShare.dmg
$ wget https://onionshare.org/files/0.6/OnionShare.dmg.asc

现在验证下载文件的PGP签名。

$ gpg --verify OnionShare.dmg.asc OnionShare.dmg 

如果命令的输出包含了“Good signature from <文件所属者>”，那么下载的.dmg文件就被成功地认证和核实了。如果下载的文件的任何地方在签名后被篡改了，那么验证就会失败。

这时你就可以放心地信任你下载的文件了。

via: http://xmodulo.com/verify-authenticity-integrity-downloaded-file.html

作者：Dan Nanni 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出