[]

點樣用GPG加密你嘅電郵？初學者完整設定教學

2026年最新GPG電郵加密完整教學，從安裝到實戰操作，教你建立金鑰對、設定數位簽章、加密郵件內容，保護個人隱私免受監控。

NaN年NaN月NaN日

根據2026年全球網絡安全報告，電子郵件仍然係最容易被攻擊嘅通訊渠道之一，超過91%嘅網絡釣魚攻擊都係透過電郵進行。GnuPG（GPG）作為OpenPGP標準嘅免費實現，係目前最可靠嘅端到端加密工具。香港個人資料私隱專員公署喺2026年第一季度嘅報告指出，涉及電郵洩露嘅投訴個案較去年同期上升23.7%。無論你係記者、律師、金融從業員，定係注重私隱嘅普通用戶，掌握GPG加密技術已經唔再係選項，而係必要嘅自我保護手段。

本文會帶你由零開始，完整學習點樣用GPG加密電郵，包括安裝軟件、建立金鑰對、設定數位簽章、加密解密郵件內容，以及日常管理金鑰嘅最佳實踐。就算你完全冇技術背景，跟住呢個教學都可以喺30分鐘內完成基本設定。

咩係GPG？同PGP有咩分別？

GPG（GNU Privacy Guard）係OpenPGP標準嘅開源實現，由Werner Koch喺1999年開發，完全免費而且冇任何專利限制。PGP（Pretty Good Privacy）就係由Phil Zimmermann喺1991年創建嘅原始加密軟件，後來被Symantec收購，而家屬於Broadcom旗下嘅商業產品。

技術上嚟講，兩者都遵從RFC 4880定義嘅OpenPGP標準，所以GPG加密嘅郵件可以用PGP解密，反之亦然。關鍵差異在於授權方式：GPG採用GNU通用公共許可證，任何人都可以自由使用、修改同分發；PGP就需要購買商業授權。

對於一般用戶嚟講，GPG絕對係更理想嘅選擇。佢支援多種加密演算法，包括RSA、DSA、ECDSA、EdDSA等，仲可以同絕大多數電郵客戶端整合。截至2026年5月，GPG最新穩定版本係2.4.7，已經全面支援Curve25519橢圓曲線加密，提供更強嘅安全性同更快嘅運算速度。

安裝GPG工具：Windows、macOS、Linux全平台指南

Windows用戶：Gpg4win

Windows用戶最簡單嘅方法係安裝Gpg4win（GPG for Windows），呢個套件包含晒所有必要組件。去到gpg4win官方網站下載最新版本（2026年5月版本係4.3.2），安裝時選擇「Kleopatra」圖形界面同「GpgOL」Outlook插件。

安裝完成之後，打開Kleopatra，你會見到一個簡潔嘅憑證管理界面。第一次使用時，軟件會自動檢查系統環境，確保所有加密模組正常運作。記住要勾選「建立桌面捷徑」，方便日後快速存取。

macOS用戶：GPG Suite

Mac用戶可以下載GPG Suite，呢個套件包含GPG Keychain（金鑰管理）同GPG Mail（Apple Mail插件）。2026年最新版本係2026.1，全面適配macOS 15 Sequoia。

安裝過程好直觀，雙擊dmg檔案之後，將應用程式拖入Applications資料夾就得。安裝完成後，系統偏好設定會多咗一個「GPG Suite」選項，建議開啟「自動檢查更新」功能，確保加密演算法隨時保持最新狀態。

Linux用戶：命令列安裝

絕大多數Linux發行版嘅官方軟件庫都內置咗GPG。打開終端機，根據你嘅發行版輸入對應指令：

Debian/Ubuntu系統：

sudo apt update && sudo apt install gnupg2 kleopatra

Fedora系統：

sudo dnf install gnupg2 kleopatra

Arch Linux系統：

sudo pacman -S gnupg kleopatra

安裝完成之後，可以輸入gpg --version確認版本號。Linux環境下嘅GPG命令行工具功能最全面，適合進階用戶進行自動化腳本整合。

建立你嘅GPG金鑰對：公鑰同私鑰

金鑰對係GPG加密嘅核心，包含公鑰（Public Key）同私鑰（Private Key）。公鑰可以公開分發俾任何人，用嚟加密寄俾你嘅郵件；私鑰必須絕對保密，用嚟解密收到嘅郵件同簽署數位簽章。

使用Kleopatra建立金鑰（推薦初學者）

打開Kleopatra，點擊「檔案」→「新金鑰對」，選擇「建立個人OpenPGP金鑰對」。輸入你嘅姓名同電郵地址，呢個電郵地址必須係你真實使用嘅，因為收件人需要透過呢個地址識別你嘅公鑰。

進階設定頁面，建議選擇以下參數：

金鑰類型：RSA同RSA（預設）
金鑰強度：4096位元（提供足夠嘅長期安全性）
有效期限：2年（到期之後可以續期，避免金鑰永久遺失風險）

點擊「建立」之後，系統會要求你設定密碼短語（Passphrase）。呢個係保護私鑰嘅最後防線，就算有人偷咗你嘅私鑰檔案，冇密碼短語都用唔到。建議使用至少12個字元嘅混合密碼，包含大小寫字母、數字同特殊符號。絕對唔好忘記密碼短語，因為冇任何恢復機制。

使用命令行建立金鑰（進階用戶）

打開終端機，輸入：

gpg --full-generate-key

系統會引導你完成設定，選擇「RSA and RSA」金鑰類型，4096位元長度，設定有效期限，最後輸入姓名、電郵同密碼短語。建立完成之後，可以用gpg --list-keys查看你嘅公鑰列表。

備份私鑰：防止災難性遺失

私鑰一旦遺失，所有用你公鑰加密嘅郵件都會永久無法解密。Kleopatra提供匯出功能，點擊「檔案」→「匯出私鑰」，將私鑰儲存到加密嘅USB手指或者硬件安全模組（HSM）。

命令行用戶可以用：

gpg --export-secret-keys --armor 你的電郵地址 > private-key.asc

將匯出嘅private-key.asc檔案列印出嚟或者儲存喺離線媒體，放喺安全嘅地方，例如銀行保險箱。記住：私鑰檔案加埋密碼短語先係完整嘅存取憑證，兩者缺一不可。

分發公鑰：等其他人可以寄加密郵件俾你

建立咗金鑰對之後，你要將公鑰分發出去，其他人先可以用佢加密寄俾你嘅郵件。公鑰可以公開分享，唔會影響安全性。

匯出公鑰檔案

喺Kleopatra入面，右鍵點擊你嘅金鑰，選擇「匯出」，將公鑰儲存為.asc檔案。呢個檔案可以用任何文字編輯器打開，入面係Base64編碼嘅金鑰資料。

命令行用戶：

gpg --export --armor 你的電郵地址 > public-key.asc

上傳到金鑰伺服器

金鑰伺服器係全球性嘅公鑰目錄，方便其他人搜尋同下載你嘅公鑰。Kleopatra預設連接keys.openpgp.org伺服器，點擊「檔案」→「發佈金鑰到伺服器」就完成上傳。

2026年主流金鑰伺服器包括：

keys.openpgp.org：專注私隱，唔會儲存第三方簽名
keyserver.ubuntu.com：由Canonical維護，穩定性高
pgp.mit.edu：歷史最悠久嘅學術金鑰伺服器

上傳之後，其他人只要知道你嘅電郵地址，就可以自動搜尋同導入你嘅公鑰。注意：金鑰一旦上傳就無法完全刪除，只可以撤銷（Revoke），所以上傳前確保資料正確。

將公鑰加入電郵簽名

一個好方便嘅做法係將公鑰附加喺電郵簽名檔，或者放上個人網站。你可以用以下格式分享：

-----BEGIN PGP PUBLIC KEY BLOCK-----
（你嘅公鑰內容）
-----END PGP PUBLIC KEY BLOCK-----

指紋（Fingerprint）係公鑰嘅短識別碼，例如8A7F 6C3D 9B2E 4F15 A1D8 3E9C 7B4A 2F61 D5C0 9E83，方便其他人驗證佢哋下載嘅公鑰係咪真係你嘅。

加密同解密郵件：實戰操作

設定電郵客戶端

Mozilla Thunderbird係目前整合GPG最完美嘅免費電郵客戶端。安裝Thunderbird之後，搜尋並安裝「Enigmail」附加元件（2026年版本已內建OpenPGP支援，唔需要額外安裝）。

打開Thunderbird，前往「工具」→「帳戶設定」→「端到端加密」，選擇「使用OpenPGP金鑰」。系統會自動偵測你之前建立嘅GPG金鑰，選擇對應嘅金鑰就完成設定。

如果你用Outlook，GpgOL插件會喺工具列加入「加密」同「簽署」按鈕。Mac用戶用Apple Mail加GPG Mail插件，同樣可以一鍵加密。

加密發送郵件

確定收件人嘅公鑰已經導入你嘅金鑰環（Keyring）。如果對方有上傳公鑰到金鑰伺服器，你可以喺Kleopatra點擊「檔案」→「搜尋伺服器」，輸入對方電郵地址，下載並認證佢嘅公鑰。

撰寫郵件時，點擊加密按鈕（通常係鎖頭圖示）。Thunderbird會自動檢查收件人嘅公鑰可用性，加密之後嘅郵件內容會變成亂碼，只有收件人嘅私鑰可以解密。加密郵件嘅主旨行預設唔會加密，建議唔好喺主旨透露敏感資訊。

解密收到嘅郵件

當你收到加密郵件，電郵客戶端會自動偵測並要求你輸入密碼短語。輸入正確之後，郵件內容就會解密顯示。Thunderbird預設會記住密碼短語一段時間，方便連續處理多封郵件，但你可以喺安全性設定調整呢個行為。

如果解密失敗，常見原因包括：

私鑰唔匹配（對方用錯公鑰加密）
密碼短語錯誤
金鑰已經過期或者被撤銷

數位簽章：驗證郵件真偽同完整性

數位簽章同加密係兩個獨立功能。簽章唔會隱藏郵件內容，而係用嚟證明郵件確實係你發出嘅，而且內容冇被篡改過。對於非機密但需要驗證真偽嘅通訊（例如合約確認、財務指示），數位簽章非常重要。

簽署郵件

撰寫郵件時，點擊簽署按鈕（通常係印章圖示）。GPG會用你嘅私鑰生成一個加密簽名，附加喺郵件內容。收件人可以用你嘅公鑰驗證呢個簽名。

簽名驗證成功會顯示「有效簽名」同簽署者嘅電郵地址。如果郵件內容喺傳輸過程被修改，驗證就會失敗，清楚顯示「簽名無效」警告。呢個功能可以有效防止商業電郵詐騙（BEC），2026年香港警務處網絡安全及科技罪案調查科嘅數據顯示，涉及偽冒高層電郵嘅詐騙案件損失金額超過4.2億港元。

雙重保護：加密加簽署

最高安全等級嘅通訊應該同時使用加密同簽署。先簽署郵件內容（證明身份），然後加密（保護內容），收件人解密之後再驗證簽名。Thunderbird同Outlook插件都支援一鍵完成呢兩個操作。

金鑰管理最佳實踐：確保持久安全

定期更新同續期

金鑰設定有效期限係重要嘅安全措施。到期前30日，Kleopatra會自動提醒你續期。續期操作好簡單，右鍵點擊金鑰，選擇「變更到期日」，設定新嘅有效期限就得。續期之後記住重新上傳公鑰到金鑰伺服器。

建立撤銷憑證

撤銷憑證（Revocation Certificate）係用嚟宣告金鑰作廢嘅特殊檔案。萬一私鑰洩露或者遺失密碼短語，你可以用撤銷憑證通知全世界停止使用呢個公鑰。

建立撤銷憑證：

gpg --output revoke.asc --gen-revoke 你的電郵地址

將生成嘅revoke.asc檔案安全儲存，絕對唔好同私鑰放喺同一個地方。建議列印出嚟或者燒錄CD-R離線保存。

金鑰過渡策略

當你需要更換電郵地址或者升級金鑰演算法，唔好直接建立全新金鑰然後放棄舊嘅。正確做法係：

用舊私鑰簽署新公鑰（交叉認證）
上傳新公鑰到金鑰伺服器
設定舊金鑰過期時間（例如30日後）
發送過渡通知俾常用聯絡人

咁樣可以保持你嘅信任網絡（Web of Trust）連續性，避免聯絡人因為突然嘅金鑰變更而產生安全疑慮。

FAQ

GPG加密係咪100%安全？有冇已知漏洞？

冇任何加密系統係100%安全嘅，但GPG採用嘅OpenPGP標準經過30多年嘅密碼學界審視，至今冇發現根本性漏洞。2023年曾經出現過Efail漏洞，但嗰個係電郵客戶端處理HTML渲染嘅問題，而唔係GPG本身嘅缺陷。只要使用純文字模式閱讀解密郵件，同埋保持GPG軟件更新到最新版本（2026年建議使用2.4.7或以上），安全性係極高嘅。關鍵風險其實在於使用者自身：密碼短語太弱、私鑰備份不當、或者喺被入侵嘅裝置上操作。

手機可唔可以用GPG加密電郵？

可以。Android平台推薦使用OpenKeychain應用程式，佢可以同K-9 Mail電郵客戶端完美整合。iOS平台可以用Canary Mail或者ProtonMail（內建PGP支援）。手機上嘅操作流程同桌面版類似：導入或生成金鑰對、管理聯絡人公鑰、加密解密郵件。但要留意，手機遺失風險比電腦高，強烈建議啟用屏幕鎖定同全碟加密，同埋設定自動鎖定金鑰（例如5分鐘唔用就要重新輸入密碼短語）。

如果忘記咗GPG密碼短語點算？

答案係殘酷嘅：冇任何方法可以恢復。GPG嘅設計理念就係冇後門，密碼短語係解密私鑰嘅唯一憑證。如果你忘記密碼短語，所有用對應公鑰加密嘅郵件都無法解密。唯一可以做嘅係使用預先準備好嘅撤銷憑證宣告金鑰作廢，然後建立全新嘅金鑰對，通知所有聯絡人更新你嘅公鑰。呢個就係點解強烈建議備份私鑰同撤銷憑證，同埋使用密碼管理器記錄密碼短語。2026年唔少密碼管理器（例如Bitwarden、1Password）都支援儲存GPG密碼短語，配合生物識別解鎖，可以大幅降低忘記密碼嘅風險。

GPG加密會唔會影響電郵傳送速度或者附件大小？

加密會令郵件體積增加約30-40%，因為Base64編碼會將二進制數據轉換成文字格式。對於一般文字郵件，影響微乎其微（幾KB變成十幾KB）。但如果你經常發送大型附件（例如超過10MB），建議先用GPG加密附件檔案，然後用普通郵件發送，再透過其他安全渠道（例如Signal）傳遞密碼。部分電郵伺服器對加密郵件嘅大小限制同普通郵件相同（通常25MB），所以加密後超出限制

tags: GPG教學電郵加密設定數位簽章PGP加密香港私隱保護