시리즈:암호의 암도 몰라도 쉽게 하는 GPG

Thunderbird

이 문서에서는 Thunderbird 클라이언트를 중심으로 설명합니다. Thunderbird를 쓰지 않는 분들을 위하여 설치 방법도 같이 기술합니다.

Thunderbird 설치하고 계정 설정하기

주의사항: 썬더버드 버전 68 이후 버전은 EnigMail이 작동하지 않습니다. 썬더버드 버전 68을 다운로드해야 합니다.

1. 윈도우 링크, 데비안 64bit, 데비안 32bit,아치 리눅스, 데비안 한글패치, 한글패치^[1], CentOS/페도라,소스 코드 에서 무료 다운로드 버튼을 눌러 다운로드합니다. 아니면 페일 문과 같은 느낌으로 썬더버드 52버전을 계속 업데이트해오고 있는 인터링크를 까셔도 됩니다.
2. 다운로드받은 파일을 실행해 설치합니다. 특별한 절차는 필요없으니 그냥 설치하시면 됩니다.
3. Thunderbird를 실행합니다.
4. 첫 실행화면입니다. 별로 중요한 건 아니니 기본으로 설정으로 눌러줍시다.

   

5. 그러면 이런 화면이 뜨는 데 건너뛰고 기존 메일 사용하기를 누릅시다.

   

6. 그러면 이런 화면이 뜹니다. 다른 사람에게 보여줄 이름과 이메일 주소, 이메일 계정 암호를 입력하고 계속 버튼을 누릅니다.

   

7. 그러면 Mozilla Thunderbird에서 자동으로 서버 설정 등을 감지하여 자동으로 설정합니다. 여기서 완료버튼을 누르지 말고 수동 설정 버튼을 눌러줍시다.

   

8. 그러면 사진에서 보다시피 서버주소를 설정할 수 있게 됩니다. 여기(클릭하세요!)에 나와 있는대로 입력하고 완료 버튼을 누릅니다.

   

9. 만약 Gmail 계정인 경우에는 이렇게 구글 로그인 창이 뜹니다. 비밀번호를 입력하고 로그인합니다.

   

10. 로그인을 하면 이렇게 동의 여부를 물어봅니다. 동의버튼을 눌러줍시다.

    

11. 계정 설정이 완료되었습니다.

Gmail 외 메일 사용자를 위해: 메일 서버 설정들을 추가할 터이니 기달려주시기 바랍니다.

Enigmail 설치하기

1. 맨 위쪽에 가장 오른쪽에 있는 줄 세개 그어진 메뉴 버튼(이하 앱메뉴)을 누른 후, 부가 기능 버튼을 클릭하세요.

   

2. 그러면 부가 기능 관리자가 나옵니다. 사진처럼 확장 기능 탭을 선택하세요.

   

3. 오른쪽 위에 있는 검색창에서 Enigmail을 검색하면 검색 결과에 Enigmail이 나옵니다. 설치 버튼을 누르세요.

   

4. 다음과 같이 설치가 완료되면 다시 시작을 눌러주세요.

   

키 생성하기

1. 윗 문단에서 다시 시작하셨다면, 첫번째 사진과 같은 창이 뜹니다. Start setup now를 선택하고 다음 버튼을 눌러주세요.

   

   • 만일 뜨지 않았다면 사진과 같이 앱메뉴 -> Enigmail -> 설정 마법사를 눌러 준후 다음 단계(2단계)로 가주세요.

     

2. 다음과 같은 화면에선 I prefer a standard configuration (recommended for beginners)를 선택하고 다음 버튼을 눌러주세요.

   

3. 그러면 사진과 같이 GnuPG가 필요하다고 하는데요, Install GnuPG...를 눌러주시고 무슨 창이 뜰 때까지 기달려 줍시다.
   (관리자 권한을 요구하면 예또는 네를 눌러주세요.)

   

4. GnuPG 설치 프로그램이 뜹니다. 그냥 Next, Install, Finish 버튼만 눌러 주시면 OK
   (무슨 메모장이 열리면 그냥 닫으셔도 됩니다. 읽고 싶으면 읽으셔도 되고)

   

5. 설치를 다하시면 설정 마법사가 다음과 같이 바뀝니다. 다음 버튼을 클릭해주세요.

   

6. 이제 키를 생성하기 전에 비밀번호를 입력하는 단계입니다. 개인키는 개인만이 가지고 있어야 하지만 이 개인키가 타인에게 유출되는 만약을 대비하기 위해, 우리 똑똑한 PGP는 개인키를 비밀번호로 대칭키 암호화(복호화시 쓰는 비밀번호와 암호화시 쓰는 비밀번호가 일치하는 암호화방식)하여 보호합니다. 당연히 잊어버리면 안되면서 강력해야 되겠죠?
   적절한 비밀번호를 입력 한 후에 밑에서 한번 더 입력한 후 다음 버튼을 누릅시다.

   

7. 이제 키를 생성하고 있습니다. 키를 생성하는 동안 채팅을 하거나 위키에 기여를 하면 더욱 좋습니다.

   

8. 키 생성이 완료되었습니다. 마법사에서 폐기 인증서(Revocation Certificate)를 생성하라 하네요. 폐기 인증서는 만약 개인키가 타인에게 유출될 경우 다른 사람들에게 이 키 유출됐어요! 이 키 폐기! 신뢰 ㄴㄴ!라고 외치는 데 쓰이는 인증서입니다.
   어? 외치는 데 왜 인증서가 필요하냐고요? 적어도 키 주인이 외치는 지 확인해야 되니까요.

   

9. 비밀번호를 입력하라고 뜹니다. 폐기 인증서를 만들려면 개인키가 필요한데 위에서 말했다시피 개인키는 비밀번호로 보호되어 있기 때문이죠. 비밀번호를 입력하고 OK 버튼을 눌러줍시다.

   

10. 파일 저장창이 뜨네요. 안전하고 삭제 될 일 없고 나만이 접근 할 수 있는 곳(e.g. 나만 아는 곳에 숨겨놓은 USB)에 저장합시다.

    

11. 폐기 인증서가 뭔지 알려주는 창입니다. 그냥 확인 버튼을 누릅시다.

    

12. 다음 버튼이 활성화되었네요. 다음 버튼을 누릅시다.

    

13. 키를 다 생성하였습니다! 이제 완료 버튼을 눌러 마법사를 닫읍시다.

    

키 서버에 공개키 올리기

경고: 한번 올리면 지울 수 없습니다. 키 서버에 공개키를 올리면 다른 사람들이 자신의 공개키를 쉽게 얻을 수 있습니다.

1. 앱 매뉴 -> Enigmail -> 키 관리(Y) 메뉴를 누릅니다.

   

2. 키 서버에 공개키를 올릴 키쌍을 선택한 후, 그 위에서 오른쪽 마우스를 클릭한 후 메뉴에서 키 서버로 공개키 업로드 메뉴를 누릅니다.

   

3. 확인 버튼을 누릅니다.

   

4. 아무 오류도 안 뜬다면 성공

서명해서 메일 보내보기

메일에 서명을 하면 이 메일이 자신이 보낸 메일임을 확실하게 할 수 있습니다.

1. 윗 메뉴에서 쓰기를 누릅니다.

   

2. 받는 사람엔 받는 사람 이메일을 쓰고, 제목엔 제목을 쓰고, 밑에 내용에는 내용을 씁니다. 설명 안해도 감 오죠?

   

3. 위에서 This message will be unsigned and unencrypted가 보이시죠? 이는 이 메일은 암호화되지도 서명되지도 않을 것입니다.라는 뜻입니다. 즉, 지금 보내기를 누르면 PGP가 적용되지 않은 그냥 메일이 보내집니다.
   그러면 메일에 서명을 할려면 어떻게 해야할까요?
   바로 연필 모양 버튼을 누르면 됩니다.
4. 연필 모양을 누르면 다음과 같이 This message will be signed라고 바뀝니다. 이 말인즉, 이 메세지는 서명됩니다.라는 뜻입니다. 이제 보내기를 누르면 서명된 메일이 보내집니다.

1. 보내기 버튼을 누르면 비밀번호를 물어봅니다. 비밀번호를 입력하고 OK 버튼을 눌러주세요.

   

2. 아무 오류도 없으면 성공한 겁니다. 보낸편지함(이름이 다를 수도 있음)에서 보낸 메일을 확인할 수 있습니다. (사진처럼 장미가 중앙에 있는 편지 이미지가 있으면 OK)

   

참고: 서명과 암호화를 동시에 할 수도 있습니다.

암호화해서 메일 보내보기

암호화해서 메일을 보내면 받는 사람만 읽을 수 있습니다. 우리 모두 다같이 암호화해서 메일을 보내볼까요?

1. 쓰기 버튼을 누릅니다.

   

2. 이메일을 씁니다.

   

3. 자물쇠 버튼을 누릅니다. 그러면 아래 사진처럼 자물쇠 버튼이 변합니다.

   

4. 보내기 버튼을 클릭합니다.
5. 아래의 같은 창이 뜨는 경우도 있습니다. (보통 처음 보내는 경우에), 이유는 암호화를 할려면 상대방의 공개키가 필요하지만, 아직 우리에게 없기 때문입니다. 이 경우 키 서버에서 누락된 키 가져오기 시도 버튼을 누르면 됩니다.

   

   1. 키 서버 선택창이 뜨면 그냥 확인 버튼을 누릅시다.

      

   2. 공개키를 발견했습니다! 이제 확인 버튼을 누릅시다.

      

      • Enigmail 경고라는 제목의 창이 뜰 수 있습니다. 큰 문제 아니면 그냥 씹어도 됩니다.
6. 큰 오류가 없다면 성공. 새로고침 버튼을 누르고 다운받은 키를 찾아 보내면 됩니다.

Linux

설치하기

대부분의 리눅스 배포판에는 패키지 저장소 인증을 위해서 gpg1.x버전이 들어있습니다. 그러나 기능이 더 많은 gpg2를 사용하는게 좋으니 설치해 줍시다. 데비안 계열 배포판의 경우는 터미널을 열고 sudo apt-get install gnupg2 를 하면 설치됩니다. 다른 배포판의 경우는 그 배포판에서 사용하는 패키지 관리자를 이용해서 설치해 주면 됩니다.

키 생성하기

gpg2 --gen-key 를 사용하면 키를 생성할 수 있습니다. 다만 gnupg2.1.x버전을 사용하고 있다면 gpg2 --full-gen-key 를 이용해서 키를 만드는 것이 더 좋습니다. 키 를 생성하면서 이것저것 물어볼 것 입니다.

gpg (GnuPG) 2.1.10; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
Your selection? 

어떤 키 알고리즘을 사용할 것인지에 대한 질문입니다. 일반적으로 추천되는 알고리즘은 RSA 입니다. ^[2]

RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 

생성할 키의 사이즈입니다. 키 사이즈는 보안성의 강도에 있어서 중요합니다. RSA의 경우 2048bit이상이 권장됩니다.

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 

키의 유효기간입니다. 2년 정도쯤 잡아도 되고 특별히 제한을 둘 생각이 없으면 무제한으로 해 둬도 상관은 없습니다.

GnuPG needs to construct a user ID to identify your key.

Real name: YUNOCHI
Email address: yuno765@yunochi.com
Comment: test PGP key
You selected this USER-ID:
    "YUNOCHI (test PGP key) <yuno765@yunochi.com>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

이름, 메일 주소, 키 코멘트를 작성합니다.

 We need to generate a lot of random bytes. It is a good idea to perform
 some other action (type on the keyboard, move the mouse, utilize the
 disks) during the prime generation; this gives the random number
 generator a better chance to gain enough entropy.

키를 만드는데 시간이 좀 걸립니다. RNG 가 충분히 랜덤소스를 모을때까지 좀 기다려 주세요.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   2  signed:  11  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: depth: 1  valid:  11  signed:   1  trust: 11-, 0q, 0n, 0m, 0f, 0u
gpg: next trustdb check due at 2016-04-30
pub   rsa2048/100B91CE 2016-02-19 [expires: 2018-02-18]
      Key fingerprint = 4B3D 18CC C3B4 E089 1ED7  F975 DF54 F6F8 100B 91CE
uid         [ultimate] YUNOCHI (test PGP key) <yuno765@yunochi.com>
sub   rsa2048/1F35C9BA 2016-02-19 [expires: 2018-02-18]

GPG키를 만드는데 성공하였습니다!

키서버에 업로드하기

키 서버에 GPG의 공개키를 업로드 하는 것입니다. 이렇게 하면 키서버에서 쉽게 다른 사람들이 나의 키를 검색해서 나에게 보낼 암호문을 작성하는데 쓸 수 있습니다.

gpg2 --send-key 0x1F35C9BA 

를 입력하면 ~/.gnupg/gpg.conf 설정 파일에 설정되어 있는 기본 키서버에 공개키가 업로드 됩니다. 물론 0x1F35C9BA 는 지금 생성한 키의 keyid입니다. 생성된 자신의 keyid를 입력하세요. 혹시 키서버가 설정되어 있지 않다는 오류가 난다면 설정파일에

keyserver hkp://pgp.mit.edu

라는 줄을 추가해 보세요. ^[3]

키 서버에서 다른 사람의 키 가져오기

경고: 다른 사람의 키를 내려 받았다면 그것이 정확한 키인지 반드시 확인해야 합니다. 이것은 보안상 중요합니다. 다른 사람이 열어볼 수 있도록 암호화를 하려면 그 사람의 공개키가 있어야 합니다. 그러므로 키서버에서 받아봅시다.

gpg2 --search-key 검색할키

으로 메일이나 이름을 넣어서 검색할 수 있습니다. 필요한 항목을 찾았다면 원하는 번호를 넣어 키를 내려받으면 됩니다.

gpg2 --list-key 

를 입력하면 현재 키체인 안에 무슨 키들이 있는지 조회할 수 있습니다. 내가 그 사람의 키를 서명해서 키서버에 업로드 한 적이 없다면 키의 신뢰도가 'unknown' 으로 표기될 것입니다. 이 상태로 사용은 가능하나 경고를 뱉어낼 것입니다.

gpg2 --fingerprint 

를 입력하면 키체인에 있는 키들의 핑거프린트들을 볼 수 있습니다. 상대방에게 신뢰할 수 있는 루트로 키의 핑거프린터가 정확한지 물어보세요. 확인이 끝났다면 상대방의 키를 사인하고 키서버에 업로드 해 줍시다. 이것은 내가 그 키를 확인했고 신뢰할 수 있다는 표시를 공개적으로 하는 것입니다.

gpg2 --sign-key 상대방의_키
gpg2 --send-key 상대방의_키_id

를 하면 됩니다. 상대방의 키 신뢰표기가 'FULL'로 보인다면 성공입니다.

파일, 텍스트의 암호화

파일의 암호화

gpg2 --encrypt 암호화할파일.odt

을 하면

You did not specify a user ID. (you may use "-r")
 
Current recipients:
 
Enter the user ID.  End with an empty line: 

라면서 누구를 대상으로 암호화를 할 것인지 물어봅니다. 암호화된 파일을 받을 사람의 메일주소, keyid, 이름 아무거나 넣고 엔터를 눌러줍시다. *끝까지 쓰지 않아도 인식합니다. 암호화 대상은 여러명을 선택할 수 있습파니다. 대상선택이 끝났다면 빈칸채로 엔터를 치면 넘어갑니다. 아무 표시도 나오지 않지만 암호화가 됩니다. 암호화할파일.odt.gpg 가 생긴것이 보이시나요?

텍스트의 암호화

터미널에서 직접 텍스트를 적어 넣어서 암호화를 할 수 있습니다. 하지만 한글 입력/삭제에 문제가 있는 경우가 종종 있으므로 텍스트 파일을 만들어서 암호화 하는 방법으로 설명 하겠습니다. 방법은 위와 같지만

gpg2 --armor --encrypt 암호화할.txt 

처럼 --armor 를 붙여줍니다. ^[4] 참고로 생성된 파일 암호화할.txt.asc는

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2

hQEMAzGqGvQfNcm6AQf+MytdC0VQHWVfwgstFyuLSzg5IJl84H0iImO5jiPxvkyz
rwklcwtpNXQRoHi2UXxgAoGx0L/u+Sh3zRFUFOwiI99gUw+fhjoxVH25hUahJAxN
O3eAh5C6PR+IDLccrD0laWt7m/Vquept668qYw/I68Vie4XUAclJCWvq+xJdeU2Z
giYlRdCPKoUVZfNw4qHZnBcHYHkRGzQTvvlj6meJ1F6J3UDhzuulzADLMWyNdTM3
0fMhL2tghTAdlicSvj6OG4PXGcF9aP2Xk5ZFfAYrKq0jqEDLMCf1itkteZsttLdz
/wKGEvapRJEsPFs1Ukuwujt7pmOEwDdBIu2eFd56jtJFAcS5psbfMufD8AXxbfF4
5um5nxYXyxD6jU7YA59E/l1ZPt6h2if6HSrLoOjq2Za8isOOdntT/8f9RqML50JL
NLBUlZ6k
=Pazz
-----END PGP MESSAGE-----

이런 모양으로 생겼습니다. 아스키 형식으로 출력된 암호문은 어딘가에 (예:블로그, 게시판) 복붙할 sudo있습니다.

파일, 텍스트의 복호화

암호화 하는 법을 알았으면 푸는법도 알아야겠죠?

gpg2 암호화된파일.gpg

라고 입력해 보세요. 네 이게 끝입니다.

메일 암호화

위에서 나온 텍스트를 암호화하는 방법/복호화하는 방법을 이용해 일일이 Ctrl CV해서 할 수도 있지만 너무 귀찮기 때문에 썬더버드의 플러그인으로 자동화 해 봅시다. 우선 당연히 썬더버드가 깔려 있어야 합니다. 데비안 기반이면 sudo apt-get install thunderbird ^[5] 메일 계정설정, Enigmail 플러그인 설치, 메일 암호화, 서명은 위에 있는 윈도우의 것과 같습니다. 다만 이미 gpg 키를 만들고 서버에도 보냈으므로 그 부분은 넘어가도 됩니다.

키 백업, 복원

GPG의 공개키는 키서버에 업로드 했기 때문에 쉽게 내려받을 수 있지만 개인키는 잘 보관해야 합니다. 개인키를 유실하면 암호화된 데이터를 다시는 열어볼 수 없게 됩니다.

gpg2 --armor --export-secret-keys

를 입력하면 터미널에 PRIVATE KEY BLOCK 이 출력될 것입니다. 이것을 텍스트 파일로 만들어서 안전하게 저장합니다. 나중에 다시 복원할 때는

gpg2 --import 파일이름

하면 복원됩니다. 복원하면 trust: never 로 복원되는데 ultimate상태로 바꿔줘야 합니다.

gpg2 --edit-key 키이름
 
  1 = I don't know or won't say
 2 = I do NOT trust
 3 = I trust marginally
 4 = I trust fully
 5 = I trust ultimately
 m = back to the main menu
Your decision? 5