需依次完成环境部署、密钥生成、公钥分发及加解密操作:一、GPG Suite图形化安装;二、Homebrew命令行安装;三、Kleopatra替代配置;四、文件加密签名;五、他人公钥导入验证。
如果您已在Mac上安装GPG工具但尚未完成配置,或希望对本地文件实施端到端加密与数字签名保护,则需依次完成环境部署、密钥生成、公钥分发及加解密操作。以下是实现该目标的多种可行方法:
一、通过GPG Suite图形化套件安装并一键配置
该方法面向不熟悉命令行的用户,提供完整GUI工作流,自动集成Keychain管理、服务菜单与邮件插件支持。
1、访问 https://gpgtools.org/ 官方网站,下载最新版 GPG Suite for macOS。
2、双击下载的 .dmg 文件,运行安装向导;在“Installation Type”页面中勾选全部组件(含 GPG Keychain、GPG Mail 等)。
3、安装完成后,在 Launchpad 中启动 GPG Keychain 应用程序。
4、点击界面左下角 New+ 按钮,输入真实姓名、邮箱地址,并设置强密码短语(passphrase)。
5、在高级选项中将密钥类型设为 RSA (sign and encrypt),密钥长度选择 4096 bit,有效期建议设为 2年。
6、点击 Generate Key 后,按提示两次输入密码短语,等待密钥生成完成并自动上传公钥至 SKS 密钥服务器(若勾选了 Upload 选项)。
二、使用Homebrew命令行方式安装并手动配置
该方法适用于偏好终端操作、需精确控制GNUPGHOME路径与环境变量的高级用户,兼容zsh/bash shell。
1、若未安装 Homebrew,先执行:/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"。
2、运行安装命令:brew install gnupg,系统将自动处理依赖并完成部署。
3、编辑 shell 配置文件:nano ~/.zshrc(如使用 bash 则为 ~/.bash_profile),添加以下两行:
export GNUPGHOME="$HOME/.gnupg"
export PATH="/usr/local/bin:$PATH"
4、执行 source ~/.zshrc 使配置立即生效。
5、生成密钥对:gpg --full-generate-key,按交互提示选择 RSA 算法、4096 位长度、2 年有效期,并填写用户标识(UID)信息。
6、生成后运行 gpg --list-secret-keys --keyid-format LONG 验证私钥是否已正确写入本地钥匙环。
三、使用Kleopatra图形客户端替代GPG Keychain
该方法适用于习惯Windows/Linux跨平台工具链的用户,Kleopatra由Gpg4win项目维护,macOS版可通过GPG Suite间接启用或独立部署。
1、确保已安装 GPG Suite 或单独下载 Kleopatra macOS 版本(需匹配当前系统版本)。
2、启动 Kleopatra,点击菜单栏 File → New Certificate 创建新密钥对。
3、在向导中选择 Create a personal OpenPGP key pair,输入姓名与邮箱,设定高强度密码短语。
4、密钥生成后,右键点击列表中该密钥,选择 Change Owner Trust,将信任级别设为 Ultimate。
5、点击 File → Export Certificates 导出公钥为 ASCII-armored 格式(.asc),便于分发给协作方。
6、通过 Directory → Sync and Publish 将公钥发布至公共密钥服务器(如 keys.openpgp.org)。
四、对单个文件执行加密与签名操作
无论采用何种安装方式,均可通过右键服务菜单或命令行完成文件级保护,支持加密+签名组合操作以同时满足机密性与不可否认性要求。
1、在 Finder 中定位目标文件(如 document.pdf),右键点击该文件。
2、在上下文菜单中展开 Services 子项,选择 OpenPGP: Encrypt Files(仅加密)或 OpenPGP: Encrypt & Sign Files(加密并签名)。
3、在弹出窗口中勾选接收方公钥(若为自用则勾选自身密钥),确认后生成 .gpg 后缀加密文件。
4、如需命令行加密,执行:gpg --encrypt --sign --recipient "your@email.com" --output document.pdf.gpg document.pdf。
5、验证签名完整性:右键加密文件 → OpenPGP: Verify Signature,或运行 gpg --verify document.pdf.gpg。
五、导入他人公钥并验证其真实性
安全通信的前提是确认对方公钥归属可信,必须通过指纹比对或信任链验证,避免中间人攻击。
1、获取对方提供的公钥指纹(如 A1B2 C3D4 E5F6 7890 1234 5678 90AB CDEF 0123 4567)。
2、在终端中运行:gpg --search-keys "user@email.com",从密钥服务器检索匹配结果。
3、从返回列表中选择对应条目编号,执行导入:gpg --recv-keys 01234567(末8位指纹)。
4、导入后立即验证指纹:gpg --fingerprint 01234567,与对方线下或可信渠道提供的指纹逐字符比对。
5、若一致,运行:gpg --edit-key 01234567,在交互模式中输入 trust,选择 5 = I trust ultimately 并保存。
