PGP Tool

تعلّم · 6 دقيقة قراءة

كيفية استيراد والتحقق من مفتاح عام

يمكن لأي شخص نشر مفتاح يدّعي أنه لشخص آخر. إليك كيفية استيراد مفتاح عام والتحقق فعلاً من أنه يعود لصاحبه قبل أن تشفر أي شيء.

المفتاح العام هو نصف الزوج الذي تستخدمه لتشفير رسالة لشخص ما. لكن مجرد امتلاك مفتاح مكتوب عليه "أليس" لا يعني أنه لأليس فعلاً. أي شخص يستطيع إنشاء مفتاح بأي اسم. التحقق هو الخطوة التي تربط المفتاح بالإنسان.

الخطوة 1 — الحصول على المفتاح

المفاتيح العامة تصل عادةً عبر أحد ثلاث طرق:

  • مرفقة في بريد إلكتروني أو رسالة مباشرة (ملف .asc أو كتلة نصية).
  • منشورة على موقع أو في بيو على GitHub.
  • مُدرجة على خادم مفاتيح (keys.openpgp.org، keyserver.ubuntu.com).

بغض النظر عن المصدر، افتح "فاحص المفاتيح" والصق الكتلة كاملة. ستعرض الأداة البصمة والخوارزمية وتاريخ الانتهاء وهويات المستخدم. هذا هو ما ستتحقق منه في الخطوة التالية.

الخطوة 2 — فحص البيانات الوصفية

  • الخوارزمية — يُفضل Ed25519/Curve25519 أو RSA-3072+. إذا رأيت RSA-1024 أو ElGamal فالمفتاح قديم أو ضعيف.
  • تاريخ الانتهاء — المفاتيح بدون انتهاء ليست خاطئة، لكن المفاتيح التي تنتهي بعد 1-2 سنة تُجبر على التجديد الذي يُقلل ضرر التسريب.
  • هويات المستخدم — الأسماء والبريد الإلكتروني مجرد تسميات. أي شخص يمكنه كتابة أي اسم. لا تثق بها وحدها.

الخطوة 3 — التحقق من البصمة

هذه الخطوة تحوّل "لدي مفتاح يُزعم أنه لأليس" إلى "لدي مفتاح أليس". قارن البصمة التي تراها مع بصمة حصلت عليها عبر قناة مختلفة — بطاقة مطبوعة، بيو منشور، سجل شفافية، مكالمة هاتفية حيث تقرأها أليس بصوت عالٍ. إذا تطابقتا — المفتاح حقيقي.

إذا لم تتطابق البصمات — لا تشفر بهذا المفتاح. إما النسخة التي استوردتها مزيفة أو النسخة في القناة الأخرى. حقق قبل إرسال أي شيء حساس.

الخطوة 4 — الاستخدام

بعد التحقق، المفتاح آمن للاستخدام في أدوات التشفير وتشفير JSON وتشفير الملفات وأي أداة أخرى تقبل مفتاحاً عاماً. احفظ البصمة مع المفتاح في ملاحظاتك حتى لا تضطر لتكرار التحقق كل مرة.