GPGMailというのは、AppleのMailからGnuPGを使えるようにしてくれるプラグインだ。インストールはとても簡単だから、すこしの寄り道を挟むことにする。GPGMailのページのDownloadという節にMac OS X 10.3用の（10.2用も）GPGMailのリンクがあるのでここからダウンロードする。

だけど、ちょっと待って。dmgへのリンクだけじゃなくて、またしても、Detached signatureってのがある。これはいったいなんだろう？（GnuPGのダウンロードのときにも、Detached Sigてのがあったはず。おぼえてる？）

このDetached Signatureってのは、ファイルが本物かどうかチェックするためのファイル。つまり、Detached Signatureを使って、どこかにひそんでる悪意を持った奴らがそのファイルを（ここでは、GPGMailのdmgファイルを）改竄してないかどうか確かめることができる。たとえば、誰かがこっそり、dmgファイルのなかにウイルスを仕込んだかもしれない（あくまでも例だよ）。

そういうことを確かめるために、まず、ファイルの作者の公開鍵を手に入れる必要がある。GPGMailのページにはちゃんと書いてある。

My key ID is 0x992020D4, and my key fingerprint is A5BA B3D8 4F6C AE03 8B22 76F2 5467 B616 9920 20D4

PGP Public Key Serverで、このキーIDを検索してみよう。さっきも出てきた、http://pgp.nic.ad.jp/pgp/ で「公開鍵の検索」を行えばいい。きっと、以下のページが表示されるだろう。

• http://pgp.nic.ad.jp:11371/pks/lookup?op=index&search=0x992020D4

そこで、keyIDの列の下のリンクをクリックすれば、ファイルの作者の公開鍵を手に入れることができる。次は、ターミナルで以下のコマンドを実行して、

/usr/local/bin/pgp --import

そして、ブラウザに表示されている公開鍵の全文をコピーして、ターミナルに貼り付けてあげればいい（Ctrl-dで標準入力を終了させるのを忘れないこと）。こんなメッセージが表示されると思う。日本語化されたターミナルだと、アキュートのついてる部分で文字化けするかもしれないけれど、気にしないこと。

gpg: key 992020D4: public key "Stéphane Corthésy (Sen:te) <stephane@sente.ch>" imported
gpg: Total number processed: 1
gpg:               imported: 1

ここまでできたら、ファイルが本物かどうか確かめることができる。俺がダウンロードしたDetached Signatureは、10.3用のGPGMail-10.3.dmg.ascなので、

/usr/local/bin/pgp --verify GPGMail-10.3.dmg.asc

結果はこんな感じ。

gpg: Signature made Tue Nov 18 09:07:39 2003 JST using DSA key ID 992020D4
gpg: Good signature from "Stéphane Corthésy (Sen:te) <stephane@sente.ch>"
gpg:                 aka "Stéphane Corthésy (GPGMail) <gpgmail@sente.ch>"
gpg:                 aka "Stéphane Corthésy (davelopper) <davelopper@users.sourceforge.net>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: A5BA B3D8 4F6C AE03 8B22  76F2 5467 B616 9920 20D4

チェックできたら、dmgファイルをマウントして、 Install GPGMailを起動するだけ。ただし、その前にAppleのMailを終了させるのを忘れないこと。