Konfiguracja konta e-mail do korzystania z szyfrowania „end-to-end”

Ten artykuł zawiera wskazówki dotyczące konfiguracji ustawień szyfrowania „end-to-end” w Konfiguracji konta w programie Thunderbird. Bardziej ogólne wprowadzenie znajduje się w artykule Wprowadzenie do szyfrowania end-to-end w Thunderbirdzie.

Aby szyfrować „end-to-end” (e2ee) pocztę elektroniczną, musisz posiadać odpowiednie klucze kryptograficzne i podać je w Konfiguracji konta w Thunderbirdzie. Przeprowadzając tę konfigurację, potwierdzasz, że chcesz korzystać z tej funkcji.

Kroki kończące konfigurację zależą od technologii e2ee, której chcesz używać. Możesz wybrać konfigurację tylko jednej z nich lub obu technologii. Konfiguracja jest oddzielna dla każdego konta i tożsamości, ponieważ jest bezpośrednio związana z adresem e-mail.

Własna konfiguracja OpenPGP

Do wymieniania zaszyfrowanych wiadomości z korespondentami, którzy mają już skonfigurowane OpenPGP, potrzebujesz swojego osobistego klucza OpenPGP. Thunderbird definiuje go jako parę kluczy, składającą się z klucza tajnego i publicznego, wraz z etykietą, która zawiera twój własny adres e-mail.

Jeśli nigdy nie tworzyłeś klucza OpenPGP w Thunderbirdzie, ale wcześniej używałeś innego oprogramowania OpenPGP, być może jesteś już w posiadaniu tajnego klucza. Użyj funkcji kopii zapasowej/eksportu w innym oprogramowaniu, aby zapisać tajny klucz w pliku, a jeśli to zadziała, spróbuj zaimportować plik wynikowy do Thunderbirda.

Jeśli wcześniej używałeś Thunderbirda 68 (lub starszych wersji) z dodatkiem Enigmail, możesz mieć już tajne klucze, ponieważ kilka wersji Enigmaila automatycznie tworzyło tajne klucze bez pytania. Mogą one nadal być przechowywane na twoim komputerze. Jeśli chciałbyś je ponownie wykorzystać w najnowszej wersji Thunderbirda, możesz spróbować użyć programu GnuPG do ich odzyskania. (Opis migracji kluczy znajduje się w dokumencie OpenPGP w Thunderbirdzie - HOWTO i FAQ).

Jeśli nigdy nie korzystałeś z innego oprogramowania do tworzenia kluczy OpenPGP lub wolisz nie używać starych kluczy, Thunderbird umożliwia utworzenie takiego klucza dla siebie w Konfiguracji konta, w karcie Szyfrowanie „end-to-end”.

Kliknij przycisk Dodaj klucz…, a następnie wybierz opcję importu lub tworzenia, w zależności od potrzeb.

Po zaimportowaniu klucza, Thunderbird powinien zaproponować ci wybranie go jako klucza osobistego dla tego konta lub tożsamości, jeśli podczas importu spełnił następujące wymagania:

• klucz nie jest wygasły
• klucz nie jest unieważniony
• klucz jest ważny zarówno dla podpisu cyfrowego, jak i szyfrowania
• klucz zawiera identyfikator użytkownika z adresem e-mail konta lub tożsamości, które ustawiasz w Konfiguracji konta

Po wybraniu tego klucza, konfiguracja szyfrowania OpenPGP jest zakończona.

Własna konfiguracja S/MIME

Do wymieniania zaszyfrowanych wiadomości z korespondentami, którzy mają już skonfigurowane szyfrowanie S/MIME potrzebujesz swojego osobistego klucza certyfikatu poczty elektronicznej.

Technologia szyfrowania poczty elektronicznej S/MIME zależy od usług zaufanych stron trzecich, tzw. urzędów certyfikacji (CA), od których musisz uzyskać osobisty certyfikat, a następnie zainstalować go i skonfigurować w Thunderbirdzie.

Zazwyczaj samodzielne tworzenie certyfikatu nie jest praktyczne, ponieważ twoi korespondenci e-mailowi prawdopodobnie nie akceptują takich samodzielnie podpisanych certyfikatów.

Kroki przygotowawcze do uzyskania certyfikatu osobistego z CA zwykle wyglądają następująco:

1. tworzysz surowe klucze kryptograficzne, parę kluczy tajnych i publicznych
2. wysyłasz klucz publiczny do urzędu certyfikacji, który jest obsługiwany przez Thunderbirda
3. CA podpisze twój klucz publiczny w swoim systemie i doda do niego inne dane, aby stworzyć twój certyfikat
4. CA odsyła certyfikat do ciebie
5. otrzymany certyfikat łączysz z kluczem tajnym, który wcześniej utworzyłeś, dzięki czemu certyfikat staje się twoim osobistym certyfikatem
6. importujesz swój certyfikat osobisty za pomocą Menedżera certyfikatów Thunderbirda
7. otwierasz Konfigurację konta -> Szyfrowanie „end-to-end” i wybierasz certyfikat, który chcesz używać z tym kontem e-mail (do wyboru będą tylko certyfikaty osobiste uznane przez Thunderbirda za ważne). Wybierz certyfikat zarówno do szyfrowania, jak i podpisywania cyfrowego.

Najnowsze wersje programu Thunderbird nie mogą pomóc w tworzeniu pary kluczy surowych dla S/MIME. Musisz użyć zewnętrznego oprogramowania.

Niektóre CA mogą zaoferować ci automatyczne utworzenie pary kluczy. Nie jest to idealne rozwiązanie, ponieważ tajny klucz używany do twojego osobistego certyfikatu będzie utworzony na komputerach obsługiwanych przez CA. Istnieje ryzyko, że ktoś uzyska i zachowa kopię tajnego klucza, co mogłoby umożliwić mu odszyfrowanie zaszyfrowanych wiadomości e-mail, które są wysyłane do ciebie.

Testowanie ustawień

Po wykonaniu własnej konfiguracji, należy ją przetestować. Spróbuj wysłać zaszyfrowaną i podpisaną cyfrowo wiadomość e-mail do siebie. Aby to zrobić, skomponuj nową wiadomość. Jeśli masz wiele kont lub tożsamości, upewnij się, że adres nadawcy w górnej części okna nowej wiadomości wskazuje tożsamość, dla której zakończyłeś już konfigurację szyfrowania „end-to-end”.

Następnie wpisz ten sam adres e-mail w polu odbiorcy. Dodaj również temat testowy i testową treść wiadomości. Następnie włącz szyfrowanie. (W Thunderbirdzie w wersji 102 można to łatwo zrobić za pomocą przycisku na pasku narzędziowym Zaszyfruj. We wcześniejszych wersjach kliknij strzałkę widoczną za przyciskiem paska narzędzi Bezpieczeństwo i wybierz opcję Wymagaj szyfrowania.) Następnie wyślij wiadomość. Następnie wróć do skrzynki odbiorczej, pobierz nowe wiadomości i powinieneś otrzymać wiadomość, którą właśnie wysłałeś. Powinna ona zostać zgłoszona jako zaszyfrowana, odwołując się do odpowiednich etykiet S/MIME lub OpenPGP w obszarze nagłówka wiadomości, które można kliknąć, aby wyświetlić szczegółowe informacje.

Dystrybucja własnego klucza publicznego lub certyfikatu

Jeśli chcesz umożliwić innym osobom wysyłanie do ciebie zaszyfrowanych wiadomości e-mail, nie warto czekać, aż poproszą cię o przesłanie klucza publicznego.

Możesz zdecydować się na działanie proaktywne i zapewnić, że inni ludzie będą mogli uzyskać twój klucz publiczny lub certyfikat, gdy zdecydują się wysłać do ciebie zaszyfrowaną wiadomość e-mail. Prostym sposobem na to jest wysłanie cyfrowo podpisanego maila.

Jeśli wysyłasz e-mail podpisany cyfrowo za pomocą technologii OpenPGP, Thunderbird zazwyczaj dołącza kopię twojego klucza publicznego jako mały załącznik, który jest dodawany automatycznie, ponieważ klucz publiczny jest wymagany do sprawdzenia, czy podpis cyfrowy jest prawidłowy.

Jeśli wysyłasz e-mail podpisany cyfrowo za pomocą technologii S/MIME, twój certyfikat będzie zawsze dołączany.

Możesz zdecydować, że zawsze będziesz podpisywał cyfrowo wysyłane przez siebie e-maile, odpowiednie ustawienie znajdziesz w Konfiguracji konta. (Pamiętaj, że jeśli podpiszesz cyfrowo e-mail, nie będziesz już mógł wiarygodnie zaprzeczyć, że byłeś nadawcą wysłanego przez ciebie e-maila).

Innym sposobem dystrybucji klucza publicznego OpenPGP jest użycie serwera kluczy. Serwer kluczy dostępny pod adresem https://keys.openpgp.org/ (obsługiwany przez członków społeczności deweloperów OpenPGP) jest dobrym wyborem do publikowania klucza publicznego. Thunderbird w wersjach 78, 91 i 102 potrafi odpytywać ten serwer podczas wyszukiwania online brakujących kluczy publicznych.

Aby opublikować swój klucz, musisz wyeksportować klucz publiczny do pliku, na przykład za pomocą menu obok skonfigurowanego klucza osobistego w konfiguracji konta Thunderbirda lub za pomocą menedżera kluczy OpenPGP Thunderbirda. Zachowaj ostrożność i użyj właściwego polecenia. Aby uzyskać kopię swojego klucza, którą można bezpiecznie podzielić się z innymi, zawsze używaj polecenia, które mówi o operacji na kluczu publicznym. Nigdy nie udostępniaj swojego osobistego, tajnego klucza!

Gdy masz już plik zawierający twój klucz publiczny, możesz również rozpowszechniać klucz za pomocą dowolnego mechanizmu, który umożliwia udostępnianie plików, np. umieszczając plik na własnej stronie internetowej.