Настройка учётной записи почты для использования Сквозного шифрования

В этой статье приведены рекомендации по настройке параметров сквозного шифрования в настройках Аккаунта Thunderbird. Более общее введение см. также в статье Введение в сквозное шифрование Thunderbird.

Чтобы использовать сквозное шифрование (e2ee) в электронной почте, вы должны иметь соответствующие криптографические ключи для себя и настроить их в настройках Аккаунта Thunderbird. Выполняя эту настройку, вы подтверждаете, что хотите использовать эту функциональность.

Действия для завершения настройки зависят от технологии e2ee, которую вы хотите использовать. Вы можете выбрать для настройки только одну из них или обе технологий. Конфигурация является отдельной для каждого аккаунта и личности, поскольку она напрямую связана с адресом электронной почты.

Ваша собственная конфигурация OpenPGP

Если вы хотите обмениваться зашифрованными сообщениями с корреспондентами, которые уже настроены на использование OpenPGP, то вам нужен личный ключ OpenPGP для себя. Thunderbird определяет это как пару ключей, состоящую из закрытого и открытого ключей, а также метку, содержащую ваш собственный адрес электронной почты.

Если вы никогда не создавали ключ OpenPGP в Thunderbird, но ранее использовали другое программное обеспечение OpenPGP, возможно, у вас уже есть закрытый ключ. Используйте функцию резервного копирования/экспорта другого программного обеспечения, чтобы сохранить закрытый ключ в файл, и, если это сработало, попробуйте импортировать полученный файл в Thunderbird.

Примечание: Обратите внимание, что Thunderbird удалит защиту закрытых ключей при их импорте в Thunderbird. Чтобы ваши закрытые ключи по-прежнему надёжно хранились на вашем компьютере, лучше всего настроить Основной пароль в настройках Thunderbird, который затем тоже будет автоматически использоваться для защиты ваших закрытых ключей OpenPGP.

Если вы ранее использовали Thunderbird 68 (или более ранние версии) с дополнением Enigmail, возможно, у вас уже есть закрытые ключи, поскольку несколько версий Enigmail автоматически создавали их, не спрашивая вас. Они могут всё ещё храниться на вашем компьютере. Если вы хотите повторно использовать их с последней версией Thunderbird, вы можете попробовать использовать программное обеспечение GnuPG для их извлечения. (См. соответствующую запись в документе OpenPGP в Thunderbird — инструкции по использованию и ответы на частые вопросы).

Если вы никогда не использовали иное программное обеспечение для создания ключей OpenPGP или предпочитаете не использовать их повторно, то Thunderbird позволяет вам создать такой вид ключа для себя в настройках Аккаунта на вкладке Сквозное шифрование.

Нажмите кнопку Добавить ключ, а затем выберите либо импорт, либо создание, в зависимости от ваших потребностей.

После импорта ключа Thunderbird должен предложить вам выбрать его в качестве личного ключа для этого аакаунта или личности, если во время импорта он соответствует следующим требованиям:

  • ключ не просрочен
  • ключ не отозван
  • ключ действителен как для цифровой подписи, так и для шифрования
  • ключ содержит идентификатор пользователя с адресом электронной почты аккаунта или личность, которую вы задаёте в настройках Аккаунта.

Как только вы выберете его, вы завершите свою настройку безопасности электронной почты OpenPGP.

Собственная конфигурация S/MIME

Если вы хотите обмениваться зашифрованными сообщениями с корреспондентами, которые уже настроены на использование S/MIME, вам понадобится личный ключ сертификата электронной почты для себя.

Технология шифрования электронной почты S/MIME зависит от услуг доверенных третьих сторон, так называемых центров сертификации (CA), у которых вы должны получить персональный сертификат для себя, а также установить и настроить его в Thunderbird.

Обычно нецелесообразно создавать сертификат самостоятельно, потому что ваши корреспонденты электронной почты обычно не принимают такие самоподписанные сертификаты.

Подготовительными действиями для получения персонального сертификата от CA обычно являются:

  1. вы создаете необработанные криптографические ключи, пару из закрытого и открытого ключей
  2. вы отправляете свой открытый ключ в центр сертификации, который поддерживается Thunderbird
  3. центр сертификации подпишет ваш открытый ключ в своих системах и добавит к нему дополнительные данные для создания вашего сертификата
  4. центр сертификации отправляет сертификат обратно вам
  5. вы объединяете полученный сертификат с закрытым ключом, который вы ранее создали, это превращает сертификат в ваш личный сертификат
  6. вы импортируете свой личный сертификат с помощью менеджера сертификатов Thunderbird
  7. вы открываете настройки аккаунта Thunderbird, Сквозное шифрование и выбираете сертификат, который хотите использовать с этим аккаунтом электронной почты (для выбора будут предложены только личные сертификаты, которые Thunderbird считает действительными). Выберите сертификат для шифрования и для цифровой подписи.

Последние версии Thunderbird не могут помочь вам в создании необработанной пары ключей для S/MIME. Вам необходимо использовать внешнее программное обеспечение. Некоторые CA предлагают вам удобство в автоматическом создании пары ключей для вас. Это не идеально, поскольку закрытый ключ, используемый для вашего личного сертификата, может быть создан на компьютерах, управляемых центром сертификации. Существует риск того, что кто-то получит и сохранит копию закрытого ключа, которая может позволить им расшифровать зашифрованные сообщения электронной почты, отправляемые вам.

Протестируйте свою настройку

Как только вы завершите свою собственную настройку, вам следует протестировать её. Попробуйте отправить себе зашифрованное электронное письмо с цифровой подписью. Для этого создайте новое сообщение. Если у вас несколько аккаунтов или личностей, убедитесь, что адрес «От» в верхней части окна автора показывает личность, для которой вы уже завершили настройку сквозного шифрования.

Затем введите тот же адрес электронной почты в поле адреса «Кому». Также добавьте объект тестирования и содержимое тестового сообщения. Затем включите шифрование. (В версии Thunderbird 102 это можно легко сделать с помощью кнопки Шифровать на панели инструментов. В более ранних версиях нажмите стрелку, показанную после кнопки панели инструментов Безопасность, и выберите Требовать шифрование). Затем отправьте сообщение. Потом вернитесь в свой почтовый ящик, получите новые сообщения, и вы должны получить только что отправленное сообщение. Сообщение должно быть отмечено как зашифрованное, обратитесь к соответствующим меткам S/MIME или OpenPGP в области заголовка сообщения, на который можно нажать, чтобы отобразить подробную информацию.

Распространение собственного открытого ключа или сертификата

Если вы хотите, чтобы другие могли отправлять вам зашифрованную электронную почту, может быть полезно не ждать, пока они попросят вас отправить им ваш открытый ключ.

Вы можете действовать упреждающе и убедиться, что другие люди смогут получить ваш открытый ключ или сертификат, когда решат отправить вам зашифрованную электронную почту. Простой способ сделать это — отправить электронную почту с цифровой подписью.

Если вы отправляете электронную почту с цифровой подписью, используя технологию OpenPGP, то Thunderbird обычно включает копию вашего открытого ключа в виде небольшого вложения, которое добавляется автоматически, поскольку открытый ключ требуется для проверки того, что цифровая подпись технически действителена.

Если вы отправляете электронную почту с цифровой подписью, используя технологию S/MIME, ваш сертификат всегда включается в письмо.

Вы можете решить, что вы всегда будете подписывать электронные письма, которые отправляете, вы можете найти соответствующую настройку в настройках Аккаунта. (Имейте в виду, что если вы подписываете электронную почту цифровой подписью, вы, вероятно, больше не сможете правдоподобно отрицать, что вы были отправителем этого, отправленного вами электронного письма.)

Другой способ распространения открытого ключа OpenPGP — использование сервера ключей. Сервер ключей, доступный по адресу https://keys.openpgp.org/ (управляемый участниками сообщества разработчиков OpenPGP), является хорошим выбором для публикации вашего открытого ключа. Версии Thunderbird 78, 91 и 102 могут запрашивать этот сервер ключей при выполнении онлайн-обнаружения отсутствующих открытых ключей.

Чтобы опубликовать свой ключ, вы должны экспортировать свой открытый ключ в файл, например, с помощью меню рядом с настроенным личным ключом в настройках аккаунта Thunderbird или с помощью менеджера ключей OpenPGP Thunderbird. Будьте осторожны и используйте правильную команду. Для получения копии вашего ключа, которой можно безопасно поделиться с другими, всегда используйте команду, которая говорит об операции с открытым ключом. Никогда не делитесь своим личным, закрытым ключом!

Когда у вас есть файл, содержащий ваш открытый ключ, вы также можете распространять свой ключ, используя любой другой механизм, который работает для обмена файлами, например, разместив файл на своем собственном веб-сайте.

Помогла ли эта статья?

Пожалуйста, подождите...

Эти прекрасные люди помогли написать эту статью:

Valery Ledovskoy, PlineV
Illustration of hands

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Подробнее