OpenPGP в Thunderbird — инструкции по использованию и ответы на частые вопросы

В этой статье представлена подробная информация для пользователей Thunderbird, которые хотят отправлять и получать зашифрованные почтовые сообщения, подписанные цифровой подписью, с помощью стандарта OpenPGP. Эта функция обычно известна как сквозное шифрование (e2ee) и делает обмен информацией более защищённым от прослушивания сторонними лицами. Thunderbird 78 имеет встроенную поддержку двух стандартов шифрования: OpenPGP и S/MIME.

В этой статье также представлена важная информация для пользователей бывшего дополнения Enigmail, мигрирующих с Thunderbird 68 на Thunderbird 78.

Что такое сквозное шифрование и как оно работает?

Сквозное шифрование (e2ee) делает обмен информацией более защищённым от прослушивания сторонними лицами. Пожалуйста, обратитесь к статье Введение в сквозное шифрование Thunderbird, где обясняются некоторые основы.

Thunderbird поддерживает OpenPGP?

Да. Thunderbird 78 имеет встроенную поддержку двух стандартов шифрования: OpenPGP и S/MIME. OpenPGP был включен по умолчанию в версии 78.2.1.

Предыдущие версии Thunderbird (версия 68 и более ранние) имели встроенную поддержку S/MIME, и было возможно добавить поддержку OpenPGP с помощью дополнения Enigmail и программного обеспечения GnuPG. Дополнение Enigmail больше недоступно для Thunderbird 78, кроме как для помощи его бывшим пользователям с переходом на встроенную поддержку OpenPGP или получения инструкций по восстановлению их пользовательского опыта с Enigmail в режиме для новичков.

Почему Enigmail был заменён и вернётся ли он обратно?

Дополнение Enigmail было заменено на встроенную поддержку для OpenPGP в Thunderbird 78.

Это изменение было необходимо, потому что Thunderbird прекратил поддержку устаревших дополнений, таких как Enigmail, в Thunderbird 78. Аналогичные изменения произошли в Firefox в 2017 году. Thunderbird последовал этому в 2020 году, потому что использует общий код платформы Mozilla вместе с Firefox.

Enigmail не будет разрабатываться в дальнейшем и не будет мигрирован на другие технологии дополнений. Об этом Патрик Брашвиг, автор Enigmail, написал следующее:

“Моей целью всегда было включить поддержку OpenPGP в основной продукт Thunderbird. Несмотря на то, что это положит конец долгой истории, после 17 лет работы над Enigmail я очень доволен этим результатом”.

OpenPGP в Thunderbird 78 выглядит и работает точно так же, как Enigmail?

Нет, есть несколько отличий в пользовательском интерфейсе и предлагаемых функциях. Встроенная в Thunderbird поддержка OpenPGP не является точной копией Thunderbird с Enigmail. Thunderbird хоет предложить полностью интегрированное решение и больше не использует GnuPG по умолчанию для избежания проблем с лицензиями. Этот документ поясняет различия:
https://wiki.mozilla.org/Thunderbird:OpenPGP:Migration-From-Enigmail

Я никогда не использовал OpenPGP с Thunderbird прежде: как мне настроить OpenPGP?

Чтобы использовать функционально OpenPGP в Thunderbird, вам потребуется установить нак называемую пару персональных ключей для вашего адреса электронной почты. Вы можете сделать это в подразделе Сквозное шифрование параметров своей учётной записи. В противном случае вы можете создать новый ключ.

• ≡ > Параметру учётной записи > выберите свою учётную запись > Сквозное шифрование > Добавить ключ…
  • Если у вас уже есть персональная пара ключей OpenPGP из другого программного обеспечения, выберите Импортировать существующий ключ OpenPGP.
  • Если у вас ещё нет ключей, выберите Создать новый ключ OpenPGP.
• После его импорта или создания, всё ещё в параметрах учётной записи, выберите ключ, который хотите активно использовать с вашей учётной записью электронной почты.

Обратите внимание, что использование OpenPGP имеет последствия, как описано в общем введение. Важно сделать резервную копию вашего ключа и хранить её в безопасном месте отдельно от вашего обычного компьютера.

Я раньше использовал Enigmail, как мне перейти и настроить?

Вы можете обновить настройки своего Thunderbird со старой версии (например, 68.х) на версию 78.x. Рекомендуется сделать резервную копию вашего старого профиля Thunderbird перед первым использованием Thunderbird 78, потому что после обновления ваш профиль больше нельзя будет использовать в Thunderbird 68. Если по каким-либо причинам вы решите, что должны продолжать использовать Thunderbird 68 и Enigmail, резервная копия позволит вам просто вернуться обратно.

В настоящее время Enigmail доступен в двух версиях: 2.1.x и 2.2.x:

• Enigmail 2.1.x работает только с Thunderbird 68 и более старыми релизными версиями и предлагает классическую функциональность.
• Enigmail версий 2.2.x — это специально модифицированная версия, которая работает только с Thunderbird 78 и более поздними версиями. Enigmail 2.2.x не предоставляет традиционной функциональности, скорее, он существует для того, чтобы помочь вам перенести ваши ключи и настройки в Thunderbird 78.

Если вы запустите Thunderbird с существующим профилем, и в предыдущем профиле был установлен Enigmail, Thunderbird 78 определит, что предыдущее дополнение Enigmail 2.1.x не совместимо. Он автоматически проверит наличие более новой версии, найдёт Enigmail 2.2.x и установит её. Затем Enigmail автоматически откроет вкладку, которая поприветствует вас, объяснит, что миграция возможна, и предложит начать её.

Enigmail использовал GnuPG для хранения и управления всеми ключами и настройками доверия. Если вы нажмёте на кнопку начала переноса, программное обеспечение Enigmail для перехода прочитает ваши старые ключи из GnuPG один за другим. Вы должны ввести пароли для подтверждения экспорта ваших ключей из GnuPG и разрешить и быть разблокированными для импорта во внутреннее хранилище ключей Thunderbird.

Thunderbird 78 использует настройки, отличные от Enigmail. С помощью Enigmail было возможно включить OpenPGP для учётной записи электронной почты, но позволить ему автоматически выбирать, какой из ваших ключей будет использоваться. Thunderbird 78 комбинирует эти настройки. Чтобы включить OpenGPG для учётной записи электронной почты, необходимо явно указать, какой из персональных ключей использовать.

Следовательно, если вы ранее использовали автоматический выбор, то при миграции ещё не был выбран ключ. После миграции вы должны внучную проверить конфигурацию всех ваших учётных записей электронной почты и удостоверений и при необходимости вручную выбрать соответствующий ключ.

Перенос Enigmail завершился успешно, но я всё ещё не могу использовать OpenPGP.

Если у вас был включен Enigmail для учетной записи электронной почты на Thunderbird 68, и вы включили настройку «Использовать адрес электронной почты с этим идентификатором для идентификации ключа OpenPGP», тогда OpenPGP может не включаться автоматически в Thunderbird 78. Вам необходимо использовать настройки учетной записи, чтобы вручную выбрать ключ OpenPGP для каждой учетной записи и идентификатора, которые вы хотите использовать с OpenPGP. К сожалению, перенос Enigmail не выбирает их автоматически.

Могу я повторить перенос?

Если с миграцией возникли какие-либо проблемы, вы можете её повторить. Например, миграция могла пройти неуспешно, если вы столкнулись с ошибкой в Thunderbird или не вспомнили пароли для всех своих персональных ключей, или сделали лишь частичный переход. Чтобы постарить переход, вы должны запустить команду из верхней панели меню. Если вы используете Windows или Linux, и верхняя панель меню не отображается, произведите щелчок правой кнопкой мыши в верхней части основного окна Thunderbird и включите панель меню. Затем используйте меню Инструменты, который содержит команду "Перенести настройки Enigmail".

Я пытался импортировать файл с публичными ключами и получил сообщение об ошибке, что файл слишком большой.

Пожалуйста, прочитайте ответ в следующих вопросах.

Я раньше использовал OpenPGP с GnuPG, но с другим программным обеспечением для электронной почты. Как я могу перенести мои ключи в Thunderbird 78?

Сначала вы должны экспортировать свои ключи из другого программного обеспечения и затем повторно импортировать их в Thunderbird.

В качестве способа экспорта ваших персональных ключей (также называемых приватными или секретными ключами), вы можете использовать команду в командной строке, чтобы экспортировать их в файл. Чтобы экспортировать ключи, управляемые GnuPG, вы можете использовать следующую команду:

gpg --export-secret-keys --armor > my-secret-keys.asc

Затем вы можете импортировать их в Thunderbird. Либо используйте функции добавления и импорта ключей в настройках учётной записи Thunderbird, скозное шифрование. Или используйте глобальную панель меню для открытия меню Инструменты, которое содержит Менеджер ключей OpenPGP. Используйте Файл — Импорт секетных ключей и выберите файл, который создали раньше. Вероятно, у вас лишь небольшое количество персональных ключей, поэтому этот подход должен работать.

Вы можете использовать похожий подход для экспорта публичных ключей ваших корреспондентов и спользовать следующую команду:

gpg --export --armor > all-public-keys.asc

Однако если у вас много ключей, вы можете испытывать проблемы из-за существующего ограничения в Thunderbird. На настоящий момент Thunderbird не может импортировать большие наборы ключей за один шаг. Попытка импортировать файл более 5 МБ будет отклонена.

У вас есть два способа обойти это ограничение.

• Первый способ — использовать графический менеджер ключей для GnuPG и экспортировать ваши ключи в отдельные файлы. Например, если все публичные ключи вместе имеют размер 17 МБ, вам нужно создать 4 файла и выбрать четверть публичных ключей для каждого экспортируемого файла. Это немного громоздко.
• В качестве альтернативы вы можете использовать дополнение для переноса Enigmail 2.2.x для импорта публичных ключей в Thunderbird, даже если не использовали Enigmail раньше.

Чтобы это сделать, используйте Thunderbird и поищите дополнение Enimail. Вам будет предложено установить версию 2.2.x. Когда она установится, вы можете вручную запустить команду "Настройки переноса Enigmail" из верхней панели инструментов, подменю Инструменты. Обратите внимание, что это может не получиться, в зависимости от того, как вы настроили программное обеспечение GnuPG на своём компьютере, так что работа данного подхода не гарантируется.

Если программное обеспечение GnuPG было установлено правильно на ваш компьютер, дополнение для переноса Enigmail найдёт его и импортирует все публичные ключи из GnuPG в Thunderbird один за другим без влияния вышеупомянутого ограничения на размер.

Enigmail сообщает, что миграция моего приватного ключа прошла неуспешно.

Это может означать, что вы пытаетесь импортировать ключ, который ещё не поддерживается RNP. Другой возможной причиной может быть незавершённая установка программного обеспечения GnuPG на ваш компьютер, особенно если вам не было предложено ввести пароль для экспорта вашего приватного ключа — этого не применимо, если вы недавно успешно использовали Enigmail на своём компьютере.

Хороший способ убедиться, что вы правильно установили GnuPG — использовать следующую процедуру:

• Установите Thunderbird 68 в отдельную папку, затем запустите Thunderbird с параметром -P и запустите его с отдельным профилем. (Вам не нужно настраивать учётную запись электронной почты, вы можете отменить это предложение).
• Затем установите Enigmail в ваш профиль Thunderbird 68 и запустите мастер установки Enigmail, который поможет вам установить GnuPG правильно.

Если это не помогло, вы можете ознакомиться с часто задаваемыми вопросам по Enigmail: https://enigmail.net/index.php/en/faq-en?view=topic&id=14

Какие типы клюей OpenGPG поддерживаются?

Пожалуйста, обратите внимание: Thunderbird использует програмнное обеспечение RNP для работы с ключами. Это означает, что некоторые ключи, поддерживаемые GnuPG / Enigmail могут не работать с Thunderbird 78 по умолчанию, особенно некоторые ключи с расширенной структурой. Однако для приватных ключей вы можете решить проблему, настроив Thunderbird на использование GnuPG, как показано в следующем разделе.

Я импортировал свой секретный ключ, но Thunderbird не может расшифровать мои письма.

Возможно, вы импортировали неправильный ключ? Чтобы проверить, что вы на самом деле импортировали правильный ключ, вы можете сделать следующее:

1. Щёлкните в Thunderbird на сообщение, которые, как вы думаете, имеете возможность расшифровать, но расшифровать не можете.
2. Используйте ≡ > Сохранить как > Файл и сохраните ваше сообщение в файл на диске (например, в /tmp/test.eml).
3. Откройте терминал. Запустите эту команду: gpg --list-packets /tmp/test.eml
   Вы должны получить список ID ключей, которые можно использовать для расшифровки сообщения (encrypted with ... ID ...).
4. Теперь вернитесь в Thunderbird: ≡ > Инструменты > Менеджер ключей OpenPGP.
5. Для каждого из секретных ключей, которые вам доступны (выделены жирным) сделайте двойной щелчок мыши, чтобы увидеть свойство ключа, затем щёлкните по вкладке структуры.

Можете ли вы найти ID, который отображался выше gpg? Вам необходимо иметь секретные ключи для по крайней мере одного ID, который был отображён gpg. Если у вас нет ни одного совпадающего секретного ключа, вы не можете расшифровать сообщение. Исли у вас есть совпадающий секрет, но Thunderbird всё ещё не может расшифровать сообщение, пожалуйста, оформите баг на Thunderbird с указанием дополнительных сведений о вашем ключе.

Что я могу сделать, если мой секретный ключ не поддерживается Thunderbird?

Thunderbird 78 позволяет вам опционально установить внешнее программное обеспечение с названием GnuPG для обработки ваших секретных ключей (для цифровой подписи и расшифровки получаемых сообщений). Это позволит включить использование смарт-карт или аппаратных токенов, на которых хранятся секретные ключи. Также вы можете использовать его для ключей, которые хранятся в виде файлов на вашем компьютере и не поддерживаются встроенной реализацией OpenPGP в Thunderbird.

Вам необходимо установить и сконфигурировать программное обеспечение GnuPG самостоятельно, потому что оно не может распространяться вместе с Thunderbird. Поэтому по умолчанию этот механизм отключен. Чтобы узнать, как его использовать, пожалуйста, обратитесь к следующему вопросу о смарт-картах.

Обратите внимание, что публичные ключи и их настройки акцепта (для шифрования и проверки подписи) всегда обрабатываются внутренним кодом Thunderbird.

Могу я использовать смарт-карту или аппаратный токен OpenPGP с Thunderbird?

Да, мы предлагаем опциональный механизм. Он требует, чтобы вы установлии GnuPG и всё необходимое программное обеспечение самостоятельно. Для получения дополнительной информации обратитесь, пожалуйста, к этому документу: https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards

Как мне отправить зашифрованное или подписанное с помощью цифровой подписи сообщение электронной почты?

Убедитесь, что у вас есть сконфигурированный персональный ключ для вашей учётной записи электронной почти или идентификации. Когда вы пишете электронное письмо, используйте меню Параметры или меню на кнопке безопасности и включите защиту, которую вы хотите использовать.

Что необходимо, чтобы отправить зашифрованное сообщение?

• У вас должен быть персональный ключ, настроенный и выбранный.
• У вас должен быть акцептованный публичный ключ для каждого получателя электронного сообщения, которое вы хотите отправить. Публичные ключи часто прикреплены к электронным сообщениям ваших корреспондентов. Дополнительная информация о получении публичных ключей от других находится в других разделах этого документа.
• Вы должны проверить, что публичные ключи ваших корреспондентов действительно принадлежат им. Если вы принимаете публичный ключ кого-то без его проверки, вы подвергнете своё сообщение атакам Монстр посередине (MITM).
• Если у вас нет публичного ключа для каждого получателя, отправка вашего сообщения будет заблокирована и Thunderbird оповестит вас. Вы можете выбрать между отменой отправки сообщения вообще или отключить шифрование и отправить сообщение без защиты.

Что означает принятие ключа?

Технически каждый может создать ключ OpenPGP под любым именем, используя любой адрес электронной почты, какой захочет. Никто не может ограничить или предотвратить это. Это означает, что всегда, когда вы получаете публичный ключ корреспондента, вы рискуете, что это поддельный ключ и что это попытка обмануть вас. Пока вы не проверите ключ вашего корреспондента, вы можете не получить конфиденциальное общение, но можете стать жертвой атаки Монстр посередине (MITM). Это ваше решение, заботитесь ли вы об этом векторе атак, и вы, возможно, захотите это решать индивидуально в зависимости от корреспондента.

Если вы принимаете ключ, это означает, что вы позволяете использовать этот ключ для отправки зашифрованных сообщений этом корреспонденту. Если вы получаете электронное письмо от корреспондента, ваше решение о принятии контролирует, как будет отображаться электронная подпись. Только подписи от принятых ключей будут отображаться как валидные.

Почему я должен отмечать свой собственный секретный ключ, как принятый как персональный ключ?

Это касается теоретической атаки. Thunderbird по-другому обращается с персональными ключами, он предоставляет этим ключам полное доверие, и мы пропускаем обычный вопрос о приёме (подтверждённый, непроверенный и т.д.).

В теории, злоумышленник может создать ключ с именем одного из ваших контактов, отправить секретный ключ вам и обманом заставить его импортировать. Требуя от вас подтвердить, что секретный ключ — ваш собственный ключ, вы, возможно, заметите, что это не ключ на ваше имя, и, вероятно, отклоните его использование в качестве своего персонального ключа. Это остановит атаку. Этот параметр аналогичен модели GnuPG, в которой ключ имеет "максимальное доверие к владельцу".

Почему шифрование автоматически включено, когда я отвечаю на зашифрованное сообщение?

При ответе по умолчанию цитируется (включается) информация, которая была в сообщении, на которое вы отвечаете. У вашего корреспондента могут быть веские причины зашифровать своё сообщение, поэтому вы должны быть очень осторожны при включении исходного текста в новое отправляемое сообщение. Желательно продолжать использовать шифрование. Если вы не можете зашифровать и хотите ответить без шифрования, вам, вероятно, следует удалить весь цитируемый текст из письма, которое вы пишете.

Как мне получить публичные ключи моих корреспондентов?

Если ваш корреспондент отправляет вам электронное сообщение со своим приложенным ключом, или как обычное вложение, или как содержащийся в скрытом заголовке письма в соответствии со стандартом Autocrypt, то Thunderbird предложит вам импортировать ключ.

Вы можете попытаться обнаружить ключи в Интернете по адресу электронной почты, щелкнув адрес электронной почты в сообщении электронной почты, которое вы читаете, и используя команду «обнаружить ключ», отображаемую во всплывающем меню. В настоящее время он будет искать опубликованные ключи, используя протокол WKD, и искать ключи на сервере ключей keys.openpgp.org. Тот же механизм можно использовать в Менеджере ключей OpenPGP, используя сервер ключей, команду «Обнаружить ключи онлайн», которая позволяет выполнять поиск по любому адресу электронной почты, идентификатору ключа или отпечатку. Кроме того, тот же механизм обнаружения можно использовать при попытке отправить зашифрованное электронное письмо и просмотре недостающей ключевой информации. Если ключ был опубликован в Интернете, вы можете загрузить ключ и использовать Менеджер ключей OpenPGP для импорта загруженного файла. Или вы можете попытаться импортировать, загрузив с заданного URL.

Enigmail раньше предлагал поиск на недоверенных серверах ключей. В настоящее время Thunderbird не предлагает этого из-за различных проблем, которые были обнаружены с этими серверами ключей в недавнем прошлом. Если вам нужно получить ключ с сервера ключей, который в настоящее время не поддерживается Thunderbird 78, вам нужно использовать другое программное обеспечение для его получения, затем сохранить его в файл, а затем вы можете использовать Менеджер ключей OpenPGP для импорта файла открытого ключа.

Вы можете получить публичные ключи корреспондента с других серверов с помощью следующей компанды gpg:

gpg --keyserver pgp.key-server.io --armor --export PASTE_KEY_ID_HERE

Скопируйте полученный публичный ключ PGP в буфер обмена и импортируйте его с помощью меню Правка Менеджера ключей OpenPGP, выбрав опцию "Импортировать ключи из буфера обмена".

Thunderbird поддерживает гибкое или автоматическое шифрование?

Нет. В настоящее время Thunderbird требует, чтобы пользователь взял на себя управление и решил, когда использовать шифрование или не использовать, путем включения соответствующих параметров при составлении электронного письма.

Я настроил дополнение Enigmail, чтобы доверять всем подходящим ключам. Поддерживает ли это Thunderbird?

Нет. Для каждого открытого ключа корреспондента, который вы хотите или должны использовать, Thunderbird 78 требует, чтобы вы приняли ключ хотя бы один раз.

Почему Thunderbird автоматически включает цифровую подпись, когда я включаю шифрование?

Само по себе шифрование сообщений обеспечивает только конфиденциальность содержимого, но не дает достоверной информации о фактическом отправителе сообщения. Теоретически кто-то может отправить вам зашифрованное сообщение, но подделать отправителя электронной почты, создав ложное впечатление о надежном сообщении. Поскольку зашифрованное электронное письмо без цифровой подписи на самом деле небезопасно, настоятельно рекомендуется также подписывать электронные письма цифровой подписью.

В настоящее время Thunderbird не предлагает возможности убрать автоматическое включение цифровой подписи. Мы можем рассмотреть возможность предложить это как конфигурацию по умолчанию в будущем. В настоящее время, если вы не хотите отправлять цифровую подпись, необходимо вручную отключить эту опцию перед отправкой каждого отправляемого зашифрованного электронного письма.

Почему Thunderbird автоматически отправляет мой открытый ключ всякий раз, когда я подписываю электронное письмо цифровой подписью?

Весь смысл цифровой подписи сообщения заключается в том, что получатель сможет проверить правильность цифровой подписи. Цифровая подпись не может быть проверена, если открытый ключ корреспондента недоступен. Чтобы ваши получатели могли проверить вашу подпись, лучше всегда добавлять ваш открытый ключ.

В настоящее время мы не предоставляем возможность конфигурации для автоматического исключения вашего открытого ключа при цифровой подписи, и вам необходимо вручную отключить его перед отправкой.

Мой публичный ключ очень большой, потому что на нем много подписей. Он слишком велик, чтобы включать его в каждое подписанное сообщение.

Из-за ограничений в настоящее время мы не можем автоматически минимизировать ваш ключ. Если вы хотите избежать отправки большого ключа с каждым сообщением с цифровой подписью, вы можете использовать другое программное обеспечение, например GnuPG, для редактирования и минимизации вашего ключа. Убедитесь, что у вас есть надежная резервная копия секретного ключа. Затем экспортируйте свой ключ. Используйте другое программное обеспечение, чтобы минимизировать его. Затем удалите свой секретный ключ в Thunderbird, импортируйте свернутый ключ и убедитесь, что настройки вашей учетной записи настроены для использования этого ключа. Будущая версия Thunderbird может попытаться автоматически минимизировать ключ, когда это необходимо, но это будет зависеть от будущей функциональности в библиотеке RNP.

Я использовал расширенную конфигурацию с GnuPG, чтобы использовать группу получателей и определить ключи, которые будут использоваться.

В настоящее время Thunderbird 78 не поддерживает эту функцию, но мы хотим поддерживать ее в будущем. Это улучшение отслеживается в Баге 1644085.

Поддерживает ли Thunderbird правила для каждого получателя или правила фильтрации для автоматического дешифрования писем?

Могу ли я отключить шифрование темы письма?

Нет, не сейчас

Поддерживает ли Thunderbird Web Of Trust?

Нет. Thunderbird не будет автоматически доверять и принимать ключи, подписанные другими лицами. Также сейчас, если вы укажете, что вы проверили ключ корреспондента, Thunderbird не добавит к нему вашу подпись. Это может измениться в будущей версии Thunderbird.

При использовании инструмента миграции Enigmail для переноса открытых ключей в Thunderbird он должен обнаруживать ключи, которые уже были подписаны вашим персональным ключом, и автоматически помечать соответствующие ключи как принятые, поэтому вам не нужно начинать с нуля.

Как Thunderbird хранит информацию о том, какие ключи принимаются?

Эта информация хранится в файле openpgp.sqlite в каталоге профиля Thunderbird.

Где Thunderbird хранит ключи OpenPGP?

Он хранит их в папке профиля Thunderbird.

Как мне экспортировать мой секретный или публичный ключ?

Используйте менеджер OpenPGP, который вы можете найти на глобальной панели меню Инструменты. Найдите ключ, который хотите экспортировать, и щёлкните по нему, чтобы его выбрать. Затем используйте панель меню окна, чтобы открыть меню Файл, затем выберите либо "Экспорт открытых ключей", либо "Резервирование секретных ключей" в зависимости от того, что требуется. Менеджер ключей OpenPGP также позволяет вам экспортировать публичные ключи ваших корреспондентов.

В качестве альтернативы откройте Параметры учётной записи для учётной записи электронной почты вашего ключа, который вы хотите экспортировать, и выберите панель Сквозное шифрование. Рядом с каждым персональным ключом расположен небольшой шеврон, который вы можете нажать, чтобы открылись подробности о ключе. Щёлкните по кнопке Больше, чтобы открыть список возможных действий. Выберите либо "Экспортировать открытый ключ", или "Создать секретную копию секретного ключа".

Мне нужно использовать GnuPG и Thunderbird параллельно, могу ли я синхронизировать свои ключи?

Нет. В настоящее время Thunderbird использует свою собственную копию ключей и не поддерживает синхронизацию ключей с GnuPG. Исключением является механизм, предлагаемый для смарт-карт, который можно использовать для использования личных ключей, управляемых GnuPG.

Как защищается мой персональный ключ?

Когда вы импортируете свой личный ключ в Thunderbird, мы разблокируем его и защищаем другим паролем, который создается автоматически (случайным образом). Такой же автоматический пароль будет использоваться для всех секретных ключей OpenPGP, управляемых Thunderbird. Вы должны использовать функцию Thunderbird, чтобы установить Основной пароль. Без Основного пароля ваши ключи OpenPGP в каталоге вашего профиля не защищены.

Поддерживает ли Thunderbird Autocrypt?

Thunderbird не поддерживает философию Autocrypt, согласно которой шифрование должно быть полностью автоматическим. Однако Thunderbird обеспечивает ограниченную совместимость с почтовыми клиентами, поддерживающими Autocrypt.

• При отправке электронного письма и использовании опции прикрепления вашего открытого ключа OpenPGP, когда ваш ключ достаточно прост, чтобы быть совместимым с Autocrypt, Thunderbird добавит соответствующий заголовок в исходящее письмо, что может позволить вашему корреспонденту узнать о вашем общедоступном ключe.
• При получении электронного письма, содержащего открытый ключ корреспондента в заголовке Autocrypt, Thunderbird позволяет вам импортировать ключ.
• В настоящее время Thunderbird не поддерживает функцию "Gossip".

Я ранее использовал режим Enigmail для новичков (зеленые, красные, желтые символы), какие у меня варианты?

Enigmail для Thunderbird 68 предлагал два совершенно разных режима работы. Классический режим, который был описан в настройках как "принудительное использование S/MIME и Enigmail", и "режим для новичков", который был реализован программным обеспечением от компании-разработчика программного обеспечения pEp. Обратите внимание, что Thunderbird не связан с компанией pEp.

Thunderbird 78 не предоставляет режим для новичков, встроенная функция OpenPGP, которую предоставляет Thunderbird 78, больше похожа на классический режим работы Enigmail.

При запуске Thunderbird 78, после того как Enigmail был обновлен до версии 2.2.x (версии, которая предоставляет помощь в миграции), Enigmail откроет веб-страницу, предоставленную компанией pEp, которая предлагает вам загрузить более новую версию их программного обеспечения.

Если вы не хотите устанавливать программное обеспечение pEp, вы можете попытаться выполнить миграцию вручную на новую встроенную функцию OpenPGP Thunderbird. Для этого вы должны установить конфигурацию, которая отключила предыдущий режим для новичков. Откройте общие настройки Thunderbird, прокрутите вниз, откройте редактор конфигурации и выполните поиск по запросу "extensions.enigmail.juniorMode". Дважды щелкните по нему, чтобы изменить его, и установите нулевое значение. Это изменение конфигурации заставит инструмент миграции Enigmail поверить, что вы ранее использовали классический режим Enigmail.

Перезапустите Thunderbird 78. После перезапуска помощник по миграции Enigmail 2.2.x предложит вам выполнить миграцию ваших ключей. Поскольку инструмент Enigmail переносит только ключи и настройки, которые управлялись с помощью GnuPG, он не может перенести настройки доверия, которыми управляло программное обеспечение pEp. Однако Enigmail должен иметь возможность переносить ваши персональные ключи, позволяя вам расшифровывать сообщения, зашифрованные этим ключом. Enigmail также должен иметь возможность переносить публичные ключи ваших корреспондентов. Однако большинство или все соответствующие ключи, скорее всего, будут иметь состояние "не принято" в Thunderbird 78, поэтому вам придется принять или подтвердить их один раз, когда вы попытаетесь их использовать.

Если после перезапуска Thunderbird 78 предложение миграции не отображается, вам необходимо получить доступ к команде из верхней панели меню. Если вы используете Windows или Linux, и верхняя панель меню не отображается, щелкните правой кнопкой мыши в верхней области главного окна Thunderbird и включите панель меню. Затем откройте меню Инструменты, в котором есть команда "Перенести настройки Enigmail".

Я использую Enigmail 2.2.x для выполнения миграции, но импорт застрял.

Возможно, программное обеспечение столкнулось с проблемой. Пожалуйста, обратитесь к разделу о получении дополнительной информации о сбое.

Где я могу задать вопросы или сообщить о проблемах с функцией OpenPGP?

Если ваша проблема не описана на этой странице или в связанных документах, пожалуйста, обратитесь к разделу "Обсуждение" на следующей странице, чтобы узнать, как с нами связаться: https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion

Как я могу проверить, не было ли уже сообщено о возникшей у меня проблеме?

Пожалуйста, обратитесь к разделу "Открытые пробелмы и список того, что нужно сделать" здесь: https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list

Я вижу проблему и хочу попробовать проанализировать ее самостоятельно.

Более подробную информацию можно найти здесь, в разделе «Отладка / Трассировка»: https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing

Thunderbird был автоматически обновлен до версии 78, но я предпочитаю остаться с Thunderbird 68 и Enigmail.

Как только вы запустили Thunderbird 78 с профилем, вы не сможете легко вернуться к 68, потому что профиль был перенесен, а Thunderbird 68 откажется использовать его и не запустится.

• Если у вас есть резервная копия вашего профиля, вы можете попытаться восстановить ее, тогда вы сможете снова запустить Thunderbird 68.
• Если у вас нет резервной копии, вы можете создать Thunderbird 68 со свежим профилем и снова настроить Thunderbird.
• Использование параметра запуска Thunderbird --allow-downgrade не рекомендуется, поскольку вы потеряете некоторые настройки конфигурации и можете столкнуться с неожиданным поведением.

Я получил зашифрованное электронное письмо со скрытым получателем (идентификатор ключа 0x00000000), и Thunderbird не может его расшифровать.

Это пока не поддерживается. Добавление функции отслеживается здесь: https://github.com/rnpgp/rnp/issues/1275