如果您尝试发送启用了端到端加密 (e2ee) 的电子邮件,雷鸟(Thunderbird) 可能会报告它无法加密。本文介绍了发送加密电子邮件的要求。
必要条件
以下条件必须满足:
- 您必须拥有个人 OpenPGP 密钥或个人 S/MIME 证书,并且必须配置 Thunderbird 才能使用它。 如何做到这一点在另一篇文章中进行了说明:设置电子邮件账户以使用端到端加密技术。
- 如果您之前配置了自己的密钥或证书,请确保它没有过期、没有被撤销并且您没有删除它。
- 您添加到 TO、CC 或 BCC 字段的每个电子邮件收件人还必须拥有个人 OpenPGP 密钥或个人 S/MIME 证书,并且他们必须提供相应的公钥或证书。 本文的以下部分将解释如何获取和使用它们。
- 当使用组加密工具的 OpenPGP 收件人马甲功能 时,邮件马甲中所有收件人的公钥都必须可用。
- 您必须为所有收件人(包括您自己)拥有相同技术的密钥或证书,因为 OpenPGP 和 S/MIME 是独立的加密技术,不能在一封电子邮件中混合使用。确保您在撰写加密电子邮件时选择了正确的技术。
如果您需要对本文中提到的术语进行更详细的解释,并了解电子邮件加密技术的一般工作原理,请参阅文章 Thunderbird 中的端到端加密介绍。
获取通信者的 OpenPGP 公钥
以下机制可用于获取 OpenPGP 公钥:
- 您的通信者向您发送一封电子邮件,他们将他们的公钥附加到该电子邮件中。 在查看此类电子邮件时,如果您单击标题区域中显示的 OpenPGP 按钮,雷鸟(Thunderbird) 将提示您导入密钥。
- 您的通信者向您发送一封电子邮件,其中包括一个包含其公钥的 文档加密与解密软件(Autocrypt)标头。 在查看此类电子邮件时,如果您单击标题区域中显示的 OpenPGP 按钮,雷鸟(Thunderbird) 将提示您导入密钥。
- 您的通信者已在 Web 服务器上发布了他们的公钥。 您的通信者可能会给您一个指向其公钥的链接。 或者您可以使用网络搜索并自己找到密钥。在这两种情况下,您都将公钥下载到本地文件,然后使用雷鸟(Thunderbird) 的 OpenPGP 密钥管理器导入包含公钥的文件。
- 您的通信者已在使用 WKD 协议的服务器上发布了他们的公钥。 当尝试发送加密的电子邮件,但您还没有收件人电子邮件地址的公钥时,雷鸟(Thunderbird) 可能会为您提供执行在线发现,它能够找到使用 WKD 协议发布的公钥。
- 您的通信者已经在雷鸟(Thunderbird) 支持的密钥服务器上发布了他们的公钥,例如 keys.openpgp.org 服务器。当您尝试发送加密的电子邮件,但您还没有收件人电子邮件地址的公钥时,雷鸟(Thunderbird) 可能会为您提供执行在线发现功能,从而能够提供已找到密钥服务器上发布的公钥。
- 您的通信者已在雷鸟(Thunderbird) 无法自动查询的密钥服务器中发布了他们的公钥。如果您的通信者告诉您哪个密钥服务器包含他们的密钥,您可能可以使用 Web 浏览器访问该密钥服务器,搜索他们的公钥,将其下载到文件中,然后使用雷鸟(Thunderbird) 的 OpenPGP 密钥管理器导入该文件。
如果雷鸟(Thunderbird) 无法自动找到密钥,通常最简单的方法是向您的通信者发送一封简单的电子邮件(未加密),并要求他们向您发送一封包含其公钥的电子邮件。
在雷鸟(Thunderbird) 78 和 91 版本中,如果您收到一封带有通信者的密钥的电子邮件,则必须与该电子邮件交互以导入密钥,方法是使用附件上的右键菜单并要求导入它,或者单击标题区的 OpenPGP 按钮,它可能会报告电子邮件包含公钥并可能会提供导入它。
对于雷鸟(Thunderbird) 102 和更新版本,雷鸟(Thunderbird) 将自动收集它在缓存中看到的密钥以供以后使用。在撰写电子邮件时,如果通信者的公钥尚未导入,那么雷鸟(Thunderbird) 可能会自动为您提供使用它从电子邮件中找到的公钥。
请注意,用户无法查看雷鸟(Thunderbird) 自动收集的所有密钥的缓存。 如有必要,雷鸟(Thunderbird) 会在 OpenPGP Key Assistant 中为您提供匹配的密钥,您可以从雷鸟(Thunderbird) 的电子邮件编辑器窗口访问该密钥。
要查看您已有的 OpenPGP 密钥列表,您可以使用雷鸟(Thunderbird) 的 OpenPGP 密钥管理器。
获取通信者的 S/MIME 证书
分发个人证书的标准方法是发送经过数字签名的电子邮件。如果您收到了来自您的通信者的签名电子邮件,请单击该电子邮件以查看它。 如果雷鸟(Thunderbird) 认为电子邮件的签名和发件人的证书有效,它将自动导入,并且当您尝试使用 S/MIME 技术加密发给该通信者的电子邮件时,它将可用。如果您还没有通信者的签名电子邮件,您可以要求他们向您发送数字签名的电子邮件。
请注意,由 CA 颁发的证书的有效期可能较短。有效期过后,证书将不再可用。一旦发生这种情况,您的通信者可能需要获得一个新证书。此时,他们必须向您发送一封带有有效证书的新数字签名电子邮件。
操作 LDAP 服务器的组织可以将其服务器配置为存储 S/MIME 证书。 如果配置了 LDAP 服务器,如果需要获取 S/MIME 证书,雷鸟(Thunderbird) 可能会自动查询 LDAP 服务器。
要查看您已有的 S/MIME 证书列表,您可以使用雷鸟(Thunderbird) 的证书管理器。
技术有效性
雷鸟(Thunderbird) 只使用它认为在技术上有效的密钥和证书。
雷鸟(Thunderbird) 要求 OpenPGP 密钥至少包含一个可用于创建数字签名的有效主密钥或从属密钥,以及至少一个可用于加密的密钥。
雷鸟(Thunderbird) 可能会拒绝使用已经损坏的 OpenPGP 密钥,或者基于雷鸟(Thunderbird) 认为不安全的加密算法的密钥。
一个 OpenPGP 公钥有一个内部结构,它可能包含多个从属密钥,还包含一些属性,例如有效期以及相关的用户名和电子邮件地址。 可以添加、删除或更新此类属性。为确保属性确实由密钥的合法所有者修改,使用所有者的密钥对属性进行数字签名。每个数字签名都使用一个签名算法。雷鸟(Thunderbird) 可能会忽略基于不安全签名算法的属性。
如果您获得了某人的公钥,而雷鸟(Thunderbird) 拒绝导入或使用它,原因可能是:
- 导入密钥后,密钥似乎缺少某些属性。
- 密钥的有效期不对。
- 该密钥可能包含 Thunderbird 决定拒绝和忽略的不安全属性 .
匹配的电子邮件地址
为了使用 OpenPGP 公钥或 S/MIME 证书将加密的电子邮件发送到电子邮件地址,雷鸟(Thunderbird) 通常要求密钥或证书的内部结构列出完全匹配的电子邮件地址。它允许雷鸟(Thunderbird) 自动决定是否可以将公钥或证书用于电子邮件地址。
换句话说,如果爱丽丝(Alice)想向 bob@example.com 发送加密的电子邮件,她需要一个声称用于该电子邮件地址的 OpenPGP 公钥或 S/MIME 证书。一个声称用于 bobby@example.com 未曾使用的密钥或证书将不会被 Thunderbird 使用。
如果爱丽丝(Alice)真的想使用公钥或证书列表 bobby@example.com 向 bob@example.com 发送电子邮件,那么爱丽丝(Alice)必须对鲍勃(Bob)的电子邮件地址有额外的了解,但这并不明显。尽管电子邮件地址不匹配鲍勃(Bob)仍必须要求爱丽丝(Alice)使用该密钥。 尽管不匹配,爱丽丝(Alice)将不得不要求雷鸟(Thunderbird) 使用公钥或证书。
这被认为是一种高级方案,一些用户可能需要使用,但大多数用户不需要。雷鸟(Thunderbird) 目前不为此提供交互式解决方案。
然而,由于一些专家用户要求支持使用不匹配的 OpenPGP 公钥,雷鸟(Thunderbird) 提供了一种高级配置机制,该机制记录在文章 Thunderbird 和 OpenPGP 别名钥。
接受
如果您获得了一个 OpenPGP 公钥,并且该密钥声称在您的通信者名下,并且包含您通信者的电子邮件地址,那么它仍然存在不是“正确的密钥”的风险。文章 OpenPGP 密钥可能是真实的或是伪造的 中详细描述了风险
由于这种风险,雷鸟(Thunderbird) 不会自动使用 OpenPGP 公钥。 相反,对于您要使用的每个公钥,您都需要确认您可以接受该密钥,如上述文章中所述。
换句话说,如果爱丽丝(Alice)获得了列出电子邮件地址 bob@example.com 的 OpenPGP 公钥,并且爱丽丝(Alice)尝试向 bob@example.com 发送加密电子邮件,雷鸟(Thunderbird) 可能会抱怨没有“接受”密钥 鲍勃(Bob) 爱丽丝(Alice)必须按照屏幕上提供的指导来查看可用于 bob@example.com 的一个或多个密钥,她应该查看它,理想情况下应该验证它,并且她需要将密钥标记为已接受。
对于 S/MIME,根据 由已包含在 Thunderbird 中的 CA 签署的技术上有效的证书 /policy/ Mozilla Root Store Policy 将自动被雷鸟(Thunderbird) 接受以向证书中列出的地址发送加密电子邮件。
