设置电子邮件账户以使用端到端加密技术

本文提供了在 Thunderbird 的账户设置中配置端到端加密设置的指导。如需更多的一般性介绍，也请参见文章 Thunderbird 中的端到端加密介绍。

要在电子邮件中使用端到端加密（e2ee），你必须为自己拥有适当的加密密钥，并在 Thunderbird 的账户设置中进行配置。 通过执行这一配置，你确认你愿意使用这一功能。

完成配置的步骤取决于你想使用的 e2ee 技术。你可以选择只配置其中一个，或同时配置两种技术。每个账户和身份的配置是分开的，因为它与一个电子邮件地址直接相关。

配置你的 OpenPGP

如果你想与已经设置为使用 OpenPGP 的通信者交换加密信息，那么你需要为自己准备一个 OpenPGP 个人密钥。Thunderbird 将其定义为一个密钥对，由密钥和公钥组成，同时还有一个包含你自己的电子邮件地址的标签。

如果你从未在 Thunderbird 中创建过OpenPGP密钥，但以前使用过其他 OpenPGP 软件，你可能已经拥有了一个密钥。使用其他软件的备份/导出功能，将密匙保存到一个文件中，如果成功了，再尝试将结果文件导入 Thunderbird。

如果你以前使用过 Thunderbird 68（或更早的版本）和 Enigmail 插件，你可能已经有了密钥，因为几个版本的 Enigmail 会自动创建密钥而不询问你。它们可能仍然保存在你的电脑上。如果你想在最新的 Thunderbird 版本中重新使用它们，你可以尝试使用 GnuPG 软件来找回它们。（参见 在 Thunderbird 中使用 OpenPGP —— 怎么做以及问题解答 文件中的相应条目）。

如果你从未使用过其他软件来创建 OpenPGP 密钥，或者不希望重复使用这些密钥，那么 Thunderbird 允许在账户设置中的 端到端加密 标签页中为自己创建这种密钥。

点击 添加密钥 按钮，然后根据需要选择导入或创建。

在导入一个密钥后，如果它在导入过程中通过了以下要求，Thunderbird 应该会让你选择它作为该账户或身份的个人密钥。

• 密钥没有过期
• 密钥没有被撤销
• 密钥对数字签名和加密都有效
• 密钥包含一个用户 ID，该用户 ID 带有你在账户设置中配置的账户或身份的电子邮件地址

一旦你选择了它，你就完成了自己对OpenPGP电子邮件安全的设置。

你自己的 S/MIME 配置

如果想与已经设置为使用 S/MIME 的通信者交换加密信息，那么你需要为自己准备一个个人电子邮件证书密钥。

S/MIME 电子邮件加密技术依赖于可信的第三方服务，即所谓的证书颁发机构（CA），您必须从他们那里获得个人证书，并在 Thunderbird 中安装和配置它。

通常情况下，自己创建一个证书是不现实的，因为你的邮件联系人通常不会接受这种自签的证书。

从 CA 获得个人证书的准备步骤通常是：

1. 你创建原始密码密钥，一对秘钥和公钥
2. 你把你的公钥发送给 Thunderbird 所支持的 CA
3. CA 会在他们的系统上对你的公钥进行签名，并在其中加入一些数据来创建你的证书
4. CA 将证书寄回给你
5. 你把收到的证书和你之前创建的密钥结合起来，这就把证书变成了你的个人证书
6. 你使用 Thunderbird 的证书管理器导入你的个人证书
7. 你打开 Thunderbird 账户设置，端到端加密，并选择你希望在该邮件账户中使用的证书（只有 Thunderbird 认为有效的个人证书才会被提供给你选择）。选择用于加密和数字签名的证书。

最新版本的T hunderbird 不能帮助你为 S/MIME 创建原始密钥对。你需要使用外部软件。

有些 CA 为你提供方便，自动为你创建密钥对。这并不理想，因为用于你个人证书的密钥可能是在该核证机构操作的电脑上创建的。存在的风险是，有人获得并保留了密钥的副本，这可能使他们能够解密发给你的加密电子邮件。

测试你自己的设置

一旦你完成了自己的设置，你应该对它进行测试。试着给自己发送一封经过加密和数字签名的电子邮件。要做到这一点，编写一个新的信息。如果你有多个账户或身份，请确保合成器窗口顶部的发件人地址显示一个你已经完成端到端加密设置的身份。

然后在收件人地址栏中输入相同的电子邮件地址。同时添加一个测试主题和测试邮件内容。然后启用加密功能。（在 Thunderbird 102 版本中，这可以通过工具栏 加密 按钮轻松完成。在早期版本中，点击工具栏 安全 按钮后面的箭头，选择 要求加密。）然后发送邮件。然后回到你的收件箱，获取新邮件，你应该会收到你刚刚发送的邮件。它应该被报告为已被加密，参考消息标题区域中适当的 S/MIME 或 OpenPGP 标签，可以点击它来显示详细的信息。

分发你自己的公钥或证书

如果你想让别人向你发送加密的电子邮件，不要等到他们要求你向他们发送你的公钥，这可能是有用的。

你可以决定主动出击，并确保其他人在决定向你发送加密邮件时，能够获得你的公钥或证书。一个简单的方法是通过发送数字签名的电子邮件来实现。

如果使用 OpenPGP 技术发送数字签名的电子邮件，Thunderbird 通常会将你的公钥副本作为一个小附件自动添加，因为公钥是用来验证数字签名在技术上是否有效的。

如果使用 S/MIME 技术发送数字签名的电子邮件，那么你的证书总是包括在内。

你可以决定你将始终对你发送的电子邮件进行数字签名，你可以在账户设置中找到相应的设置。（请注意，如果你对电子邮件进行数字签名，你可能将不再能够合理地否认你是你所发送的电子邮件的发件人。）

另一种分发 OpenPGP 公钥的方法是使用服务器。https://keys.openpgp.org/ （由 OpenPGP 开发者社区的成员运营）上的服务器是发布公钥的一个好选择。Thunderbird 的 78、91 和 102 版本能够在执行在线发现失踪的公钥时查询这个服务器。

要发布你的密钥，你必须将公钥导出到一个文件中，例如通过使用 Thunderbird 账户设置中配置的个人密钥旁边的菜单，或者使用 Thunderbird 的 OpenPGP 密钥管理器。请注意并使用正确的命令。为了获得一份可以安全地与他人分享的密钥副本，请务必使用涉及公钥操作的命令。永远不要分享你的个人密钥！

一旦你有了一个包含你的公钥的文件，你也可以使用任何其他可用于共享文件的机制来分发你的密钥，例如在你自己的网站上托管文件。