Thunderbird, Enigmail и OpenPGP для Linux – безопасная почта

Опубликован10 August 2016

Содержание

...Loading Table of Contents...

    Mozilla Thunderbird – бесплатная программа с открытым кодом для работы с электронной почтой. Она поддерживает работу с несколькими учетными записями разных провайдеров e-mail. Enigmail и GnuPG повышают уровень защищенности и приватности переписки. С их помощью можно реализовать шифрование OpenPGP в Thunderbird. Кроме того, можно подписывать сообщения и проверять цифровые подписи других людей.

    Советуем почитать

    Что вы узнаете из этой главы

    • Как управляться с несколькими учетными записями e-mail, используя только одну программу
    • Как читать и писать сообщения без подключения к интернету
    • Как отправлять и получать зашифрованную электронную почту
    • Как делать цифровую подпись для вашего сообщения и проверять подписи других

    1. Знакомство с Thunderbird

    Thunderbird – бесплатный кросс-платформенный почтовый клиент с открытым кодом. С помощью Thunderbird можно отправлять, получать и хранить электронную почту. Почтовый клиент – приложение, которое позволяет скачивать почту и работать с ней (в том числе с разными учетными записями) без использования браузера.

    Gnu Privacy Guard (GPG) – бесплатная программа с открытым кодом, предназначенная для шифрования, расшифровки и создания цифровой подписи (как для текстовых сообщений, так и для файлов). Она также позволяет управлять открытыми и секретными ключами, необходимыми для этой задачи.

    Enigmail – дополнение к Thunderbird. С его помощью можно интегрировать возможности шифрования GnuPG в Thunderbird. Чтобы использовать Enigmail, надо установить обе эти программы.

    1.0. Что нужно знать о Thunderbird перед началом работы

    Для работы с Thunderbird вам понадобится минимум одна учетная запись e-mail. Если хотите создать новую учетную запись для этой цели, обратитесь к руководству по RiseUp.

    Как и все почтовые клиенты, Thunderbird создает копии почтовых сообщений на вашем компьютере. Сюда входят электронные письма, которые вы отправляете и получаете. Поэтому очень важно, чтобы вместе с Thunderbird вы применяли шифрование (с помощью таких инструментов, как VeraCrypt).

    Thunderbird не может защищитить ваше устройство, если вы открываете вложения с каким-нибудь вредоносным кодом или нажимаете на сомнительные ссылки. Не открывайте неизвестные вложения и будьте осторожны, когда нажимаете на ссылки в электронных письмах. Научитесь защищаться от вредителей.

    1.1. Аналоги Thunderbird

    Программа Thunderbird доступна для GNU/Linux, Microsoft Windows и Mac OS X. Управляться с несколькими учетными записями почты в безопасном режиме – задача не из легких. Мы очень рекомендуем использовать для этой цели Thunderbird. Впрочем, если вы предпочитаете другие программы, вот что можно посоветовать (из бесплатного программного обеспечения с открытым кодом):

    • Claws Mail – для GNU Linux и Microsoft Windows.
    • Sylpheed – для Mac OS X, GNU Linux и Microsoft Windows.
    • K9 Mail и OpenKeychain – для Android.
    • Mailpile (бета-версия) – для GNU/Linux и Microsoft Windows (ожидается и версия для Mac OS X).

    Thunderbird обладает серьезными возможностями для обеспечения безопасности, особенно если сравнивать с коммерческими программами типа Microsoft Outlook.

    2. Установка и настройка Thunderbird

    Thunderbird по умолчанию включен в большинство дистрибутивов Linux. Иногда это версия под названием Icedove, та же программа под другим именем. Если вы используете Ubuntu, можете открыть Поиск (обычно достаточно нажать Windows-клавишу), набрать Thunderbird и нажать Enter. Если ваш дистрибутив не содержит Thunderbird, возможно, вам удастся установить его из Центра приложений. Потом вы можете настроить Thunderbird и добавить данные о вашей учетной записи e-mail, как описано ниже.

    2.1. Добавление учетной записи e-mail в Thunderbird

    Чтобы добавить в Thunderbird учетную запись e-mail, следуйте по шагам.

    Шаг 1. Запустите Thunderbird.

    Если вы еще не добавили учетную запись e-mail, Thunderbird спросит Вы хотели бы получить новый адрес электронной почты?.

    Изображение 1. Thunderbird предлагает создать новый адрес e-mail

    Шаг 2. Нажмите кнопку [Пропустить это и использовать мою существующую почту], чтобы открыть окно настройки учетной записи.

    Изображение 2. Настройка учетной записи почты

    Шаг 3. Укажите имя, адрес e-mail и пароль для вашей учетной записи, который будете использовать в Thunderbird.

    Шаг 4. Уберите галочку из поля Запомнить пароль.

    Изображение 3. Детали учетной записи

    Шаг 5. Нажмите кнопку [Продолжить]. Thunderbird проверит введенные вами данные.

    Изображение 4. Окно Thunderbird после проверки данных учетной записи e-mail

    Возможно, лучшим вариантом будет оставить выбор на "IMAP (удаленный доступ к папкам)". IMAP сохраняет мастер-копии ваших почтовых папок (включая папки Входящие, Черновики, Шаблоны, Отправленные и Корзина) на сервере и делает локальные копии на вашем устройстве. Это позволяет иметь доступ к одним и тем же сообщениям с разных устройств, причем данные будут синхронизироваться. (Другой вариант – POP – подразумевает, что сообщения будут скачаны с сервера и сохранены на первом же устройстве. Это не значит, что они удалятся с сервера, но работать с ними, используя разные устройства, будет заметно труднее).

    Важно. Убедитесь, что в полях Входящая и Исходящая (почта) есть упоминание о SSL (Secure Sockets Layer) или STARTTLS (Start Transport Layer Security). Оба варианта означают, что ваш провайдер e-mail поддерживает основы шифрования.

    Шаг 6. Нажмите кнопку [Готово] для создания учетной записи. Вы окажетесь в главном окне Thunderbird.

    Изображение 5. Главное окно Thunderbird

    Примечание. Чтобы добавить другую учетную запись e-mail, выберите в меню пункт Файл, затем выберите Создать > Получить новую учетную запись почты. Вы снова увидите изображение 2 (см.выше). Повторите шаги с 3 по 6.

    Всякий раз при запуске Thunderbird вам будет нужно вводить пароль для каждой добавленной учетной записи.

    Изображение 6. Запрос пароля

    Шаг 7. Введите пароль.

    Изображение 7. Ввод пароля для доступа к почтовому серверу

    Шаг 8. Нажмите кнопку [OK], чтобы зайти в вашу учетную запись Thunderbird.

    3. Повышение безопасности и управляемости Thunderbird

    В этой части мы объясним, как настроить Thunderbird для защиты вашей системы от злонамеренных действий, связанных с e-mail. Подробнее о природе этих проблем можно почитать в главе Защита от вредителей.

    3.1. Отключение HTML в письмах

    Thunderbird позволяет использовать в письмах разные цвета, шрифты, изображения и другие виды форматирования. Для этого Thunderbird вместо простого текста применяет формат HTML – ту же технологию, что и для веб-страниц. Thunderbird умеет отображать письма в HTML-формате, которые вы получаете от других. К сожалению, просмотр в HTML может создать определенные уязвимости, используемые для атак на веб-браузеры. Кроме того, составление писем в HTML не позволяет нормально работать шифрованию GnuPG.

    Чтобы перейти от HTML к простому тексту, выполните следующие шаги:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Вид > Тело сообщения в виде > Простого текста.

    Изображение 1. Отключение HTML в почте

    Чтобы составлять сообщения в формате простого текста, следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Настройки > Параметры учетной записи.

    Изображение 2. Настройки учетной записи Thunderbird

    Шаг 3. В левом меню (под вашим адресом e-mail) выберите пункт Составление и адресация.

    Изображение 3. Окно составления и адресации Thunderbird

    Шаг 4. Уберите отметку из поля Составлять сообщения в формате HTML.

    Изображение 4. Отключение HTML для создания сообщений

    Шаг 5. Нажмите кнопку [OK].

    3.2. Настройки безопасности Thunderbird

    Чтобы изменить настройки безопасности Thunderbird, следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Настройки > Настройки.

    Шаг 3. Выберите вкладку Защита.

    Изображение 1. Настройки безопасности (защиты) Thunderbird

    Шаг 4. Нажмите маленькую вкладку Пароли.

    Изображение 2. Вкладка Пароли

    Для просмотра и удаления паролей, которые хранятся на вашем компьютере, нажмите кнопку [Сохраненные пароли].

    Изображение 3. Окно сохраненных паролей

    Чтобы удалить все пароли, сохраненные Thunderbird, нажмите кнопку [Удалить все]. Пароли можно удалить и поодиночке.

    Важно. Мы советуем защищать пароли с помощью специальных программ, предназначенных для этой цели. Подробнее см. главу о KeePassX. Однако, если вы хотите, чтобы Thunderbird запоминал пароли для вас, очень важно установить мастер-пароль. С его помощью Thunderbird зашифрует все остальные пароли. Более того, даже если вы не собираетесь хранить пароли в Thunderbird, мастер-пароль может пригодиться. Если его придумать, Thunderbird будет шифровать пароли, которые вы случайно скомандуете запомнить. Запомните мастер-пароль или запишите его в безопасное место (например, в базу KeePassX). Thunderbird будет спрашивать этот пароль всякий раз, когда вы запускаете программу.

    Шаг 5. Сделайте отметку в поле Использовать мастер-пароль. Появится окно для мастер-пароля.

    Изображение 4. Окно для мастер-пароля

    Шаг 6. Введите надежный пароль в оба поля.

    Шаг 7. Нажмите кнопку [OK].

    3.3. Настройки приватности Thunderbird

    Вы посещаете веб-сайты, а они посылают вашему браузеру файлы куки. Когда вы зайдете на сайт повторно, куки-файл будет передан обратно на сайт (вместе с вашим запросом). Куки-файлы используются для разных целей. Например, веб-сайты, где требуется вход, часто запоминают, вошли вы при последнем посещении сайта или нет. Но куки-файлы могут быть использованы и для отслеживания вашей работы в интернете.

    Thunderbird принимает куки-файлы, главным образом, ради RSS-лент и новостных групп, не для e-mail. Мы советуем отключить поддержку куки-файлов в Thunderbird. Если эта настройка помешает вам использовать ту или иную функцию Thunderbird, вы всегда можете снова включить куки-файлы.

    Для отключения куки-файлов следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Настройки > Настройки.

    Шаг 3. Выберите вкладку Приватность.

    Изображение 1. Вкладка Приватность

    Шаг 4. Снимите отметки в следующих полях:

    • Разрешить в сообщениях показ содержимого из Интернета. (Вы по-прежнему сможете включать удаленный контент для отдельных сообщений).
    • Помнить посещенные мной веб-сайты и ссылки.
    • Принимать куки с сайтов.

    Шаг 5. Нажмите кнопку [Закрыть].

    4. Отправка и получение зашифрованных сообщений

    GNU Privacy Guard (GnuPG) – бесплатная криптографическая программа, которую разрабатывает GNU Project. Эта программа совместима со стандартом OpenPGP и другой шифровальной программой для e-mail под названием Pretty Good Privacy (PGP), которую разработал и продвигал американский программист Фил Зиммерман (Phil Zimmermann).

    GnuPG основана на принципе криптографии с открытым ключом. Каждый пользователь создает собственную пару ключей. Эту пару ключей можно использовать для шифрования, расшифровки и цифровой подписи. В паре два ключа: секретный и открытый ключ.

    • Ваш секретный ключ должен храниться в надежном месте. У того, кто заполучит секретный ключ, будет возможность читать зашифрованные письма, зашифрованные парным ему открытым ключом – письма, предназначенные только вам. С помощью этого же ключа можно подписывать отправляемые* сообщения. Секретный ключ защищен паролем (его надо придумать при создании пары ключей). Пароль должен быть надежным.

    • Открытый ключ можно давать друзьям и коллегам. Он не подходит для чтения зашифрованных сообщений или их подписывания. С помощью вашего открытого ключа другие люди будут шифровать сообщения для вас. Расшифровать эти сообщения сможет единственный человек в мире – вы, потому что только у вас есть парный секретный ключ. Таким образом, правило простое: хотите зашифровать кому-нибудь письмо – воспользуйтесь его открытым ключом. Только не перепутайте; если вы возьмете ключ какого-то третьего лица, адресат не сможет расшифровать сообщение, и ваша защита в целом будет ненадежной.

    GnuPG и Enigmail позволяют прикреплять к сообщениям цифровые подписи. Если вы подписываете сообщение с помощью секретного ключа, то всякий, у кого есть копия вашего открытого ключа, сможет проверить подпись и убедиться, что сообщение было действительно отправлено вами и добралось до назначения без искажений. И наоборот: если у вас есть чей-то открытый ключ, вы можете проверять его цифровые подписи.

    4.1. Установка Enigmail

    В большинстве дистрибутивов Linux шифровальная программа GnuPG есть по умолчанию. Тем не менее, нужно установить Enigmail – дополнение для Thunderbird. Это позволит применять шифрование GnuPG для e-mail. Следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Дополнения. Появится окно управления дополнениями Thunderbird.

    Шаг 3. Наберите в поисковой строке “Enigmail” (правый верхний угол), нажмите Enter.

    Шаг 4. Нажмите кнопку “Установить” для установки Enigmail.

    Шаг 5. Нажмите ссылку Перезапустить сейчас для перезапуска Thunderbird и окончания установки Enigmail.

    Теперь нужно перезапустить Thunderbird. Вы увидите в меню “Enigmail”.

    4.2. Создание шифровальных ключей и настройка Enigmail

    Настало время настроить учетную запись (или несколько записей) для использования Enigmail и создать ключевую пару (или несколько).

    4.2.1. Создание шифровальных ключей

    Вы можете настроить Enigmail и создать пару шифровальных ключей, следуя по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите Enigmail > Мастер установки

    Изображение 1. Мастер установки (настройки) Enigmail

    Шаг 3. Чтобы применить стандартные настройки (лучше всего подходит новичкам), нажмите кнопку [Далее].

    Изображение 2. Создание пары ключей

    Шаг 4. Придумайте надежный пароль и наберите его в обоих окнах.

    Примечание. Этот пароль защищает ваш секретный ключ. Без него вы не сможете подписывать и расшифровывать сообщения. Очень важно, чтобы пароль был действительно надежным, и чтобы вы хранили его в безопасности. Подробнее о паролях можно узнать из главы Как создавать и хранить надежные пароли. Мы не советуем использовать в пароле русские буквы, потому что это может создать проблемы в дальнейшем.

    Изображение 3. Указание надежного пароля

    Шаг 5. Нажмите кнопку [Далее] для запуска процесса создания ключей.

    Изображение 4. Создание пары ключей GnuPG

    Enigmail сообщит, когда закончит создавать ключи.

    Изображение 5. Пара ключей создана

    Нужно также создать сертификат отзыва. Он пригодится, если нужно объявить о недействительности ключа. Когда это может понадобиться:

    • Вы решили перестать использовать эту пару ключей.
    • Вы потеряли секретный ключ.
    • Вы забыли пароль к секретному ключу.
    • Вы полагаете, что секретный ключ скомпрометирован или стал известен кому-то еще.

    Сертификат отзыва особенно важен, если вы собираетесь загрузить свой открытый ключ на сервер ключей. После того, как вы загрузите туда ключ, не останется никакого способа "удалить" этот ключ. Вы ведь вряд ли захотите, чтобы ваши старые ключи (может быть, скомпрометированные) сбивали людей с толку.

    Шаг 6. Нажмите кнопку [Создать сертификат отзыва].

    Изображение 6. Ввод пароля к секретному ключу для создания сертификата отзыва

    Шаг 7. Введите пароль к своему секретному ключу и нажмите кнопку OK.

    Изображение 7. Выбор места для сохранения сертификата отзыва

    Шаг 8. Перейдите туда, куда хотите сохранить свой сертификат отзыва.

    Сертификат не содержит конфиденциальных данных. По сертификату нельзя "вычислить" ваш секретный ключ. Но если этот сертификат окажется в руках злоумышленника, тот сможет загрузить сертификат на сервер ключей и прекратить работу вашей текущей пары ключей.

    Шаг 9. Нажмите кнопку [Сохранить] и сохраните сертификат отзыва на диск.

    Изображение 8. Сертификат отзыва создан

    Шаг 11. Нажмите кнопку [OK], чтобы вернуться к мастеру настройки Enigmail.

    Изображение 9. Завершение настройки Enigmail

    Шаг 12. Нажмите кнопку [Далее].

    Изображение 10. Настройка Enigmail завершена

    Шаг 13. Нажмите кнопку [Готово], чтобы начать использовать Enigmail.

    4.2.2. Свойства ключей и управление ключами

    Когда пара ключей создана, можно посмотреть ее свойства. Следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Enigmail > Менеджер ключей.

    Изображение 1. Менеджер ключей Enigmail

    Шаг 3. Дважды щелкните по ключевой паре, которая связана с вашей учетной записью почты.

    Изображение 2. Свойства ключевой пары

    В этом окне, помимо прочего, отображаются идентификатор и отпечаток открытого ключа. Для нашего случая идентификатор ключа ekaterina@riseup.net – 0x36A1F5C5, а полный отпечатокC649 1B25 6620 39D6 74E9 52DE C7B1 8197 36A1 F5C5. Также показано, когда заканчивается срок действия ключа (22 сентября 2021 года).

    Чтобы люди могли отправлять вам зашифрованные письма, нужно дать им ваш открытый ключ. По другому каналу вы можете передать и отпечаток ключа. Тогда ваши собеседники смогут сравнить этот отпечаток с тем ключом, который получили, и удостовериться, что ключ подлинный. Никому не давайте ваш секретный ключ. Если он попадет в руки злоумышленника, тот сможет расшифровывать сообщения, адресованные вам, и подписывать письма "от вашего имени".

    Если хотите сменить пароль для секретного ключа, нажмите кнопку [Выбрать действие...], потом выберите Сменить пароль. Понадобится ввести действующий пароль и выбрать новый. Чтобы отозвать ключ, нажмите кнопку [Выбрать действие...], потом выберите в меню Отозвать ключ.

    4.2.3. Настройка Enigmail для использования с учетной записью e-mail

    Чтобы использовать Enigmail при работе с конкретной учетной записью, следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Настройки > Параметры учетной записи.

    Изображение 1. Меню Thunderbird

    Шаг 3. Выберите в левом меню (под адресом e-mail) пункт Защита OpenPGP.

    Изображение 2. Параметры OpenPGP

    Шаг 4. Убедитесь, что выбран пункт Включить поддержку OpenPGP (Engimail) для этой учетной записи.

    Шаг 5. Убедитесь, что выбран пункт Использовать другой идентификатор OpenPGP-ключа, и выбран ключ с правильным идентификатором.

    Шаг 6. Убедитесь, что выбран пункт Использовать PGP/MIME по умолчанию.

    Шаг 7. Отметьте пункт Подписать зашифрованное сообщение.

    Изображение 3. Настройка Enigmail для автоматического подписывания зашифрованных сообщений

    Примечание. Если хотите, можете настроить Enigmail на отправку зашифрованных писем по умолчанию. (Если у адресата нет соответствующего ключа, ничего страшного). Для этого отметьте пункт Шифровать сообщения по умолчанию.

    Шаг 8. Нажмите кнопку [OK] и вернитесь в главное окно Thunderbird.

    4.2.4. Создание дополнительных шифровальных ключей

    Довольно часто к одной паре ключей GnuPG "привязывают" более одного адреса e-mail. Но иногда уместно создать разные ключевые пары для разных учетных записей почты. Это особенно важно, если вы не хотите, чтобы кто-то знал о принадлежности обеих учетных записей одному человеку.

    Можно создать новую пару ключей. Просто следуйте по шагам (ниже). На этом этапе мы предполагаем, что вторая учетная запись в Thunderbird уже создана (в нашем примере она соответствует адресу elenakaterina60@gmail.com).

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Enigmail > Мастер установки

    Изображение 1. Мастер настройки Enigmail

    Шаг 3. Убедитесь, что выбор стоит на первом пункте (Я предпочитаю стандартную конфигурацию) и нажмите кнопку Далее. В открывшемся окне выберите пункт Я хочу создать новую ключевую пару для подписи и шифрования моей почты.

    Изображение 2. Выбор создания новой пары ключей

    Шаг 4. Нажмите кнопку Далее. Откроется окно для выбора учетной записи и ввода пароля. В поле Учетная запись / User ID выберите другую учетную запись.

    Изображение 3. Выбор учетной записи для создания пары ключей GnuPG

    Шаг 5. Придумайте надежный пароль для новой пары ключей и введите его в оба поля для паролей. Не используйте в паролях русские буквы. Подробнее о паролях можно узнать из главы Как создавать и хранить надежные пароли.

    Изображение 4. Указание пароля для новой пары ключей GnuPG

    Шаг 6. Нажмите кнопку [Далее] для запуска процесса создания ключей.

    Изображение 5. Создание пары ключей GnuPG

    Когда этот процесс завершится, Enigmail предложит создать сертификат отзыва.

    Изображение 6. Новая пара ключей создана

    Шаг 7. Нажмите кнопку [Создать сертификат отзыва].

    Изображение 7. Ввод пароля к секретному ключу для создания сертификата отзыва

    Шаг 8. Введите пароль к своему секретному ключу (только что созданному) и нажмите кнопку OK.

    Изображение 8. Выбор места для сохранения сертификата отзыва

    Шаг 9. Перейдите туда, куда хотите сохранить свой сертификат отзыва.

    Шаг 11. Нажмите кнопку [Сохранить].

    Шаг 12. Нажмите кнопку [OK], чтобы вернуться к мастеру настроек Enigmail.

    Шаг 13. Нажмите кнопку [Далее], а в следующем окне кнопку [Готово]. Создание новой пары ключей для второй учетной записи завершено.

    Теперь в менеджере ключей (меню Enigmail > Менеджер ключей) вы можете увидеть обе созданные вами пары ключей.

    Изображение 9. Две пары ключей в менеджере ключей Enigmail

    Enigmail автоматически настроит вторую учетную запись для использования этой новой пары ключей. Ранее мы уже рассказывали, как можно изменить настройки для учетных записей. (Советуем настроить Enigmail на цифровую подпись зашифрованных писем по умолчанию, если у вас нет особых причин не делать это).

    4.3. Обмен открытыми ключами

    Перед тем, как отправлять друг другу зашифрованные письма, вам и вашим адресатам надо обменяться открытыми ключами. Следует также удостовериться, что каждый такой ключ действительно принадлежит его владельцу.

    4.3.1. Отправка открытого ключа в виде вложения e-mail

    Чтобы выполнить эту задачу, следуйте по шагам. Аналогичным образом ваши друзья должны отправить вам их открытые ключи.

    Шаг 1. Откройте Thunderbird, нажмите в меню [Создать].

    Шаг 2. Составьте сообщение.

    Изображение 1. Сообщение в Thunderbird

    Шаг 3. Нажмите в панели управления [Присоединить мой открытый ключ].

    Изображение 2. Вложение открытого ключа перед отправкой сообщения

    Соответствующая кнопка (и значок скрепки) изменят цвет: это значит, что ваш открытый ключ будет отправлен с этим письмом как вложение.

    Шаг 4. Нажмите [Отправить].

    Изображение 3. Thunderbird отправляет письмо с вложенным в него открытым ключом

    Thunderbird может попросить ввести пароль учетной записи e-mail. Программа не спросит пароль к шифрованию GnuPG, если только вы не подписываете это письмо. (Отправка открытого ключа почтовым вложением не требует никаких действий с секретным ключом).

    Изображение 4. Thunderbird запрашивает пароль к учетной записи e-mail

    Шаг 5. Введите свой почтовый пароль и нажмите Enter.

    4.3.2. Импорт открытого ключа из файла-вложения

    Как вы, так и ваш адресат должны выполнить описанные здесь шаги, чтобы импортировать открытые ключи друг друга.

    Файл-вложение с открытым ключом должен быть виден под текстом письма, в которое он был вложен.

    Изображение 1. Открытый ключ в виде вложения

    Шаг 1. Щелкните правой кнопкой мыши по вложению.

    Изображение 2. Контекстное меню для ключа

    Шаг 2. Выберите пункт Импорт ключа OpenPGP.

    Изображение 3. Подтверждение импорта открытого ключа

    Шаг 3. Нажмите кнопку [Да], чтобы импортировать открытый ключ.

    Изображение 4. Свойства импортированного ключа, в том числе полный отпечаток

    Шаг 4. Нажмите кнопку [OK].

    Теперь в менеджере ключей Enigmail вы можете видеть открытый ключ вашего собеседника:

    Шаг 5. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 6. Выберите в меню Enigmail > Менеджер ключей.

    Изображение 5. Новый открытый ключ в менеджере ключей Enigmail

    4.4. Проверка и подписывание открытых ключей

    Теперь нужно удостовериться, что полученный вами ключ действительно принадлежит его владельцу. Это следует сделать и вам, и вашему собеседнику. Проверив ключ, вы должны подписать его. Так вы сообщаете GnuPG и Enigmail, что этому ключу можно доверять.

    4.4.1. Проверка чужого открытого ключа

    Чтобы проверить чей-либо открытый ключ, нужно связаться с этим человеком, используя альтернативные способы коммуникаций. Главное – вы должны быть совершенно уверены, что разговариваете с нужным человеком. Конечно, лучше всего личная встреча, но это не всегда возможно, и тогда ее заменяют голосовые и видеозвонки (если, конечно, вы можете узнать этого человека по голосу и внешнему виду). Вы сообщите друг другу отпечатки открытых ключей, которые нет надобности держать в секрете, поэтому эта ваша беседа необязательно должна быть конфиденциальной (разве что вы захотите попутно обсудить еще какие-нибудь важные темы).

    Вам обоим нужно проверить отпечатки открытых ключей, которыми вы обменялись. Отпечатком назыается уникальный код, состоящий из цифр и букв, который идентифицирует пару ключей GnuPG. В менеджере ключей Enigmail вы сможете увидеть:

    • Отпечаток созданной вами пары ключей.
    • Отпечатки импортированных вами открытых ключей других людей.

    Чтобы увидеть отпечаток пары ключей, следуйте по шагам.

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Enigmail > Менеджер ключей.

    Изображение 1. Менеджер ключей Enigmail

    Шаг 3. Дважды щелкните по паре ключей, чтобы увидеть их свойства.

    Изображение 2. Свойства ключа

    В окне Свойства ключа можно увидеть отпечаток этого ключа. Например, для ekaterina@riseup.net в нашем примере отпечаток такой: C649 1B25 6620 39D6 74E9 52DE C7B1 8197 36A1 F5C5.

    Ваш собеседник должен делать то же самое параллельно. Для проверки отпечатков:

    1. Прочитайте отпечаток своему собеседнику.
    2. Он должен убедиться, что прочитанный вами отпечаток совпадает с отпечатком открытого ключа, который он получил от вас накануне.
    3. Затем он прочитает вам свой отпечаток.
    4. Вы убедитесь, что его отпечаток его открытого ключа совпадает с тем, что вы только что услышали.

    Если отпечатки не совпадают, обменяйтесь открытыми ключами снова и попробуйте еще раз.

    Примечание. Сами по себе отпечатки не относятся к конфиденциальной информации. Вы можете просто записывать те буквы и цифры, которые вам диктует собеседник. Затем вы сможете сравнить эту запись с отпечатком ключа, полученного от собеседника. Это можно сделать в том же менеджере ключей Enigmail. (Некоторые люди даже указывают отпечаток ключей GnuPG на своих визитках).

    4.4.2. Подписывание чужого проверенного открытого ключа

    Когда вы закончили с проверкой ключа, нужно его подписать. Таким образом Enigmail будет в курсе, что вы считаете этот ключ подлинным.

    Важно. Когда подписываете чей-либо открытый ключ, а потом делаете подписанный вами ключ доступным публично, вы раскрываете тот факт, что знакомы с данным человеком и, по всей вероятности, будете обмениваться с ним какой-то важной информацией. Чтобы это случайно не произошло, не забывайте выбирать пункт Локальная подпись, когда подписываете чей-либо открытый ключ.

    Для того, чтобы подписать чей-либо проверенный ключ, следуйте по шагам.

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Enigmail > Менеджер ключей.

    Изображение 1. Менеджер ключей Enigmail

    Шаг 3. Щелкните правой кнопкой мыши по открытому ключу, который вы хотите подписать.

    Шаг 4. Выберите в меню пункт Подписать ключ.

    Изображение 2. Подписывание чужого открытого ключа

    Изображение 3. Подписывайте ключи локально, чтобы не раскрывать свою связь с владельцами ключей

    Шаг 5. Убедитесь, что в полеКлюч для подписи выбран именно ваш ключ. Если у вас, например, две пары ключей, и вы хотите переписываться с адресатом, используя обе пары, следует подписать его ключ обоими вашими ключами.

    Шаг 6. Выберите пункт Я провел очень тщательную проверку.

    Примечание. Прочие опции (например, Я не проверял вовсе) могут не позволить вам отправлять зашифрованные сообщения владельцу этого ключа. Хуже того, эту опцию впоследствии будет трудно изменить. Поэтому мы советуем всегда выбирать вариант Я провел очень тщательную проверку, когда подписываете чей-либо открытый ключ.

    Шаг 7. Отметьте пункт Локальная подпись (не может быть экспортирована).

    Важно. Если только вы не эксперт в GnuPG и не уверены на 100 процентов, что владелец открытого ключа хочет, чтобы ваша подпись под его ключом была публичной, лучше всегда отмечать пункт Локальная подпись.

    Шаг 8. Нажмите кнопку [OK].

    Изображение 4. Ввод пароля к секретному ключу

    Шаг 9. Введите пароль к секретному ключу.

    Шаг 10. Нажмите кнопку [OK]. Ключ будет подписан. Таким образом мы сообщаем Enigmail, что проверили личность владельца ключа. Теперь мы можем отправлять ему зашифрованные сообщения.

    4.5. Шифрование и расшифровка сообщений e-mail

    GnuPG защищает только содержание письма и файлы-вложения. Не шифруются:

    • Поле Тема.
    • Адрес отправителя.
    • Адрес получателя.
    • Любые реальные имена, которые могут быть связаны с отправителем и получателем (например, Ekaterina Petrova <ekaterina@riseup.net>).

    Кроме того, если вы в настройках Enigmail вы решите не использовать PGP/MIME, названия файлов-вложений, которые вы отправляете, тоже не будут зашифрованы. Поэтому аккуратнее выбирайте, как назвать письмо. Есть смысл создать отдельную пару ключей GnuPG хотя бы для одной учетной записи, которая не связана с вашим реальным именем. Наконец, включайте в настройках PGP/MIME (впрочем, эта опция включена по умолчанию).

    Когда отправляете зашифрованное письмо, убедитесь, что копия письма (зашифрованная вашим открытым ключом) останется в папке Исходящие.

    4.5.1. Отправка зашифрованного письма

    Итак, вы и ваш собеседник успешно импортировали, проверили и подписали ключи друг друга. Теперь вы можете обмениваться шифрованными сообщениями. Следуйте по шагам:

    Шаг 1. Откройте Thunderbird, нажмите [Создать] и составьте сообщение для адресата, чей подписанный открытый ключ у вас есть.

    Изображение 1. Составление зашифрованного письма

    Важно. Включенная кнопка замочка на панели инструментов говорит, что ваше сообщение будет зашифровано. Кнопка карандашика – что оно будет подписано. Убедитесь, что обе кнопки включены.

    • По умолчанию Enigmail автоматически шифрует письма тем адресатам, чьи проверенные открытые ключи у вас есть.
    • Мы включили подписывание зашифрованных сообщений в настройках Параметры учетной записи > Защита OpenPGP (см. выше).

    Чтобы не шифровать или не подписывать сообщения, можно до отправки письма воспользоваться теми же кнопками замочка и карандашика. (Можно настроить Thunderbird так, чтобы письма по умолчанию не шифровались. Это можно сделать в меню Enigmail, далее пункт Настройки > Отправка > Установить собственные настройки шифрования).

    Шаг 2. Закончите письмо.

    Шаг 3. Нажмите кнопку [Отправить].

    Изображение 2. Ввод пароля GnuPG

    Шаг 4. Введите пароль GnuPG.

    Шаг 5. Нажмите кнопку [OK].

    Изображение 3. Ввод почтового пароля

    Шаг 6. Введите пароль для своей учетной почтовой записи.

    Шаг 7. Нажмите кнопку [OK]. Сообщение подписано, зашифровано и отправлено.

    4.5.2. Расшифровка полученного зашифрованного письма

    Когда вы нажимаете на зашифрованное сообщение, Enigmail предложит ввести пароль к вашему секретному ключу, чтобы расшифровать письмо.

    Изображение 1. Ввод пароля GnuPG

    Шаг 1. Введите пароль.

    Шаг 2. Нажмите кнопку [ОК].

    Изображение 2. Расшифрованное сообщение с проверенной подписью

    Enigmail сообщит некоторые данные. В нашем примере можно видеть текст "Расшифрованное сообщение; Хорошая подпись от Mansour". Это значит:

    • Сообщение было зашифровано вашим открытым ключом (это мог сделать любой).
    • Вы успешно расшифровали его.
    • Оно было подписано человеком, у кого есть секретный ключ, связанный с адресом mansour@riseup.net, а у вас есть парный открытый ключ.
    • Вы подписали открытый ключ mansour@riseup.net после того, как убедились, что он принадлежит настоящему Мансуру.

    FAQ

    Вопрос. Сколько учетных записей я могу поддерживать в Thunderbird?

    Ответ. Сколько захотите. Thunderbird профессионально работает с e-mail и может запросто поддерживать 20 и более учетных записей.

    Вопрос. Еще раз, пожалуйста, напомните, какие части письма шифрует Enigmail?

    Ответ. Enigmail шифрует только тело (содержание) письма. Тема сообщения не будет зашифрована. Программа не умеет скрывать адреса получателя и отправителя, а также имена людей, связанные с этими адресами. Поэтому осторожно придумывайте темы для ваших писем, а также создайте ключ GnuPG хотя бы для одной из учетных записей, не связывая этот ключ со своим реальным именем.

    Вопрос. Я по-прежнему не понимаю, зачем подписывать сообщения.

    Ответ. Цифровая подпись доказывает, что именно вы являетесь автором этого конкретного сообщения. Она подтверждает, что сообщение не было изменено на пути к адресату. Сравните с восковой печатью на конверте, внутри которого очень важное письмо.