Thunderbird, Enigmail и OpenPGP для Windows – безопасная почта

Опубликован10 August 2016

Содержание

...Loading Table of Contents...

    Mozilla Thunderbird – бесплатная программа с открытым кодом для работы с электронной почтой. Она поддерживает работу с несколькими учетными записями разных провайдеров e-mail. Enigmail и GnuPG повышают уровень защищенности и приватности переписки. С их помощью можно реализовать шифрование OpenPGP в Thunderbird. Кроме того, можно подписывать сообщения и проверять цифровые подписи других людей.

    Советуем почитать

    Что вы узнаете из этой главы

    • Как управляться с несколькими учетными записями e-mail, используя только одну программу
    • Как читать и писать сообщения без подключения к интернету
    • Как отправлять и получать зашифрованную электронную почту
    • Как делать цифровую подпись для вашего сообщения и проверять подписи других

    1. Знакомство с Thunderbird

    Thunderbird – бесплатный кросс-платформенный почтовый клиент с открытым кодом. С помощью Thunderbird можно отправлять, получать и хранить электронную почту. Почтовый клиент – приложение, которое позволяет скачивать почту и работать с ней (в том числе с разными учетными записями) без использования браузера.

    Gnu Privacy Guard (GPG) – бесплатная программа с открытым кодом, предназначенная для шифрования, расшифровки и создания цифровой подписи (как для текстовых сообщений, так и для файлов). Она также позволяет управлять открытыми и секретными ключами, необходимыми для этой задачи.

    Enigmail – дополнение к Thunderbird. С его помощью можно интегрировать возможности шифрования GnuPG в Thunderbird. Чтобы использовать Enigmail, надо установить обе эти программы.

    1.0. Что нужно знать о Thunderbird перед началом работы

    Для работы с Thunderbird вам понадобится минимум одна учетная запись e-mail. Если хотите создать новую учетную запись для этой цели, обратитесь к руководству по RiseUp.

    Как и все почтовые клиенты, Thunderbird создает копии почтовых сообщений на вашем компьютере. Сюда входят электронные письма, которые вы отправляете и получаете. Поэтому очень важно, чтобы вместе с Thunderbird вы применяли шифрование (с помощью таких инструментов, как VeraCrypt).

    Thunderbird не может защищитить ваше устройство, если вы открываете вложения с каким-нибудь вредоносным кодом или нажимаете на сомнительные ссылки. Не открывайте неизвестные вложения и будьте осторожны, когда нажимаете на ссылки в электронных письмах. Научитесь защищаться от вредителей.

    1.1. Аналоги Thunderbird

    Программа Thunderbird доступна для GNU/Linux, Microsoft Windows и Mac OS X. Управляться с несколькими учетными записями почты в безопасном режиме – задача не из легких. Мы очень рекомендуем использовать для этой цели Thunderbird. Впрочем, если вы предпочитаете другие программы, вот что можно посоветовать (из бесплатного программного обеспечения с открытым кодом):

    • Claws Mail – для GNU Linux и Microsoft Windows.
    • Sylpheed – для Mac OS X, GNU Linux и Microsoft Windows.
    • K9 Mail и OpenKeychain – для Android.
    • Mailpile (бета-версия) – для GNU/Linux и Microsoft Windows (ожидается и версия для Mac OS X).

    Thunderbird обладает серьезными возможностями для обеспечения безопасности, особенно если сравнивать с коммерческими программами типа Microsoft Outlook.

    2. Установка и настройка Thunderbird

    2.1. Установка Thunderbird

    Чтобы установить Thunderbird, следуйте по шагам.

    Шаг 1. Зайдите на сайт Thunderbird https://www.mozilla.org/ru/thunderbird/

    Изображение 1. Страница загрузки Thunderbird

    Шаг 2. Нажмите кнопку [Загрузить бесплатно].

    Изображение 2. Загрузка Thunderbird

    Шаг 3. Нажмите кнопку [Сохранить файл], чтобы начать загрузку Thunderbird.

    Шаг 4. Щелкните правой кнопкой мыши на загруженном файле-дистрибутиве Thunderbird и выберите [Открыть].

    Изображение 3. Открытие загруженного дистрибутива Thunderbird

    Изображение 4. Распаковка дистрибутива Thunderbird

    Шаг 5. Нажмите кнопку [Далее], чтобы начать установку Thunderbird.

    Изображение 5. Установка Mozilla Thunderbird

    Шаг 6. Выберите вариант [Обычная] в окне установки Mozilla Thunderbird.

    Изображение 6. Выбор типа установки Mozilla Thunderbird

    Шаг 7. Убедитесь, что отмечен пункт [Использовать Thunderbird как мою почтовую программу по умолчанию] (если вам это подходит).

    Шаг 8. Нажмите кнопку [Далее].

    Шаг 9. Нажмите кнопку [Установить].

    Изображение 7. Начало установки Thunderbird

    Изображение 8. Процесс установки Thunderbird

    Шаг 10. Нажмите кнопку [Готово], чтобы завершить установку Thunderbird.

    Изображение 9. Установка Thunderbird завершена

    2.2. Добавление учетной записи e-mail в Thunderbird

    Чтобы добавить в Thunderbird учетную запись e-mail, следуйте по шагам.

    Шаг 1. Запустите Thunderbird.

    Изображение 1. Первый запуск Thunderbird

    Шаг 2. Нажмите кнопку [Пропустить это и использовать мою существующую почту], чтобы открыть окно настройки учетной записи.

    Изображение 2. Настройка учетной записи почты

    Шаг 3. Укажите имя, адрес e-mail и пароль для вашей учетной записи, который будете использовать в Thunderbird.

    Шаг 4. Уберите галочку из поля Запомнить пароль.

    Шаг 5. Нажмите кнопку [Продолжить]. Thunderbird проверит введенные вами данные.

    Изображение 3. Thunderbird после проверки деталей учетной записи

    Возможно, лучшим вариантом будет оставить выбор на "IMAP (удаленный доступ к папкам)". IMAP сохраняет мастер-копии ваших почтовых папок (включая папки Входящие, Черновики, Шаблоны, Отправленные и Корзина) на сервере и делает локальные копии на вашем устройстве. Это позволяет иметь доступ к одним и тем же сообщениям с разных устройств, причем данные будут синхронизироваться. (Другой вариант – POP – подразумевает, что сообщения будут скачаны с сервера и сохранены на первом же устройстве. Это не значит, что они удалятся с сервера, но работать с ними, используя разные устройства, будет заметно труднее).

    Важно. Убедитесь, что в полях Входящая и Исходящая (почта) есть упоминание о SSL (Secure Sockets Layer) или STARTTLS (Start Transport Layer Security). Оба варианта означают, что ваш провайдер e-mail поддерживает основы шифрования.

    Шаг 6. Нажмите кнопку [Готово] для создания учетной записи. Вы окажетесь в главном окне Thunderbird.

    Изображение 4. Главное окно Thunderbird

    Примечание. Чтобы добавить другую учетную запись e-mail, выберите в меню пункт Файл, затем выберите Создать > Получить новую учетную запись почты. Повторите предыдущие шаги.

    Всякий раз при запуске Thunderbird вам будет нужно вводить пароль для каждой добавленной учетной записи.

    Изображение 5. Запрос пароля

    Шаг 7. Введите пароль.

    Изображение 6. Ввод пароля для доступа к почтовому серверу

    Шаг 8. Нажмите кнопку [OK], чтобы зайти в вашу учетную запись Thunderbird.

    3. Повышение безопасности и управляемости Thunderbird

    В этой части мы объясним, как настроить Thunderbird для защиты вашей системы от злонамеренных действий, связанных с e-mail. Подробнее о природе этих проблем можно почитать в главе Защита от вредителей.

    3.1. Отключение HTML в письмах

    Thunderbird позволяет использовать в письмах разные цвета, шрифты, изображения и другие виды форматирования. Для этого Thunderbird вместо простого текста применяет формат HTML – ту же технологию, что и для веб-страниц. Thunderbird умеет отображать письма в HTML-формате, которые вы получаете от других. К сожалению, просмотр в HTML может создать определенные уязвимости, используемые для атак на веб-браузеры. Кроме того, составление писем в HTML не позволяет нормально работать шифрованию GnuPG.

    Чтобы перейти от HTML к простому тексту, выполните следующие шаги:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Вид > Тело сообщения в виде > Простого текста.

    Изображение 1. Отключение HTML в почте

    Чтобы составлять сообщения в формате простого текста, следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Настройки > Параметры учетной записи.

    Изображение 2. Настройки учетной записи Thunderbird

    Шаг 3. В левом меню (под вашим адресом e-mail) выберите пункт Составление и адресация.

    Изображение 3. Окно составления и адресации Thunderbird

    Шаг 4. Уберите отметку из поля Составлять сообщения в формате HTML.

    Шаг 5. Нажмите кнопку [OK].

    3.2. Настройки безопасности Thunderbird

    Чтобы изменить настройки безопасности Thunderbird, следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Настройки > Настройки.

    Изображение 1. Доступ к настройкам в меню Thunderbird

    Шаг 3. Выберите вкладку Защита.

    Изображение 2. Настройки безопасности (защиты) Thunderbird

    Шаг 4. Нажмите маленькую вкладку Пароли.

    Изображение 3. Вкладка Пароли

    Для просмотра и удаления паролей, которые хранятся на вашем компьютере, нажмите кнопку [Сохраненные пароли].

    Изображение 4. Окно сохраненных паролей

    Чтобы удалить все пароли, сохраненные Thunderbird, нажмите кнопку [Удалить все]. Пароли можно удалить и поодиночке.

    Важно. Мы советуем защищать пароли с помощью специальных программ, предназначенных для этой цели. Подробнее см. главу о KeePassX. Однако, если вы хотите, чтобы Thunderbird запоминал пароли для вас, очень важно установить мастер-пароль. С его помощью Thunderbird зашифрует все остальные пароли. Более того, даже если вы не собираетесь хранить пароли в Thunderbird, мастер-пароль может пригодиться. Если его придумать, Thunderbird будет шифровать пароли, которые вы случайно скомандуете запомнить. Запомните мастер-пароль или запишите его в безопасное место (например, в базу KeePassX). Thunderbird будет спрашивать этот пароль всякий раз, когда вы запускаете программу.

    Шаг 5. Сделайте отметку в поле Использовать мастер-пароль. Появится окно для мастер-пароля.

    Изображение 5. Окно для мастер-пароля

    Шаг 6. Введите надежный пароль в оба поля и нажмите кнопку [OK].

    3.3. Настройки приватности Thunderbird

    Вы посещаете веб-сайты, а они посылают вашему браузеру файлы куки. Когда вы зайдете на сайт повторно, куки-файл будет передан обратно на сайт (вместе с вашим запросом). Куки-файлы используются для разных целей. Например, веб-сайты, где требуется вход, часто запоминают, вошли вы при последнем посещении сайта или нет. Но куки-файлы могут быть использованы и для отслеживания вашей работы в интернете.

    Thunderbird принимает куки-файлы, главным образом, ради RSS-лент и новостных групп, не для e-mail. Мы советуем отключить поддержку куки-файлов в Thunderbird. Если эта настройка помешает вам использовать ту или иную функцию Thunderbird, вы всегда можете снова включить куки-файлы.

    Для отключения куки-файлов следуйте по шагам:

    Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 2. Выберите в меню Настройки > Настройки.

    Шаг 3. Выберите вкладку Приватность.

    Изображение 1. Вкладка Приватность

    Шаг 4. Снимите отметки в следующих полях:

    • Разрешить в сообщениях показ содержимого из Интернета. (Вы по-прежнему сможете включать удаленный контент для отдельных сообщений).
    • Помнить посещенные мной веб-сайты и ссылки.
    • Принимать куки с сайтов.

    4. Отправка и получение зашифрованных сообщений

    GNU Privacy Guard (GnuPG) – бесплатная шифровальная программа с открытым кодом, которую разрабатывает GNU Project. Эта программа совместима со стандартом OpenPGP и коммерческой шифровальной программой Pretty Good Privacy (PGP), которую разработал американский программист Фил Зиммерман (Phil Zimmermann) и продвигает компания Symantec.

    Enigmail – дополнение к Thunderbird, которое позволяет работать с шифровальными возможностями GnuPG прямо из Thunderbird.

    GnuPG основана на принципе криптографии с открытым ключом. Каждый пользователь создает собственную пару ключей. Эту пару ключей можно использовать для шифрования, расшифровки и цифровой подписи. В паре два ключа: секретный и открытый ключ.

    • Ваш секретный ключ должен храниться в надежном месте. У того, кто заполучит секретный ключ, будет возможность читать зашифрованные письма, зашифрованные парным ему открытым ключом – письма, предназначенные только вам. С помощью этого же ключа можно подписывать отправляемые сообщения. Секретный ключ защищен паролем (его надо придумать при создании пары ключей). Пароль должен быть надежным.

    • Открытый ключ можно давать друзьям и коллегам. Он не подходит для чтения зашифрованных сообщений или их подписывания. С помощью вашего открытого ключа другие люди будут шифровать сообщения для вас. Расшифровать эти сообщения сможет единственный человек в мире – вы, потому что только у вас есть парный секретный ключ. Таким образом, правило простое: хотите зашифровать кому-нибудь письмо – воспользуйтесь его открытым ключом. Только не перепутайте; если вы возьмете ключ какого-то третьего лица, адресат не сможет расшифровать сообщение, и ваша защита в целом будет ненадежной.

    GnuPG и Enigmail позволяют прикреплять к сообщениям цифровые подписи. Если вы подписываете сообщение с помощью секретного ключа, то всякий, у кого есть копия вашего открытого ключа, сможет проверить подпись и убедиться, что сообщение было действительно отправлено вами и добралось до назначения без искажений. И наоборот: если у вас есть чей-то открытый ключ, вы можете проверять его цифровые подписи.

    4.1. Установка GnuPG и Enigmail

    Здесь мы расскажем об установке GnuPG и Enigmail.

    4.1.1. Установка GnuPG

    Чтобы установить GnuPG, следуйте по шагам.

    Шаг 1. Перейдите на сайт Gpg4win https://www.gpg4win.org/.

    Изображение 1. Веб-сайт Gpg4win

    Шаг 2. Нажмите кнопку [Download Gpg4win].

    Изображение 2. Страница с просьбой пожертвовать разработчикам Ggp4win (вариант Bitcoin)

    Шаг 3. Выберите вариант Bitcoin или Bank transfer и нажмите ссылку [Download Gpg4win 2.3.3] (версия может быть и более свежей).

    Изображение 3. Загрузка Gpg4win

    Шаг 4. Нажмите кнопку [Сохранить файл] для загрузки Gpg4win.

    Шаг 5. Щелкните правой кнопкой мыши на загруженном дистрибутиве Gpg4win и выберите в меню [Открыть].

    Изображение 4. Открытие дистрибутива gpg4win

    Шаг 6. Выберите язык для установки Gpg4win и нажмите кнопку [OK].

    Изображение 5. Язык установки

    Шаг 7. Нажмите кнопку [Далее], чтобы начать установку Gpg4win.

    Изображение 6. Установка Gpg4win

    Шаг 8. Прочтите лицензионное соглашение и нажмите кнопку [Далее].

    Изображение 7. Лицензионное соглашение Gpg4win

    Шаг 9. Выберите, какие компоненты Gpg4win хотите установить. Параметры по умолчанию вполне подойдут.

    Изображение 8. Компоненты Gpg4win

    Шаг 10. Выберите место, куда хотите установить Gpg4win. Нажмите кнопку [Далее].

    Изображение 9. Папка установки Gpg4win

    Шаг 11. Нажмите кнопку [Далее].

    Изображение 10. Параметры установки Gpg4win

    Шаг 12. Выберите папку в меню "Пуск" для ярлыков Gpg4win.

    Изображение 11. Выбор папки в меню для ярлыков Gpg4win

    Шаг 13. Нажмите кнопку [Установить].

    Изображение 12. Процесс установки Gpg4win

    Шаг 14. Нажмите кнопку [Далее].

    Изображение 13. Завершение процесса установки Gpg4win

    Шаг 15. Нажмите кнопку [Готово], чтобы завершить установку Gpg4win.

    Изображение 14. Программа Gpg4win установлена

    4.1.2. Установка Enigmail

    Чтобы установить Enigmail, следуйте по шагам.

    Шаг 1. Запустите Thunderbird и войдите в свою учетную запись.

    Изображение 1. Thunderbird

    Шаг 2. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.

    Шаг 3. Выберите в меню Дополнения. Появится окно управления дополнениями Thunderbird.

    Изображение 2. Доступ к дополнениям через меню

    Шаг 4. Наберите в поисковой строке “Enigmail” (правый верхний угол), нажмите Enter.

    Изображение 3. Поиск дополнения Enigmail

    Шаг 5. Нажмите кнопку “Установить” для установки Enigmail.

    Изображение 4. Установка Enigmail

    Когда Thunderbird установит дополнение, он известит об этом.

    Изображение 5. Дополнение Enigmail установлено

    Шаг 6. Нажмите ссылку Перезапустить сейчас для перезапуска Thunderbird и окончания установки Enigmail.

    Когда Thunderbird перезагрузится, он автоматически запустит настройку Enigmail, и вы сможете создать свои шифровальные ключи.

    4.2. Создание шифровальных ключей и настройка Enigmail

    Настало время настроить учетную запись для использования Enigmail и создать ключевую пару GnuPG.

    4.2.1. Создание шифровальных ключей

    Вы создать пару шифровальных ключей GnuPG, следуя по шагам:

    Шаг 1. Нажмите и выберите [Enigmail > Мастер установки]. Откроется мастер установки GnuPG.

    Изображение 1. Мастер установки Enigmail

    Шаг 2. Выберите [Start setup now] и нажмите кнопку [Далее].

    Шаг 3. Выберите [Я предпочитаю стандартную конфигурацию (рекомендуется новичкам)] и нажмите кнопку [Далее].

    Изображение 2. Конфигурация Enigmail

    Шаг 4. Придумайте надежный пароль и наберите его в обоих окнах.

    Изображение 3. Создание пары ключей GnuPG

    Примечание. Этот пароль защищает ваш секретный ключ. Без него вы не сможете подписывать и расшифровывать сообщения. Не делитесь этим паролем ни с кем. Очень важно, чтобы пароль был действительно надежным, и чтобы вы его не забыли. Подробнее о паролях можно узнать из главы Как создавать и хранить надежные пароли. Мы не советуем использовать в пароле русские буквы, потому что это может создать проблемы в дальнейшем.

    Изображение 4. Указание пароля для пары ключей GnuPG

    Шаг 5. Нажмите кнопку [Далее] для запуска процесса создания ключей.

    Подождите, когда процесс создания ключей завершится.

    Изображение 5. Создание ключей

    Когда Enigmail завершит создание пары ключей GnuPG, появится сообщение и кнопка Создать сертификат отзыва.

    Изображение 6. Программа Enigmail предлагает создать сертификат отзыва

    Сертификат отзыва может пригодится, если нужно объявить о недействительности ключа. Когда это может понадобиться:

    • Вы решили перестать использовать эту пару ключей.
    • Вы потеряли секретный ключ.
    • Вы забыли пароль к секретному ключу.
    • Вы полагаете, что секретный ключ скомпрометирован или стал известен кому-то еще.

    Сертификат отзыва особенно важен, если вы собираетесь загрузить свой открытый ключ на сервер ключей. После того, как вы загрузите туда ключ, не останется никакого способа "удалить" этот ключ. Вы ведь вряд ли захотите, чтобы ваши старые ключи (может быть, скомпрометированные) сбивали людей с толку.

    Шаг 6. Нажмите кнопку [Создать сертификат отзыва].

    Изображение 7. Enigmail запрашивает пароль

    Шаг 7. Введите пароль, который указывали при создании пары ключей GnuPG, и нажмите кнопку OK.

    Шаг 8. Выберите имя файла и место для сохранения сертификата отзыва.

    Изображение 8. Выбор имени и места для сохранения сертификата отзыва

    В данном примере мы сохраним сертификат отзыва на Рабочем столе, но вы можете сохранить его в более безопасном месте.

    Шаг 9. Нажмите кнопку [Сохранить]. Enigmail предупредит о том, как важно хранить сертификат отзыва в безопасности.

    Изображение 9. Предупреждение о сертификате отзыва

    Шаг 10. Нажмите кнопку [OK], чтобы вернуться к мастеру установки.

    Изображение 10. Мастер установки Enigmail

    Шаг 11. Нажмите кнопку [Далее], чтобы завершить процесс создания ключей.

    Изображение 11. Завершение настройки Enigmail

    Шаг 12. Нажмите кнопку [Готово], чтобы закрыть мастер настройки и вернуться в Thunderbird.

    4.2.2. Настройка Enigmail для работы с вашей учетной записью

    Нужно включить Enigmail для каждой учетной записи в Thunderbird, которую вы хотите использовать для отправки и получения зашифрованных писем.

    Шаг 1. Нажмите и выберите в меню [Настройки > Параметры учетной записи].

    Изображение 1. Доступ к параметрам учетной записи в меню Thunderbird

    Откроется окно Параметры учетной записи.

    Изображение 2. Параметры учетной записи Thunderbird

    Шаг 2. Выберите в левом меню (под адресом e-mail) пункт Защита OpenPGP.

    Изображение 3. Параметры OpenPGP

    В этом окне находятся различные настройки Enigmail, связанные с шифрованием e-mail. Если вы создали пару ключей GnuPG, как было описано выше – после создания одной учетной записи Thunderbird – эта учетная запись уже должна быть настроена для работы с Enigmail. Она также должна быть связана с ключевой парой, которую вы создали. Если это не так, продолжайте с шага 3 (ниже). Если все в порядке, можете перейти к изображению 6.

    Шаг 3. Убедитесь, что выбран пункт Включить поддержку OpenPGP (Engimail) для этой учетной записи.

    Шаг 4. Нажмите кнопку [Выбрать ключ...], чтобы открыть окно Выберите OpenPGP-ключ для шифрования.

    Изображение 4. Окно выбора OpenPGP-ключ для шифрования

    Шаг 5. Выберите ключевую пару, которую хотите использовать для этой учетной записи e-mail.

    Изображение 5. Выбор ключевой пары для использования с учетной записью Thunderbird

    Шаг 6. Нажмите кнопку [Выбрать ключ...], чтобы связать эту ключевую пару с учетной записью e-mail и вернуться к настройкам Защиты OpenPGP.

    Ниже мы рекомендуем две дополнительные, необязательные настройки.

    Изображение 6. Настройки Enigmail для конкретной учетной записи

    Шаг 7. Отметьте пункт Использовать PGP/MIME по умолчанию.

    Если выбран этот пункт, Enigmail будет лучше справляться с файлами-вложениями, включая имена файлов.

    Шаг 8. Отметьте пункт Подписать зашифрованное сообщение.

    При выборе этого пункта Enigmail будет снабжать все шифруемые сообщения, отправляемые с этой учетной записи, цифровой подписью (если только вы специально не укажете обратное). Незашифрованные сообщения подписываться по умолчанию не будут.

    Шаг 9. Нажмите кнопку [OK] и вернитесь в главное окно Thunderbird.

    4.2.3. Свойства ключей и управление ключами

    Когда пара ключей GnuPG создана, а ваша учетная запись настроена для работы сEnigmail, можно посмотреть свойства ключей. Следуйте по шагам.

    Шаг 1. Нажмите и выберите в меню [Enigmail > Менеджер ключей].

    Изображение 1. Доступ к менеджеру ключей Enigmail из меню

    Откроется окно менеджера ключей.

    Изображение 2. Менеджер ключей Enigmail

    Шаг 2. Дважды щелкните по ключевой паре, чтобы увидеть/редактировать ее свойства.

    Изображение 3. Свойства ключевой пары

    В этом окне показаны важные свойства вашей пары ключей GnuPG:

    • Key ID. Идентификатор ключа для ekaterina@riseup.net0xB8F6356C. (Последние восемь знаков полного отпечатка ключа).
    • Отпечаток ключа. Для данной ключевой пары2745 0F1C BB9A 19A5 7C22 8A06 9C53 0118 B8F6 356C. Отпечаток необязательно хранить в секрете. Более того, отпечатки часто сообщают друг другу.
    • Срок действия. Эта ключевая пара перестанет работать после 20 октября 2021 года.

    Чтобы люди могли отправлять вам зашифрованные письма, нужно дать им ваш открытый ключ. Подробнее об этом можно узнать в части 4.3. Ваш отпечаток ключа очень полезен, когда нужно подтвердить, что этот ключ действительно принадлежит вам. Подробнее о проверке ключей можно прочесть в части 4.4.

    (Дополнительно) Изменение срока действия ключевой пары

    Если вы хотите изменить срок действия вашей ключевой пары GnuPG, следуйте по шагам. Это может пригодиться, если срок действия текущих ключей подходит к концу и вам нужно больше времени, чтобы создать новую пару и оповестить о ней всех, с кем вы обмениваетесь зашифрованными сообщениями e-mail. Способ помогает продлить действие ключа.

    Шаг 1. Нажмите кнопку [Change] в строке "Срок действия".

    Изображение 1. Изменение срока действия ключевой пары

    Появится окно Изменение срока действия ключей.

    Изображение 2. Окно Изменение срока действия ключей Enigmail

    Примечание. Число лет в нижней части окна необязательно соответствует реальному сроку истечения действия ключей. Если вы неосторожно нажмете кнопку [OK], ничего не меняя в окне, то можете сократить срок действия своей ключевой пары.

    Шаг 2. Выберите число лет, начиная с сегодняшнего дня, в течение которых ваша ключевая пара должна работать.

    Изображение 3. Изменение срока действия ключевой пары GnuPG

    Шаг 3. Нажмите кнопку [OK], чтобы ввести пароль к секретному ключу.

    Изображение 4. Ввод пароля к секретному ключу

    Шаг 4. Введите ваш пароль.

    Шаг 5. Нажмите кнопку [OK], чтобы изменить срок действия ключевой пары GnuPG.

    (Дополнительно) Изменение пароля к секретному ключу

    Советуем время от времени менять пароль (на случай, если он скомпрометирован, а вы этого не знаете). Если хотите сменить пароль для секретного ключа, следуйте по шагам..

    Шаг 1. Нажмите кнопку [Выбрать действие...]. Выберите в меню [Сменить пароль].

    Изображение 1. Смена пароля

    Шаг 2. Введите свой текущий пароль к секретному ключу.

    Изображение 2. Ввод пароля к секретному ключу

    Шаг 3. Нажмите кнопку [OK].

    Шаг 4. Введите новый пароль и нажмите кнопку [OK].

    Изображение 3. Ввод нового пароля к секретному ключу

    Шаг 5. Повторно введите ваш новый пароль и нажмите кнопку [OK].

    Изображение 4. Повторный ввод нового пароля к секретному ключу

    Смена пароля к секретному ключу прошла успешно.

    4.3. Обмен открытыми ключами

    Перед тем, как отправлять друг другу зашифрованные письма, вам и вашим адресатам надо обменяться открытыми ключами. Следует также удостовериться, что каждый такой ключ действительно принадлежит его владельцу.

    4.3.1. Отправка открытого ключа в виде вложения e-mail

    Чтобы выполнить эту задачу, следуйте по шагам. Аналогичным образом ваши друзья должны отправить вам их открытые ключи.

    Шаг 1. Откройте Thunderbird, нажмите в меню [Создать].

    Шаг 2. Выберите в меню [Enigmail > Присоединить мой открытый ключ...]. (Как вариант, вы можете выбрать пункт [Присоединить мой открытый ключ] (над вашим адресом e-mail), пропустить следующие шаги и перейти сразу к шагу 4).

    Изображение 1. Присоединение открытого ключа

    Шаг 3. Выберите ключ, который хотите присоединить (по умолчанию тот, который связан с вашей текущей учетной записью e-mail), и нажмите кнопку [Отправить].

    Изображение 2. Выбор открытого ключа для вложения

    Шаг 4. Нажмите кнопку [Отправить], чтобы отправить сообщение.

    Изображение 3. Вложенный ключ, готовый к отправке

    Шаг 5. Введите пароль GnuPG и нажмите Enter, если программа попросит.

    4.3.2. Импорт открытого ключа из файла-вложения

    Как вы, так и ваш адресат должны выполнить описанные здесь шаги, чтобы импортировать открытые ключи друг друга.

    Файл-вложение с открытым ключом должен быть виден под текстом письма, в которое он был вложен.

    Изображение 1. Открытый ключ во вложении

    Шаг 1. Щелкните правой кнопкой мыши по вложению. Выберите пункт Импорт ключа OpenPGP.

    Изображение 2. Контекстное меню для ключа

    Шаг 2. Нажмите кнопку [Да], чтобы импортировать открытый ключ.

    Изображение 3. Подтверждение импорта открытого ключа

    Шаг 3. Нажмите кнопку [OK].

    Изображение 4. Открытый ключ успешно импортирован

    Шаг 4. Нажмите кнопку и выберите [Enigmail > Менеджер ключей].

    Изображение 5. Доступ к менеджеру ключей Enigmail через меню

    Теперь вы можете видеть открытый ключ вашего собеседника:

    Изображение 6. Новый открытый ключ в менеджере ключей Enigmail

    4.4. Проверка и подписывание открытых ключей

    Теперь нужно удостовериться, что полученный вами ключ действительно принадлежит его владельцу. Это следует сделать и вам, и вашему собеседнику. Проверив ключ, вы должны подписать его. Так вы сообщаете GnuPG, что этому ключу можно доверять.

    4.4.1. Проверка чужого открытого ключа

    Чтобы проверить чей-либо открытый ключ, нужно связаться с этим человеком, используя альтернативные способы коммуникаций. Главное – вы должны быть совершенно уверены, что разговариваете с нужным человеком. Конечно, лучше всего ��ичная встреча, но это не всегда возможно, и тогда ее заменяют голосовые и видеозвонки (если, конечно, вы можете узнать этого человека по голосу и внешнему виду). Вы сообщите друг другу отпечатки открытых ключей, которые нет надобности держать в секрете, поэтому эта ваша беседа необязательно должна быть конфиденциальной (разве что вы захотите попутно обсудить еще какие-нибудь важные темы).

    Вам обоим нужно проверить отпечатки открытых ключей, которыми вы обменялись. Отпечатком назыается уникальный код, состоящий из цифр и букв, который идентифицирует пару ключей GnuPG. В менеджере ключей Enigmail вы сможете увидеть отпечаток созданной вами пары ключей и отпечатки импортированных вами открытых ключей других людей.

    Чтобы увидеть отпечаток пары ключей, следуйте по шагам.

    Шаг 1. Нажмите кнопку и выберите [Enigmail > Менеджер ключей].

    Изображение 1. Доступ к менеджеру ключей через меню Enigmail

    Шаг 2. Дважды щелкните по паре ключей, чтобы увидеть их свойства.

    Изображение 2. Свойства ключа

    В окне Свойства ключа можно увидеть отпечаток этого ключа. Например, для ekaterina@riseup.net в нашем примере отпечаток такой: 2745 0F1C BB9A 19A5 7C22 8A06 9C53 0118 B8F6 356C.

    Ваш собеседник должен делать то же самое параллельно. Для проверки отпечатков:

    1. Прочитайте отпечаток своему собеседнику.
    2. Он должен убедиться, что прочитанный вами отпечаток совпадает с отпечатком открытого ключа, который он получил от вас накануне.
    3. Затем он прочитает вам свой отпечаток.
    4. Вы убедитесь, что его отпечаток его открытого ключа совпадает с тем, что вы только что услышали.

    Если отпечатки не совпадают, обменяйтесь открытыми ключами снова и попробуйте еще раз.

    Примечание. Сами по себе отпечатки не относятся к конфиденциальной информации. Вы можете просто записывать те буквы и цифры, которые вам диктует собеседник. Затем вы сможете сравнить эту запись с отпечатком ключа, полученного от собеседника. Это можно сделать в том же менеджере ключей Enigmail. (Некоторые люди даже указывают отпечаток ключей GnuPG на своих визитках).

    4.4.2. Подписывание чужого проверенного открытого ключа

    Когда вы закончили с проверкой ключа, нужно его подписать. Таким образом Enigmail будет в курсе, что вы считаете этот ключ подлинным.

    Важно. Когда подписываете чей-либо открытый ключ, а потом делаете подписанный вами ключ доступным публично, вы раскрываете тот факт, что вы обмениваетесь какой-то важной информацией с этим человеком. Чтобы это случайно не произошло, не забывайте выбирать пункт Локальная подпись, когда подписываете чей-либо открытый ключ.

    Для того, чтобы подписать чей-либо проверенный ключ, следуйте по шагам.

    Шаг 1. Нажмите кнопку и выберите [Enigmail > Менеджер ключей].

    Шаг 2. Щелкните правой кнопкой мыши по открытому ключу, который хотите подписать, и выберите в меню [Подписать ключ].

    Изображение 1. Подписывание чужого открытого ключа

    Шаг 3. Убедитесь, что ваша ключевая пара выбрана в поле Ключ для подписи.

    Изображение 2. Окно подписывания ключа Enigmail

    Шаг 4. Выберите пункт Я провел очень тщательную проверку.

    Примечание. Прочие опции (например, Я не проверял вовсе) могут не позволить вам отправлять зашифрованные сообщения владельцу этого ключа. Хуже того, из-за ошибки в Enigmail эту опцию впоследствии будет трудно изменить. Поэтому мы советуем всегда выбирать вариант Я провел очень тщательную проверку, когда подписываете чей-либо открытый ключ.

    Шаг 5. Отметьте пункт Локальная подпись (не может быть экспортирована).

    Важно. Если только вы не эксперт в GnuPG и не уверены на 100 процентов, что владелец открытого ключа хочет, чтобы ваша подпись под его ключом была публичной, лучше всегда отмечать этот пункт.

    Шаг 6. Нажмите кнопку [OK].

    Изображение 3. Ввод пароля к своему секретному ключу для подписи чьего-либо открытого ключа

    Шаг 7. Введите пароль к секретному ключу.

    Шаг 8. Нажмите кнопку [OK]. Ключ будет подписан. Таким образом мы сообщаем Enigmail, что проверили личность владельца ключа. Теперь мы можем отправлять ему зашифрованные сообщения.

    4.5. Шифрование и расшифровка сообщений e-mail

    GnuPG защищает только содержание письма и файлы-вложения. Не шифруются:

    • Поле Тема.
    • Адрес отправителя.
    • Адрес получателя.
    • Любые реальные имена, которые могут быть связаны с отправителем и получателем (например, Ekaterina Petrova (ekaterina@riseup.net)).

    Кроме того, если вы в настройках Enigmail вы решите не использовать PGP/MIME, названия файлов-вложений, которые вы отправляете, тоже не будут зашифрованы. Поэтому аккуратнее выбирайте, как назвать письмо. Есть смысл создать отдельную пару ключей GnuPG хотя бы для одной учетной записи, которая не связана с вашим реальным именем. Наконец, включайте в настройках PGP/MIME (впрочем, эта опция включена по умолчанию).

    Кроме того, когда вы отправляете зашифрованное письмо, копия письма (зашифрованная вашим открытым ключом) останется в папке Исходящие.

    4.5.1. Отправка зашифрованного письма

    Итак, вы и ваш собеседник успешно импортировали, проверили и подписали ключи друг друга. Теперь вы можете обмениваться шифрованными сообщениями. Следуйте по шагам:

    Шаг 1. Откройте Thunderbird, нажмите [Создать] и составьте сообщение для адресата, чей подписанный открытый ключ у вас есть.

    Изображение 1. Составление зашифрованного письма

    Важно. Включенная кнопка замочка на панели инструментов говорит, что ваше сообщение будет зашифровано. Кнопка карандашика – что оно будет подписано. Убедитесь, что обе кнопки включены.

    • По умолчанию Enigmail автоматически шифрует письма тем адресатам, чьи проверенные открытые ключи у вас есть.
    • Мы включили подписывание зашифрованных сообщений в настройках Параметры учетной записи > Защита OpenPGP (см. выше).

    Чтобы не шифровать или не подписывать сообщения, можно до отправки письма воспользоваться теми же кнопками замочка и карандашика. (Можно настроить Thunderbird так, чтобы письма по умолчанию не шифровались. Это можно сделать в меню Enigmail, далее пункт Настройки > Отправка > Установить собственные настройки шифрования).

    Шаг 2. Выберите в меню Enigmail.

    Изображение 2. Включение шифрования и подписывания

    Шаг 3. Отметьте пункт Encrypt Message.

    Шаг 4. Check пункт Sign Message.

    Когда вы введете в поле Кому адрес человека, чей открытый и проверенный ключ у вас есть, в правом верхнем углу должно появиться следующее сообщение.

    Изображение 3. Enigmail сообщает, что сообщение будет зашифровано и подписано

    Шаг 5. Нажмите [Отправить].

    Шаг 6. Введите пароль для вашего секретного ключа.

    Шаг 7. Нажмите [OK], чтобы отправить (зашифрованное и подписанное) сообщение.

    4.5.2. Расшифровка полученного зашифрованного письма

    Когда вы нажимаете на зашифрованное сообщение, Enigmail предложит ввести пароль к вашему секретному ключу, чтобы расшифровать письмо. Введите ваш пароль и нажмите кнопку [OK].

    Изображение 1. Расшифрованное сообщение с проверенной подписью

    Enigmail сообщит некоторые данные. В нашем примере можно видеть текст "Расшифрованное сообщение; Хорошая подпись от Mansour". Это значит:

    • Сообщение было зашифровано вашим открытым ключом (это мог сделать любой).
    • Вы успешно расшифровали его.
    • Оно было подписано человеком, у кого есть секретный ключ, связанный с адресом mansour@riseup.net, а у вас есть парный открытый ключ.
    • Вы подписали открытый ключ mansour@riseup.net после того, как убедились, что он принадлежит настоящему Мансуру.

    FAQ

    Вопрос. А если установить Enigmail, но не GnuPG?

    Ответ. Enigmail не будет работать. Именно GnuPG обеспечивает функции шифрования, которые использует Enigmail.

    Вопрос. Сколько учетных записей я могу поддерживать в Thunderbird?

    Ответ. Сколько захотите. Thunderbird профессионально работает с e-mail и может запросто поддерживать 20 и более учетных записей.

    Вопрос. У моей подруги почта Gmail. Есть ли смысл убеждать ее установить Thunderbird, Enigmail и GnuPG?

    Ответ. Это было бы замечательно. Только убедитесь, что она настроила все параметры так, как это сделали вы. После этого вы сможете переписываться с очень высокой степенью защиты!

    Вопрос. Еще раз, пожалуйста, напомните, какие части письма шифрует Enigmail?

    Ответ. Enigmail шифрует только тело (содержание) письма. Тема сообщения не будет зашифрована. Программа не умеет скрывать адреса получателя и отправителя, а также имена людей, связанные с этими адресами. Поэтому осторожно придумывайте темы для ваших писем, а также создайте ключ GnuPG хотя бы для одной из учетных записей, не связывая этот ключ со своим реальным именем.

    Вопрос. Я по-прежнему не понимаю, зачем подписывать сообщения.

    Ответ. Цифровая подпись доказывает, что именно вы являетесь автором этого конкретного сообщения. Она подтверждает, что сообщение не было изменено на пути к адресату. Сравните с восковой печатью на конверте, внутри которого очень важное письмо.