Mailvelope – бесплатное дополнение для браузеров Mozilla Firefox и Google Chrome (или Chromium) для шифрование (и подписания) веб-почты. Mailvelope имеет открытый код и позволяет отправлять и получать зашифрованные сообщения e-mail и вложения. Используется тот же алгоритм открытых ключей, что и в программах GnuPG и PGP.
Mailvelope позволяет шифровать, расшифровывать, подписывать электронные письма и файлы, а также проверять цифровые подписи к ним. Mailvelope использует стандарт OpenPGP и предназначен для веб-почты. Никакие дополнительные программы загружать или устанавливать не требуется. Mailvelope не хватает многих функций, имеющихся у Thunderbird, Enigmail и GnuPG, но сегодня это, наверное, самый простой способ для пользователя веб-почты начать применять сквозное шифрование.
Mailvelope и алгоритм открытого ключа
Mailvelope опирается на алгоритм открытого ключа. Каждый пользователь должен создать (сгенерировать) собственную пару ключей. Ее можно использовать для шифрования, расшифровки и цифровых подписей. Пара ключей состоит из секретного ключа и открытого ключа.
Секретный ключ нужно держать в надежном месте. Если кому-то удастся получить копию этого ключа, он будет близок к тому, чтобы читать все зашифрованные сообщения, предназначенные только вам. Злоумышленник также сможет подписывать сообщения: людям будет казаться, что это ваша подпись. Секретный ключ, в свою очередь, защищен паролем (вы выбираете пароль при создании пары ключей). Пароль должен быть надежным, чтобы никто не смог воспользоваться вашим секретным ключом. Вы также используете секретный ключ для расшифровки сообщений, которые посылают вам другие люди (они шифруют свои письма вашим открытым ключом).
Открытый ключ можно распространять без ограничений. Он не годится для расшифровки сообщений или подделки цифровой подписи. Получив чей-либо открытый ключ, вы можете отправлять этому человеку зашифрованные письма. Только он сможет их расшифровать, поскольку единственный имеет секретный ключ, парный данному открытому ключу. В свою очередь, если кто-то хочет послать зашифрованное письмо вам, ему понадобится ваш открытый ключ. Важно, чтобы открытый ключ, который вы используете, действительно принадлежал вашему собеседнику. Если злоумышленник «подсунет» вам фальшивый ключ, все ваши коммуникации окажутся под угрозой.
Mailvelope также позволяет добавлять к сообщениям цифровые подписи. Если вы подписываете сообщение своим секретным ключом, каждый, у кого есть копия вашего открытого ключа, может убедиться, что письмо действительно было отправлено вами, никто не подделал содержимое. Соответственно, если у вас есть открытый ключ собеседника, вы можете проверять его цифровые подписи.
Что умеет Mailvelope:
- Создавать пары шифровальных ключей.
- Экспортировать ваш открытый ключ (потом вы сможете поделиться им с другими).
- Импортировать открытые ключи других людей.
- Создавать, зашифровывать и подписывать письма e-mail.
- Расшифровывать и проверять письма.
- Зашифровывать и расшифровывать файлы-вложения.
Вашим собеседникам необязательно устанавливать именно Mailvelope. Достаточно любой программы, работающей по стандарту OpenPGP (некоторые перечислены ниже).
Поскольку Mailvelope – расширение для браузера, оно и работает только с браузером. Если вы захотите использовать Mailvelope с другим браузером, придется снова устанавливать дополнение (даже если оба браузера установлены на одном компьютере). Вам также понадобится экспортировать все ключи и импортировать в новую копию Mailvelope.
Аналоги Mailvelope
Mailvelope работает на любой платформе: GNU/Linux, Microsoft Windows, Mac OS X. На устройствах Android и iOS не работает. Below are a few free and open source alternatives:
- Thunderbird и Enigmail. Полнофункциональный клиент e-mail с поддержкой PGP-шифрования (GNU/Linux, Microsoft Windows, Mac OS X).
- GPG4Win. PGP-шифрование e-mail и файлов (Microsoft Windows).
- GPG Tools Suite (Mac OS X).
- gpg4usb. Отдельная портативная PGP-утилита (GNU/Linux, Microsoft Windows).
- Mailpile. Разрабатываемый OpenPGP-совместимый почтовый клиент (GNU/Linux, Microsoft Windows, Mac OS X).
Создание шифровальных ключей и обмен ими
Перед тем, как шифровать и расшифровывать e-mail, нужно сделать три шага:
- Создать шифровальную пару ключей (если у вас ее еще нет).
- Экспортировать ваш открытый ключ и отправить его собеседникам.
- Импортировать открытые ключи ваших собеседников.
Создание пары шифровальных ключей
Чтобы создать пару шифровальных ключей, откройте браузер, в котором вы установили Mailvelope, и следуйте по шагам.
Шаг 1. Нажмите значок Mailvelope в панели браузера. Появится меню Mailvelope:
Шаг 2. Нажмите кнопку [Настройки].
Шаг 3. Нажмите кнопку [Генерировать ключ] и укажите в полях нужные данные:
Важно.
- Выберите надежный пароль для защиты вашего секретного ключа.
- Необязательно использовать настоящее время при создании ключа, но лучше указывать именно тот адрес e-mail, который вы собираетесь использовать с Mailvelope. Если хотите, можете завести ящик e-mail специально для этой цели.
- Мы рекомендуем создавать уникальную пару ключей для каждой учетной записи e-mail, которую вы используете с Mailvelope.
Шаг 4. Снимите галочку в поле Загрузить открытый ключ на сервер ключей Mailvelope (можно удалить в любое время).
Шаг 5. Нажмите кнопку [Generate], чтобы начать процесс создания ключей.
По завершении этого процесса Mailvelope покажет объявление: «Удачно! New key generated and imported into key ring».
Шаг 6. Нажмите в столбце слева Создать ключ, чтобы взглянуть на только что созданную пару ключей.
Экспорт открытого ключа из Mailvelope
Нужно передать ваш открытый ключ собеседникам (тогда они смогут отправлять вам зашифрованные письма). Вам также пригодится полный отпечаток вашего ключа. Используя другой канал коммуникаций, вы и ваш собеседник сможете убедиться, что открытые ключи действительно принадлежат вам. А вот секретный ключ никогда никому не давайте. Ведь если кто-то доберется до него, он сможет расшифровывать присылаемые вам сообщения и ставить цифровые подписи «за вас».
Чтобы экспортировать открытый ключ из Mailvelope, следуйте по шагам.
Шаг 1. В меню настроек Mailvelope выберите вкладку Управление ключами (вверху), затем пункт Показать ключи (в столбце слева).
Шаг 2. Выберите ключ для экспорта. (В нашем примере это единственный, только что созданный нами ключ).
Появится окно со свойствами ключа:
В этом окне (помимо прочих деталей) можно увидеть отпечаток ключа. В нашем примере отпечаток для ключа, связанного с адресом ekaterina@riseup.net – D8CA 0B7E 8823 C386 3288 EFCE D3E6 B746 EEF8 48A0.
Шаг 3. Нажмите вкладку Экспорт.
Важно. Убедитесь, что выбрана (синяя) вкладка [Открытый]. Два других варианта ([Секретный] и [Any] (все)) означают, что будет экспортирован секретный ключ. Вам не следует передавать его кому бы то ни было или загружать на сайты. (Единственные два случая, когда экспорт секретного ключа может пригодиться – создание резервной копии или перенос ключей в другой браузер). По умолчанию имя файла заканчивается «_Pub.asc».
Шаг 5. Нажмите кнопку [Сохранить] для сохранения открытого ключа на компьютер.
Шаг 6. Отправьте файл, который только что экспортировали (в нашем примере Ekaterina_Petrova_pub.asc, in this case), собеседникам, с которыми собираетесь обмениваться шифрованными письмами.
Импорт открытого ключа в Mailvelope
Перед тем, как зашифровать для кого-либо сообщение, нужно получить открытый ключ этого человека. Как импортировать этот ключ в Mailvelope, рассказано ниже.
Шаг 1. После того, как получите открытый ключ собеседника (например, в приложении e-mail), сохраните его на своем компьютере.
Шаг 2. В меню настроек Mailvelope выберите вкладку Управление ключами (вверху), затем пункт Импортировать ключи (в столбце слева).
На этом экране можно:
- Поискать открытый ключ на сервере ключей по имени собеседника, адресу e-mail или идентификатору ключа.
- Выбрать файл, из которого нужно импортировать ключ.
- Скопировать и вставить текстовый файл с ключом.
В нашем примере мы предполагаем, что вы уже получили файл с ключом собеседника и сохранили его на диск.
Шаг 3. Нажмите кнопку [Выберите файл с текстом ключа, который вы хотите импортировать].
Шаг 4. Перейдите к файлу с ключом на компьютере и нажмите кнопку [Открыть].
Когда импорт произойдет, Mailvelope покажет сообщение вроде «Удачно! Открытый ключ 1FD8ADF3150F29B4 пользователя Mansour <mansour@riseup.net> импортирован в связку ключей».
Если выбрать пункт [Показать ключи] в столбце слева (вкладка Управление ключами, можно увидеть только что импортированный ключ:
Перед тем, как шифровать что-либо этим ключом, нужно убедиться в его подлинности.
Проверка ключа собеседника
Теперь нужно убедиться, что импортированный ключ действительно принадлежит его владельцу. Эту процедуру проверки (верификации) следует проделывать для каждого открытого ключа.
Свяжитесь со своим собеседником по другому каналу связи – такому, в котором вы совершенно уверены, что общаетесь именно с этим человеком. Лучше всего было бы лично встретиться, но если не получается, подойдет аудио- или видеосвязь. Главное, чтобы вы могли однозначно идентифицировать собеседника. По этому каналу вы обменяетесь отпечатками открытых ключей. Отпечатки не нужно хранить в секрете, поэтому и сами переговоры могут не быть конфиденциальными (если только вы не хотите обсудить еще что-нибудь очень важное и «не для чужих ушей»).
Отпечаток – уникальная серия знаков, которая однозначно идентифицирует ключ. В [Управлении ключами] Mailvelope вы можете выбрать Показать ключи (слева) и посмотреть свойства любого ключа, включая:
- Отпечаток ключевой пары, созданной вами.
- Отпечатки открытых ключей ваших собеседников (открытые ключи, импортированные вами в Mailvelope).
Чтобы увидеть отпечаток ключа, следуйте по шагам:
Шаг 1. В меню настроек Mailvelope выберите вкладку Управление ключами (вверху), затем пункт Показать ключи (в столбце слева).
Шаг 2. Выберите ключ, который хотите проверить.
В окне «Информация о ключе» вы увидите отпечаток выбранного вами ключа. В нашем примере отпечаток ключа mansour@riseup.net is 9A6A 8507 84CF 051F F6FA 0600 1FD8 ADF3 150F 29B4.
Ваш собеседник должен выполнить симметричные действия. Затем:
- Прочтите отпечаток своей ключевой пары вашему собеседнику.
- Пусть сравнит его с отпечатком вашего открытого ключа (который вы послали ему ранее). Отпечатки должны совпадать.
- Пусть собеседник прочтет вам отпечаток своей ключевой пары.
- Сравните с отпечатком его открытого ключа, который получили от него ранее. Отпечатки должны совпадать.
- Если отпечатки не совпадают, попробуйте снова обменяться ключами и провести проверку.
Примечание. Отпечатки ключей не являются секретными. Вы можете спокойно записать те знаки, которые вам продиктует собеседник, и проверить совпадение на досуге. Некоторые люди даже публикуют отпечатки ключей на визитных карточках.
Резервное копирование всех ключей
Созданная вами ключевая пара (пары) и полученные от знакомых открытые ключи – самые важные данные в том, что касается работы с Mailvelope. Вы можете сохранять все ключи в одном файле и создавать резервные копии ключей. (Подробнее о резервных копиях можно почитать в материале Как избежать потери данных). Советуем делать резервную копию всякий раз, когда вы создаете новую ключевую пару или импортируете открытый ключ.
Важно. Файл с резервной копией ключей содержит, помимо прочих, ваш секретный ключ. Этот файл не должен быть сохранен где-либо в интернете (например, в «облачном хранилище»).
Чтобы сохранить все ключи в одном файле, в меню настроек Mailvelope выберите вкладку Управление ключами (вверху).
Шаг 1. Нажмите на пункт Показать ключи (в столбце слева).
Шаг 2. Нажмите кнопку [Экспорт].
Примечание. Для файла, в котором будут храниться ваши ключи, можно выбрать любое имя. В нашем примере мы используем имя по умолчанию all_keys.asc.
Шаг 3. Нажмите кнопку [Сохранить].
Шаг 4. Сделайте резервную копию файла, а оригинал удалите с компьютера.
Важно. В этом файле содержится, помимо прочих, ваш секретный ключ, поэтому держите резервную копию в безопасном месте. Например, для этих целей подойдет зашифрованный контейнер VeraCrypt на USB-флешке, которую тоже неплохо было бы сохранить надежным способом.
Чтобы импортировать все ключи в этом файле следуйте инструкциям в части, посвященной импорту открытых ключей (часть 2.3).
Настройка Mailvelope для работы с веб-почтой
Mailvelope «из коробки» настроен для работы с некоторыми почтовыми сервисами, включая Gmail. Вы можете выяснить, есть ли ваш почтовый провайдер в списке Mailvelope. Просто зайдите в свою веб-почту и создайте новое сообщение. Кнопка Mailvelope должна быть видна в правом верхнем углу окна редактора, как на изображении ниже:
Если вы видите эту кнопку, можете пропустить остальные шаги в этой части.
На иллюстрации – Riseup, почтовый сервис, в котором используется популярный интерфейс веб-почты Roundcube. Похожим образом будут выглядеть многие другие почтовые системы. Если в своей почте вы не видите значка Mailvelope, действуйте по шагам.
Шаг 1. Запустите браузер, в котором установлен Mailvelope.
Шаг 2. Войдите в свою учетную запись e-mail.
Шаг 3. Перейдите в папку Входящие и откройте любое сообщение e-mail
Шаг 4. Нажмите значок Mailvelope на панели браузера. Откроется меню программы.
Шаг 5. Нажмите [Добавить], чтобы увидеть список провайдеров e-mail.
В нижней части экрана вы можете увидеть строчку mail.riseup.net.
Шаг 6. Вернитесь в браузер, где открыта ваша веб-почта.
Шаг 7. Откройте Новое, чтобы создать новое сообщение.
Шаг 8. Нажмите значок Mailvelope в панели браузера, чтобы увидеть меню Mailvelope.
Шаг 8. Снова нажмите кнопку [Добавить].
Браузер опять покажет список провайдеров e-mail.
Шаг 9. Закройте эту закладку в браузере и возвращайтесь к своей веб-почте.
Шаг 10. Перезагрузите страницу, на которой составляли письмо.
Теперь вы должны увидеть кнопку Mailvelope в окне редактора.
Шифрование и расшифровка текстовых сообщений и файлов
Итак, вы обменялись ключами со своими собеседниками и убедились, что Mailvelope готов к работе с вашим почтовым провайдером. Можно приступать собственно к шифрованию.
Обратите внимание: Mailvelope защищает только содержание сообщений и вложений. Следующие данные не шифруются никогда:
- Поле Тема.
- Адрес e-mail отправителя.
- Адрес e-mail получателя.
- Имена файлов и почтовых вложений.
- Реальные имена, которые можно связать с адресами e-mail («Ekaterina Petrova«, например: «Ekaterina_Petrova, ekaterina@riseup.net«)
Будьте осторожны с тем, как называете свои письма e-mail. Подумайте о том, чтобы создать пару ключей для каждой учетной записи, причем как минимум одна из этих пар не должна быть связана с вашим настоящим именем.
Постарайтесь избавиться от привычки сохранять в папке «Отправленные» текстовые (не зашифрованные) копии зашифрованные письма.
Шифрование сообщений в Mailvelope
Откройте браузер, в котором установлено дополнение Mailvelope, войдите в аккаунт веб-почты, с которой «умеет» работать Mailvelope, нажмите на кнопку «Написать» или «Написать новое».
Шаг 1. Заполните поля Кому, Копия и Тема, как обычно.
Примечание. Если значка Mailvelope нет в правом верхнем углу окна редактора, вернитесь к настройкам работы Mailvelope с различными провайдерами почты (выше).
Шаг 2. Нажмите кнопку Mailvelope. Откроется окно редактора Mailvelope.
Шаг 3. Наберите свое сообщение.
Важно. Если вы хотите зашифровать сообщение, лучше использовать описанный выше редактор Mailvelope, а не обычный редактор вашей веб-почты. В противном случае ваш провайдер, в принципе, может записывать ваши действия (написание сообщения), и вы даже не будете знать об этом.
Все адреса e-mail в полях Кому, Копия и Слепая копия будут автоматически скопированы в поле для адресатов в окне Compose E-mail Mailvelope. Ваше письмо будет зашифровано всеми этими ключами. Если какой-либо из адресов отмечен красным, значит, у вас нет открытого ключа этого человека (и отправить ему зашифрованное письмо не удастся).
Примечание. Принимая во внимание характер работы OpenPGP, мы не советуем вам полагаться на поле Скрытая копия (обычно используется, чтобы скрыть наличия в списке какое-либо адресата от других возможных адресатов.
Шаг 3. Когда закончите с выбором адресатов и составлением сообщения, нажмите кнопку [Зашифровать]. Ваше письмо будет зашифровано и передано в привычный редактор веб-почты.
Шаг 4. Нажмите кнопку [Отправки сообщения].
Расшифровка сообщений в Mailvelope
Откройте браузер, в котором установлено дополнение Mailvelope, войдите в аккаунт веб-почты, с которой «умеет» работать Mailvelope, откройте зашифрованное сообщение. Mailvelope автоматически распознает, что сообщение зашифровано. Поверх зашифрованного текста Mailvelope покажет значок конверта с замочком.
Шаг 1. Нажмите на значок конверта Mailvelope, чтобы перейти ко вводу пароля.
Шаг 2. Введите пароль (тот, который указывали при создании ключевой пары).
Важно. Если поставить отметку в поле Временно запомнить пароль, Mailvelope запомнит пароль в течение 30 минут. (Этот период можно изменять в настройках Mailvelope). Советуем снимать галочку в этом поле, если только вам подряд не нужно расшифровывать десятки писем.
Шаг 3. Нажмите кнопку [OK], чтобы расшифровать сообщение.
Примечание. Если Mailvelope говорит об ошибке, связанной с отсутствием нужного секретного ключа, это значит, что отправитель не зашифровал свое письмо вашим открытым ключом (может быть, у него вообще нет вашего открытого ключа). Вы не сможете расшифровать такое сообщение. Свяжитесь с отправителем, попросите снова зашифровать и отправить письмо, используя ваш открытый ключ. Возможно, понадобится отправить ему ключ и сделать проверку отпечатков.
Важно. Не следует хранить не зашифрованные копии зашифрованных писем и файлов на своем компьютере.
Подписывание сообщений и проверка подписей
Mailvelope умеет не только шифровать письма, но и подписывать их. Чтобы подписать сообщение, вы пользуетесь своим собственным секретным ключом. Соответственно, адресаты, которые имеют ваш открытый ключ, могут удостовериться, что сообщение действительно пришло от вас и не было как-либо изменено по пути.
В настоящее время Mailvelope не позволяет сразу шифровать и подписывать (одно и то же) сообщение.
Подписывание сообщения
Шаг 1. Напишите сообщение в редакторе Mailvelope, как показано на иллюстрации:
Шаг 2. Нажмите кнопку [Подписать].
Шаг 3. Выберите секретный ключ, с помощью которого будете подписывать сообщение.
Шаг 4. Нажмите кнопку [OK].
Шаг 5. Введите пароль для этого ключа.
Обратите внимание: мы сняли галочку в опции Временно запомнить пароль.
Шаг 6. Нажмите кнопку [OK].
Подписанное сообщение будет помещено в привычное окно веб-почты, как показано на изображении ниже:
Важно. Когда вы подписываете сообщение, оно автоматически не шифруется. Вы по-прежнему можете видеть его содержание. Блок «абракадабры» под сообщением – это и есть цифровая подпись. Не следует редактировать сообщения после цифровой подписи, но перед отправкой. Если вы это сделаете, адресаты увидят сообщение о неверной подписи.
Шаг 7. Нажмите [Отправить].
Проверка сообщения с подписью
Чтобы проверить подпись (предполагаем, что вы уже получили письмо с цифровой подписью и смотрите на него):
Шаг 1. Нажмите на значок конвертика с красной сургучной печатью.
Если у вас есть открытый ключ отправителя, над сообщением должно появиться извещение на зеленом фоне. Это значит, что все в порядке: мы убедились, что сообщение подписано действительно нашим собеседником.
Важно. Если вы видите сообщение, помеченное красным, со словами о недействительной подписи, значит, либо подпись поддельная, либо кто-то влез в содержание письма во время его доставки. Есть смысл связаться с адресатом (по какому-нибудь другому каналу связи) и удостоверить личность.
Возможно, вам встретится сообщение, помеченное желтым цветом, со словами о том, что письмо подписано неизвестным ключом. Значит, у вас нет соответствующего открытого ключа. Вы не сможете проверить подпись, не обладая ключом.
Шифрование и расшифровка
Mailvelope также умеет шифровать и расшифровывать файлы. Шифрованные файлы можно отправлять с почтой как файлы-вложения.
Шифрование файлов
Чтобы зашифровать файл, сначала откройте браузер, в котором установлен Mailvelope.
Шаг 1. Нажмите значок Mailvelope в панели браузера. Нажмите кнопку Настройки.
Шаг 2. Выберите вкладку File Encryption.
Шаг 3. Выберите в столбце слева Encryption.
Шаг 4. Нажмите кнопку [+ Добавить], чтобы выбрать файл.
В этом примере мы используем файл-картинку с именем picture.png. Вы можете добавить несколько файлов, они будут зашифрованы по отдельности.
Шаг 5. Нажмите кнопку [Next].
Шаг 6. Выберите адресата, кому собираетесь отправить зашифрованный файл (файлы).
Шаг 7. Нажмите кнопку [Добавить].
В этом примере мы выбираем ключи Екатерины и Мансура. Вы можете добавить более одного человека, включая себя.
Шаг 8. Нажмите кнопку [Зашифровать].
Шаг 9. Нажмите кнопку [Сохранить все].
Зашифрованные файлы будут сохранены в папку, куда ваш браузер обычно сохраняет файлы (скорее всего, это папка Загрузки). У зашифрованных файлов возникнет новое расширение .asc. Например, picture.png превратится в picture.png.asc. Теперь вы можете использовать эти файлы как вложения в письма и отправлять своим собеседникам.
Важно. Не забывайте, что у вас на компьютере могут остаться не зашифрованные файлы. Будьте осторожны, когда используете вложения: отправляйте файл с расширением asc (в нашем примере – picture.png.asc, а не picture.png). Оригинальный файл по-прежнему виден и не зашифрован. Выбирайте имя, которое не раскроет никакую важную информацию.
Расшифровка файлов
Допустим, вы получили зашифрованный файл как вложение в письмо и сохранили этот файл где-то на своем компьютере.
Шаг 1. Нажмите значок Mailvelope в панели браузера. Нажмите кнопку Настройки.
Шаг 2. Выберите вкладку File Encryption.
Шаг 3. Выберите в столбце слева Decryption.
Шаг 4. Нажмите кнопку [+ Добавить], чтобы выбрать файл.
Вы можете выбрать более одного файла (если все предполагаете зашифровать одним ключом).
Шаг 5. Нажмите кнопку [Next].
Шаг 6. Введите пароль к своему секретному ключу.
Обратите внимание: мы сняли галочку в опции Временно запомнить пароль.
Шаг 7. Нажмите кнопку [OK].
Шаг 8. Нажмите кнопку [Сохранить все].
Расшифрованные файлы будут сохранены в папку, куда ваш браузер обычно сохраняет файлы (скорее всего, это папка Загрузки).