Enigmail – дополнение к Thunderbird. С его помощью можно интегрировать возможности шифрования GnuPG в Thunderbird. Чтобы использовать Enigmail, надо установить обе эти программы.
Enigmail шифрует только тело (содержание) письма. Тема сообщения не будет зашифрована. Программа не умеет скрывать адреса получателя и отправителя, а также имена людей, связанные с этими адресами. Поэтому осторожно придумывайте темы для ваших писем, а также создайте ключ GnuPG хотя бы для одной из учетных записей, не связывая этот ключ со своим реальным именем.
Для работы с Thunderbird вам понадобится минимум одна учетная запись e-mail. Как и все почтовые клиенты, Thunderbird создает копии почтовых сообщений на вашем компьютере. Сюда входят электронные письма, которые вы отправляете и получаете. Поэтому очень важно, чтобы вместе с Thunderbird вы применяли шифрование (с помощью таких инструментов, как VeraCrypt).
Thunderbird не может защищитить ваше устройство, если вы открываете вложения с каким-нибудь вредоносным кодом или нажимаете на сомнительные ссылки. Не открывайте неизвестные вложения и будьте осторожны, когда нажимаете на ссылки в электронных письмах.
Отправка и получение зашифрованных сообщений
GNU Privacy Guard (GnuPG) – бесплатная криптографическая программа, которую разрабатывает GNU Project. Эта программа совместима со стандартом OpenPGP и другой шифровальной программой для e-mail под названием Pretty Good Privacy (PGP), которую разработал и продвигал американский программист Фил Зиммерман (Phil Zimmermann).
GnuPG основана на принципе криптографии с открытым ключом. Каждый пользователь создает собственную пару ключей. Эту пару ключей можно использовать для шифрования, расшифровки и цифровой подписи. В паре два ключа: секретный и открытый ключ.
- Ваш секретный ключ должен храниться в надежном месте. У того, кто заполучит секретный ключ, будет возможность читать зашифрованные письма, зашифрованные парным ему открытым ключом – письма, предназначенные только вам. С помощью этого же ключа можно подписывать отправляемые сообщения. Секретный ключ защищен паролем (его надо придумать при создании пары ключей). Пароль должен быть надежным.
- Открытый ключ можно давать друзьям и коллегам. Он не подходит для чтения зашифрованных сообщений или их подписывания. С помощью вашего открытого ключа другие люди будут шифровать сообщения для вас. Расшифровать эти сообщения сможет единственный человек в мире – вы, потому что только у вас есть парный секретный ключ. Таким образом, правило простое: хотите зашифровать кому-нибудь письмо – воспользуйтесь его открытым ключом. Только не перепутайте; если вы возьмете ключ какого-то третьего лица, адресат не сможет расшифровать сообщение, и ваша защита в целом будет ненадежной.
GnuPG и Enigmail позволяют прикреплять к сообщениям цифровые подписи. Если вы подписываете сообщение с помощью секретного ключа, то всякий, у кого есть копия вашего открытого ключа, сможет проверить подпись и убедиться, что сообщение было действительно отправлено вами и добралось до назначения без искажений. И наоборот: если у вас есть чей-то открытый ключ, вы можете проверять его цифровые подписи.
Установка Enigmail
В большинстве дистрибутивов Linux шифровальная программа GnuPG есть по умолчанию. Тем не менее, нужно установить Enigmail – дополнение для Thunderbird. Это позволит применять шифрование GnuPG для e-mail. Следуйте по шагам:
Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 2. Выберите в меню Дополнения. Появится окно управления дополнениями Thunderbird.
Шаг 3. Наберите в поисковой строке “Enigmail” (правый верхний угол), нажмите Enter.
Шаг 4. Нажмите кнопку “Установить” для установки Enigmail.
Шаг 5. Нажмите ссылку Перезапустить сейчас для перезапуска Thunderbird и окончания установки Enigmail.
Теперь нужно перезапустить Thunderbird. Вы увидите в меню “Enigmail”.
Создание шифровальных ключей и настройка Enigmail
Настало время настроить учетную запись (или несколько записей) для использования Enigmail и создать ключевую пару (или несколько).
Создание шифровальных ключей
Вы можете настроить Enigmail и создать пару шифровальных ключей, следуя по шагам:
Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 2. Выберите Enigmail > Мастер установки
Изображение 1. Мастер установки (настройки) Enigmail
Шаг 3. Чтобы применить стандартные настройки (лучше всего подходит новичкам), нажмите кнопку [Далее].
Изображение 2. Создание пары ключей
Шаг 4. Придумайте надежный пароль и наберите его в обоих окнах.
Примечание. Этот пароль защищает ваш секретный ключ. Без него вы не сможете подписывать и расшифровывать сообщения. Очень важно, чтобы пароль был действительно надежным, и чтобы вы хранили его в безопасности. Мы не советуем использовать в пароле русские буквы, потому что это может создать проблемы в дальнейшем.
Изображение 3. Указание надежного пароля
Шаг 5. Нажмите кнопку [Далее] для запуска процесса создания ключей.
Изображение 4. Создание пары ключей GnuPG
Enigmail сообщит, когда закончит создавать ключи.
Изображение 5. Пара ключей создана
Нужно также создать сертификат отзыва. Он пригодится, если нужно объявить о недействительности ключа. Когда это может понадобиться:
- Вы решили перестать использовать эту пару ключей.
- Вы потеряли секретный ключ.
- Вы забыли пароль к секретному ключу.
- Вы полагаете, что секретный ключ скомпрометирован или стал известен кому-то еще.
Сертификат отзыва особенно важен, если вы собираетесь загрузить свой открытый ключ на сервер ключей. После того, как вы загрузите туда ключ, не останется никакого способа «удалить» этот ключ. Вы ведь вряд ли захотите, чтобы ваши старые ключи (может быть, скомпрометированные) сбивали людей с толку.
Шаг 6. Нажмите кнопку [Создать сертификат отзыва].
Изображение 6. Ввод пароля к секретному ключу для создания сертификата отзыва
Шаг 7. Введите пароль к своему секретному ключу и нажмите кнопку OK.
Изображение 7. Выбор места для сохранения сертификата отзыва
Шаг 8. Перейдите туда, куда хотите сохранить свой сертификат отзыва.
Сертификат не содержит конфиденциальных данных. По сертификату нельзя «вычислить» ваш секретный ключ. Но если этот сертификат окажется в руках злоумышленника, тот сможет загрузить сертификат на сервер ключей и прекратить работу вашей текущей пары ключей.
Шаг 9. Нажмите кнопку [Сохранить] и сохраните сертификат отзыва на диск.
Изображение 8. Сертификат отзыва создан
Шаг 11. Нажмите кнопку [OK], чтобы вернуться к мастеру настройки Enigmail.
Изображение 9. Завершение настройки Enigmail
Шаг 12. Нажмите кнопку [Далее].
Изображение 10. Настройка Enigmail завершена
Шаг 13. Нажмите кнопку [Готово], чтобы начать использовать Enigmail.
Свойства ключей и управление ключами
Когда пара ключей создана, можно посмотреть ее свойства. Следуйте по шагам:
Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 2. Выберите в меню Enigmail > Менеджер ключей.
Изображение 1. Менеджер ключей Enigmail
Шаг 3. Дважды щелкните по ключевой паре, которая связана с вашей учетной записью почты.
Изображение 2. Свойства ключевой пары
В этом окне, помимо прочего, отображаются идентификатор и отпечаток открытого ключа. Для нашего случая идентификатор ключа ekaterina@riseup.net – 0x36A1F5C5, а полный отпечаток – C649 1B25 6620 39D6 74E9 52DE C7B1 8197 36A1 F5C5. Также показано, когда заканчивается срок действия ключа (22 сентября 2021 года).
Чтобы люди могли отправлять вам зашифрованные письма, нужно дать им ваш открытый ключ. По другому каналу вы можете передать и отпечаток ключа. Тогда ваши собеседники смогут сравнить этот отпечаток с тем ключом, который получили, и удостовериться, что ключ подлинный. Никому не давайте ваш секретный ключ. Если он попадет в руки злоумышленника, тот сможет расшифровывать сообщения, адресованные вам, и подписывать письма «от вашего имени».
Если хотите сменить пароль для секретного ключа, нажмите кнопку [Выбрать действие…], потом выберите Сменить пароль. Понадобится ввести действующий пароль и выбрать новый. Чтобы отозвать ключ, нажмите кнопку [Выбрать действие…], потом выберите в меню Отозвать ключ.
Настройка Enigmail для использования с учетной записью e-mail
Чтобы использовать Enigmail при работе с конкретной учетной записью, следуйте по шагам:
Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 2. Выберите в меню Настройки > Параметры учетной записи.
Изображение 1. Меню Thunderbird
Шаг 3. Выберите в левом меню (под адресом e-mail) пункт Защита OpenPGP.
Изображение 2. Параметры OpenPGP
Шаг 4. Убедитесь, что выбран пункт Включить поддержку OpenPGP (Engimail) для этой учетной записи.
Шаг 5. Убедитесь, что выбран пункт Использовать другой идентификатор OpenPGP-ключа, и выбран ключ с правильным идентификатором.
Шаг 6. Убедитесь, что выбран пункт Использовать PGP/MIME по умолчанию.
Шаг 7. Отметьте пункт Подписать зашифрованное сообщение.
Изображение 3. Настройка Enigmail для автоматического подписывания зашифрованных сообщений
Примечание. Если хотите, можете настроить Enigmail на отправку зашифрованных писем по умолчанию. (Если у адресата нет соответствующего ключа, ничего страшного). Для этого отметьте пункт Шифровать сообщения по умолчанию.
Шаг 8. Нажмите кнопку [OK] и вернитесь в главное окно Thunderbird.
Создание дополнительных шифровальных ключей
Довольно часто к одной паре ключей GnuPG «привязывают» более одного адреса e-mail. Но иногда уместно создать разные ключевые пары для разных учетных записей почты. Это особенно важно, если вы не хотите, чтобы кто-то знал о принадлежности обеих учетных записей одному человеку.
Можно создать новую пару ключей. Просто следуйте по шагам (ниже). На этом этапе мы предполагаем, что вторая учетная запись в Thunderbird уже создана (в нашем примере она соответствует адресу elenakaterina60@gmail.com).
Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 2. Выберите в меню Enigmail > Мастер установки
Изображение 1. Мастер настройки Enigmail
Шаг 3. Убедитесь, что выбор стоит на первом пункте (Я предпочитаю стандартную конфигурацию) и нажмите кнопку Далее. В открывшемся окне выберите пункт Я хочу создать новую ключевую пару для подписи и шифрования моей почты.
Изображение 2. Выбор создания новой пары ключей
Шаг 4. Нажмите кнопку Далее. Откроется окно для выбора учетной записи и ввода пароля. В поле Учетная запись / User ID выберите другую учетную запись.
Изображение 3. Выбор учетной записи для создания пары ключей GnuPG
Шаг 5. Придумайте надежный пароль для новой пары ключей и введите его в оба поля для паролей. Не используйте в паролях русские буквы.
Изображение 4. Указание пароля для новой пары ключей GnuPG
Шаг 6. Нажмите кнопку [Далее] для запуска процесса создания ключей.
Изображение 5. Создание пары ключей GnuPG
Когда этот процесс завершится, Enigmail предложит создать сертификат отзыва.
Изображение 6. Новая пара ключей создана
Шаг 7. Нажмите кнопку [Создать сертификат отзыва].
Изображение 7. Ввод пароля к секретному ключу для создания сертификата отзыва
Шаг 8. Введите пароль к своему секретному ключу (только что созданному) и нажмите кнопку OK.
Изображение 8. Выбор места для сохранения сертификата отзыва
Шаг 9. Перейдите туда, куда хотите сохранить свой сертификат отзыва.
Шаг 11. Нажмите кнопку [Сохранить].
Шаг 12. Нажмите кнопку [OK], чтобы вернуться к мастеру настроек Enigmail.
Шаг 13. Нажмите кнопку [Далее], а в следующем окне кнопку [Готово]. Создание новой пары ключей для второй учетной записи завершено.
Теперь в менеджере ключей (меню Enigmail > Менеджер ключей) вы можете увидеть обе созданные вами пары ключей.
Изображение 9. Две пары ключей в менеджере ключей Enigmail
Enigmail автоматически настроит вторую учетную запись для использования этой новой пары ключей. Ранее мы уже рассказывали, как можно изменить настройки для учетных записей. (Советуем настроить Enigmail на цифровую подпись зашифрованных писем по умолчанию, если у вас нет особых причин не делать это).
Обмен открытыми ключами
Перед тем, как отправлять друг другу зашифрованные письма, вам и вашим адресатам надо обменяться открытыми ключами. Следует также удостовериться, что каждый такой ключ действительно принадлежит его владельцу.
Отправка открытого ключа в виде вложения e-mail
Чтобы выполнить эту задачу, следуйте по шагам. Аналогичным образом ваши друзья должны отправить вам их открытые ключи.
Шаг 1. Откройте Thunderbird, нажмите в меню [Создать].
Шаг 2. Составьте сообщение.
Изображение 1. Сообщение в Thunderbird
Шаг 3. Нажмите в панели управления [Присоединить мой открытый ключ].
Изображение 2. Вложение открытого ключа перед отправкой сообщения
Соответствующая кнопка (и значок скрепки) изменят цвет: это значит, что ваш открытый ключ будет отправлен с этим письмом как вложение.
Шаг 4. Нажмите [Отправить].
Изображение 3. Thunderbird отправляет письмо с вложенным в него открытым ключом
Thunderbird может попросить ввести пароль учетной записи e-mail. Программа не спросит пароль к шифрованию GnuPG, если только вы не подписываете это письмо. (Отправка открытого ключа почтовым вложением не требует никаких действий с секретным ключом).
Изображение 4. Thunderbird запрашивает пароль к учетной записи e-mail
Шаг 5. Введите свой почтовый пароль и нажмите Enter.
Импорт открытого ключа из файла-вложения
Как вы, так и ваш адресат должны выполнить описанные здесь шаги, чтобы импортировать открытые ключи друг друга.
Файл-вложение с открытым ключом должен быть виден под текстом письма, в которое он был вложен.
Изображение 1. Открытый ключ в виде вложения
Шаг 1. Щелкните правой кнопкой мыши по вложению.
Изображение 2. Контекстное меню для ключа
Шаг 2. Выберите пункт Импорт ключа OpenPGP.
Изображение 3. Подтверждение импорта открытого ключа
Шаг 3. Нажмите кнопку [Да], чтобы импортировать открытый ключ.
Изображение 4. Свойства импортированного ключа, в том числе полный отпечаток
Шаг 4. Нажмите кнопку [OK].
Теперь в менеджере ключей Enigmail вы можете видеть открытый ключ вашего собеседника:
Шаг 5. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 6. Выберите в меню Enigmail > Менеджер ключей.
Изображение 5. Новый открытый ключ в менеджере ключей Enigmail
Проверка и подписывание открытых ключей
Теперь нужно удостовериться, что полученный вами ключ действительно принадлежит его владельцу. Это следует сделать и вам, и вашему собеседнику. Проверив ключ, вы должны подписать его. Так вы сообщаете GnuPG и Enigmail, что этому ключу можно доверять.
Проверка чужого открытого ключа
Чтобы проверить чей-либо открытый ключ, нужно связаться с этим человеком, используя альтернативные способы коммуникаций. Главное – вы должны быть совершенно уверены, что разговариваете с нужным человеком. Конечно, лучше всего личная встреча, но это не всегда возможно, и тогда ее заменяют голосовые и видеозвонки (если, конечно, вы можете узнать этого человека по голосу и внешнему виду). Вы сообщите друг другу отпечатки открытых ключей, которые нет надобности держать в секрете, поэтому эта ваша беседа необязательно должна быть конфиденциальной (разве что вы захотите попутно обсудить еще какие-нибудь важные темы).
Вам обоим нужно проверить отпечатки открытых ключей, которыми вы обменялись. Отпечатком назыается уникальный код, состоящий из цифр и букв, который идентифицирует пару ключей GnuPG. В менеджере ключей Enigmail вы сможете увидеть:
- Отпечаток созданной вами пары ключей.
- Отпечатки импортированных вами открытых ключей других людей.
Чтобы увидеть отпечаток пары ключей, следуйте по шагам.
Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 2. Выберите в меню Enigmail > Менеджер ключей.
Изображение 1. Менеджер ключей Enigmail
Шаг 3. Дважды щелкните по паре ключей, чтобы увидеть их свойства.
Изображение 2. Свойства ключа
В окне Свойства ключа можно увидеть отпечаток этого ключа. Например, для ekaterina@riseup.net в нашем примере отпечаток такой: C649 1B25 6620 39D6 74E9 52DE C7B1 8197 36A1 F5C5.
Ваш собеседник должен делать то же самое параллельно. Для проверки отпечатков:
- Прочитайте отпечаток своему собеседнику.
- Он должен убедиться, что прочитанный вами отпечаток совпадает с отпечатком открытого ключа, который он получил от вас накануне.
- Затем он прочитает вам свой отпечаток.
- Вы убедитесь, что его отпечаток его открытого ключа совпадает с тем, что вы только что услышали.
Если отпечатки не совпадают, обменяйтесь открытыми ключами снова и попробуйте еще раз.
Примечание. Сами по себе отпечатки не относятся к конфиденциальной информации. Вы можете просто записывать те буквы и цифры, которые вам диктует собеседник. Затем вы сможете сравнить эту запись с отпечатком ключа, полученного от собеседника. Это можно сделать в том же менеджере ключей Enigmail. (Некоторые люди даже указывают отпечаток ключей GnuPG на своих визитках).
Подписывание чужого проверенного открытого ключа
Когда вы закончили с проверкой ключа, нужно его подписать. Таким образом Enigmail будет в курсе, что вы считаете этот ключ подлинным.
Важно. Когда подписываете чей-либо открытый ключ, а потом делаете подписанный вами ключ доступным публично, вы раскрываете тот факт, что знакомы с данным человеком и, по всей вероятности, будете обмениваться с ним какой-то важной информацией. Чтобы это случайно не произошло, не забывайте выбирать пункт Локальная подпись, когда подписываете чей-либо открытый ключ.
Для того, чтобы подписать чей-либо проверенный ключ, следуйте по шагам.
Шаг 1. Нажмите кнопку в правом верхнем углу, чтобы вызвать меню Thunderbird.
Шаг 2. Выберите в меню Enigmail > Менеджер ключей.
Изображение 1. Менеджер ключей Enigmail
Шаг 3. Щелкните правой кнопкой мыши по открытому ключу, который вы хотите подписать.
Шаг 4. Выберите в меню пункт Подписать ключ.
Изображение 2. Подписывание чужого открытого ключа
Изображение 3. Подписывайте ключи локально, чтобы не раскрывать свою связь с владельцами ключей
Шаг 5. Убедитесь, что в полеКлюч для подписи выбран именно ваш ключ. Если у вас, например, две пары ключей, и вы хотите переписываться с адресатом, используя обе пары, следует подписать его ключ обоими вашими ключами.
Шаг 6. Выберите пункт Я провел очень тщательную проверку.
Примечание. Прочие опции (например, Я не проверял вовсе) могут не позволить вам отправлять зашифрованные сообщения владельцу этого ключа. Хуже того, эту опцию впоследствии будет трудно изменить. Поэтому мы советуем всегда выбирать вариант Я провел очень тщательную проверку, когда подписываете чей-либо открытый ключ.
Шаг 7. Отметьте пункт Локальная подпись (не может быть экспортирована).
Важно. Если только вы не эксперт в GnuPG и не уверены на 100 процентов, что владелец открытого ключа хочет, чтобы ваша подпись под его ключом была публичной, лучше всегда отмечать пункт Локальная подпись.
Шаг 8. Нажмите кнопку [OK].
Изображение 4. Ввод пароля к секретному ключу
Шаг 9. Введите пароль к секретному ключу.
Шаг 10. Нажмите кнопку [OK]. Ключ будет подписан. Таким образом мы сообщаем Enigmail, что проверили личность владельца ключа. Теперь мы можем отправлять ему зашифрованные сообщения.
Шифрование и расшифровка сообщений e-mail
GnuPG защищает только содержание письма и файлы-вложения. Не шифруются:
- Поле Тема.
- Адрес отправителя.
- Адрес получателя.
- Любые реальные имена, которые могут быть связаны с отправителем и получателем (например, Ekaterina Petrova <ekaterina@riseup.net>).
Кроме того, если вы в настройках Enigmail вы решите не использовать PGP/MIME, названия файлов-вложений, которые вы отправляете, тоже не будут зашифрованы. Поэтому аккуратнее выбирайте, как назвать письмо. Есть смысл создать отдельную пару ключей GnuPG хотя бы для одной учетной записи, которая не связана с вашим реальным именем. Наконец, включайте в настройках PGP/MIME (впрочем, эта опция включена по умолчанию).
Когда отправляете зашифрованное письмо, убедитесь, что копия письма (зашифрованная вашим открытым ключом) останется в папке Исходящие.
Отправка зашифрованного письма
Итак, вы и ваш собеседник успешно импортировали, проверили и подписали ключи друг друга. Теперь вы можете обмениваться шифрованными сообщениями. Следуйте по шагам:
Шаг 1. Откройте Thunderbird, нажмите [Создать] и составьте сообщение для адресата, чей подписанный открытый ключ у вас есть.
Изображение 1. Составление зашифрованного письма
Важно. Включенная кнопка замочка на панели инструментов говорит, что ваше сообщение будет зашифровано. Кнопка карандашика – что оно будет подписано. Убедитесь, что обе кнопки включены.
- По умолчанию Enigmail автоматически шифрует письма тем адресатам, чьи проверенные открытые ключи у вас есть.
- Мы включили подписывание зашифрованных сообщений в настройках Параметры учетной записи > Защита OpenPGP (см. выше).
Чтобы не шифровать или не подписывать сообщения, можно до отправки письма воспользоваться теми же кнопками замочка и карандашика. (Можно настроить Thunderbird так, чтобы письма по умолчанию не шифровались. Это можно сделать в меню Enigmail, далее пункт Настройки > Отправка > Установить собственные настройки шифрования).
Шаг 2. Закончите письмо.
Шаг 3. Нажмите кнопку [Отправить].
Изображение 2. Ввод пароля GnuPG
Шаг 4. Введите пароль GnuPG.
Шаг 5. Нажмите кнопку [OK].
Изображение 3. Ввод почтового пароля
Шаг 6. Введите пароль для своей учетной почтовой записи.
Шаг 7. Нажмите кнопку [OK]. Сообщение подписано, зашифровано и отправлено.
Расшифровка полученного зашифрованного письма
Когда вы нажимаете на зашифрованное сообщение, Enigmail предложит ввести пароль к вашему секретному ключу, чтобы расшифровать письмо.
Изображение 1. Ввод пароля GnuPG
Шаг 1. Введите пароль.
Шаг 2. Нажмите кнопку [ОК].
Изображение 2. Расшифрованное сообщение с проверенной подписью
Enigmail сообщит некоторые данные. В нашем примере можно видеть текст «Расшифрованное сообщение; Хорошая подпись от Mansour«. Это значит:
- Сообщение было зашифровано вашим открытым ключом (это мог сделать любой).
- Вы успешно расшифровали его.
- Оно было подписано человеком, у кого есть секретный ключ, связанный с адресом mansour@riseup.net, а у вас есть парный открытый ключ.
- Вы подписали открытый ключ mansour@riseup.net после того, как убедились, что он принадлежит настоящему Мансуру.