OpenPGP v Thunderbirdu – praktický návod a často kladené dotazy

Tento článek poskytuje podrobné informace pro uživatele Thunderbirdu, kteří chtějí odesílat a přijímat zašifrované a digitálně podepsané e-mailové zprávy pomocí standardu OpenPGP. Tato funkce je obecně známá jako koncové či end-to-end šifrování (e2ee) a zabezpečuje komunikaci proti jejímu sledování třetími stranami. Thunderbird 78 má zabudovanou podporu dvou šifrovacích standardů, OpenPGP a S/MIME.

Tento článek také poskytuje důležité informace pro uživatele bývalého doplňku Enigmail migrujících z Thunderbirdu 68 na Thunderbird 78.

O čem je koncové šifrování a jak to funguje?

Koncové šifrování zabezpečuje komunikaci proti jejímu sledování třetími stranami. Podívejte se prosím do článku Úvod do koncového šifrování v Thunderbirdu, v němž vysvětlujeme některé základní věci.

Podporuje Thunderbird OpenPGP?

Ano. Thunderbird 78 má zabudovanou podporu dvou šifrovacích standardů, OpenPGP a S/MIME. OpenPGP je od verze Thunderbirdu 78.2.1 ve výchozím nastavení povoleno.

Předchozí verze Thunderbirdu (verze 68 a dřívější) měly zabudovanou podporu standardu S/MIME a bylo možné přidat podporu standardu OpenPGP pomocí doplňku Enigmail a softwaru GnuPG. Doplněk Enigmail již není pro Thunderbird 78 k dispozici, s výjimkou pomoci jeho bývalým uživatelům s migrací na zabudovanou podporu OpenPGP nebo se získáním pokynů, jak obnovit jejich v Enigmailu nastavený „režim Junior“.

Proč byl Enigmail nahrazen a vrátí se?

Doplněk Enigmail byl v Thunderbirdu 78 nahrazen vestavěnou podporou OpenPGP.

Tato změna byla nutná, protože Thunderbird ve verzi 78 přestal podporovat starší doplňky, jako je právě Enigmail. Stejná změna proběhla ve Firefoxu v roce 2017. Thunderbird ho následoval v roce 2020, protože s Firefoxem sdílí kód platformy Mozilla.

Enigmail nebude dále vyvíjen ani migrován na jiné technologie doplňků. Patrick Brunschwig, autor Enigmailu, o této změně napsal:

„Mým cílem vždy bylo, aby byla podpora OpenPGP součástí základního produktu Thunderbird. I když to bude znamenat konec dlouhého příběhu, po 17 letech práce na Enigmailu jsem s tímto výsledkem velmi spokojen.“

Vypadá a funguje OpenPGP v Thunderbirdu 78 přesně jako Enigmail?

Ne, existuje několik rozdílů v uživatelském rozhraní a nabízených funkcích. Zabudovaná podpora OpenPGP v Thunderbirdu není přesnou kopií Thunderbirdu s Enigmailem. Thunderbird chce nabídnout plně integrované řešení a ve výchozím nastavení již nepoužívá GnuPG, aby se předešlo problémům s licencí. Tento dokument vysvětluje rozdíly:
https://wiki.mozilla.org/Thunderbird:OpenPGP:Migration-From-Enigmail

Nikdy předtím jsem u Thunderbirdu nepoužíval OpenPGP: Jak si mám OpenPGP nastavit?

Chcete-li v Thunderbirdu používat funkci OpenPGP, musíte pro svou e-mailovou adresu nastavit takzvaný pár osobních klíčů. Můžete tak učinit v nastavení vašeho účtu v podsekci End-to-End Encryption. Pokud jste již OpenPGP používali s jiným softwarem, musíte naimportovat záložní kopii svého stávajícího klíče. V opačném případě si můžete vytvořit nový klíč.

• ≡ > Nastavení účtu > vyberte svůj účet > End-to-End Encryption > Add key…
  • Pokud již máte pár osobních klíčů OpenPGP z jiného softwaru, zvolte Import an existing PGP key.
  • Pokud ještě klíč nemáte, zvolte Create a New OpenPGP key.
• Po jeho naimportování nebo vytvoření vyberte v nastavení účtu klíč, který chcete se svým e-mailovým účtem aktivně používat.

Pamatujte, že používání OpenPGP má své důsledky, jak je vysvětleno v obecném úvodu. Je důležité vytvořit zálohu svého klíče a uchovávat ji na bezpečném místě, odděleně od vašeho běžně používaného počítače.

Enigmail jsem používal dříve, jak provedu migraci a konfiguraci?

Své nastavení Thunderbirdu můžete převést ze starší verze (například 68.x) na verzi 78.x. Před prvním použitím Thunderbirdu 78 se doporučuje svůj starý profil Thunderbirdu zazálohovat, protože po převedení již nebude možné váš profil s Thunderbirdem 68 používat. Pokud se pak z jakéhokoli důvodu rozhodnete, že musíte pokračovat v používání Thunderbirdu 68 a Enigmailu, záloha vám umožní snadný návrat zpět.

Enigmail je aktuálně k dispozici ve dvou verzích, 2.1.x a 2.2.x:

• Enigmail 2.1.x funguje pouze s Thunderbirdem 68 a staršími verzemi a poskytuje klasickou funkcionalitu.
• Enigmail verze 2.2.x je speciálně upravená verze, která funguje pouze s Thunderbirdem 78 a novější verzí. Enigmail 2.2.x neposkytuje tradiční funkcionalitu, ale je tu jen proto, aby vám pomohl migrovat vaše klíče a nastavení do Thunderbirdu 78.

Pokud spustíte Thunderbird 78 s nějakým již existujícím profilem a v tomto předchozím profilu byl nainstalován Enigmail, Thunderbird 78 zjistí, že daný předchozí doplněk Enigmail 2.1.x není kompatibilní. Měl by automaticky zkontrolovat, zda není k dispozici novější verze, najít Enigmail 2.2.x a nainstalovat ho. Pak Enigmail automaticky otevře panel, který vás uvítá a vysvětlí vám, že je možné provést migraci a nabídne její zahájení.

K uchovávání a správě všech klíčů a nastavení důvěryhodnosti používal Enigmail software GnuPG. Pokud kliknutím na dané tlačítko zahájíte migraci, migrační doplněk Enigmail postupně načte vaše staré klíče z GnuPG. Pro potvrzení exportu svých klíčů z GnuPG a umožnění, aby byly odemknuty pro import do nového interního úložiště klíčů Thunderbirdu, musíte zadat hesla.

Thunderbird 78 používá jiná nastavení než Enigmail. U Enigmailu bylo možné povolit OpenPGP pro e-mailový účet, ovšem jeho nechal automaticky vybrat, který z vašich klíčů se bude používat. Thunderbird 78 kombinuje tato nastavení. K povolení OpenPGP pro e-mailový účet je nutné výslovně určit, který osobní klíč se má používat.

Pokud jste tedy dříve používali automatický výběr, pak migrace možná dosud nevybrala klíč. Po provedení migrace byste měli ručně zkontrolovat konfiguraci všech svých e-mailových účtů a identit, a v případě potřeby ručně vybrat náležitý klíč.

Migrace Enigmailu byla úspěšně dokončena, ale stále nemohu používat OpenPGP.

Pokud jste měli v Thunderbirdu 68 Enigmail pro nějaký e-mailový účet povolený a zaškrtli jste volbu „Použít e-mailovou adresu této identity k určení klíče OpenPGP“, nemusí být OpenPGP v Thunderbirdu 78 automaticky aktivováno. Musíte pomocí Nastavení účtu ručně vybrat klíč OpenPGP pro každý účet a identitu, které chcete s OpenPGP používat. Migrace Enigmailu je bohužel nevybere automaticky za vás.

Mohu provést migraci znovu?

Pokud je s migrací nějaký problém, můžete ji zopakovat. Migrace může například selhat, jestliže narazíte na chybu v Thunderbirdu nebo jestliže jste si nezapamatovali heslo pro všechny své osobní klíče a provedli jste tedy pouze částečnou migraci. Chcete-li migraci zopakovat, musíte získat přístup k příkazu v liště nabídky nacházející se v horní části okna. Pokud používáte Windows nebo Linux a lišta nabídky není zobrazena, klikněte pravým tlačítkem myši v horní části hlavního okna Thunderbirdu a povolte lištu nabídky. Poté přejděte do nabídky Nástroje a klikněte na položku Migrate Enigmail Settings.

Zkusil jsem naimportovat soubor s veřejnými klíči a zobrazí se chybová zpráva, že soubor je příliš velký.

Přečtěte si prosím odpověď na následující otázku.

Předtím jsem používal OpenPGP s GnuPG, ale s jiným poštovním softwarem. Jak mohu migrovat své klíče do Thunderbirdu 78?

Nejprve musíte vyexportovat klíče z onoho druhého softwaru a poté je opět naimportovat do Thunderbirdu.

Jednou z možností, jak vyexportovat své osobní klíče (nazývané také soukromé nebo tajné klíče), je jejich export do souboru pomocí příkazu z příkazového řádku. K exportu klíčů, které spravuje GnuPG, můžete použít následující příkaz:

gpg --export-secret-keys --armor > my-secret-keys.asc

Poté je můžete naimportovat do Thunderbirdu. Buď v Nastavení účtu v sekci End-to-end encryption pomocí tlačítka Add key a výběru možnosti Import, nebo kliknutím na liště nabídky na nabídku Nástroje a výběru položky OpenPGP Key Manager, v němž klikněte na nabídku File a položku Import Secret Keys. Pravděpodobně máte jen malé množství osobních klíčů, proto by tento postup měl fungovat.

Podobný postup můžete použít i k exportu veřejných klíčů svých korespondentů, a to za použití následujícího příkazu:

gpg --export --armor > all-public-keys.asc

Pokud však máte mnoho klíčů, můžete zaznamenat problém z důvodu aktuálního omezení v Thunderbirdu. Thunderbird v současné době nedokáže importovat velkou sadu klíčů v jediném kroku. Pokus o import souboru většího než 5 MB bude odmítnut.

Máte dvě možnosti, jak toto omezení obejít.

• První možností je použít grafického správce klíčů pro GnuPG a exportovat klíče do samostatných souborů. Například pokud mají všechny veřejné klíče celkovou velikost 17 MB, budete muset vytvořit 4 soubory a pro každý exportovaný soubor vybrat čtvrtinu veřejných klíčů. To je trochu těžkopádné.
• Nebo můžete zkusit naimportovat veřejné klíče do Thunderbirdu pomocí migračního doplňku Enigmail verze 2.2.x, a to i když jste předtím Enigmail nepoužívali.

Chcete-li tak učinit, vyhledejte v Thunderbirdu 78 doplněk Enigmail. Bude vám nabídnuta instalace verze 2.2.x. Po nainstalování klikněte na liště nabídky na nabídku Nástroje a zvolte Migrate Enigmail Settings. Upozorňujeme, že se to v závislosti na nastavení softwaru GnuPG ve vašem počítači nemusí zdařit, takže nelze zaručit, že tento postup bude fungovat.

Pokud byl software GnuPG ve vašem počítači správně nainstalován, migrační doplněk Enigmail ho najde a postupně naimportuje všechny veřejné klíče z GnuPG do Thunderbirdu, aniž by byl dotčen výše zmíněným velikostním limitem.

Enigmail hlásí, že migrace mého soukromého klíče se nezdařila

Toto by mohlo znamenat, že jste se pokoušeli naimportovat klíč, který ještě není softwarem RNP podporován. Dalším možným důvodem je neúplné nastavení softwaru GnuPG ve vašem počítači, zejména pokud jste při exportu vašeho soukromého klíče nebyli vyzváni k zadání hesla – toto by nemělo platit, pokud jste nedávno v počítači úspěšně použili Enigmail.

Dobrý způsob, jak zajistit, abyste měli GnuPG správně nainstalovaný, je použít následující postup:

• Nainstalujte Thunderbird 68 do samostatné složky, poté spusťte Thunderbird 68 s parametrem -P a spusťte ho s novým profilem. (Není třeba konfigurovat e-mailový účet, tento návrh můžete zrušit.)
• Poté do tohoto profilu Thunderbirdu 68 nainstalujte Enigmail a spusťte průvodce nastavením Enigmailu, který vám pomůže správně nastavit software GnuPG.

Jestliže toto nepomohlo, můžete se podívat do často kladených otázek ohledně Enigmailu: https://enigmail.net/index.php/en/faq-en?view=topic&id=14

Jaké typy klíčů OpenPGP jsou podporovány?

Vezměte prosím na vědomí, že Thunderbird ke zpracování klíčů používá software RNP, který zatím ještě nemusí podporovat určité typy klíčů. To znamená, že určité klíče, které jsou podporované softwarem GnuPG/Enigmail, nemusí ve výchozím nastavení fungovat s Thunderbirdem 78, zejména některé klíče s pokročilou strukturou. U soukromých klíčů je však možné problém vyřešit konfigurací Thunderbirdu tak, aby používal GnuPG, jak je vysvětleno v následující kapitole.

Naimportoval jsem svůj tajný klíč, ale Thunderbird nedokáže dešifrovat mé e-mailové zprávy

Možná jste naimportovali špatný klíč? Chcete-li zkontrolovat, zda jste opravdu naimportovali správný klíč, můžete postupovat následovně:

1. V Thunderbirdu klikněte na zprávu, o které si myslíte, že by měla jít dešifrovat, ale nejde.
2. Klikněte na ≡ > Uložit jako > Soubor a uložte zprávu do souboru na disku (např. jako /tmp/test.eml).
3. Otevřete terminál. Spusťte tento příkaz: gpg --list-packets /tmp/test.eml
   Měli byste získat seznam ID klíčů, které lze použít k dešifrování zprávy (zašifrováno pomocí ... ID ...).
4. Nyní se vraťte do Thunderbirdu: ≡ > Nástroje > Správce klíčů OpenPGP.
5. Dvojklikněte na každý z tajných klíčů, které máte k dispozici (jsou uvedeny tučně), pro zobrazení vlastností klíče a poté klikněte na kartu Struktura.

Je možno najít ID, které bylo zobrazeno výše příkazem gpg? Potřebujete mít tajné klíče alespoň pro jedno z ID, které zobrazil příkaz gpg. Pokud žádný odpovídající tajný klíč nemáte, nelze zprávu dešifrovat. Pokud odpovídající tajný klíč máte, ale Thunderbird přesto nedokáže zprávu dešifrovat, nahlaste prosím chybu ohledně Thunderbirdu s podrobnějšími informacemi o vašem klíči.

Pokud můj tajný klíč Thunderbird nepodporuje, co mám dělat?

Pro zpracovávání vašich tajných klíčů (pro digitální podepisování a dešifrování přijatých zpráv) umožňuje Thunderbird 78 volitelně nastavit externí software s názvem GnuPG. To umožní použití čipových karet nebo hardwarových tokenů, které uchovávají tajný klíč. Také ho můžete použít pro klíče, které jsou uloženy v souborech ve vašem počítači a nejsou podporovány v Thunderbirdu zabudovanou implementací OpenPGP.

Požadovaný software GnuPG si musíte nainstalovat a nakonfigurovat sami, protože ho nelze distribuovat společně s Thunderbirdem. Proto není tento mechanismus ve výchozím nastavení povolen. Chcete-li se dozvědět, jak ho používat, přečtěte si další dotaz týkající se čipových karet.

Podotýkáme, že veřejné klíče a jejich nastavení akceptace (pro šifrování a ověření podpisu) jsou vždy zpracovávány interním kódem Thunderbirdu.

Mohu s Thunderbirdem 78 použít čipovou kartu OpenPGP nebo hardwarový token?

Ano, nabízíme volitelný mechanismus. Vyžaduje, abyste si sami nainstalovali GnuPG a veškerý požadovaný software. Další podrobnosti naleznete v tomto dokumentu: https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards

Jak mohu odeslat zašifrovanou nebo digitálně podepsanou e-mailovou zprávu?

Ujistěte se, že máte pro svůj e-mailový účet nebo identitu nakonfigurovaný svůj osobní klíč. Při psaní e-mailové zprávy použijte nabídku Možnosti nebo nabídku u tlačítka Zabezpečení a aktivujte ochranu, kterou byste rádi použili.

Co je k odeslání zašifrované zprávy potřeba?

• Musíte mít nastaven a vybrán váš osobní klíč.
• Pro každého příjemce zašifrované zprávy, kterou chcete odeslat, musíte mít akceptovaný veřejný klíč. Veřejné klíče jsou často přiloženy k e-mailovým zprávám vašich korespondentů. V druhé části tohoto dokumentu naleznete více informací o získávání veřejných klíčů od ostatních.
• Musíte ověřit, že veřejné klíče vašich korespondentů skutečně patří jim. Pokud akceptujete něčí veřejný klíč bez toho, abyste ho ověřili, vystavíte svou komunikaci útokům „Monster in the middle“ (MITM).
• Pokud nemáte veřejný klíč pro každého z příjemců, bude odesílání vaší zprávy zablokováno a Thunderbird vás upozorní. Můžete si pak vybrat, jestli zprávu vůbec neodesílat, nebo jestli deaktivovat šifrování a odeslat zprávu bez ochrany.

Co znamená akceptace klíče?

Technicky vzato může kdokoli vytvořit klíč OpenPGP na číkoli jméno a za použití libovolné e-mailové adresy. Nikdo to nedokáže omezit nebo tomu zabránit. To znamená, že kdykoli obdržíte veřejný klíč korespondenta, riskujete, že jde o falešný klíč a o pokus vás oklamat. Jestliže jste klíč svého korespondenta neověřili, nemuseli byste vést důvěrnou konverzaci, ale místo toho byste mohli být obětí útoku „Monster in the middle“ (MITM). Je na vašem rozhodnutí, jestli si s tímto způsobem útoku děláte starosti, a možná se budete chtít rozhodovat individuálně na základě toho kterého korespondenta.

Jestliže klíč akceptujete, znamená to, že jste svolní tento klíč používat k odesílání šifrovaných zpráv tomuto korespondentovi. Pokud od nějakého korespondenta obdržíte e-mail, vaše akceptační rozhodnutí určuje, jak bude zobrazen digitální podpis. Jako platné se zobrazí pouze podpisy z akceptovaných klíčů.

Proč musím označit svůj vlastní tajný klíč jako akceptovaný coby osobní klíč?

Jedná se o teoretický útok. Thunderbird zachází s osobními klíči odlišně, uděluje těmto klíčům plnou důvěryhodnost, a my vynecháváme obvyklý dotaz ohledně jejich akceptace (ověřený, neověřený atd.).

Teoreticky by mohl útočník vytvořit klíč jménem jednoho z vašich kontaktů, poslat vám tajný klíč a navést vás k tomu, abyste si ho naimportovali. Požadováním, abyste potvrdili, že je nějaký tajný klíč váš vlastní klíč, si pravděpodobně povšimnete, že nejde o klíč vytvořený vaším jménem a pravděpodobně odmítnete jeho používání jakožto vašeho osobního klíče. Tím dojde k zastavení útoku. Toto nastavení je podobné modelu nastavení klíče v GnuPG jakožto majícího „ownertrust ultimate“.

Proč je při odpovědi na zašifrovanou zprávu automaticky aktivováno šifrování?

Při odpovědi se standardně citují (zahrnují) informace, které byly ve zprávě, na kterou odpovídáte. Váš korespondent mohl mít k zašifrování své zprávy dobré důvody, takže při vkládání původního textu do nové odesílané zprávy byste měli být velmi opatrní. Je radno pokračovat v používání šifrování. Pokud šifrovat nemůžete a pokud uvažujete o odpovědi bez šifrování, měli byste nejspíš z e-mailové zprávy, kterou píšete, odstranit veškerý citovaný text.

Jak získám veřejné klíče svých korespondentů?

Pokud vám váš korespondent pošle e-mail mající přiložený jeho veřejný klíč, nebo je veřejný klíč jako běžná příloha, nebo je obsažený ve skryté hlavičce e-mailu podle standardu Autocrypt, pak vám Thunderbird nabídne import klíče.

Klíče můžete zkusit najít na internetu podle e-mailové adresy kliknutím na e-mailovou adresu v e-mailové zprávě, kterou zrovna čtete, a poté na příkaz Discover key uvedeného v rozbalovací nabídce. Momentálně se budou vyhledávat publikované klíče pomocí protokolu WKD a rovněž se budou vyhledávat klíče na serveru klíčů key.openpgp.org. Stejný mechanismus lze použít v nástroji správce klíčů OpenPGP Key Manager pomocí nabídky Keyserver a příkazu Discover Keys Online, který umožňuje vyhledávat podle jakékoli e-mailové adresy nebo ID klíče či otisku prstu. Stejný mechanismus lze použít také při pokusu o odeslání zašifrovaného e-mailu a při přezkumu chybějících informací o klíči. Pokud byl klíč publikován na internetu, můžete si ho stáhnout a pomocí správce klíčů OpenPGP stažený soubor naimportovat. Nebo se můžete pokusit o import stažením z dané adresy URL.

Enigmail dříve nabízel vyhledávání na neověřujících serverech klíčů. Thunderbird toto v tuto chvíli nenabízí kvůli různým problémům, které byly v nedávné minulosti u těchto serverů klíčů zjištěny. Pokud potřebujete získat klíč ze serveru klíčů, který momentálně Thunderbird 78 nepodporuje, musíte k jeho získání použít jiný software, poté ho uložit do souboru, načež pak můžete pomocí Správce klíčů OpenPGP daný soubor veřejného klíče naimportovat.

Veřejné klíče korespondenta můžete získat z jiných serverů pomocí následujícího gpg příkazu:

gpg --keyserver pgp.key-server.io --armor --export PASTE_KEY_ID_HERE

Zkopírujte obdržený veřejný klíč PGP do schránky a naimportujte ho pomocí nabídky Upravit ve Správci klíčů OpenPGP výběrem možnosti Importovat klíče ze schránky.

Podporuje Thunderbird příležitostné nebo automatické šifrování?

Ne. V současné době Thunderbird vyžaduje, aby uživatel převzal kontrolu a rozhodl, kdy se šifrování má nebo nemá použít, a to zaškrtnutím příslušných voleb při psaní e-mailové zprávy.

Nakonfiguroval jsem doplněk Enigmail tak, aby důvěřoval všem použitelným klíčům. Podporuje to Thunderbird?

Ne. U každého veřejného klíče korespondenta, který chcete nebo potřebujete použít, Thunderbird 78 vyžaduje, abyste ho alespoň jednou akceptovali.

Proč když aktivuji šifrování, tak Thunderbird automaticky aktivuje digitální podpis?

Samotné zašifrování zpráv zajišťuje pouze důvěrnost obsahu, ale neposkytuje spolehlivé informace o skutečném odesílateli zprávy. Teoreticky by vám někdo mohl poslat zašifrovanou zprávu, ale fingovat odesílatele e-mailu, což by ve vás vyvolávalo falešný dojem důvěryhodné komunikace. Protože zašifrovaný e-mail bez digitálního podpisu není skutečně zabezpečený, důrazně se doporučuje e-maily také digitálně podepisovat.

Thunderbird momentálně nenabízí možnost zabránit v automatické aktivaci digitálního podepisování. V budoucnu bychom mohli uvažovat o tom, že toto nabídneme jako výchozí nastavení. Pokud v tuto chvíli nechcete odesílat digitální podpis, musíte tuto možnost před odesláním každého zašifrovaného e-mailu ručně deaktivovat.

Proč vždycky, když digitálně podepíšu e-mail, Thunderbird automaticky odesílá můj veřejný klíč?

Středobodem digitálního podepsání zprávy je to, že příjemce bude moci ověřit správnost digitálního podpisu. Digitální podpis nelze ověřit, jestliže není k dispozici veřejný klíč korespondenta. Aby se zajistilo, že vaši příjemci budou moci ověřit váš podpis, je nejlepší vždy přiložit váš veřejný klíč.

V tuto chvíli neposkytujeme možnost nastavit, aby při digitálním podepsání nebyl automaticky přiložen váš veřejný klíč, namísto toho je třeba ho před odesláním ručně deaktivovat.

Můj veřejný klíč je hodně velký, protože v něm mám mnoho podpisů. Je příliš velký na to, aby mohl být přiložen ke každé podepsané zprávě.

Z důvodu jistých omezení nejsme momentálně schopni váš klíč automaticky zmenšit na minimum. Pokud se chcete vyhnout tomu, aby byl s každou digitálně podepsanou zprávou odesílán váš velký klíč, můžete k úpravě a zmenšení svého klíče použít jiný software, například GnuPG. Ujistěte se, že máte spolehlivou zálohu svého tajného klíče. Poté svůj klíč vyexportujte. Pomocí jiného softwaru ho zmenšete na minimum. Poté v Thunderbirdu smažte svůj tajný klíč, naimportujte zmenšený klíč a upravte nastavení účtu tak, aby se používal tento klíč. Nějaká budoucí verze Thunderbirdu se může v případě potřeby pokusit klíč automaticky zmenšit na minimum, bude to ale záviset na budoucím rozsahu funkcí knihovny RNP.

U GnuPG jsem používal pokročilou konfiguraci, abych mohl používat skupinu příjemců a definovat klíče, které se mají použít.

V současné době tuto funkci Thunderbird 78 nepodporuje, chceme ji ale podporovat v budoucnu. Toto vylepšení je sledováno v chybě 1644085.

Podporuje Thunderbird pravidla podle příjemců nebo filtruje pravidla pro automatické dešifrování e-mailů?

Mohu zakázat zašifrování předmětu e-mailové zprávy?

Ne, v tuto chvíli ne.

Podporuje Thunderbird síť důvěry?

Ne. Thunderbird nebude automaticky důvěřovat klíčům ani akceptovat klíče, které podepsali ostatní. Pokud také v současnosti uvedete, že jste klíč korespondenta již ověřili, Thunderbird k němu nepřidá váš podpis. To se může v nějaké budoucí verzi Thunderbirdu změnit.

Když k migraci veřejných klíčů do Thunderbirdu používáte migrační nástroj Enigmail, měl by tento nástroj nalézt klíče, které již byly podepsány vaším osobním klíčem a automaticky je označit jako akceptované, takže nemusíte začínat úplně od nuly.

Jak si Thunderbird uchovává informace o tom, které klíče jsou akceptovány?

Tyto informace jsou uchovávány v souboru s názvem openpgp.sqlite nacházejícím se ve složce profilu Thunderbirdu.

Kde Thunderbird přechovává klíče OpenPGP?

Přechovává je ve složce profilu Thunderbirdu.

Jak mohu exportovat svůj tajný nebo veřejný klíč?

Použijte Správce klíčů OpenPGP, který najdete na globální liště nabídek v nabídce Nástroje. Najděte klíč, který si přejete vyexportovat, a kliknutím na něj ho vyberte. Poté na liště nabídek daného okna klikněte na nabídku Soubor a podle toho, co požadujete, vyberte buď Exportovat veřejný klíč nebo Zálohovat tajný klíč. Správce klíčů OpenPGP umožňuje také vyexportovat veřejné klíče vašich korespondentů.

Nebo popřípadě otevřete Nastavení účtu pro e-mailový účet klíče, který si přejete vyexportovat, a přejděte do jeho sekce Koncové šifrování. Vedle každého osobního klíče se nachází malá dvojšipka, kliknutím na níž otevřete podrobnosti o klíči. Kliknutím na tlačítko Více otevřete seznam možných akcí. Klikněte na položku Exportovat veřejný klíč nebo Zálohovat tajný klíč.

Potřebuji používat současně GnuPG i Thunderbird, mohu své klíče synchronizovat?

Ne. Thunderbird v tuto chvíli používá vlastní kopii klíčů a nepodporuje synchronizaci klíčů s GnuPG. Výjimkou je mechanismus nabízený pro čipové karty, pomocí něhož lze používat osobní klíče spravované softwarem GnuPG.

Jak je chráněn můj osobní klíč?

Při importu vašeho osobního klíče do Thunderbirdu ho odemkneme a chráníme jiným heslem, které je vytvořeno automaticky (namátkově). Stejné automatické heslo bude použito pro všechny tajné klíče OpenPGP spravované Thunderbirdem. Měli byste použít danou funkci Thunderbirdu a nastavit si hlavní heslo. Bez hlavního hesla jsou vaše klíče OpenPGP ve složce vašeho profilu nechráněné.

Podporuje Thunderbird Autocrypt?

Thunderbird nepodporuje filozofii Autocryptu, že šifrování by mělo být plně automatické. Thunderbird však poskytuje omezenou kompatibilitu s e-mailovými klienty, kteří Autocrypt podporují.

• Když odesíláte e-mail a použijete možnost přiložení svého veřejného klíče OpenPGP, a váš klíč je dostatečně jednoduchý, aby byl kompatibilní s Autocryptem, přidá Thunderbird do odchozího e-mailu příslušnou hlavičku, která vašemu korespondentovi umožní seznámit se s vaším veřejným klíčem.
• Když obdržíte e-mail, který obsahuje veřejný klíč korespondenta v hlavičce protokolu Autokryptu, umožní vám Thunderbird klíč naimportovat.
• V tuto chvíli Thunderbird nepodporuje funkci „Gossip“.

Dříve jsem v Enigmailu používal režim Junior (zelené, červené, žluté symboly), jaké mám možnosti?

Enigmail pro Thunderbird 68 nabízel dva velmi odlišné provozní režimy. Klasický režim, který byl v nastavení popsán jako „force using S/MIME and Enigmail“, a „režim Junior“, který byl implementován softwarem od softwarové společnosti pEp. Upozorňujeme, že Thunderbird není spojen se společností pEp.

Thunderbird 78 neposkytuje režim Junior; vestavěná funkce OpenPGP, kterou poskytuje Thunderbird 78, se více podobá klasickému provoznímu režimu Enigmailu.

Při spuštění Thunderbirdu 78 poté, co byl Enigmail aktualizován na verzi 2.2.x (verze poskytující pomoc s migrací), otevře Enigmail webovou stránku poskytovanou společností pEp, která vám nabídne stažení novější verze jejich softwaru.

Pokud nechcete software od pEp instalovat, můžete se pokusit o ruční migraci na novou vestavěnou funkci OpenPGP Thunderbirdu. Chcete-li tak učinit, musíte nastavit předvolbu, která zakazovala předchozí režim Junior. Otevřete nastavení Thunderbirdu v sekci Obecné, sjeďte dolů, otevřete Editor předvoleb a vyhledejte předvolbu „extensions.enigmail.juniorMode“. Dvojklikněte na ni a nastavte její hodnotu na nulu. Změna této předvolby způsobí, že migrační nástroj Enigmail bude mít za to, že jste dříve používali klasický režim Enigmailu.

Restartujte Thunderbird 78. Po restartu vám průvodce migrací Enigmailu 2.2.x nabídne provedení migrace vašich klíčů. Protože nástroj Enigmail migruje pouze klíče a nastavení, která byla spravována pomocí GnuPG, nemůže migrovat nastavení důvěryhodnosti, která byla spravována softwarem od pEp. Enigmail by však měl být schopen migrovat vaše osobní klíče, což vám umožní dešifrovat zprávy zašifrované těmito klíči. Enigmail by měl být také schopen migrovat veřejné klíče vašich korespondentů. Většina nebo všechny klíče korespondentů však budou mít pravděpodobně v Thunderbirdu 78 stav „neakceptováno“, takže při pokusu o jejich použití je budete muset jednou akceptovat nebo ověřit.

Jestliže se po restartu Thunderbirdu 78 žádná nabídka k provedení migrace neukáže, musíte získat přístup k příkazu v liště nabídky nacházející se v horní části okna. Pokud používáte Windows nebo Linux a lišta nabídky není zobrazena, klikněte pravým tlačítkem myši v horní části hlavního okna Thunderbirdu a povolte lištu nabídky. Poté přejděte do nabídky Nástroje a klikněte na položku Migrate Enigmail Settings.

K provedení migrace používám Enigmail 2.2.x, ale zdá se, že import se zasekl.

Je možné, že software narazil na problém. Přečtěte si prosím kapitolu o získání dalších informací při problémech.

Kde mohu vznášet dotazy ohledně funkce OpenPGP nebo hlásit problémy s ní?

Pokud není váš problém probrán na této stránce ani v odkazovaných dokumentech, podívejte se prosím na této stránce do části „Discussion“, kde najdete způsoby, jak nás kontaktovat: https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion

Jak si mohu ověřit, jestli problém, který mám, byl už nahlášen?

Podívejte se prosím do sekce "Open issues and TODO list" v tomto dokumentu: https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list

Vidím problém a chci ho zkusit analyzovat sám.

Bližší informace naleznete zde v sekci "Debugging / Tracing": https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing

Thunderbird byl automaticky aktualizován na verzi 78, ale raději zůstanu u Thunderbirdu 68 a Enigmailu.

Jakmile jste spustili Thunderbird 78 s nějakým profilem, nemůžete se snadno vrátit zpět k verzi 68, protože tento profil byl migrován a Thunderbird 68 ho odmítne použít a nespustí se.

• Pokud máte zálohu svého profilu, můžete ji zkusit obnovit, načež pak byste měli být schopni Thunderbird 68 znovu spustit.
• Pokud zálohu nemáte, můžete spustit Thunderbird 68 s novým profilem a znovu si Thunderbird nastavit.
• Použití spouštěcího parametru Thunderbirdu --allow-downgrade se nedoporučuje, protože ztratíte některá nastavení a může dojít k neočekávanému chování.

Obdržel jsem zašifrovaný e-mail se skrytým příjemcem (ID klíče 0x00000000) a Thunderbird ho nedokáže dešifrovat.

Toto zatím není podporováno. Přidání této funkce je sledováno zde: https://github.com/rnpgp/rnp/issues/1275