Při pokusu o odeslání e-mailu se zapnutým koncovým šifrováním (e2ee) může Thunderbird hlásit, že šifrování není možné. Tento článek vysvětluje, jaké musí být splněny podmínky, aby bylo možno odeslat zašifrovanou e-mailovou zprávu.
Obsah
Seznam podmínek
Všechny body musí být splněny:
- Musíte mít osobní klíč OpenPGP nebo osobní certifikát S/MIME a musíte nakonfigurovat Thunderbird tak, aby ho používal. Jak se to dělá, je vysvětleno v samostatném článku Nastavení e-mailového účtu pro použití koncového šifrování.
- Pokud už máte svůj vlastní klíč nebo certifikát nakonfigurovaný z dřívějška, ujistěte se, že mu nevypršela doba platnosti, že nebyl odvolán a že jste ho nesmazali.
- Každý příjemce, kterého jste přidali do adresních polí Komu, Kopie nebo Skrytá kopie, musí rovněž vlastnit osobní klíč OpenPGP nebo osobní certifikát S/MIME a musí mít dostupný příslušný veřejný klíč nebo certifikát. Jak je možné je získat a používat, je vysvětleno v následujících kapitolách tohoto článku.
- Při použití skupinového šifrování s využitím funkce Alias příjemce OpenPGP musí být dostupné veřejné klíče všech příjemců definovaných pro alias e-mailové adresy.
- Pro všechny příjemce včetně sebe musíte mít klíče nebo certifikáty stejné technologie, protože OpenPGP a S/MIME jsou odlišné šifrovací technologie a nelze je v jednom e-mailu kombinovat. Při vytváření šifrovaného e-mailu se ujistěte, že jste vybrali správnou technologii.
Pokud potřebujete podrobnější vysvětlení pojmů uvedených v tomto článku a chcete se dozvědět, jak technologie šifrování e-mailů obecně funguje, můžete si přečíst článek Úvod do koncového šifrování v Thunderbirdu.
Získání veřejných klíčů OpenPGP korespondentů
K získání veřejného klíče OpenPGP lze použít tyto mechanismy:
- Váš korespondent vám pošle e-mail a k němu připojí svůj veřejný klíč. Pokud při prohlížení takového e-mailu kliknete na tlačítko OpenPGP zobrazené v oblasti záhlaví e-mailu, Thunderbird vám nabídne import klíče.
- Váš korespondent vám pošle e-mail, který obsahuje hlavičku Autocrypt obsahující jeho veřejný klíč. Pokud při prohlížení takového e-mailu kliknete na tlačítko OpenPGP zobrazené v oblasti záhlaví e-mailu, Thunderbird vám nabídne import klíče.
- Váš korespondent zveřejnil svůj veřejný klíč na webovém serveru. Váš korespondent vám pak na svůj veřejný klíč může poskytnout odkaz, anebo můžete pomocí webového vyhledávače najít klíč sami. V obou případech stáhnete veřejný klíč do místního souboru a poté tento soubor naimportujte do Thunderbirdu pomocí Správce klíčů OpenPGP.
- Váš korespondent zveřejnil svůj veřejný klíč na serveru, který používá protokol WKD. Při pokusu o odeslání šifrovaného e-mailu, kdy však pro e-mailovou adresu příjemce ještě nemáte veřejný klíč, vám může Thunderbird nabídnout provedení internetového vyhledávání, které dokáže najít veřejné klíče zveřejněné prostřednictvím protokolu WKD.
- Váš korespondent zveřejnil svůj veřejný klíč na serveru klíčů, který Thunderbird podporuje, například na serveru keys.openpgp.org. Při pokusu o odeslání šifrovaného e-mailu, kdy však pro e-mailovou adresu příjemce ještě nemáte veřejný klíč, vám může Thunderbird nabídnout provedení internetového vyhledávání, které dokáže najít veřejné klíče zveřejněné na tomto serveru klíčů.
- Váš korespondent zveřejnil svůj veřejný klíč na serveru klíčů, který Thunderbird zatím neumí automaticky dotazovat. Pokud vám korespondent sdělí, na kterém serveru klíčů je jeho klíč umístěn, můžete pak pomocí webového prohlížeče tento server klíčů navštívit, jeho veřejný klíč vyhledat, stáhnout ho do souboru a poté ho naimportovat do Thunderbirdu pomocí Správce klíčů OpenPGP.
Pokud Thunderbird nedokáže najít klíč automaticky, je obvykle nejjednodušší poslat korespondentovi prostý e-mail (bez šifrování) a požádat ho, aby vám poslal e-mail obsahující jeho veřejný klíč.
Ve verzích Thunderbirdu 78 a 91 to bylo tak, že když jste obdrželi e-mail s klíčem korespondenta, bylo nutné s tímto e-mailem interagovat a klíč importovat, a to buď kliknutím pravým tlačítkem myši na přílohu a vyžádáním importu, nebo kliknutím na tlačítko OpenPGP zobrazené v oblasti záhlaví zprávy, které mohlo hlásit, že e-mail obsahuje veřejný klíč, a mohlo nabídnout jeho import.
Ve verzi Thunderbirdu 102 a novějších bude Thunderbird automaticky shromažďovat nalezené klíče do mezipaměti pro pozdější použití. Pokud při psaní e-mailu dosud nebyl importován veřejný klíč korespondenta, může vám Thunderbird automaticky nabídnout použití veřejných klíčů, které již nashromáždil.
Podotýkáme, že tuto mezipaměť všech klíčů, které Thunderbird automaticky nashromáždil, není možné prohlížet. V případě potřeby vám Thunderbird nabídne odpovídající klíče v Asistentovi klíčů OpenPGP, který je přístupný z okna pro psaní zprávy Thunderbirdu.
Seznam již naimportovaných klíčů OpenPGP lze prohlížet pomocí Správce klíčů OpenPGP Thunderbirdu.
Získání certifikátů S/MIME korespondentů
Standardním způsobem distribuce certifikátu osoby je zaslání digitálně podepsaného e-mailu. Pokud jste od svého korespondenta obdrželi podepsaný e-mail, klikněte na něj a zobrazte si ho. Pokud Thunderbird považuje podpis e-mailu a certifikát odesílatele za platné, budou automaticky importovány a budou k dispozici při pokusu o zašifrování e-mailu danému korespondentovi pomocí technologie S/MIME. Pokud od svého korespondenta ještě nemáte podepsaný e-mail, můžete ho požádat, aby vám digitálně podepsaný e-mail poslal.
Upozorňujeme, že certifikáty vydané certifikačními autoritami mohou mít krátkou dobu platnosti. Po uplynutí doby platnosti již nejsou certifikáty použitelné. V takovém případě si váš korespondent bude muset pořídit nový certifikát. Jakmile se tak stane, bude vám moci poslat nový digitálně podepsaný e-mail s platným certifikátem.
Organizace, které provozují server LDAP, mohou svůj server nakonfigurovat tak, aby ukládal certifikáty S/MIME. Je-li takto server LDAP nakonfigurován, může se ho Thunderbird automaticky dotazovat, jestliže potřebuje získat certifikát S/MIME.
Seznam certifikátů S/MIME, které již máte, lze prohlížet pomocí Správce klíčů OpenPGP Thunderbirdu.
Technická platnost
Thunderbird používá pouze klíče a certifikáty, které považuje za technicky platné.
Thunderbird vyžaduje, aby klíč OpenPGP obsahoval alespoň jeden platný primární nebo podřízený klíč použitelný k vytváření digitálních podpisů a alespoň jeden klíč použitelný k šifrování.
Thunderbird může odmítnout používat klíče OpenPGP, které jsou poškozené nebo které jsou založeny na kryptografických algoritmech, které Thunderbird považuje za nebezpečné.
Veřejný klíč OpenPGP má vnitřní strukturu, může obsahovat několik podřízených klíčů a obsahuje také vlastnosti, jako je doba platnosti a přidružená uživatelská jména a e-mailové adresy. Tyto vlastnosti lze přidávat, odebírat nebo aktualizovat. Aby se zajistilo, že byly vlastnosti opravdu změněny právoplatným vlastníkem klíče, jsou digitálně podepsány pomocí tajného klíče vlastníka. Každý digitální podpis používá podpisový algoritmus. Thunderbird může ignorovat vlastnosti, které jsou založeny na nebezpečných podpisových algoritmech.
Pokud jste získali něčí veřejný klíč a Thunderbird ho odmítne importovat nebo používat, možné důvody jsou tyto:
- Po naimportování klíče se zdá, že klíč postrádá určité vlastnosti.
- Klíč má neočekávanou dobu platnosti.
- Klíč by mohl obsahovat nebezpečné vlastnosti, které se Thunderbird rozhodl odmítnout nebo ignorovat.
Shodná e-mailová adresa
Aby bylo možné použít veřejný klíč OpenPGP nebo certifikát S/MIME k odeslání šifrovaného e-mailu na určitou e-mailovou adresu, vyžaduje Thunderbird obvykle, aby vnitřní struktura klíče nebo certifikátu uváděla shodnou e-mailovou adresu. Díky tomu může Thunderbird automaticky rozhodnout, zda lze veřejný klíč nebo certifikát pro danou e-mailovou adresu použít.
Jinými slovy, pokud chce Alice odeslat šifrovaný e-mail na adresu bob@example.com, potřebuje veřejný klíč OpenPGP nebo certifikát S/MIME, který tvrdí, že je určen pro tuto e-mailovou adresu. Klíč nebo certifikát, který by tvrdil, že je určen pro adresu bobby@example.com, by Thunderbird nepoužil.
Pokud by Alice skutečně chtěla použít veřejný klíč nebo certifikát uvádějící adresu bobby@example.com k odeslání e-mailu na adresu bob@example.com, musela by mít dodatečné znalosti o Bobových e-mailových adresách, které nejsou zřejmé. Bob by musel požádat Alici o použití tohoto klíče navzdory neshodě e-mailových adres. Alice by musela požádat Thunderbird, aby použil veřejný klíč nebo certifikát navzdory této neshodě.
To je pokládáno za pokročilý scénář, k němuž by sice někteří uživatelé mohli být nuceni, ale který většina uživatelů nepotřebuje. Thunderbird pro tento případ v současné době nenabízí interakční řešení.
Nicméně protože někteří odborní uživatelé požadovali podporu pro používání nesouhlasných veřejných klíčů OpenPGP, nabízí Thunderbird pokročilý konfigurační mechanismus, který je zdokumentován v článku Thunderbird a alias klíče OpenPGP.
Přijetí
Pokud jste získali veřejný klíč OpenPGP a klíč tvrdí, že je na jméno vašeho korespondenta, a obsahuje jeho e-mailovou adresu, stále existuje riziko, že se nejedná o pravý klíč. Toto riziko je podrobně popsáno v článku Klíče OpenPGP mohou být pravé nebo padělané.
Kvůli tomuto riziku nepoužívá Thunderbird veřejné klíče OpenPGP automaticky, ale u každého veřejného klíče, který chcete použít, musíte potvrdit, že je pro vás přijatelný, jak je popsáno ve výše uvedeném článku.
Jinými slovy, pokud Alice získala veřejný klíč OpenPGP, který uvádí e-mailovou adresu bob@example.com, a Alice se pokusí odeslat zašifrovaný e-mail na adresu bob@example.com, může si Thunderbird postěžovat, že pro Boba zatím neexistuje přijatý klíč. Alice tedy musí postupovat podle pokynů uvedených na obrazovce a zkontrolovat klíč nebo klíče, které jsou k dispozici pro adresu bob@example.com; měla by je zkontrolovat, v ideálním případě ověřit, a musí klíč označit jako přijatý.
V případě S/MIME budou technicky platné certifikáty podepsané certifikační autoritou, která byla do Thunderbirdu zařazena podle zásad Mozilly pro kořenové úložiště, Thunderbirdem automaticky přijaty k účelům odesílání šifrovaných e-mailů na adresu uvedenou v certifikátu.
