Confronta le versioni

OpenPGP in Thunderbird

Versione 210826:

Versione 210826 di michro del

Versione 211274:

Versione 211274 di michro del

Parole chiave:

Sommario dei risultati della ricerca:

Questo articolo contiene le risposte alle domande più frequenti sullo standard OpenPGP (crittografia end-to-end), sul suo funzionamento in Thunderbird e in che cosa differisce da Enigmail
Questo articolo contiene le risposte alle domande più frequenti sullo standard OpenPGP (crittografia end-to-end), sul suo funzionamento in Thunderbird e in che cosa differisce da Enigmail

Contenuti:

Questo articolo fornisce informazioni dettagliate per gli utenti di Thunderbird che desiderano inviare e ricevere messaggi di posta elettronica crittografati e firmati digitalmente utilizzando lo standard OpenPGP. Questa funzione è comunemente nota come crittografia end-to-end (e2ee) e rende le comunicazioni più sicure contro le intercettazioni da terze parti. In Thunderbird 78 è disponibile il supporto integrato per due standard di crittografia, OpenPGP e S/MIME. Questo articolo fornisce anche informazioni importanti per gli utenti del precedente componente aggiuntivo Enigmail che migrano da Thunderbird 68 a Thunderbird 78. __TOC__ == In che cosa consiste la crittografia end-to-end e come funziona? == La crittografia end-to-end (e2ee) rende le comunicazioni più sicure contro l'essere spiati da terzi. Fare riferimento all'articolo [[Introduction to End-to-end encryption in Thunderbird]] in cui vengono illustrate alcune delle nozioni di base. == Thunderbird supporta lo standard di crittografia OpenPGP? == Sì. In Thunderbird 78 è disponibile il supporto integrato per due standard di crittografia, OpenPGP e S/MIME. OpenPGP è stato attivato per impostazione predefinita a partire dalla versione 78.2.1. Le versioni precedenti di Thunderbird (versione 68 e precedenti) avevano il supporto S/MIME integrato ed era possibile aggiungere il supporto OpenPGP utilizzando il componente aggiuntivo Enigmail e il programma GnuPG. Il componente aggiuntivo Enigmail non è più disponibile per Thunderbird 78 se non per assistere i suoi ex utenti nella migrazione al supporto OpenPGP integrato o per ottenere indicazioni su come ripristinare la loro esperienza utente Enigmail "Junior Mode". == OpenPGP in Thunderbird 78 assomiglia a Enigmail e funziona esattamente allo stesso modo? == No, ci sono molte differenze nell'interfaccia utente e nelle caratteristiche offerte. Il supporto OpenPGP integrato di Thunderbird ''non'' è una copia esatta di Thunderbird con Enigmail. Thunderbird vuole offrire una soluzione completamente integrata e non utilizza più GnuPG per impostazione predefinita per evitare problemi di licenza. In questo documento (in inglese) vengono spiegate le differenze:<br/> https://wiki.mozilla.org/Thunderbird:OpenPGP:Migration-From-Enigmail == Non avendo mai utilizzato prima OpenPGP con Thunderbird, come si imposta OpenPGP? == Per utilizzare la funzionalità OpenPGP in Thunderbird, è necessario impostare una cosiddetta coppia di chiavi personali per il proprio indirizzo email. È possibile farlo nella sottosezione {menu Crittografia end-to-end} delle impostazioni del proprio account. Se si è già utilizzato OpenPGP con altri programmi, è necessario importare una copia di backup della propria chiave esistente. Altrimenti, è possibile creare una nuova chiave. * {menu ≡} > {menu Impostazione account} > ''selezionare il proprio account'' > {menu Crittografia End-to-End} > {button Aggiungi chiave…} ** Se si dispone già di una coppia di chiavi OpenPGP personale da un altro programma, scegliere {menu Importa una chiave OpenPGP esistente}. ** Se non si dispone ancora di una chiave, scegliere {menu Crea una nuova chiave OpenPGP}. * Dopo aver importato o creato la chiave, mentre si è ancora nelle impostazioni dell'account, selezionare la chiave che si desidera utilizzare attivamente con il proprio account di posta elettronica. Si noti che l'utilizzo di OpenPGP comporta delle conseguenze come spiegato nell'introduzione generale. È importante eseguire una copia di sicurezza ("copia di backup") della chiave e conservarla in un luogo sicuro, possibilmente non sul proprio computer ma su un dispositivo esterno. == Avendo già utilizzato Enigmail, come si esegue la migrazione e la configurazione? == È possibile aggiornare le impostazioni di Thunderbird da una versione precedente (come la versione 68.x) alla versione 78.x. Si consiglia di eseguire una copia di sicurezza del vecchio profilo Thunderbird prima di utilizzare Thunderbird 78 per la prima volta, poiché una volta eseguito l'aggiornamento, il profilo non può più essere utilizzato con Thunderbird 68. Se per qualsiasi motivo si decide di voler continuare a utilizzare Thunderbird 68 ed Enigmail, una copia di sicurezza del vecchio profilo consentirà di tornare indietro facilmente. Enigmail è attualmente disponibile in due versioni, la 2.1.x e la 2.2.x: * Enigmail 2.1.x funziona solo con Thunderbird 68 e versioni precedenti e fornisce la funzionalità classica. * La versione 2.2.x di Enigmail è una versione appositamente modificata, che funziona solo con Thunderbird 78 e versioni successive. Enigmail 2.2.x non fornisce la funzionalità classica, ma esiste per aiutare l'utente a migrare le sue chiavi e impostazioni in Thunderbird 78. Se si avvia Thunderbird 78 con un profilo esistente e nel profilo precedente era stato installato Enigmail, in Thunderbird 78 verrà rilevato che il precedente componente aggiuntivo Enigmail 2.1.x non è compatibile. Dovrebbe avviarsi la ricerca automatica di una versione più recente, verrà trovato Enigmail 2.2.x e verrà installato. Verrà aperto Enigmail automaticamente con una scheda di benvenuto, una spiegazione che segnala che è possibile eseguire la migrazione e un pulsante per avviarla. Enigmail utilizzava il programma GnuPG per archiviare e gestire tutte le chiavi e le impostazioni di fiducia. Se si fa clic sul pulsante per avviare la migrazione, il programma di migrazione Enigmail leggerà le vecchie chiavi dell'utente da GnuPG una dopo l'altra. È necessario inserire le password per confermare l'esportazione delle proprie chiavi da GnuPG e per consentirne lo sblocco per l'importazione nella nuova memorizzazione interna delle chiavi di Thunderbird. In Thunderbird 78 vengono utilizzate impostazioni diverse rispetto a Enigmail. Con Enigmail, era possibile attivare OpenPGP per un account di posta elettronica, ma lasciare che selezionasse automaticamente quale delle proprie chiavi sarebbe stata utilizzata. In Thunderbird 78 viene utilizzata una combinazione di queste impostazioni. Per attivare OpenPGP per un account di posta elettronica, è necessario specificare esplicitamente quale chiave personale utilizzare. Di conseguenza, se in precedenza l'utente aveva utilizzato la selezione automatica, la migrazione potrebbe non aver ancora selezionato una chiave. Dopo la migrazione, si dovrebbe controllare manualmente la configurazione di tutti i propri account di posta elettronica e identità e, se necessario, selezionare manualmente la chiave appropriata. == La migrazione di Enigmail è stata completata con successo, ma non è ancora possibile utilizzare OpenPGP == Se su Thunderbird 68 era stato attivato Enigmail per un account email ed era stata attivata la preferenza "Use email address of this identity to identify OpenPGP key", allora OpenPGP potrebbe non essere attivato automaticamente in Thunderbird 78. È necessario utilizzare le impostazioni dell'account per seleziona una chiave OpenPGP per ogni account e identità che si desidera utilizzare con OpenPGP. Sfortunatamente, la migrazione di Enigmail non li seleziona automaticamente per l'utente. == È possibile ripetere la migrazione? == Se si manifesta qualche problema con la migrazione, è possibile ripeterla. Ad esempio, la migrazione potrebbe non riuscire se si verifica un bug in Thunderbird o se non si ricorda la password per tutte le chiavi personali e si è eseguita solo una migrazione parziale. Per ripetere la migrazione, è necessario accedere a un comando dalla barra dei menu in alto. Se si sta utilizzando Windows o Linux e la barra dei menu in alto non è visibile, fare clic con il tasto destro del mouse nell'area superiore della finestra principale di Thunderbird e attivare la Barra dei menu. Quindi utilizzare il menu Strumenti, che contiene il comando "Migrate Enigmail Settings". == Provando a importare un file con chiavi pubbliche si riceve un messaggio di errore che indica che il file è troppo grande == La risposta a questo tipo di problema è riportata nella domanda del paragrafo successivo. == In precedenza è stato utilizzato OpenPGP con GnuPG, ma con un programma di posta elettronica diverso. Qual è la procedura da adottare per migrare le proprie chiavi in Thunderbird 78? == È necessario prima esportare le chiavi dall'altro programma e quindi reimportarle in Thunderbird. Come metodo di esportazione delle proprie chiavi personali (chiamate anche chiavi private o segrete), è possibile utilizzare un comando dal prompt dei comandi per esportarle in un file. Per esportare le chiavi gestite da GnuPG, è possibile utilizzare il seguente comando: gpg --export-secret-keys --armor > my-secret-keys.asc Sarà quindi possibile importarle in Thunderbird. Utilizzare la funzione "Aggiungi chiave…" e "Importa una chiave OpenPGP esistente" nelle impostazioni dell'account Thunderbird relative alla crittografia end-to-end, oppure utilizzare la Barra dei menu per aprire il menu Strumenti in cui compare la voce Gestore delle chiavi OpenPGP. Utilizzare le chiavi segrete di importazione dei file e selezionare il file creato con il metodo descritto qui sopra. Probabilmente si dispone solo una piccola quantità di chiavi personali, quindi questo approccio dovrebbe funzionare. Ho lasciato il testo originale in grassetto perché non sono sicuro della traduzione fatta qui sopra… '''Then you can import them into Thunderbird. Either use the Add Key and Import functionality in Thunderbird account settings, end-to-end encryption. Or use the global menu bar to open the Tools menu which offers the OpenPGP Key Manager. Use File Import Secret Keys and select the file you have created above. You probably have only a small amount of personal keys, therefore this approach should work.''' È possibile utilizzare un approccio simile per esportare le chiavi pubbliche dei propri corrispondenti e utilizzare il seguente comando: gpg --export --armor > all-public-keys.asc Tuttavia, se si dispone di molte chiavi, si potrebbe riscontrare un problema a causa di una limitazione corrente in Thunderbird. Attualmente, in Thunderbird non è possibile importare un grande insieme di chiavi in un unico passaggio. Un tentativo di importare un file di dimensioni superiori a 5 MB verrà rifiutato. È possibile utilizzare una delle due opzioni seguenti per aggirare questa limitazione. * La prima opzione è utilizzare un gestore di chiavi grafico per GnuPG ed esportare le chiavi in file separati. Ad esempio, se tutte le chiavi pubbliche in totale hanno una dimensione di 17 MB, si dovrebbe creare 4 file e selezionare un quarto delle chiavi pubbliche per ogni file esportato. Questo metodo è un piuttosto scomodo e laborioso. * In alternativa, per importare le chiavi pubbliche in Thunderbird, si potrebbe provare a utilizzare per la migrazione il componente aggiuntivo Enigmail versione 2.2.x, anche se non si è mai utilizzato Enigmail prima. Per farlo, utilizzare Thunderbird 78 e cercare il componente aggiuntivo Enigmail. Verrà offerta la possibilità di installare la versione 2.2.x. Dopo aver installato il componente aggiuntivo, è possibile accedere manualmente al comando "Migrate Enigmail Settings" dalla barra dei menu in alto di Thunderbird, sottomenu Strumenti. Tenere presente che questo metodo potrebbe fallire, perché dipende da come è stato configurato il programma GnuPG sul proprio computer, quindi non è possibile garantire che questo approccio funzioni. Se il programma GnuPG è stato installato correttamente sul computer, il componente aggiuntivo per la migrazione di Enigmail lo troverà e importerà tutte le chiavi pubbliche da GnuPG in Thunderbird una per una, senza essere influenzato dal limite di dimensioni sopra menzionato. == Compare una segnalazione di Enigmail che la migrazione della chiave privata è fallita == Ciò potrebbe significare che si stava tentando di importare una chiave che non è ancora supportata dal programma RNP. Un altro possibile motivo è una configurazione incompleta del programma GnuPG sul proprio computer, specialmente se non è comparsa la richiesta di inserire una password per esportare la propria chiave privata, questo non dovrebbe applicarsi se si è recentemente utilizzato con successo Enigmail sul computer. Un buon modo per assicurarsi di aver installato correttamente GnuPG è utilizzare la seguente procedura: * Installare Thunderbird 68 in una directory separata, eseguire quindi Thunderbird 68 con il parametro -P ed eseguirlo con un profilo separato (non è necessario configurare un account di posta elettronica, è possibile annullare il suggerimento). * Installare quindi Enigmail nel proprio profilo Thunderbird 68 ed eseguire la procedura guidata di configurazione di Enigmail, che aiuterà a configurare correttamente il programma GnuPG. Se queste informazioni non sono state d'aiuto, è possibile consultare le FAQ di Enigmail (in inglese) a questo link: https://enigmail.net/index.php/en/faq-en?view=topic&id=14 == Quali sono i tipi di chiavi OpenPGP supportati? == Si tenga presente che: in Thunderbird viene utilizzato il programma RNP per l'elaborazione delle chiavi, che potrebbe non supportare ancora alcuni tipi di chiavi. Ciò significa che alcune chiavi supportate da GnuPG / Enigmail potrebbero non funzionare con Thunderbird 78 per impostazione predefinita, specialmente alcune chiavi con una struttura avanzata. '''Tuttavia, per le chiavi private, si potrebbe risolvere il problema configurando Thunderbird per utilizzare GnuPG''', come spiegato nel paragrafo successivo. {warning}'''Le chiavi seguenti ''non'' sono o ''non sono ancora'' supportate da Thunderbird 78 ''per impostazione predefinita'':''' * Alcune chiavi che sono incomplete, ad esempio quelle che utilizzano una chiave primaria offline * Chiavi che utilizzano una password diversa per una sottochiave * Chiavi situate su una smartcard * Chiavi che utilizzano l'algoritmo hash MD5 * Alcune altre chiavi che il programma RNP potrebbe non supportare ancora Se si verifica che una chiave non funziona con Thunderbird, è il caso di segnalarlo agli sviluppatori di Thunderbird. Se possibile, e solo se si tratta di una chiave pubblica, includere una copia della chiave. '''Prestare attenzione a non inviare mai le proprie chiavi segrete o private.'''{/warning} == Che cosa si può fare se la propria chiave segreta non è supportata da Thunderbird? == In Thunderbird 78 è consentito configurare opzionalmente il programma esterno chiamato GnuPG per la gestione delle chiavi segrete (per la firma digitale e la decrittazione dei messaggi ricevuti). Ciò consentirà l'uso di smartcard o token hardware che memorizzano una chiave segreta. È possibile anche utilizzarlo per le chiavi che sono archiviate nei file sul proprio computer e non sono supportate dall'implementazione OpenPGP integrata di Thunderbird. È necessario installare e configurare personalmente il programma GnuPG richiesto, perché non può essere distribuito insieme a Thunderbird. Pertanto questo meccanismo non è attivato per impostazione predefinita. Per sapere come procedere, fare riferimento alla prossima domanda relativa alle smartcard. Tenere presente che le chiavi pubbliche e le relative impostazioni di accettazione (per la crittografia e la verifica della firma) sono sempre gestite dal codice interno di Thunderbird. == È possibile utilizzare una smartcard OpenPGP o un token hardware con Thunderbird 78? == Sì, è disponibile un meccanismo opzionale. È necessario installare personalmente GnuPG e tutti i programmi richiesti. Per maggiori dettagli, fare riferimento a questo documento (in inglese): https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards == How do I send an encrypted or digitally signed email? == Ensure that you have configured your personal key for your email account or identity. When you write an email, use the Options menu, or the menu found on the security button, and enable the protection you would like to use. == What is needed to send an encrypted message? == * You must have your personal key set up and selected. * You must have an accepted public key for every recipient of an encrypted message which you want to send. Public keys are often attached to the email messages of your correspondents. There is more information on getting public keys from others in another section of this document. * You must verify that the public keys of your correspondents really belong to them. If you accept someone’s public key without verifying it, you will be exposing your communication to Monster In The Middle attacks (MITM). * If you don't have a public key for every recipient, sending of your message will be blocked, and Thunderbird will alert you. You can choose between not sending the message at all, or disabling encryption and sending the message without protection. == What does key acceptance mean? == Technically, anyone is able to create an OpenPGP key in anyone's name, using any email address they want. Nobody is able to limit or prevent that. This means, whenever you receive a correspondent's public key, you risk that it is a false key, and an attempt to trick you. Unless you have verified your correspondent's key, you might not be having a confidential conversation, but rather you might be the victim of a Monster-In-The-Middle attack (MITM). It is your decision if you care about this attack vector, and you might want to decide individually based on the correspondent. If you accept a key, it means you are willing to use that key for sending encrypted messages to that correspondent. If you receive an email from a correspondent, your acceptance decision controls how the digital signature will be displayed. Only signatures from accepted keys will be shown as valid. == Why do I have to mark my own secret key as accepted as a personal key? == This is about a theoretical attack. Thunderbird treats personal keys differently, it grants full trust to those keys, and we skip the usual acceptance question (verified, unverified, etc.). In theory, an attacker might create a key in the name of one of your contacts, send the secret key to you, and trick you to import it. By requiring you to confirm that a secret key is your own key, you will probably notice that it isn't a key in your name, and you will probably reject its use as your personal key. This stops the attack. This setting is similar to GnuPG's model of setting key as having "ownertrust ultimate". == Why is encryption automatically enabled when I reply to an encrypted message? == When replying, the default is to quote (include) the information that was in the message that you reply to. Your correspondent might have good reasons to encrypt their message, so you should be very careful when including the original text in a new message you send. It is advisable to continue using encryption. If you are unable to encrypt, and if you consider to reply without encryption, you should probably remove all the quoted text from the email message you are writing. == How do I get the public keys of my correspondents? == If your correspondent sends you an email with their public key attached, or as a regular attachment, or contained in a hidden email header according to the Autocrypt standard, then Thunderbird will offer you to import the key. You may try to discover keys online by email address, by clicking on an email address in an email message you are reading, and using the command "discover key" shown in the popup menu. Currently, it will search for published keys using the WKD protocol, and it will search for keys in the keys.openpgp.org keyserver. The same mechanism can be used from the OpenPGP Key Manager, using the Keyserver, "Discover Keys Online" command, which allows you to search by any email address or key ID or fingerprint. Also, the same discovery mechanism can be used when having attempted to send an encrypted email, and reviewing the missing key information. If a key has been published on the Internet, you may download the key and use OpenPGP key manager to import the downloaded file. Or you may try to import by downloading from a given URL. Enigmail used to offer searching on non-verifying keyservers. At this time Thunderbird doesn't offer that, because of the various issues that were detected with those keyservers in the recent past. If you need to obtain a key from a keyserver that isn't currently support by Thunderbird 78, then you must other software to obtain it, then save it to a file, then you can use OpenPGP Key Manager to import the public key file == Does Thunderbird support opportunistic or automatic encryption? == No. At this time, Thunderbird requires the user to take control and decide when encryption should be used or not be used, by enabling the appropriate options when composing an email. == I had configured the Enigmail add-on to trust all usable keys. Does Thunderbird support that? == No. For each correspondent's public key that you want or need to use, Thunderbird 78 requires that you accept the key at least once. == Why does Thunderbird automatically enable the digital signature when I enable encryption? == Message encryption by itself only provides confidentiality of content, but it doesn't provide reliable information about the actual sender of the message. In theory, someone could send you an encrypted message, but fake the sender of the email, giving you a false impression of trustworthy communication. Because an encrypted email without digital signature is not really secure, it is highly recommended to also digitally sign emails. Thunderbird currently does not offer an option to prevent digital signing from being enabled automatically. We might consider to offer this as a default configuration in the future. At this time, if you don't want to send a digital signature, you must manually disable this option prior to sending on each encrypted email that you send. == Why does Thunderbird automatically send my public key whenever I digitally sign an email? == The whole point of digitally signing a message is that the recipient will be able to verify that the digital signature is correct. A digital signature cannot be verified if the correspondent’s public key is unavailable. To ensure that your recipients will be able to verify your signature, it is best to always include your public key. At this time, we don't provide a configuration option to automatically exclude your public key when digitally signing, rather it is necessary that you manually disable it prior to sending. == My public key is very big, because I have many signatures on it. It is too big to include it with every signed message. == Because of limitations, we currently aren't able to automatically minimize your key. If you want to avoid that your big key is sent with each digitally signed message, you could use other software, like GnuPG, to edit and minimize your key. Ensure you have a reliable backup of your secret key. Then export your key. Use other software to minimize it. Then delete your secret key in Thunderbird, import the minimized key, and ensure to adjust your account settings to use that key. A future version of Thunderbird may attempt to automatically minimize the key when appropriate, but this will depend on the future functionality in the RNP library. == I used an advanced configuration with GnuPG to use a group of recipients and define the keys to be used. == Currently, Thunderbird 78 doesn't support this feature, but we want to support it in the future. This enhancement is tracked in [https://bugzilla.mozilla.org/show_bug.cgi?id=1644085 Bug 1644085]. == Does Thunderbird support per recipient rules or filter rules to automatically decrypt emails? == {warning}Please note: Thunderbird does ''not'' currently support per recipient rules or filter rules to automatically decrypt emails as in the Enigmail add-on. Please ensure that your encryption and digital signature settings apply as expected.{/warning} == Can I disable the encryption of the email subject? == No, not at this time. == Does Thunderbird support the Web Of Trust? == No. Thunderbird will not automatically trust or accept keys that were signed by others. Also at this time, if you indicate that you have verified a correspondent's key, Thunderbird will not add your signature to it. This might change in a future version of Thunderbird. When using the Enigmail migration tool to migrate public keys to Thunderbird, it should detect keys that have already been signed by your personal key, and automatically mark the corresponding keys as accepted keys, so you don't need to start from scratch. == How does Thunderbird store which keys are accepted? == This information is stored in a file called openpgp.sqlite in the Thunderbird profile directory. ==Where does Thunderbird store OpenPGP keys? == It stores them in the Thunderbird profile directory. == I need to use both GnuPG and Thunderbird in parallel, can I synchronize my keys? == No. At this time, Thunderbird uses its own copy of keys, and doesn't support synchronizing keys with GnuPG. The exception is the mechanism offered for smartcards, which could be used to use the personal keys managed by GnuPG. == How is my personal key protected? == At the time you import your personal key into Thunderbird, we unlock it, and protect it with a different password, that is automatically (randomly) created. The same automatic password will be used for all OpenPGP secret keys managed by Thunderbird. You should use the Thunderbird feature to set a Master Password. Without a master password, your OpenPGP keys in your profile directory are unprotected. == Does Thunderbird support Autocrypt? == Thunderbird does not support the Autocrypt philosophy that encryption should be fully automatic. However, Thunderbird provides limited compatibility with email clients that support Autocrypt. * When sending an email and using the option to attach your OpenPGP public key, and your key is sufficiently simply to be compatible with Autocrypt, then Thunderbird will add the appropriate header in the outgoing email, which can allow your correspondent to learn about your public key. * When receiving email that contains a correspondent's public key in an Autocrypt header, Thunderbird allows you to import the key. * At this time, Thunderbird doesn't support the "Gossip" feature. == I previously used Enigmail's Junior Mode (green, red, yellow symbols), what are my options? == Enigmail for Thunderbird 68 had offered two very different modes of operation. A classic mode, which was described in settings as "force using S/MIME and Enigmail", and a "junior mode" which was implemented by software from the pEp software company. Note that Thunderbird is not affiliated with the pEp company. Thunderbird 78 does not provide the junior mode, the built-in OpenPGP feature that Thunderbird 78 provides is more similar to Enigmail's classic mode of operation. When starting Thunderbird 78, after Enigmail has been upgraded to version 2.2.x (the version that provides migration assistance), Enigmail will open a web page provided by the pEp company, which offers you to download a newer version of their software. If you don't want to install pEp software, you may attempt a manual migration to Thunderbird's new built-in OpenPGP feature. To do so, you must set the configuration that disabled the previous Junior Mode. Open the Thunderbird general settings, scroll to the bottom, open Config Editor, and search for "extensions.enigmail.juniorMode". Double click it to change it, and set the value to zero. This configuration change will cause the Enigmail migration tool to believe that you were previously using the Enigmail classic mode. Restart Thunderbird 78. After restarting, the Enigmail 2.2.x migration assistant will offer you to perform a migration of your keys. Because the Enigmail tool only migrates keys and settings that were managed using GnuPG, it cannot migrate the trust settings that were managed by pEp software. However, Enigmail should be able to migrate your personal keys, allowing you to decrypt the messages that are encrypted with that key. Enigmail should also be able to migrate the public keys of your correspondents. However, most or all correspondent keys will likely have the state "not accepted" in Thunderbird 78, so you will have to accept or verify them once when you're trying to use them. After restarting Thunderbird 78, if no migration offer is shown, then you need to access a command from the top menu bar. If you are using Windows or Linux, and the top menu bar isn't visible, use a mouse right click in the top area of the Thunderbird main window, and enable the menu bar. Then open the Tools menu, which contains the command "Migrate Enigmail Settings". == I am using Enigmail 2.2.x to perform a migration, but the import appears stuck. == Maybe the software has run into a problem. Please refer to the section about obtaining more information on failure. == Where can I ask questions about, or report problems with the OpenPGP feature? == If your problem isn't covered on this page or in the linked documents, please refer to section "Discussion" on the following page for ways to contact us: https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion == How can I check if the problem I have has already been reported? == Please refer to section "Open issues and TODO list" here: https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list == I am seeing a problem and I want to try and analyze it myself. == More information can be found here in section "Debugging / Tracing": https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing == Thunderbird was automatically upgraded to version 78, but I prefer to stay with Thunderbird 68 and Enigmail. == As soon as you have started Thunderbird 78 with a profile, you cannot easily go back to 68, because the profile has been migrated, and Thunderbird 68 will refuse to use it, and will not start. * If you have a backup of your profile, you can try to restore it, then you should be able to start Thunderbird 68 again. * If you don't have a backup, you could create Thunderbird 68 with a fresh profile and configure Thunderbird again. * The use of the Thunderbird startup parameter --allow-downgrade is not recommended, because you will lose some configuration settings and may get unexpected behavior. == I received an encrypted email with a hidden recipient (key ID 0x00000000) and Thunderbird cannot decrypt it. == This is not yet supported. The addition of the feature is tracked here: https://github.com/rnpgp/rnp/issues/1275
Questo articolo fornisce informazioni dettagliate per gli utenti di Thunderbird che desiderano inviare e ricevere messaggi di posta elettronica crittografati e firmati digitalmente utilizzando lo standard OpenPGP. Questa funzione è comunemente nota come crittografia end-to-end (e2ee) e rende le comunicazioni più sicure contro le intercettazioni da terze parti. In Thunderbird 78 è disponibile il supporto integrato per due standard di crittografia, OpenPGP e S/MIME. Questo articolo fornisce anche informazioni importanti per gli utenti del precedente componente aggiuntivo Enigmail che migrano da Thunderbird 68 a Thunderbird 78. __TOC__ == In che cosa consiste la crittografia end-to-end e come funziona? == La crittografia end-to-end (e2ee) rende le comunicazioni più sicure contro l'essere spiati da terzi. Fare riferimento all'articolo [[Introduction to End-to-end encryption in Thunderbird]] in cui vengono illustrate alcune delle nozioni di base. == Thunderbird supporta lo standard di crittografia OpenPGP? == Sì. In Thunderbird 78 è disponibile il supporto integrato per due standard di crittografia, OpenPGP e S/MIME. OpenPGP è stato attivato per impostazione predefinita a partire dalla versione 78.2.1. Le versioni precedenti di Thunderbird (versione 68 e precedenti) avevano il supporto S/MIME integrato ed era possibile aggiungere il supporto OpenPGP utilizzando il componente aggiuntivo Enigmail e il programma GnuPG. Il componente aggiuntivo Enigmail non è più disponibile per Thunderbird 78 se non per assistere i suoi ex utenti nella migrazione al supporto OpenPGP integrato o per ottenere indicazioni su come ripristinare la loro esperienza utente Enigmail "Junior Mode". == OpenPGP in Thunderbird 78 assomiglia a Enigmail e funziona esattamente allo stesso modo? == No, ci sono molte differenze nell'interfaccia utente e nelle caratteristiche offerte. Il supporto OpenPGP integrato di Thunderbird ''non'' è una copia esatta di Thunderbird con Enigmail. Thunderbird vuole offrire una soluzione completamente integrata e non utilizza più GnuPG per impostazione predefinita per evitare problemi di licenza. In questo documento (in inglese) vengono spiegate le differenze:<br/> https://wiki.mozilla.org/Thunderbird:OpenPGP:Migration-From-Enigmail == Non avendo mai utilizzato prima OpenPGP con Thunderbird, come si imposta OpenPGP? == Per utilizzare la funzionalità OpenPGP in Thunderbird, è necessario impostare una cosiddetta coppia di chiavi personali per il proprio indirizzo email. È possibile farlo nella sottosezione {menu Crittografia end-to-end} delle impostazioni del proprio account. Se si è già utilizzato OpenPGP con altri programmi, è necessario importare una copia di backup della propria chiave esistente. Altrimenti, è possibile creare una nuova chiave. * {menu ≡} > {menu Impostazione account} > ''selezionare il proprio account'' > {menu Crittografia End-to-End} > {button Aggiungi chiave…} ** Se si dispone già di una coppia di chiavi OpenPGP personale da un altro programma, scegliere {menu Importa una chiave OpenPGP esistente}. ** Se non si dispone ancora di una chiave, scegliere {menu Crea una nuova chiave OpenPGP}. * Dopo aver importato o creato la chiave, mentre si è ancora nelle impostazioni dell'account, selezionare la chiave che si desidera utilizzare attivamente con il proprio account di posta elettronica. Si noti che l'utilizzo di OpenPGP comporta delle conseguenze come spiegato nell'introduzione generale. È importante eseguire una copia di sicurezza ("copia di backup") della chiave e conservarla in un luogo sicuro, possibilmente non sul proprio computer ma su un dispositivo esterno. == Avendo già utilizzato Enigmail, come si esegue la migrazione e la configurazione? == È possibile aggiornare le impostazioni di Thunderbird da una versione precedente (come la versione 68.x) alla versione 78.x. Si consiglia di eseguire una copia di sicurezza del vecchio profilo di Thunderbird prima di utilizzare Thunderbird 78 per la prima volta, poiché una volta eseguito l'aggiornamento, il profilo creato da Thunderbird 78 non può più essere utilizzato con Thunderbird 68. Se per qualsiasi motivo si decide di voler continuare a utilizzare Thunderbird 68 ed Enigmail, una copia di sicurezza del vecchio profilo consentirà di tornare indietro facilmente. Enigmail è attualmente disponibile in due versioni, la 2.1.x e la 2.2.x: * Enigmail 2.1.x funziona solo con Thunderbird 68 e versioni precedenti e fornisce la funzionalità classica. * La versione 2.2.x di Enigmail è una versione appositamente modificata, che funziona solo con Thunderbird 78 e versioni successive. Enigmail 2.2.x non fornisce la funzionalità classica, ma esiste per aiutare l'utente a migrare le sue chiavi e impostazioni in Thunderbird 78. Se si avvia Thunderbird 78 con un profilo esistente e nel profilo precedente era stato installato Enigmail, in Thunderbird 78 verrà rilevato che il precedente componente aggiuntivo Enigmail 2.1.x non è compatibile. Dovrebbe avviarsi la ricerca automatica di una versione più recente, verrà trovato Enigmail 2.2.x e verrà installato. Verrà aperto Enigmail automaticamente con una scheda di benvenuto, una spiegazione che segnala che è possibile eseguire la migrazione e un pulsante per avviarla. Enigmail utilizzava il programma GnuPG per archiviare e gestire tutte le chiavi e le impostazioni di fiducia. Se si fa clic sul pulsante per avviare la migrazione, il programma di migrazione Enigmail leggerà le vecchie chiavi dell'utente da GnuPG una dopo l'altra. È necessario inserire le password per confermare l'esportazione delle proprie chiavi da GnuPG e per consentirne lo sblocco per l'importazione nella nuova memorizzazione interna delle chiavi di Thunderbird. In Thunderbird 78 vengono utilizzate impostazioni diverse rispetto a Enigmail. Con Enigmail, era possibile attivare OpenPGP per un account di posta elettronica, ma lasciare che selezionasse automaticamente quale delle proprie chiavi sarebbe stata utilizzata. In Thunderbird 78 viene utilizzata una combinazione di queste impostazioni. Per attivare OpenPGP per un account di posta elettronica, è necessario specificare esplicitamente quale chiave personale utilizzare. Di conseguenza, se in precedenza l'utente aveva utilizzato la selezione automatica, la migrazione potrebbe non aver ancora selezionato una chiave. Dopo la migrazione, si dovrebbe controllare manualmente la configurazione di tutti i propri account di posta elettronica e identità e, se necessario, selezionare manualmente la chiave appropriata. == La migrazione di Enigmail è stata completata con successo, ma non è ancora possibile utilizzare OpenPGP == Se su Thunderbird 68 era stato attivato Enigmail per un account email ed era stata attivata la preferenza "Use email address of this identity to identify OpenPGP key", allora OpenPGP potrebbe non essere attivato automaticamente in Thunderbird 78. È necessario utilizzare le impostazioni dell'account per seleziona una chiave OpenPGP per ogni account e identità che si desidera utilizzare con OpenPGP. Sfortunatamente, la migrazione di Enigmail non li seleziona automaticamente per l'utente. == È possibile ripetere la migrazione? == Se si manifesta qualche problema con la migrazione, è possibile ripeterla. Ad esempio, la migrazione potrebbe non riuscire se si verifica un bug in Thunderbird o se non si ricorda la password per tutte le chiavi personali e si è eseguita solo una migrazione parziale. Per ripetere la migrazione, è necessario accedere a un comando dalla barra dei menu in alto. Se si sta utilizzando Windows o Linux e la barra dei menu in alto non è visibile, fare clic con il tasto destro del mouse nell'area superiore della finestra principale di Thunderbird e attivare la Barra dei menu. Quindi utilizzare il menu Strumenti, che contiene il comando "Migrate Enigmail Settings". == Provando a importare un file con chiavi pubbliche si riceve un messaggio di errore che indica che il file è troppo grande == La risposta a questo tipo di problema è riportata nella domanda del paragrafo successivo. == In precedenza è stato utilizzato OpenPGP con GnuPG, ma con un programma di posta elettronica diverso. Qual è la procedura da adottare per migrare le proprie chiavi in Thunderbird 78? == È necessario prima esportare le chiavi dall'altro programma e quindi reimportarle in Thunderbird. Come metodo di esportazione delle proprie chiavi personali (chiamate anche chiavi private o segrete), è possibile utilizzare un comando dal prompt dei comandi per esportarle in un file. Per esportare le chiavi gestite da GnuPG, è possibile utilizzare il seguente comando: gpg --export-secret-keys --armor > my-secret-keys.asc Sarà quindi possibile importarle in Thunderbird. Utilizzare la funzione "Aggiungi chiave…" e "Importa una chiave OpenPGP esistente" nelle impostazioni dell'account Thunderbird relative alla crittografia end-to-end, oppure utilizzare la Barra dei menu per aprire il menu Strumenti in cui compare la voce Gestore delle chiavi OpenPGP. Utilizzare le chiavi segrete di importazione dei file e selezionare il file creato con il metodo descritto qui sopra. Probabilmente si dispone solo una piccola quantità di chiavi personali, quindi questo approccio dovrebbe funzionare. Ho lasciato il testo originale in grassetto perché non sono sicuro della traduzione fatta qui sopra… '''Then you can import them into Thunderbird. Either use the Add Key and Import functionality in Thunderbird account settings, end-to-end encryption. Or use the global menu bar to open the Tools menu which offers the OpenPGP Key Manager. Use File Import Secret Keys and select the file you have created above. You probably have only a small amount of personal keys, therefore this approach should work.''' È possibile utilizzare un approccio simile per esportare le chiavi pubbliche dei propri corrispondenti e utilizzare il seguente comando: gpg --export --armor > all-public-keys.asc Tuttavia, se si dispone di molte chiavi, si potrebbe riscontrare un problema a causa di una limitazione corrente in Thunderbird. Attualmente, in Thunderbird non è possibile importare un grande insieme di chiavi in un unico passaggio. Un tentativo di importare un file di dimensioni superiori a 5 MB verrà rifiutato. È possibile utilizzare una delle due opzioni seguenti per aggirare questa limitazione. * La prima opzione è utilizzare un gestore di chiavi grafico per GnuPG ed esportare le chiavi in file separati. Ad esempio, se tutte le chiavi pubbliche in totale hanno una dimensione di 17 MB, si dovrebbe creare 4 file e selezionare un quarto delle chiavi pubbliche per ogni file esportato. Questo metodo è un piuttosto scomodo e laborioso. * In alternativa, per importare le chiavi pubbliche in Thunderbird, si potrebbe provare a utilizzare per la migrazione il componente aggiuntivo Enigmail versione 2.2.x, anche se non si è mai utilizzato Enigmail prima. Per farlo, utilizzare Thunderbird 78 e cercare il componente aggiuntivo Enigmail. Verrà offerta la possibilità di installare la versione 2.2.x. Dopo aver installato il componente aggiuntivo, è possibile accedere manualmente al comando "Migrate Enigmail Settings" dalla barra dei menu in alto di Thunderbird, sottomenu Strumenti. Tenere presente che questo metodo potrebbe fallire, perché dipende da come è stato configurato il programma GnuPG sul proprio computer, quindi non è possibile garantire che questo approccio funzioni. Se il programma GnuPG è stato installato correttamente sul computer, il componente aggiuntivo per la migrazione di Enigmail lo troverà e importerà tutte le chiavi pubbliche da GnuPG in Thunderbird una per una, senza essere influenzato dal limite di dimensioni sopra menzionato. == Compare una segnalazione di Enigmail che la migrazione della chiave privata è fallita == Ciò potrebbe significare che si stava tentando di importare una chiave che non è ancora supportata dal programma RNP. Un altro possibile motivo è una configurazione incompleta del programma GnuPG sul proprio computer, specialmente se non è comparsa la richiesta di inserire una password per esportare la propria chiave privata, questo non dovrebbe applicarsi se si è recentemente utilizzato con successo Enigmail sul computer. Un buon modo per assicurarsi di aver installato correttamente GnuPG è utilizzare la seguente procedura: * Installare Thunderbird 68 in una directory separata, eseguire quindi Thunderbird 68 con il parametro -P ed eseguirlo con un profilo separato (non è necessario configurare un account di posta elettronica, è possibile annullare il suggerimento). * Installare quindi Enigmail nel proprio profilo Thunderbird 68 ed eseguire la procedura guidata di configurazione di Enigmail, che aiuterà a configurare correttamente il programma GnuPG. Se queste informazioni non sono state d'aiuto, è possibile consultare le FAQ di Enigmail (in inglese) a questo link: https://enigmail.net/index.php/en/faq-en?view=topic&id=14 == Quali sono i tipi di chiavi OpenPGP supportati? == Si tenga presente che in Thunderbird viene utilizzato il programma RNP per l'elaborazione delle chiavi e che quel programma potrebbe non supportare ancora alcuni tipi di chiavi. Ciò significa che alcune chiavi supportate da GnuPG / Enigmail potrebbero non funzionare con Thunderbird 78 per impostazione predefinita, specialmente alcune chiavi con una struttura avanzata. '''Tuttavia, per le chiavi private, si potrebbe risolvere il problema configurando Thunderbird per utilizzare GnuPG''', come spiegato nel paragrafo successivo. {warning}'''Le chiavi seguenti ''non'' sono o ''non sono ancora'' supportate da Thunderbird 78 ''per impostazione predefinita'':''' * Alcune chiavi che sono incomplete, ad esempio quelle che utilizzano una chiave primaria offline * Chiavi che utilizzano una password diversa per una sottochiave * Chiavi situate su una smartcard * Chiavi che utilizzano l'algoritmo hash MD5 * Alcune altre chiavi che il programma RNP potrebbe non supportare ancora Se si verifica che una chiave non funziona con Thunderbird, è il caso di segnalarlo agli sviluppatori di Thunderbird. Se possibile, e solo se si tratta di una chiave pubblica, includere una copia della chiave. '''Prestare attenzione a non inviare mai le proprie chiavi segrete o private.'''{/warning} == Che cosa si può fare se la propria chiave segreta non è supportata da Thunderbird? == In Thunderbird 78 è consentito configurare opzionalmente il programma esterno chiamato GnuPG per la gestione delle chiavi segrete (per la firma digitale e la decrittazione dei messaggi ricevuti). Ciò consentirà l'uso di smartcard o token hardware che memorizzano una chiave segreta. È possibile anche utilizzarlo per le chiavi che sono archiviate nei file sul proprio computer e non sono supportate dall'implementazione OpenPGP integrata di Thunderbird. È necessario installare e configurare personalmente il programma GnuPG richiesto, perché non può essere distribuito insieme a Thunderbird. Pertanto questo meccanismo non è attivato per impostazione predefinita. Per sapere come procedere, fare riferimento alla prossima domanda relativa alle smartcard. Tenere presente che le chiavi pubbliche e le relative impostazioni di accettazione (per la crittografia e la verifica della firma) sono sempre gestite dal codice interno di Thunderbird. == È possibile utilizzare una smartcard OpenPGP o un token hardware con Thunderbird 78? == Sì, è disponibile un meccanismo opzionale. È necessario installare personalmente GnuPG e tutti i programmi richiesti. Per maggiori dettagli, fare riferimento a questo documento (in inglese): https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards == How do I send an encrypted or digitally signed email? == Ensure that you have configured your personal key for your email account or identity. When you write an email, use the Options menu, or the menu found on the security button, and enable the protection you would like to use. == Che cosa è necessario per inviare un messaggio crittografato? == * È necessario che la propria chiave personale sia configurata e selezionata. * È necessario disporre di una chiave pubblica accettata per ogni destinatario di un messaggio crittografato a cui si desidera inviare il messaggio. Le chiavi pubbliche sono spesso allegate ai messaggi di posta elettronica dei propri corrispondenti. Ulteriori informazioni su come ottenere le chiavi pubbliche da altri corrispondenti sono disponibili in un'altro paragrafo di questo documento. * È necessario verificare che le chiavi pubbliche dei propri corrispondenti appartengano realmente a loro. Se si accetta la chiave pubblica di qualcuno senza verificarla, si esporrà la propria comunicazione ad attacchi [https://it.wikipedia.org/wiki/Attacco_man_in_the_middle Man In The Middle] (MITM). * Se non si dispone di una chiave pubblica per ogni destinatario, l'invio del proprio messaggio verrà bloccato e comparirà un avviso di segnalazione di Thunderbird. È possibile scegliere tra non inviare affatto il messaggio o disattivare la crittografia e inviare il messaggio senza protezione. == Cosa significa l'accettazione di una chiave? == Tecnicamente, chiunque è in grado di creare una chiave OpenPGP a nome di chiunque, utilizzando qualsiasi indirizzo di posta elettronica desideri. Nessuno è in grado di limitarlo o impedirlo. Ciò significa che, ogni volta che si riceve la chiave pubblica di un corrispondente, c'è il rischio che sia una chiave falsa e che quel corrispondente cerchi di ingannare il destinatario. A meno che non si sia verificata la chiave del proprio corrispondente, si potrebbe non avere una conversazione riservata con il proprio corrispondente, ma piuttosto si potrebbe essere vittime di un attacco Man-In-The-Middle (MITM). La decisione di stabilire se si tratta di un potenziale attacco o se il messaggio proviene effettivamente da un proprio corrispondente fidato è del tutto personale ed è possibile solo prendere una decisione di volta in volta in base al corrispondente. Se si accetta una chiave, significa che si è disposti a utilizzare quella chiave per inviare messaggi crittografati a quel corrispondente. Se si riceve un'email da un corrispondente, la propria decisione di accettazione controllerà la modalità di visualizzazione della firma digitale. Solo le firme delle chiavi accettate verranno mostrate come valide. == Perché è necessario contrassegnare la propria chiave segreta come accettata come chiave personale? == È una questione che riguarda gli attacchi teorici. In Thunderbird le chiavi personali vengono trattate in modo diverso, il programma garantisce piena fiducia a quelle chiavi e salta la solita domanda di accettazione (verificata, non verificata, ecc.). In teoria, un utente malintenzionato potrebbe creare una chiave in nome di uno dei contatti di colui che la riceve, inviargli la chiave segreta e ingannarlo per far sì che venga importata. Visualizzando la richiesta di confermare che una chiave segreta è la propria chiave, probabilmente si noterà che non è una chiave a proprio nome e probabilmente si rifiuterà il suo utilizzo come chiave personale. Questo interromperà l'attacco. Questa impostazione è simile al modello di GnuPG di impostazione della chiave con "ownertrust ultimate". == Perché la crittografia viene attivata automaticamente quando si risponde a un messaggio crittografato? == Quando si risponde, l'impostazione predefinita è quella di citare (includere, quotare) le informazioni contenute nel messaggio a cui si risponde. Il proprio corrispondente potrebbe avere dei validi motivi per crittografare il suo messaggio, quindi si dovrebbe prestare molta attenzione quando si include il testo originale in un nuovo messaggio che si invia. Si consiglia di continuare a utilizzare la crittografia. Se non si è in grado di crittografare il messaggio e se si ritiene di rispondere senza utilizzare la crittografia, si dovrebbe probabilmente rimuovere tutto il testo citato dal messaggio di posta elettronica che si sta scrivendo. == How do I get the public keys of my correspondents? == If your correspondent sends you an email with their public key attached, or as a regular attachment, or contained in a hidden email header according to the Autocrypt standard, then Thunderbird will offer you to import the key. You may try to discover keys online by email address, by clicking on an email address in an email message you are reading, and using the command "discover key" shown in the popup menu. Currently, it will search for published keys using the WKD protocol, and it will search for keys in the keys.openpgp.org keyserver. The same mechanism can be used from the OpenPGP Key Manager, using the Keyserver, "Discover Keys Online" command, which allows you to search by any email address or key ID or fingerprint. Also, the same discovery mechanism can be used when having attempted to send an encrypted email, and reviewing the missing key information. If a key has been published on the Internet, you may download the key and use OpenPGP key manager to import the downloaded file. Or you may try to import by downloading from a given URL. Enigmail used to offer searching on non-verifying keyservers. At this time Thunderbird doesn't offer that, because of the various issues that were detected with those keyservers in the recent past. If you need to obtain a key from a keyserver that isn't currently support by Thunderbird 78, then you must other software to obtain it, then save it to a file, then you can use OpenPGP Key Manager to import the public key file == Does Thunderbird support opportunistic or automatic encryption? == No. At this time, Thunderbird requires the user to take control and decide when encryption should be used or not be used, by enabling the appropriate options when composing an email. == I had configured the Enigmail add-on to trust all usable keys. Does Thunderbird support that? == No. For each correspondent's public key that you want or need to use, Thunderbird 78 requires that you accept the key at least once. == Why does Thunderbird automatically enable the digital signature when I enable encryption? == Message encryption by itself only provides confidentiality of content, but it doesn't provide reliable information about the actual sender of the message. In theory, someone could send you an encrypted message, but fake the sender of the email, giving you a false impression of trustworthy communication. Because an encrypted email without digital signature is not really secure, it is highly recommended to also digitally sign emails. Thunderbird currently does not offer an option to prevent digital signing from being enabled automatically. We might consider to offer this as a default configuration in the future. At this time, if you don't want to send a digital signature, you must manually disable this option prior to sending on each encrypted email that you send. == Why does Thunderbird automatically send my public key whenever I digitally sign an email? == The whole point of digitally signing a message is that the recipient will be able to verify that the digital signature is correct. A digital signature cannot be verified if the correspondent’s public key is unavailable. To ensure that your recipients will be able to verify your signature, it is best to always include your public key. At this time, we don't provide a configuration option to automatically exclude your public key when digitally signing, rather it is necessary that you manually disable it prior to sending. == My public key is very big, because I have many signatures on it. It is too big to include it with every signed message. == Because of limitations, we currently aren't able to automatically minimize your key. If you want to avoid that your big key is sent with each digitally signed message, you could use other software, like GnuPG, to edit and minimize your key. Ensure you have a reliable backup of your secret key. Then export your key. Use other software to minimize it. Then delete your secret key in Thunderbird, import the minimized key, and ensure to adjust your account settings to use that key. A future version of Thunderbird may attempt to automatically minimize the key when appropriate, but this will depend on the future functionality in the RNP library. == I used an advanced configuration with GnuPG to use a group of recipients and define the keys to be used. == Currently, Thunderbird 78 doesn't support this feature, but we want to support it in the future. This enhancement is tracked in [https://bugzilla.mozilla.org/show_bug.cgi?id=1644085 Bug 1644085]. == Does Thunderbird support per recipient rules or filter rules to automatically decrypt emails? == {warning}Please note: Thunderbird does ''not'' currently support per recipient rules or filter rules to automatically decrypt emails as in the Enigmail add-on. Please ensure that your encryption and digital signature settings apply as expected.{/warning} == Can I disable the encryption of the email subject? == No, not at this time. == Does Thunderbird support the Web Of Trust? == No. Thunderbird will not automatically trust or accept keys that were signed by others. Also at this time, if you indicate that you have verified a correspondent's key, Thunderbird will not add your signature to it. This might change in a future version of Thunderbird. When using the Enigmail migration tool to migrate public keys to Thunderbird, it should detect keys that have already been signed by your personal key, and automatically mark the corresponding keys as accepted keys, so you don't need to start from scratch. == How does Thunderbird store which keys are accepted? == This information is stored in a file called openpgp.sqlite in the Thunderbird profile directory. ==Where does Thunderbird store OpenPGP keys? == It stores them in the Thunderbird profile directory. == I need to use both GnuPG and Thunderbird in parallel, can I synchronize my keys? == No. At this time, Thunderbird uses its own copy of keys, and doesn't support synchronizing keys with GnuPG. The exception is the mechanism offered for smartcards, which could be used to use the personal keys managed by GnuPG. == How is my personal key protected? == At the time you import your personal key into Thunderbird, we unlock it, and protect it with a different password, that is automatically (randomly) created. The same automatic password will be used for all OpenPGP secret keys managed by Thunderbird. You should use the Thunderbird feature to set a Master Password. Without a master password, your OpenPGP keys in your profile directory are unprotected. == Does Thunderbird support Autocrypt? == Thunderbird does not support the Autocrypt philosophy that encryption should be fully automatic. However, Thunderbird provides limited compatibility with email clients that support Autocrypt. * When sending an email and using the option to attach your OpenPGP public key, and your key is sufficiently simply to be compatible with Autocrypt, then Thunderbird will add the appropriate header in the outgoing email, which can allow your correspondent to learn about your public key. * When receiving email that contains a correspondent's public key in an Autocrypt header, Thunderbird allows you to import the key. * At this time, Thunderbird doesn't support the "Gossip" feature. == I previously used Enigmail's Junior Mode (green, red, yellow symbols), what are my options? == Enigmail for Thunderbird 68 had offered two very different modes of operation. A classic mode, which was described in settings as "force using S/MIME and Enigmail", and a "junior mode" which was implemented by software from the pEp software company. Note that Thunderbird is not affiliated with the pEp company. Thunderbird 78 does not provide the junior mode, the built-in OpenPGP feature that Thunderbird 78 provides is more similar to Enigmail's classic mode of operation. When starting Thunderbird 78, after Enigmail has been upgraded to version 2.2.x (the version that provides migration assistance), Enigmail will open a web page provided by the pEp company, which offers you to download a newer version of their software. If you don't want to install pEp software, you may attempt a manual migration to Thunderbird's new built-in OpenPGP feature. To do so, you must set the configuration that disabled the previous Junior Mode. Open the Thunderbird general settings, scroll to the bottom, open Config Editor, and search for "extensions.enigmail.juniorMode". Double click it to change it, and set the value to zero. This configuration change will cause the Enigmail migration tool to believe that you were previously using the Enigmail classic mode. Restart Thunderbird 78. After restarting, the Enigmail 2.2.x migration assistant will offer you to perform a migration of your keys. Because the Enigmail tool only migrates keys and settings that were managed using GnuPG, it cannot migrate the trust settings that were managed by pEp software. However, Enigmail should be able to migrate your personal keys, allowing you to decrypt the messages that are encrypted with that key. Enigmail should also be able to migrate the public keys of your correspondents. However, most or all correspondent keys will likely have the state "not accepted" in Thunderbird 78, so you will have to accept or verify them once when you're trying to use them. After restarting Thunderbird 78, if no migration offer is shown, then you need to access a command from the top menu bar. If you are using Windows or Linux, and the top menu bar isn't visible, use a mouse right click in the top area of the Thunderbird main window, and enable the menu bar. Then open the Tools menu, which contains the command "Migrate Enigmail Settings". == I am using Enigmail 2.2.x to perform a migration, but the import appears stuck. == Maybe the software has run into a problem. Please refer to the section about obtaining more information on failure. == Where can I ask questions about, or report problems with the OpenPGP feature? == If your problem isn't covered on this page or in the linked documents, please refer to section "Discussion" on the following page for ways to contact us: https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion == How can I check if the problem I have has already been reported? == Please refer to section "Open issues and TODO list" here: https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list == I am seeing a problem and I want to try and analyze it myself. == More information can be found here in section "Debugging / Tracing": https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing == Thunderbird was automatically upgraded to version 78, but I prefer to stay with Thunderbird 68 and Enigmail. == As soon as you have started Thunderbird 78 with a profile, you cannot easily go back to 68, because the profile has been migrated, and Thunderbird 68 will refuse to use it, and will not start. * If you have a backup of your profile, you can try to restore it, then you should be able to start Thunderbird 68 again. * If you don't have a backup, you could create Thunderbird 68 with a fresh profile and configure Thunderbird again. * The use of the Thunderbird startup parameter --allow-downgrade is not recommended, because you will lose some configuration settings and may get unexpected behavior. == I received an encrypted email with a hidden recipient (key ID 0x00000000) and Thunderbird cannot decrypt it. == This is not yet supported. The addition of the feature is tracked here: https://github.com/rnpgp/rnp/issues/1275

Torna allo storico