OpenPGP w Thunderbirdzie - HOWTO i FAQ

Ten artykuł zawiera szczegółowe informacje dla użytkowników Thunderbirda, którzy chcą wysyłać i odbierać zaszyfrowane i podpisane cyfrowo wiadomości e-mail przy użyciu standardu OpenPGP. Ta funkcja jest powszechnie znana jako szyfrowanie end-to-end (e2ee) i sprawia, że komunikacja jest bezpieczniejsza i mniej narażona na szpiegowanie przez osoby trzecie. Thunderbird 78 ma wbudowaną obsługę dwóch standardów szyfrowania, OpenPGP i S/MIME.

Artykuł ten zawiera również ważne informacje dla użytkowników dodatku Enigmail, którzy dokonali migracji z Thunderbirda 68 do Thunderbirda 78.

Spis treści

Na czym polega szyfrowanie typu end-to-end i jak działa?

Szyfrowanie typu end-to-end (e2ee) sprawia, że komunikacja jest bezpieczniejsza i mniej narażona na szpiegowanie przez osoby trzecie. Zapoznaj się z artykułem Wprowadzenie do szyfrowania end-to-end w Thunderbird, w którym wyjaśniamy niektóre podstawy.

Czy Thunderbird obsługuje OpenPGP?

Tak. Thunderbird 78 ma wbudowaną obsługę dwóch standardów szyfrowania, OpenPGP i S/MIME. Począwszy od wersji 78.2.1, standard OpenPGP jest domyślnie włączony.

Poprzednie wersje Thunderbirda (wersja 68 i starsze) miały wbudowaną obsługę S/MIME i można było dodać obsługę OpenPGP za pomocą dodatku Enigmail i oprogramowania GnuPG. Dodatek Enigmail nie jest już dostępny dla Thunderbirda 78, z wyjątkiem pomocy jego byłym użytkownikom w migracji do OpenPGP w Thunderbirdzie 78 lub uzyskania wskazówek, jak przywrócić ich wrażenia z trybu „Junior Mode” z Enigmaila.

Dlaczego Enigmail został wymieniony i czy powróci?

Dodatek Enigmail został zastąpiony wbudowanym wsparciem dla OpenPGP w Thunderbirdzie 78.

Ta zmiana była konieczna, ponieważ Thunderbird przestał wspierać starsze dodatki, takie jak Enigmail, w wersji 78 Thunderbirda. Ta sama zmiana nastąpiła w Firefoksie w 2017. Thunderbird podążył za tą zmianą w 2020 roku, ponieważ dzieli kod platformy Mozilli z Firefoksem.

Enigmail nie będzie już rozwijany lub migrowany do innych technologii dodatków. O tej zmianie Patrick Brunschwig, autor Enigmaila, napisał:

“Zawsze moim celem było wprowadzenie obsługi OpenPGP do Thunderbirda. Mimo że będzie to koniec długiej historii, po 17 latach pracy nad Enigmailem jestem bardzo zadowolony z tego rezultatu.”

Czy OpenPGP w Thunderbirdzie 78 wygląda i działa dokładnie tak jak Enigmail?

Nie. Istnieje kilka różnic w interfejsie użytkownika i oferowanych funkcjach. Wbudowana obsługa OpenPGP Thunderbirda nie jest dokładną kopią Thunderbirda z Enigmail. Thunderbird chce zaoferować w pełni zintegrowane rozwiązanie i aby uniknąć problemów z licencjami, nie używa już GnuPG. W tym artykule są wyjaśnione różnice): Thunderbird:OpenPGP:Migration-From-Enigmail (w jęz. ang.).

Nigdy wcześniej OpenPGP z Thunderbirdem nie był używany – jak skonfigurować OpenPGP?

Aby korzystać z OpenPGP w Thunderbirdzie, trzeba ustawić tak zwaną parę kluczy osobistych dla swojego adresu e-mail. Możesz to zrobić w ustawieniach konta w sekcji End-to-End Encryption. Jeśli OpenPGP był już wykorzystywany z innym oprogramowaniem, trzeba zaimportować kopię zapasową istniejącego klucza, jeśli nie, możesz utworzyć nowy klucz.

  • Kliknij ikonę , następnie Konfiguracja kont, wybierz swoje konto i kliknij Szyfrowanie „end-to-end”, następnie kliknij przycisk Dodaj klucz…
    • Jeśli masz już parę kluczy osobistych OpenPGP z innego oprogramowania, wybierz Importuj istniejący klucz OpenPGP.
    • Jeśli nie masz jeszcze klucza, wybierz Utwórz nowy klucz OpenPGP.
  • Po zaimportowaniu lub utworzeniu klucza, będąc nadal w ustawieniach konta, wybierz klucz, którego chcesz aktywnie używać z kontem e-mail.

Miej na uwadze, że używanie OpenPGP ma konsekwencje, jak wyjaśniono w ogólnym wprowadzeniu. Ważne jest, aby wykonać kopię zapasową klucza i przechowywać ją w bezpiecznym miejscu – innym niż zazwyczaj używany komputer.

Wcześniej już korzystano z Enigmaila, jak przeprowadzić migrację i konfigurację?

Możesz zaktualizować ustawienia Thunderbirda ze starszej wersji (np. 68.x) do wersji 78.x. Przed pierwszym użyciem Thunderbirda 78 zaleca się wykonanie kopii zapasowej profilu Thunderbirda, ponieważ po aktualizacji, profilu nie można już używać z Thunderbirdem 68. Jeśli z jakiegokolwiek powodu zdecydujesz, że musisz nadal korzystać z Thunderbirda 68 i Enigmail, kopia zapasowa umożliwi łatwy powrót do starszej wersji Thunderbirda.

Obecnie są dostępne dwie wersje Enigmaila, 2.1.x i 2.2.x:

  • Enigmail 2.1.x działa tylko z Thunderbirdem 68 oraz starszymi wersjami i zapewnia klasyczną funkcjonalność.
  • Enigmail w wersji 2.2.x to specjalnie zmodyfikowana wersja, która działa z Thunderbirdem 78 i nowszymi wersjami. Enigmail 2.2.x nie zapewnia tradycyjnej funkcjonalności, istnieje raczej po to, aby pomóc w migracji kluczy i ustawień do Thunderbirda 78.

Jeśli uruchomisz Thunderbirda 78 z istniejącym profilem, a na poprzednim profilu był zainstalowany Enigmail, to Thunderbird 78 wykryje, że poprzednia wersja Enigmail 2.1.x nie jest kompatybilna. Thunderbird automatycznie sprawdzi dostępność nowszej wersji, znajdzie wersję Enigmail 2.2.x i ją zainstaluje. Następnie Enigmail automatycznie otworzy kartę z przywitaniem, informacją o możliwości migracji i zaproponuje jej rozpoczęcie.

Enigmail używał GnuPG do przechowywania i zarządzania wszystkimi kluczami i zaufanymi ustawieniami. Jeśli klikniesz przycisk rozpoczęcia migracji, oprogramowanie do migracji Enigmail odczyta twoje stare klucze z GnuPG jeden po drugim. Musisz wprowadzić hasła, aby potwierdzić eksport kluczy z GnuPG i umożliwić ich odblokowanie w celu zaimportowania ich do nowego wewnętrznego magazynu kluczy Thunderbirda.

Thunderbird 78 używa innych ustawień niż Enigmail. Dzięki Enigmail można było włączyć OpenPGP dla konta e-mail, ale pozwolić mu automatycznie wybrać, który z kluczy będzie używany. Thunderbird 78 łączy te ustawienia. Aby włączyć OpenPGP dla konta e-mail, konieczne jest wyraźne określenie, którego klucza osobistego użyć.

W związku z tym, jeśli wcześniej był wykorzystywany wybór automatyczny, migracja mogła jeszcze nie wybrać klucza. Po migracji należy ręcznie sprawdzić konfigurację wszystkich kont e-mail i tożsamości, a jeśli to konieczne, ręcznie wybrać odpowiedni klucz.

Migracja Enigmail zakończyła się pomyślnie, ale nadal nie można korzystać z OpenPGP.

Jeśli jest włączony Enigmail dla konta e-mail w Thunderbirdzie 68 i włączono opcję „Użyj adresu e-mail tej tożsamości do identyfikacji klucza OpenPGP”, to OpenPGP może nie zostać włączony automatycznie w Thunderbirdzie 78. Trzeba użyć ustawień konta, by ręcznie wybrać klucz OpenPGP dla każdego konta i tożsamości, których chce się używać z OpenPGP. Niestety migracja Enigmail nie wybiera ich automatycznie.

Czy można powtórzyć migrację?

Jeśli wystąpi jakiś problem z migracją, można ją powtórzyć. Na przykład migracja może się nie powieść, jeśli wystąpi błąd w Thunderbirdzie lub jeśli nie pamięta się hasła do wszystkich kluczy osobistych i została wykonana tylko częściowa migracja. Aby powtórzyć migrację, trzeba uzyskać dostęp do polecenia z górnego paska menu. Jeśli jest używany system Windows lub Linux, a górny pasek menu nie jest widoczny, należy kliknąć prawym przyciskiem w górnej części głównego okna Thunderbirda i włączyć pasek menu i użyć menu Narzędzia, które zawiera polecenie „Migracja ustawień Enigmail”.

Podczas próby importu pliku z kluczami publicznymi wyświetlany jest komunikat o błędzie, że plik jest za duży.

Zobacz odpowiedź na poniższe pytanie.

Wcześniej był używany OpenPGP z GnuPG, ale z innym oprogramowaniem pocztowym. Jak można przenieść swoje klucze do Thunderbirda 78?

Najpierw należy wyeksportować klucze z innego oprogramowania, a następnie ponownie zaimportować je do Thunderbirda.

Aby wyeksportować klucze osobiste, zwane także kluczami prywatnymi lub tajnymi, do pliku, można użyć polecenia z wiersza polecenia. By wyeksportować klucze zarządzane przez GnuPG, można użyć następującego polecenia:

gpg --export-secret-keys --armor > my-secret-keys.asc

Następnie można zaimportować je do Thunderbirda. Na karcie konfiguracji kont w sekcji Szyfrowanie end-to-end należy użyć funkcji Dodaj klucz… i wybrać Importuj istniejący klucz OpenPGP lub z paska menu otworzyć menu Narzędzia, wybrać Menedżer kluczy OpenPGP. W wyświetlonym oknie z menu Plik wybrać Importuj tajne klucze z pliku i wybrać plik wyeksportowany w poprzednim kroku. Prawdopodobnie masz tylko niewielką liczbę kluczy osobistych, dlatego powinno to działać.

By wyeksportować klucze swoich korespondentów można również użyć polecenia z wiersza polecenia:

gpg --export --armor > all-public-keys.asc

Jeśli jednak masz wiele kluczy, możesz napotkać problem z powodu obecnego ograniczenia w Thunderbirdzie. Obecnie Thunderbird nie może zaimportować dużego zestawu kluczy na raz. Próba zaimportowania pliku, który jest większy niż 5 MB, zostanie odrzucona.

Są dwie możliwości obejścia tego ograniczenia.

  • Pierwsza to użycie graficznego menedżera kluczy dla GnuPG i wyeksportowanie kluczy do oddzielnych plików. Na przykład, jeśli wszystkie klucze publiczne mają łącznie rozmiar 17 MB, należałoby utworzyć 4 pliki i wybrać jedną czwartą kluczy publicznych dla każdego eksportowanego pliku. To trochę uciążliwe..
  • Alternatywnie można spróbować użyć dodatku migracyjnego Enigmail w wersji 2.2.x do importowania kluczy publicznych do Thunderbirda, nawet jeśli wcześniej dodatek ten nie był używany.

Aby to zrobić, należy użyć Thunderbirda 78 i wyszukać i zainstalować dodatek Enigmail. Zaproponowana zostanie instalacja wersji 2.2.x. Po zainstalowaniu można z menu Narzędzia znajdującego się w górnym pasku Thunderbirda ręcznie uzyskać dostęp do polecenia „Migrate Enigmail Settings”. Należy pamiętać, że może się to nie powieść, w zależności od tego, jak zostało skonfigurowane oprogramowanie GnuPG na komputerze, więc nie można zagwarantować, że to zadziała.

Jeśli oprogramowanie GnuPG zostało poprawnie zainstalowane na komputerze, dodatek do migracji Enigmail znajdzie je i zaimportuje po kolei wszystkie klucze publiczne z GnuPG do Thunderbirda, bez wpływu na powyższy limit wielkości.

Enigmail zgłasza, że migracja mojego klucza prywatnego się nie powiodła.

Może to oznaczać, że nastąpiła próba zaimportowania klucza, który nie jest jeszcze obsługiwany przez RNP. Innym możliwym powodem jest niekompletna konfiguracja oprogramowania GnuPG na komputerze, zwłaszcza jeśli nie nastąpiła prośba o wprowadzenie hasła w celu wyeksportowania klucza prywatnego – nie powinno to wystąpić, jeśli ostatnio Enigmail z powodzeniem był używany na komputerze.

Dobrym sposobem na upewnienie się, że GnuPG jest poprawnie zainstalowany, jest skorzystanie z następującej procedury:

  • Zainstaluj Thunderbirda 68 w oddzielnym katalogu, a następnie uruchom Thunderbirda 68 z parametrem -P i uruchom go z osobnym profilem. (Nie musisz konfigurować konta e-mail, możesz anulować tę sugestię).
  • Następnie w tym profilu zainstaluj Enigmail i uruchom kreatora instalacji Enigmail, który pomoże ci poprawnie skonfigurować oprogramowanie GnuPG.

Jeśli to nie pomogło, możesz sprawdzić FAQ Enigmaila na stronie: https://enigmail.net/index.php/en/faq-en?view=topic&id=14

Jakie typy kluczy OpenPGP są obsługiwane?

Uwaga! Thunderbird używa oprogramowania RNP do przetwarzania kluczy, które może jeszcze nie obsługiwać niektórych typów kluczy. Oznacza to, że niektóre klucze obsługiwane przez GnuPG/Enigmail mogą nie działać domyślnie z Thunderbirdem 78, szczególnie niektóre klucze o zaawansowanej strukturze. W przypadku kluczy prywatnych można rozwiązać problem, konfigurując Thunderbirda do korzystania z GnuPG, jak wyjaśniono poniżej.

Następujące klucze nie są lub jeszcze nie są obsługiwane przez Thunderbirda 78 domyślnie:
  • Niektóre niekompletne klucze, na przykład te używające klucza podstawowego offline.
  • Klucze używające innego hasła dla klucza podrzędnego.
  • Klucze umieszczone na karcie inteligentnej.
  • Klucze używające algorytmu hash MD5.
  • Niektóre inne klucze, których RNP może jeszcze nie obsługiwać.
Jeśli okaże się, że klucz nie działa z Thunderbirdem, zgłoś to! Jeśli to możliwe i tylko jeśli jest to klucz publiczny, dołącz kopię klucza. Zachowaj ostrożność i nigdy nie wysyłaj nam swoich tajnych/prywatnych kluczy!

Zaimportowałem mój tajny klucz, ale Thunderbird nie może odszyfrować moich e-maili.

Może zaimportowałeś zły klucz? Aby sprawdzić, czy rzeczywiście zaimportowałeś właściwy klucz, możesz wykonać następujące czynności:

  1. W Thunderbirdzie kliknij wiadomość, którą uważasz, że powinieneś móc odszyfrować, ale nie możesz.
  2. Użyj > Zapisz jako > Plik i zapisz wiadomość do pliku na dysku (np. /tmp/test.eml).
  3. Otwórz terminal. Wykonaj polecenie: gpg --list-packets /tmp/test.eml
    Powinieneś otrzymać listę identyfikatorów kluczy, które mogą być użyte do odszyfrowania wiadomości (encrypted with ... ID ...).
  4. Teraz wróć do Thunderbirda: > Narzędzia > Menedżer kluczy OpenPGP.
  5. Dla każdego z tajnych kluczy, które masz dostępne (wymienione jako pogrubione), kliknij dwukrotnie, aby wyświetlić właściwości klucza, a następnie kliknij kartę struktury.

Czy możesz znaleźć identyfikator, który został zwrócony przez powyższe polecenie gpg? Musisz mieć tajne klucze dla co najmniej jednego z ID, które zostały wyświetlone przez gpg. Jeśli nie masz żadnego pasującego klucza tajnego, nie możesz odszyfrować wiadomości. Jeśli jednak masz pasujący tajny klucz, ale Thunderbird nadal nie odszyfrowuje wiadomości zgłoś błąd w Thunderbirdzie podając więcej szczegółów na temat swojego klucza.

Jeśli mój tajny klucz nie jest obsługiwany przez Thunderbirda, co mogę zrobić?

Thunderbird 78 umożliwia opcjonalnie skonfigurowanie zewnętrznego oprogramowania o nazwie GnuPG do obsługi twoich tajnych kluczy (do cyfrowego podpisywania i deszyfrowania otrzymanych wiadomości). Umożliwi to korzystanie z kart inteligentnych lub tokenów sprzętowych, które przechowują tajny klucz. Możesz go również używać do kluczy przechowywanych w plikach na komputerze i nieobsługiwanych przez wbudowaną implementację OpenPGP Thunderbirda.

Musisz samodzielnie zainstalować i skonfigurować wymagane oprogramowanie GnuPG, ponieważ nie może być ono rozpowszechniane razem z Thunderbirdem. Dlatego ten mechanizm nie jest domyślnie włączony. Aby dowiedzieć się, jak z niego korzystać, zapoznaj się z pytaniem dotyczącym kart inteligentnych znajdującym się poniżej.

Pamiętaj, że klucze publiczne i ustawienia ich akceptacji (do szyfrowania i weryfikacji podpisu) są zawsze obsługiwane przez wewnętrzny kod Thunderbirda.

Czy mogę używać karty inteligentnej OpenPGP lub tokena sprzętowego z Thunderbirdem 78?

Tak, oferujemy opcjonalny mechanizm. Wymaga samodzielnej instalacji GnuPG i całego wymaganego oprogramowania. Więcej informacji można znaleźć w tym dokumencie: https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards

Jak wysłać zaszyfrowany lub podpisany cyfrowo e-mail?

Sprawdź, czy twój klucz osobisty dla konta e-mail lub tożsamości został skonfigurowany. Podczas pisania wiadomości e-mail użyj menu Opcje lub menu znajdującego się na przycisku zabezpieczeń i włącz ochronę, której chcesz użyć.

Co jest potrzebne, aby wysłać zaszyfrowaną wiadomość?

  • Trzeba mieć skonfigurowany i wybrany klucz osobisty.
  • Trzeba mieć zaakceptowany klucz publiczny dla każdego odbiorcy zaszyfrowanej wiadomości. Klucze publiczne są często dołączane do wiadomości e-mail korespondentów. Więcej informacji na temat uzyskiwania kluczy publicznych od innych można znaleźć w innej sekcji tego dokumentu.
  • Trzeba sprawdzić, czy klucze publiczne korespondentów naprawdę do nich należą. Jeśli zaakceptujesz czyjś klucz publiczny bez weryfikacji, będziesz narażać swoją komunikację na ataki Monster In The Middle (MITM).
  • Jeśli nie masz klucza publicznego dla każdego odbiorcy, wysyłanie wiadomości zostanie zablokowane, a Thunderbird powiadomi cię o tym. Możesz wybrać czy w ogóle nie wysyłasz wiadomości, czy wyłączasz szyfrowanie i wysyłasz wiadomość bez ochrony.

Co oznacza akceptacja klucza?

Z technicznego punktu widzenia każdy może utworzyć klucz OpenPGP na dowolne nazwisko, używając dowolnego adresu e-mail. Nikt nie jest w stanie tego ograniczyć ani temu zapobiec. Oznacza to, że za każdym razem, gdy otrzymasz klucz publiczny korespondenta, ryzykujesz, że jest to fałszywy klucz i próba oszukania ciebie. Jeśli nie zweryfikujesz klucza korespondenta, korespondencja nie będzie poufna i możesz paść ofiarą ataku Monster-In-The-Middle (MITM). To jest twoja decyzja i możesz podjąć decyzję indywidualnie dla każdego korespondenta.

Jeśli zaakceptujesz klucz, oznacza to, że chcesz użyć tego klucza do wysyłania zaszyfrowanych wiadomości do tego korespondenta. Jeśli otrzymasz wiadomość e-mail od korespondenta, decyzja o akceptacji będzie miała wpływ na sposób wyświetlania podpisu cyfrowego. Tylko podpisy z zaakceptowanych kluczy będą wyświetlane jako ważne.

Dlaczego muszę oznaczyć własny tajny klucz jako zaakceptowany jako klucz osobisty?

Chodzi o teoretyczny atak. Thunderbird inaczej traktuje klucze osobiste – udziela im pełnego zaufania i zwykłe pytanie o akceptację (zweryfikowane, niezweryfikowane itp.) jest pomijane.

Teoretycznie osoba atakująca może utworzyć klucz w imieniu jednego z twoich kontaktów, wysłać ci tajny klucz i nakłonić do jego zaimportowania. Wymagając potwierdzenia, że tajny klucz jest twoim osobistym kluczem, prawdopodobnie zauważysz, że nie jest to klucz w twoim imieniu i prawdopodobnie odrzucisz jego użycie jako klucza osobistego. To zatrzymuje atak. To ustawienie jest podobne do modelu GnuPG ustawiania klucza jako posiadającego „ostateczne zaufanie do właściciela”.

Dlaczego szyfrowanie jest włączane automatycznie, gdy odpowiadam na zaszyfrowaną wiadomość?

Podczas odpowiadania domyślnie cytowane (są dołączane) informacje zawarte w wiadomości, na którą odpowiadasz. Twój korespondent może mieć powody, aby zaszyfrować swoją wiadomość, więc trzeba zachować ostrożność, dołączając oryginalny tekst do nowej wysyłanej wiadomości. Zaleca się dalsze korzystanie z szyfrowania. Jeśli nie możesz zaszyfrować i rozważasz odpowiedź bez szyfrowania, prawdopodobnie powinno się usunąć cały cytowany tekst z pisanej wiadomości e-mail.

Jak uzyskać klucze publiczne moich korespondentów?

Jeśli twój korespondent wyśle ci wiadomość z dołączonym kluczem publicznym, jako zwykły załącznik lub zawarty w ukrytym nagłówku wiadomości e-mail zgodnie ze standardem Autocrypt, Thunderbird zaproponuje zaimportowanie klucza.

Możesz spróbować odnaleźć klucze online za pomocą adresu e-mail, klikając adres w czytanej wiadomości i używając polecenia „Discover Key” z menu kontekstowego. Spowoduje to wyszukiwanie opublikowanych kluczy przy użyciu protokołu WKD na serwerze kluczy keys.openpgp.org. Ten sam mechanizm może być używany z poziomu menedżera kluczy OpenPGP, używając polecenia „Discover Keys Online”, które umożliwia wyszukiwanie według dowolnego adresu e-mail, identyfikatora klucza lub odcisku palca. Ten sam mechanizm wykrywania może być również używany podczas próby wysłania zaszyfrowanej wiadomości e-mail i przeglądania brakujących informacji o kluczu. Jeśli klucz został opublikowany w internecie, możesz go pobrać i użyć menedżera kluczy OpenPGP do zaimportowania pobranego pliku lub możesz spróbować zaimportować, pobierając klucz z podanego adresu URL.

Enigmail oferował wyszukiwanie na nie zweryfikowanych serwerach kluczy. Obecnie Thunderbird tego nie oferuje z powodu różnych problemów, które zostały wykryte z tymi serwerami kluczy. Jeśli chcesz uzyskać klucz z serwera kluczy, który nie jest obecnie obsługiwany przez Thunderbirda 78, musisz użyć innego oprogramowania, zapisać go w pliku, a następnie użyć Menedżera kluczy OpenPGP, aby zaimportować plik klucza publicznego.

Możesz pobrać klucze publiczne korespondenta z innych serwerów za pomocą następującego polecenia gpg:

gpg --keyserver pgp.key-server.io --armor --export PASTE_KEY_ID_HERE

Skopiuj otrzymany publiczny klucz PGP do schowka i zaimportuj go za pomocą menu Edycja z Menedżera kluczy OpenPGP, wybierając opcję „Importuj klucze ze schowka”.

Czy Thunderbird obsługuje oportunistyczne lub automatyczne szyfrowanie?

Nie. Obecnie Thunderbird wymaga, aby użytkownik przejął kontrolę i zdecydował, kiedy szyfrowanie powinno być używane, a kiedy nie, poprzez włączenie odpowiednich opcji podczas tworzenia wiadomości e-mail.

Dodatek Enigmail był skonfigurowany, tak aby ufał wszystkim użytecznym kluczom. Czy Thunderbird to obsługuje?

Nie. Dla każdego klucza publicznego korespondenta, którego chcesz lub potrzebujesz, Thunderbird 78 wymaga, aby zaakceptować klucz przynajmniej raz.

Dlaczego Thunderbird automatycznie włącza podpis cyfrowy, gdy włączam szyfrowanie?

Samo szyfrowanie wiadomości zapewnia jedynie poufność treści, ale nie dostarcza wiarygodnych informacji o faktycznym nadawcy wiadomości. Teoretycznie ktoś mógłby wysłać ci zaszyfrowaną wiadomość, ale sfałszował nadawcę wiadomości, dając fałszywe wrażenie godnej zaufania komunikacji. Ponieważ zaszyfrowana wiadomość e-mail bez podpisu cyfrowego nie jest naprawdę bezpieczna, zdecydowanie zaleca się również cyfrowe podpisywanie e-maili.

Thunderbird obecnie nie oferuje opcji zapobiegania automatycznemu włączaniu podpisu cyfrowego. W przyszłości możemy rozważyć zaoferowanie tej funkcji jako domyślnej. W tej chwili, jeśli nie chcesz wysyłać podpisu cyfrowego, musisz ręcznie wyłączyć tę opcję przed wysłaniem każdej zaszyfrowanej wiadomości.

Dlaczego Thunderbird automatycznie wysyła mój klucz publiczny za każdym razem, gdy podpisuję cyfrowo wiadomość e-mail?

Cały sens cyfrowego podpisywania wiadomości polega na tym, że odbiorca będzie mógł zweryfikować, czy podpis cyfrowy jest poprawny. Nie można zweryfikować podpisu cyfrowego, jeśli klucz publiczny korespondenta jest niedostępny. Aby upewnić się, że odbiorcy będą mogli zweryfikować twój podpis, najlepiej zawsze podać swój klucz publiczny.

W tej chwili nie udostępniamy opcji konfiguracji, która automatycznie wykluczałaby twój klucz publiczny podczas podpisywania cyfrowego, a raczej konieczne jest ręczne wyłączenie go przed wysłaniem.

Mój klucz publiczny jest bardzo duży, ponieważ mam na nim wiele podpisów. Jest zbyt duży, aby dołączać go do każdej podpisanej wiadomości.

Z powodu ograniczeń, obecnie nie możemy automatycznie minimalizować twojego klucza. Jeśli chcesz uniknąć wysyłania dużego klucza z każdą podpisaną cyfrowo wiadomością, możesz użyć innego oprogramowania do edycji i minimalizacji klucza, takiego jak GnuPG. Upewnij się, że masz niezawodną kopię zapasową swojego tajnego klucza. Następnie wyeksportuj swój klucz. Użyj innego oprogramowania, aby go zminimalizować. Następnie usuń swój tajny klucz w Thunderbirdzie, zaimportuj zminimalizowany klucz i dostosuj ustawienia konta, aby używać tego klucza. Przyszła wersja Thunderbirda może próbować automatycznie minimalizować klucz, gdy jest to konieczne, ale będzie to zależało od przyszłej funkcjonalności biblioteki RNP.

Była używana zaawansowana konfiguracja z GnuPG, aby użyć grupy odbiorców i zdefiniować klucze, które mają być używane.

Obecnie Thunderbird 78 nie obsługuje tej funkcji, ale chcemy ją zaimplementować w przyszłości. Zagadnienia związane z tą funkcją można śledzić tutaj: Bug 1644085.

Czy Thunderbird obsługuje reguły dotyczące odbiorcy lub reguły filtrowania w celu automatycznego szyfrowania wiadomości e-mail?

Uwaga! Thunderbird obecnie nie obsługuje reguły według odbiorcy lub reguły filtrowania, aby automatycznie odszyfrować wiadomości e-mail tak jak w dodatku Enigmail. Upewnij się, że ustawienia szyfrowania i podpisu cyfrowego są zgodne z oczekiwaniami.

Czy mogę wyłączyć szyfrowanie tematu e-maila?

Nie, nie w tej chwili.

Czy Thunderbird obsługuje Web Of Trust?

Nie. Thunderbird nie będzie automatycznie ufał ani akceptował kluczy podpisanych przez innych. Również w tym momencie, jeśli wskażesz, że klucz korespondenta został zweryfikowany, Thunderbird nie doda do niego twojego podpisu. To może się zmienić w przyszłej wersji Thunderbirda.

Podczas korzystania z Enigmaila do migracji kluczy publicznych do Thunderbirda, Enigmail powinien wykrywać klucze, które zostały już podpisane twoim kluczem osobistym i automatycznie oznaczać odpowiednie klucze jako zaakceptowane, więc nie musisz zaczynać od zera.

W jaki sposób Thunderbird przechowuje akceptowane klucze?

Te informacje są przechowywane w pliku o nazwie openpgp.sqlite w katalogu profilu Thunderbirda.

Gdzie Thunderbird przechowuje klucze OpenPGP?

Przechowuje je w katalogu profilu Thunderbirda.

Jak mogę wyeksportować mój tajny lub publiczny klucz?

Użyj menedżera kluczy OpenPGP, który można znaleźć na pasku w menu Narzędzia. Znajdź klucz, który chcesz wyeksportować i kliknij go, aby go zaznaczyć. Następnie, w zależności od potrzeb, z menu Plik wybierz opcję „Eksportuj klucz publiczny” lub „Kopia zapasowa tajnego klucza”. Menedżer kluczy OpenPGP umożliwia również eksport kluczy publicznych twoich korespondentów.

Alternatywnie otwórz ustawienia konta dla konta e-mail klucza, który chcesz wyeksportować i wybierz okienko Szyfrowanie typu end-to-end. Obok każdego klucza osobistego znajduje się mały znacznik, który można kliknąć, aby otworzyć szczegóły klucza. Kliknij przycisk Więcej, aby otworzyć listę możliwych działań. Wybierz opcję „Eksportuj klucz publiczny” lub „Zapasowy tajny klucz”.

Muszę równolegle używać GnuPG i Thunderbirda. Czy mogę zsynchronizować klucze?

Nie. W tej chwili Thunderbird używa własnej kopii kluczy i nie obsługuje synchronizacji kluczy z GnuPG. Wyjątkiem jest mechanizm oferowany dla kart inteligentnych, który mógłby być wykorzystany do korzystania z kluczy osobistych zarządzanych przez GnuPG.

Jak chroniony jest mój klucz osobisty?

W momencie importowania do Thunderbirda klucza osobistego odblokowujemy go i chronimy innym hasłem, które jest tworzone automatycznie (losowo). To samo automatyczne hasło będzie używane dla wszystkich tajnych kluczy OpenPGP zarządzanych przez Thunderbirda. Aby klucze były chronione, należy ustanowić hasło główne w ustawieniach Thunderbirda. Bez hasła głównego klucze OpenPGP w katalogu profilu nie są chronione.

Czy Thunderbird obsługuje funkcję Autocrypt?

Thunderbird nie obsługuje filozofii Autocrypt, zgodnie z którą szyfrowanie powinno być w pełni automatyczne. Jednak Thunderbird zapewnia ograniczoną zgodność z klientami poczty elektronicznej obsługującymi funkcję Autocrypt.

  • Podczas wysyłania wiadomości e-mail i korzystania z opcji dołączenia klucza publicznego OpenPGP, a twój klucz jest wystarczająco prosty, by być kompatybilny z Autocrypt, Thunderbird doda odpowiedni nagłówek do wiadomości wychodzącej, co umożliwi twojemu korespondentowi dowiedzieć się o twoim kluczu publicznym.
  • Podczas odbierania wiadomości zawierającej klucz publiczny korespondenta w nagłówku Autocrypt, Thunderbird umożliwia zaimportowanie klucza.
  • Obecnie Thunderbird nie obsługuje funkcji „Gossip”.

Wcześniej korzystałem z Junior Mode w Enigmail (zielone, czerwone, żółte symbole), jakie mam opcje?

Enigmail dla Thunderbirda 68 oferował dwa bardzo różne tryby działania. Klasyczny tryb, który został opisany w ustawieniach jako „Force using S/MIME i Enigmail” oraz „Junior Mode”, który został zaimplementowany przez oprogramowanie firmy pEp – Thunderbird nie jest powiązany z firmą PEP.

Thunderbird 78 nie zapewnia trybu Junior Mode. Wbudowana funkcja OpenPGP, którą zapewnia Thunderbird 78, jest bardziej podobna do klasycznego trybu działania Enigmail.

Podczas uruchamiania Thunderbirda 78, po aktualizacji Enigmaila do wersji 2.2.x (wersji, która zapewnia pomoc w migracji), Enigmail otworzy stronę internetową dostarczoną przez firmę pEp, która oferuje pobranie nowszej wersji ich oprogramowania.

Jeśli nie chcesz instalować oprogramowania pEp, możesz spróbować przeprowadzić ręczną migrację do nowej, wbudowanej funkcji OpenPGP Thunderbirda. Aby to zrobić, musisz zmienić preferencję, która wyłączała poprzedni tryb Junior. Otwórz ustawienia Thunderbirda, przewiń w dół, otwórz Edytor konfiguracji i wyszukaj preferencję „extensions.enigmail.juniorMode”. Kliknij ją dwukrotnie i zmień wartość na 0 (zero). Ta zmiana preferencji spowoduje, że narzędzie migracji Enigmail uwierzy, że wcześniej był używany tryb klasyczny Enigmail.

Uruchom ponownie Thunderbirda 78. Po ponownym uruchomieniu asystent migracji Enigmail 2.2.x zaproponuje wykonanie migracji kluczy. Ponieważ narzędzie Enigmail migruje tylko klucze i ustawienia, które były zarządzane za pomocą GnuPG, nie może migrować ustawień zaufanych zarządzanych przez oprogramowanie pEp. Niemniej jednak Enigmail powinien mieć możliwość migracji twoich kluczy osobistych, umożliwiając odszyfrowanie wiadomości zaszyfrowanych tym kluczem. Enigmail powinien również mieć możliwość migracji kluczy publicznych twoich korespondentów, jednak większość lub wszystkie klucze korespondentów będą prawdopodobnie w Thunderbirdzie 78 miały stan „nie zaakceptowano”, więc trzeba będzie je zaakceptować lub zweryfikować podczas próby ich użycia.

Po ponownym uruchomieniu Thunderbirda 78, jeśli nie jest wyświetlana żadna oferta migracji, musisz uzyskać dostęp do polecenia z górnego paska menu. Jeśli używasz systemu Windows lub Linux, a górny pasek menu nie jest widoczny, kliknij prawym przyciskiem w górnej części głównego okna Thunderbirda i włącz pasek menu lub naciśnij lewy klawisz Alt. Następnie otwórz menu Narzędzia, które zawiera polecenie „Migracja ustawień Enigmail”.

Używam Enigmail 2.2.x do przeprowadzania migracji, ale wygląda na to, że import się zawiesił.

Być może oprogramowanie napotkało problem. Zapoznaj się z sekcją dotyczącą uzyskiwania dodatkowych informacji na temat awarii.

Gdzie mogę zadawać pytania lub zgłaszać problemy związane z funkcją OpenPGP?

Jeśli twój problem nie jest omówiony na tej stronie lub w załączonych dokumentach, aby dowiedzieć się, jak się z nami skontaktować zapoznaj się z sekcją „Discussion” na stronie MozillaWiki (w jęz. ang.): https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion

Jak mogę sprawdzić, czy problem zgłoszony przeze mnie był już wcześniej zgłoszony?

Zapoznaj się z sekcją „Open issues and TODO list” na stronie MozillaWiki (w jęz. ang.): https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list

Widzę problem i chcę spróbować sam go przeanalizować.

Informacje na ten temat można znaleźć w sekcji „Debugging / Tracing” na stronie MozillaWiki (w jęz. ang.): https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing

Thunderbird został automatycznie zaktualizowany do wersji 78, ale ja wolę pozostać przy Thunderbirdzie 68 i Enigmailu.

Gdy tylko uruchomisz Thunderbirda 78 z dotychczasowym profilem, nie możesz łatwo wrócić do wersji 68, ponieważ profil został zmigrowany, a Thunderbird 68 odmówi użycia go i się nie uruchomi.

  • Jeśli masz kopię zapasową swojego profilu, możesz spróbować ją przywrócić. Wówczas Thunderbird 68 powinien się ponownie uruchomić.
  • Jeśli nie masz kopii zapasowej, możesz uruchomić Thunderbirda 68 z nowym profilem i ponownie go skonfigurować.
  • Użycie parametru uruchamiania Thunderbirda --allow-downgrade nie jest zalecane, ponieważ utracisz niektóre ustawienia konfiguracyjne i możesz uzyskać nieoczekiwane zachowanie.

Otrzymano zaszyfrowaną wiadomość e-mail z ukrytym odbiorcą (ID 0x00000000) i Thunderbird nie może go odszyfrować.

Nie jest to jeszcze obsługiwane. Dodawanie funkcji jest śledzone tutaj: https://github.com/rnpgp/rnp/issues/1275

Czy ten artykuł okazał się pomocny?

Proszę czekać…

Osoby, które pomogły w tworzeniu tego artykułu:

Illustration of hands

Pomóż nam

Zdobywaj wiedzę i dziel się nią z innymi. Odpowiadaj na pytania i ulepsz naszą bazę wiedzy.

Więcej informacji