Przy próbie wysłania wiadomości e-mail z włączonym szyfrowaniem End-To-End (e2ee), Thunderbird może zgłosić, że nie może zaszyfrować wiadomości. Ten artykuł wyjaśnia wymagania dotyczące wysyłania zaszyfrowanej wiadomości e-mail:
Spis treści
Lista wymagań
Wszystkie poniższe wymagania muszą być spełnione:
- Musisz mieć osobisty klucz OpenPGP lub osobisty certyfikat S/MIME i musisz skonfigurować Thunderbirda, by z nich korzystał. Jak to zrobić, wyjaśnione jest w osobnym artykule Konfiguracja konta e-mail do korzystania z szyfrowania „end-to-end”.
- Jeśli wcześniej skonfigurowałeś własny klucz lub certyfikat, upewnij się, że nie wygasł, nie został unieważniony i nie usunąłeś go.
- Każdy odbiorca wiadomości e-mail, który został dodany do pól Do, CC (Kopia) lub BCC (Ukryta kopia) musi również posiadać osobisty klucz OpenPGP lub osobisty certyfikat S/MIME oraz musi udostępnić odpowiedni klucz publiczny lub certyfikat. Jak można je uzyskać i używać, wyjaśniono w poniższych częściach tego artykułu.
- W przypadku stosowania szyfrowania grupowego wykorzystującego funkcję aliasu odbiorcy OpenPGP muszą być dostępne klucze publiczne wszystkich odbiorców zdefiniowanych dla aliasu adresu e-mail.
- Musisz mieć klucze lub certyfikaty tej samej technologii dla wszystkich odbiorców, w tym siebie, ponieważ OpenPGP i S/MIME są oddzielnymi technologiami szyfrowania i nie mogą być mieszane w jednej wiadomości e-mail. Upewnij się, że wybrałeś właściwą technologię podczas komponowania zaszyfrowanej wiadomości e-mail.
Jeśli potrzebujesz bardziej szczegółowego wyjaśnienia pojęć wymienionych w tym artykule i dowiedzieć się, jak ogólnie działa technologia szyfrowania wiadomości e-mail, możesz przeczytać artykuł Wprowadzenie do szyfrowania end-to-end w Thunderbirdzie.
Uzyskiwanie kluczy publicznych OpenPGP korespondentów
Do uzyskania klucza publicznego OpenPGP można wykorzystać następujące mechanizmy:
- Twój korespondent wysyła do ciebie wiadomość e-mail, do której dołącza swój klucz publiczny. Podczas przeglądania takiej wiadomości, jeśli klikniesz przycisk OpenPGP widoczny w obszarze nagłówka, Thunderbird zaproponuje ci zaimportowanie klucza.
- Twój korespondent wysyła do ciebie wiadomość e-mail, w której znajduje się nagłówek Autocrypt zawierający jego klucz publiczny. Podczas przeglądania takiej wiadomości, jeśli klikniesz przycisk OpenPGP widoczny w obszarze nagłówka, Thunderbird zaproponuje ci zaimportowanie klucza.
- Twój korespondent opublikował swój klucz publiczny na serwerze internetowym. Twój korespondent może dać ci link do swojego klucza publicznego. Możesz też użyć wyszukiwarki internetowej i znaleźć klucz samodzielnie. W obu przypadkach pobierasz klucz publiczny do pliku lokalnego, a następnie używasz menedżera kluczy OpenPGP programu Thunderbird do importowania pliku zawierającego klucz publiczny.
- Twój korespondent opublikował swój klucz publiczny na serwerze wykorzystującym protokół WKD. Przy próbie wysłania zaszyfrowanej wiadomości e-mail, ale nie masz jeszcze klucza publicznego dla adresu e-mail odbiorcy, Thunderbird może zaproponować ci wykonanie wyszukiwania online, które jest w stanie znaleźć klucze publiczne opublikowane przy użyciu protokołu WKD.
- Twój korespondent opublikował swój klucz publiczny na serwerze kluczy, który obsługuje Thunderbird, np. na serwerze keys.openpgp.org. Podczas próby wysłania zaszyfrowanej wiadomości e-mail, ale nie masz jeszcze klucza publicznego dla adresu e-mail odbiorcy, Thunderbird może zaproponować ci wykonanie wyszukiwania online, które jest w stanie znaleźć klucze publiczne opublikowane na tym serwerze kluczy.
- Twój korespondent opublikował swój klucz publiczny na serwerze kluczy, którego Thunderbird nie jest jeszcze w stanie automatycznie odszukać. Jeśli twój korespondent powie ci, na którym serwerze znajduje się jego klucz, być może uda ci się za pomocą przeglądarki internetowej odwiedzić ten serwer, wyszukać jego klucz publiczny, pobrać go do pliku, a następnie zaimportować ten plik za pomocą menedżera kluczy OpenPGP w Thunderbirdzie.
Jeśli Thunderbird nie może znaleźć klucza automatycznie, to zazwyczaj najłatwiej jest wysłać zwykłą wiadomość e-mail (bez szyfrowania) do korespondenta i poprosić go o wysłanie do ciebie wiadomości zawierającej jego klucz publiczny.
W Thunderbirdzie w wersjach 78 i 91, jeśli otrzymałeś e-mail z kluczem korespondenta, konieczne było wejście w interakcję z tym e-mailem, aby zaimportować klucz, albo używając menu pod prawym przyciskiem myszy na załączniku i prosząc o zaimportowanie go, albo klikając przycisk OpenPGP pokazany w obszarze nagłówka, który oznacza, że e-mail zawiera klucz publiczny i może zaoferować jego zaimportowanie.
W Thunderbirdzie w wersji 102 i nowszych Thunderbird będzie automatycznie gromadził klucze, które znajdzie w pamięci podręcznej w celu ich późniejszego wykorzystania. Jeśli podczas tworzenia wiadomości e-mail klucz publiczny korespondenta nie został jeszcze zaimportowany, to Thunderbird może automatycznie zaproponować ci użycie kluczy publicznych, które już zebrał.
Uwaga: nie ma możliwości przejrzenia pamięci podręcznej wszystkich kluczy, które Thunderbird zebrał automatycznie. W razie potrzeby Thunderbird zaproponuje ci pasujące klucze w Asystencie kluczy OpenPGP, do którego masz dostęp z okna kompozytora poczty w Thunderbirdzie.
Aby przejrzeć listę już zaimportowanych kluczy OpenPGP, możesz skorzystać z Menedżera kluczy OpenPGP w Thunderbirdzie.
Uzyskiwanie certyfikatów S/MIME korespondentów
Standardowym sposobem rozpowszechniania certyfikatu danej osoby jest wysłanie cyfrowo podpisanej wiadomości e-mail. Jeśli otrzymałeś podpisaną wiadomość e-mail od swojego korespondenta, kliknij ją, aby ją wyświetlić. Jeśli Thunderbird uzna podpis wiadomości e-mail i certyfikat nadawcy za ważny, zostanie on automatycznie zaimportowany i dostępny przy próbie zaszyfrowania wiadomości e-mail do tego korespondenta za pomocą technologii S/MIME. Jeśli nie masz jeszcze podpisanej wiadomości e-mail od swojego korespondenta, możesz poprosić go o wysłanie ci cyfrowo podpisanej wiadomości.
Należy pamiętać, że certyfikaty wydawane przez CA mogą mieć krótki okres ważności. Po upływie okresu ważności certyfikaty nie nadają się już do użytku. W takim przypadku twój korespondent będzie musiał uzyskać nowy certyfikat. Gdy to nastąpi, będzie mógł wysłać do ciebie nową, cyfrowo podpisaną wiadomość e-mail z ważnym certyfikatem.
Organizacje obsługujące serwer LDAP mogą skonfigurować swój serwer do przechowywania certyfikatów S/MIME. Jeśli serwer LDAP jest skonfigurowany, Thunderbird może automatycznie odpytać serwer LDAP, jeśli będzie musiał uzyskać certyfikat S/MIME.
Aby przejrzeć listę certyfikatów S/MIME, które już posiadasz, możesz użyć Menedżera certyfikatów Thunderbirda.
Poprawność techniczna
Thunderbird używa tylko kluczy i certyfikatów, które uważa za technicznie poprawne.
Thunderbird wymaga, aby klucz OpenPGP zawierał co najmniej jeden ważny klucz główny lub podrzędny, który można wykorzystać do tworzenia podpisów cyfrowych, oraz co najmniej jeden klucz, który można wykorzystać do szyfrowania.
Thunderbird może odmówić użycia kluczy OpenPGP, które są uszkodzone lub oparte na algorytmach kryptograficznych, które Thunderbird uważa za niebezpieczne.
Klucz publiczny OpenPGP ma wewnętrzną strukturę, może zawierać kilka podrzędnych kluczy, a także zawiera właściwości, takie jak okres ważności oraz powiązane nazwy użytkowników i adresy e-mail. Takie właściwości mogą być dodawane, usuwane lub aktualizowane. Aby zapewnić, że właściwości zostały rzeczywiście zmodyfikowane przez prawowitego właściciela klucza, właściwości są cyfrowo podpisane przy użyciu tajnego klucza właściciela. Każdy podpis cyfrowy wykorzystuje algorytm podpisu. Thunderbird może zignorować właściwości, które są oparte na słabo szyfrowanych algorytmach.
Jeśli uzyskałeś czyjś klucz publiczny, a Thunderbird odmawia jego importu lub użycia, możliwe przyczyny to:
- Po zaimportowaniu okazuje się, że kluczowi brakuje pewnych właściwości.
- Klucz ma nieoczekiwany okres ważności.
- Klucz może zawierać niebezpieczne właściwości, które Thunderbird postanowił odrzucić lub zignorować.
Pasujący adres e-mail
Aby użyć klucza publicznego OpenPGP lub certyfikatu S/MIME do wysłania zaszyfrowanej wiadomości na adres e-mail, Thunderbird zazwyczaj wymaga, aby wewnętrzna struktura klucza lub certyfikatu zawierała listę dokładnie pasujących adresów e-mail. Pozwala to Thunderbirdowi automatycznie zdecydować, czy klucz publiczny lub certyfikat może być użyty dla danego adresu e-mail.
Innymi słowy, jeśli Alicja chce wysłać zaszyfrowaną wiadomość e-mail na adres bob@example.com, potrzebuje klucza publicznego OpenPGP lub certyfikatu S/MIME, który twierdzi, że jest dla tego adresu e-mail. Klucz lub certyfikat dla adresu bobby@example.com nie mógłby być użyty przez Thunderbirda.
Gdyby Alicja naprawdę chciała użyć klucza publicznego lub certyfikatu z listy bobby@example.com do wysłania wiadomości na adres bob@example.com, musiałaby mieć dodatkową wiedzę o adresach e-mail Boba, co nie jest oczywiste. Bob musiałby poprosić Alicję o użycie tego klucza pomimo niezgodności adresów e-mail. Alicja musiałaby poprosić Thunderbirda o użycie klucza publicznego lub certyfikatu pomimo niedopasowania.
Jest to uważane za zaawansowany scenariusz, który niektórzy użytkownicy mogą być zmuszeni zastosować, ale którego większość użytkowników nie potrzebuje. Thunderbird obecnie nie oferuje interaktywnego rozwiązania w tym zakresie.
Ponieważ jednak niektórzy eksperci poprosili o wsparcie dla używania niedopasowanych kluczy publicznych OpenPGP, Thunderbird oferuje zaawansowany mechanizm konfiguracji, który jest udokumentowany w artykule Thunderbird i klucze aliasu OpenPGP.
Akceptacja
Jeśli uzyskałeś klucz publiczny OpenPGP, a klucz twierdzi, że jest na nazwisko Twojego korespondenta i zawiera adres e-mail korespondenta, nadal istnieje ryzyko, że nie jest to właściwy klucz. Ryzyko to zostało szczegółowo opisane w artykule Klucze OpenPGP mogą być autentyczne lub podrobione.
Z powodu tego ryzyka Thunderbird nie używa kluczy publicznych OpenPGP automatycznie. Dla każdego klucza publicznego, którego chciałbyś użyć, wymagane jest potwierdzenie, że klucz jest dla ciebie akceptowalny, jak opisano w powyższym artykule.
Innymi słowy, jeśli Alicja uzyskała klucz publiczny OpenPGP, który zawiera adres e-mail bob@example.com, i Alicja próbuje wysłać zaszyfrowaną wiadomość e-mail na adres bob@example.com, to Thunderbird może stwierdzić, że nie ma jeszcze zaakceptowanego klucza dla Boba. Alicja musi postępować zgodnie ze wskazówkami wyświetlanymi na ekranie, aby przejrzeć klucz lub klucze, które są dostępne dla bob@example.com, powinna je przejrzeć, a najlepiej zweryfikować i musi oznaczyć klucz jako zaakceptowany.
W przypadku S/MIME, technicznie ważne certyfikaty, które są podpisane przez CA, które zostało włączone do Thunderbirda zgodnie z polityką Mozilla Root Store, będą automatycznie akceptowane przez Thunderbirda do wysyłania zaszyfrowanej poczty na adres wymieniony w certyfikacie.
