Pré-requisito para enviar uma mensagem de e-mail criptografada

Thunderbird Thunderbird Criação: há 2 semanas

Se você tentar enviar um e-mail com a Criptografia de Ponta a Ponta (e2ee) ativada, o Thunderbird pode informar que não consegue criptografar. Este artigo explica os requisitos para enviar uma mensagem de e-mail criptografada.

Lista de Requisitos

Todos os itens devem ser satisfeitos:

  • Você deve ter uma chave OpenPGP pessoal ou um certificado S/MIME pessoal, e deve configurar o Thunderbird para usá-la. Como fazer isso é explicado em um artigo separado: Configure sua conta de e-mail para usar criptografia de ponta a ponta.
  • Se você configurou anteriormente sua própria chave ou certificado, certifique-se de que ele não tenha expirado, não tenha sido revogado e que você não o tenha excluído.
  • Cada destinatário de e-mail que você adicionou aos campos TO, CC ou BCC também deve possuir uma chave pessoal OpenPGP ou certificado pessoal S/MIME, e eles devem ter disponibilizado a respectiva chave ou certificado público. Como você pode obtê-los e usá-los é explicado nas seções a seguir neste artigo.
  • Ao usar criptografia de grupo utilizando o OpenPGP recipient alias feature, as chaves públicas para todos os destinatários definidos para um alias e-mail Configure sua conta de e-mail para usar o endereço End-To-End Encryption deve estar disponível.
  • Você deve ter chaves ou certificados da mesma tecnologia para todos os destinatários, incluindo você mesmo, porque OpenPGP e S/MIME são tecnologias de criptografia separadas e não podem ser misturadas em um único e-mail. Certifique-se de ter selecionado a tecnologia correta ao compor um e-mail criptografado.

Se você precisar de uma explicação mais detalhada dos termos mencionados neste artigo e para aprender como a tecnologia de criptografia de e-mail funciona em geral, você pode ler o artigo Introdução à criptografia de ponta a ponta no Thunderbird.

Obtendo chaves públicas OpenPGP de correspondentes

Os seguintes mecanismos podem ser usados para obter uma chave pública OpenPGP:

  • Seu correspondente envia um e-mail para você, e eles anexam sua chave pública a esse e-mail. Ao visualizar tal e-mail, se você clicar no botão OpenPGP mostrado na área do cabeçalho, o Thunderbird oferecerá a você a importação da chave.
  • Seu correspondente envia um e-mail para você, que inclui um cabeçalho Autocrypt contendo sua chave pública. Ao visualizar tal e-mail, se você clicar no botão OpenPGP mostrado na área do cabeçalho, o Thunderbird oferecerá a você a importação da chave.
  • Seu correspondente publicou sua chave pública em um servidor web. Seu correspondente pode lhe dar um link para sua chave pública. Ou você pode usar uma pesquisa na web e encontrar a chave você mesmo. Em ambos os casos, você baixa a chave pública para um arquivo local e, em seguida, usa o OpenPGP Key Manager do Thunderbird para importar o arquivo que contém a chave pública.
  • Seu correspondente publicou sua chave pública em um servidor que usa o protocolo WKD. Ao tentar enviar um e-mail criptografado, mas você ainda não tem uma chave pública para o endereço de e-mail de um destinatário, o Thunderbird pode oferecer a você para realizar uma descoberta on-line, que é capaz de encontrar chaves públicas publicadas usando o protocolo WKD.
  • Seu correspondente publicou sua chave pública em um servidor de chaves que o Thunderbird suporta, como o servidor keys.openpgp.org. Ao tentar enviar um e-mail criptografado, mas você ainda não tem uma chave pública para o endereço de e-mail de um destinatário, o Thunderbird pode oferecer a você a realizar uma descoberta on-line, que é capaz de encontrar chaves públicas publicadas nesse servidor de chaves.
  • Seu correspondente publicou sua chave pública em um servidor de chaves que o Thunderbird ainda não é capaz de consultar automaticamente. Se o seu correspondente lhe disser qual servidor de chaves contém sua chave, você poderá usar um navegador da web para visitar esse servidor de chaves, pesquisar sua chave pública, baixá-la para um arquivo e, em seguida, importar esse arquivo usando o Gerenciador de Chaves OpenPGP do Thunderbird.

Se o Thunderbird não conseguir encontrar a chave automaticamente, geralmente é mais fácil enviar um e-mail simples (sem criptografia) para o seu correspondente e pedir que ele envie um e-mail para você que contenha sua chave pública.

Com as versões 78 e 91 do Thunderbird, se você recebeu um e-mail com a chave de um correspondente, era necessário interagir com esse e-mail para importar a chave, usando o menu do botão direito do mouse em um anexo e pedindo para importá-lo, ou clicando no botão OpenPGP mostrado na área do cabeçalho, que pode informar que o e-mail contém uma chave pública e pode se oferecer para importá-la.

Com as versões 102 do Thunderbird e mais recentes, o Thunderbird coletará automaticamente as chaves que vê em um cache para uso posterior. Ao compor um e-mail, e a chave pública do correspondente ainda não foi importada, o Thunderbird pode ser capaz de oferecer automaticamente o uso de chaves públicas que já coletou.

Observe que não é possível revisar o cache de todas as chaves que o Thunderbird coletou automaticamente. Se necessário, o Thunderbird oferecerá chaves correspondentes no OpenPGP Key Assistant, que você pode acessar na janela do compositor de e-mail do Thunderbird.

Para revisar a lista de chaves OpenPGP já importadas, você pode usar o Gerenciador de Chaves OpenPGP do Thunderbird.

Obtenção de certificados S/MIME de correspondentes

A maneira padrão de distribuir o certificado de uma pessoa é enviar um e-mail assinado digitalmente. Se você recebeu um e-mail assinado do seu correspondente, clique no e-mail para visualizá-lo. Se o Thunderbird considerar a assinatura do e-mail e o certificado do remetente válidos, ele será automaticamente importado e disponível quando você tentar criptografar um e-mail para esse correspondente usando a tecnologia S/MIME. Se você ainda não tem um e-mail assinado do seu correspondente, você pode pedir que eles enviem um e-mail assinado digitalmente para você.

Observe que os certificados emitidos por CAs podem ter um período de validade curto. Os certificados não são mais usáveis após o término do período de validade. Nesse caso, seu correspondente terá que obter um novo certificado. Assim que isso acontecer, eles poderão enviar um novo e-mail assinado digitalmente com um certificado válido.

As organizações que operam um servidor LDAP podem configurar seu servidor para armazenar certificados S/MIME. Se um servidor LDAP estiver configurado, o Thunderbird poderá consultar automaticamente o servidor LDAP se precisar obter um certificado S/MIME.

Para revisar a lista de certificados S/MIME que você já possui, você pode usar o Gerenciador de Certificados do Thunderbird.

Validade técnica

O Thunderbird usa apenas chaves e certificados que considera tecnicamente válidos.

O Thunderbird requer que uma chave OpenPGP contenha pelo menos uma chave primária ou subordinada válida utilizável para criar assinaturas digitais e pelo menos uma chave utilizável para criptografia.

O Thunderbird pode se recusar a usar chaves OpenPGP corrompidas ou baseadas em algoritmos criptográficos que o Thunderbird considera inseguros.

Uma chave pública OpenPGP tem uma estrutura interna, pode conter várias chaves subordinadas e também contém propriedades, como o período de validade e os nomes de usuário e endereços de e-mail relacionados. Tais propriedades podem ser adicionadas, removidas ou atualizadas. Para garantir que as propriedades foram realmente modificadas pelo proprietário legítimo da chave, as propriedades são assinadas digitalmente usando a chave secreta do proprietário. Cada assinatura digital usa um algoritmo de assinatura. O Thunderbird pode ignorar propriedades baseadas em algoritmos de assinatura inseguros.

Se você obteve a chave pública de alguém e o Thunderbird se recusa a importar ou usá-la, as possíveis razões são:

  • Depois de importá-la, a chave parece não ter certas propriedades.
  • A chave tem um período de validade inesperado.
  • A chave pode conter propriedades inseguras que o Thunderbird decidiu rejeitar ou ignorar.

Endereço de e-mail correspondente

Para usar uma chave pública OpenPGP ou certificado S/MIME para enviar um e-mail criptografado para um endereço de e-mail, o Thunderbird geralmente requer que a estrutura interna da chave ou certificado liste o endereço de e-mail exatamente correspondente. Ele permite que o Thunderbird decida automaticamente se uma chave ou certificado público pode ser usado para um endereço de e-mail.

Em outras palavras, se Alice quiser enviar um e-mail criptografado para bob@example.com, ela precisa de uma chave pública OpenPGP ou um certificado S/MIME que afirma ser para esse endereço de e-mail. Uma chave ou certificado que afirma ser para bobby@example.com não seria usado pelo Thunderbird.

Se Alice realmente quisesse usar a chave pública ou o certificado listado bobby@example.com para enviar e-mails para bob@example.com, Alice teria que ter conhecimento adicional sobre os endereços de e-mail de Bob, que não são óbvios. Bob teria que pedir a Alice para usar essa chave, apesar da incompatibilidade do endereço de e-mail. Alice teria que pedir ao Thunderbird para usar a chave pública ou o certificado, apesar da incompatibilidade.

Este é considerado um cenário avançado, que alguns usuários podem ser obrigados a usar, mas que a maioria dos usuários não precisa. Atualmente, o Thunderbird não oferece uma solução interativa para isso.

No entanto, como alguns usuários especializados solicitaram suporte para usar chaves públicas OpenPGP incompatíveis, o Thunderbird está oferecendo um mecanismo de configuração avançado, que está documentado no artigo Thunderbird e OpenPGP Alias Keys.

Aceitando

Se você obteve uma chave pública OpenPGP, e a chave afirma estar em nome do seu correspondente e contém o endereço de e-mail do seu correspondente, ainda há um risco de que ela não seja a chave certa. O risco é descrito em detalhes no artigo OpenPGP keys might be authentic or counterfeit.

Por causa desse risco, o Thunderbird não usa chaves públicas OpenPGP automaticamente. Em vez disso, para cada chave pública que você gostaria de usar, você é obrigado a confirmar que a chave é aceitável para você, conforme descrito no artigo acima.

Em outras palavras, se Alice obteve uma chave pública OpenPGP que lista o endereço de e-mail bob@example.com, e Alice tenta enviar um e-mail criptografado para bob@example.com, o Thunderbird pode reclamar que ainda não há uma chave aceita' para Bob. Alice deve seguir a orientação oferecida na tela para revisar a chave ou chaves disponíveis para bob@example.com, ela deve revisá-la, ela deve verificar idealmente e precisa marcar a chave como aceita.

Para S/MIME, certificados tecnicamente válidos assinados por uma CA que foi incluída no Thunderbird de acordo com base no Mozilla Root Store Policy serão automaticamente aceitos pelo Thunderbird para enviar e-mails criptografados para o endereço listado no certificado.

Outros recursos

Essas pessoas ajudaram a escrever este artigo:

Jhonatas Machado
Illustration of hands

Torne-se um voluntário

Desenvolva e compartilhe sua especialidade com outras pessoas. Responda perguntas e aprimore nossa base de conhecimento.

Saiba mais