Configure sua conta de e-mail para usar criptografia de ponta a ponta

Thunderbird Thunderbird Última atualização: há 1 semana

Este artigo fornece orientação para configurar as configurações de criptografia de ponta a ponta nas configurações de conta do Thunderbird. Para uma introdução mais geral, consulte também o artigo Introdução à criptografia de ponta a ponta no Thunderbird.

Para usar a Criptografia de Ponta a Ponta (e2ee) com e-mail, você deve possuir chaves criptográficas adequadas para si mesmo e configurá-las nas Configurações da Conta do Thunderbird. Ao executar essa configuração, você confirma que está disposto a usar essa funcionalidade.

As etapas para concluir sua configuração dependem da tecnologia e2ee que você gostaria de usar. Você pode optar por configurar apenas uma delas, ou ambas as tecnologias. A configuração é separada por conta e identidade, pois está diretamente relacionada a um endereço de e-mail.

Sua própria configuração OpenPGP

Se você quiser trocar mensagens criptografadas com correspondentes que já estão configurados para usar o OpenPGP, então você precisa de uma chave pessoal do OpenPGP para si mesmo. O Thunderbird define isso como um par de chaves, consistindo de chaves secretas e públicas, juntamente com um rótulo que contém seu próprio endereço de e-mail.

Se você nunca criou uma chave OpenPGP no Thunderbird, mas já usou outro software OpenPGP, talvez já esteja de posse de uma chave secreta. Use um recurso de backup/exportação do seu outro software para salvar a chave secreta de um arquivo e, se isso funcionar, tente importar o arquivo de resultado para o Thunderbird.

Nota: Thunderbird removerá a proteção de chaves secretas ao importá-las para o Thunderbird. Para garantir que suas chaves secretas ainda estejam armazenadas com segurança no seu computador, é melhor configurar um Senha Primária nas configurações do Thunderbird, que também serão usadas automaticamente para proteger suas chaves secretas do OpenPGP.

Se você já usou o Thunderbird 68 (ou versões mais antigas) com o complemento Enigmail, você já pode ter chaves secretas, porque várias versões do Enigmail criaram automaticamente chaves secretas sem pedir. Eles ainda podem estar armazenados no seu computador. Se você quiser reutilizá-los com a versão mais recente do Thunderbird, você pode tentar usar o software GnuPG para recuperá-los. (Veja a entrada correspondente no documento OpenPGP in Thunderbird - HOWTO and FAQ.)

Se você nunca usou outro software para criar chaves OpenPGP, ou se preferir não reutilizá-las, o Thunderbird permite que você crie esse tipo de chave para si mesmo nas Configurações da Conta, na guia Criptografia de ponta a ponta.

Clique no botão para Adicionar chave... e, em seguida, selecione importar ou criar, dependendo de suas necessidades.

Depois de importar uma chave, o Thunderbird deve oferecer a você para selecioná-la como a chave pessoal para essa conta ou identidade, se ela passou nos seguintes requisitos durante a importação:

  • A chave não expirou
  • A chave não é revogada
  • A chave é válida tanto para assinatura digital quanto para criptografia
  • A chave contém um ID de usuário com o endereço de e-mail da conta ou identidade que você está configurando nas Configurações da Conta

Depois de selecioná-lo, você concluiu sua própria configuração para a segurança de e-mail do OpenPGP.

Sua própria configuração S/MIME

Se você quiser trocar mensagens criptografadas com correspondentes que já estão configurados para usar S/MIME, você precisa de uma chave de certificado de e-mail pessoal para si mesmo.

A tecnologia de criptografia de e-mail S/MIME depende do serviço de terceiros confiáveis, as chamadas Autoridades de Certificação (CA), das quais você deve obter um certificado pessoal para si mesmo e instalá-lo e configurá-lo no Thunderbird.

Geralmente não é prático criar um certificado por conta própria, porque seus correspondentes de e-mail geralmente não aceitam esses certificados autoassinados.

As etapas de preparação para obter um certificado pessoal de um CA geralmente são:

  1. Você cria chaves criptográficas brutas, um par de um segredo e uma chave pública
  2. Você envia sua chave pública para uma CA suportada pelo Thunderbird
  3. A CA assinará sua chave pública em seus sistemas e adicionará mais alguns dados a ela para criar seu certificado
  4. A CA envia o certificado de volta para você
  5. Você combina o certificado recebido com a chave secreta que você havia criado anteriormente, isso transforma o certificado em seu certificado pessoal
  6. Você importa seu certificado pessoal usando o Gerenciador de Certificados do Thunderbird
  7. Você abre as configurações da conta Thunderbird, Criptografia de ponta a ponta, e seleciona o certificado que deseja usar com essa conta de e-mail (somente certificados pessoais considerados válidos pelo Thunderbird serão oferecidos para seleção). Selecione o certificado para criptografia e assinatura digital.

Versões recentes do Thunderbird não podem ajudá-lo a criar seu par de chaves brutas para S/MIME. Você precisa usar um software externo. Algumas CAs oferecem a conveniência de criar automaticamente um par de chaves para você. Isso não é ideal, porque a chave secreta usada para o seu certificado pessoal pode ser criada nos computadores operados pela CA. Existe o risco de que alguém obtenha e mantenha uma cópia da chave secreta, o que pode permitir que eles descriptografem as mensagens de e-mail criptografadas que são enviadas a você.

Teste sua própria configuração

Depois de concluir sua própria configuração, você deve testá-la. Tente enviar um e-mail criptografado e assinado digitalmente para si mesmo. Para fazer isso, escreva uma nova mensagem. Se você tiver várias contas ou identidades, certifique-se de que o endereço De na parte superior da janela do compositor mostre uma identidade para a qual você já concluiu a configuração de criptografia de ponta a ponta.

Em seguida, insira o mesmo endereço de e-mail no campo Para endereço. Adicione também um assunto de teste e o conteúdo da mensagem de teste. Em seguida, ative a criptografia. (Na versão 102 do Thunderbird, isso pode ser feito facilmente com o botão da barra de ferramentas Criptografar. Em versões anteriores, clique na seta mostrada após o botão da barra de ferramentas Segurança e selecione Requer criptografia.) Então envie a mensagem. Em seguida, volte para sua caixa de entrada, receba novas mensagens e você deve receber a mensagem que acabou de enviar. Deve ser relatado como tendo sido criptografado, consulte os rótulos S/MIME ou OpenPGP apropriados na área do cabeçalho da mensagem, que podem ser clicados para mostrar informações detalhadas.

Distribuindo sua própria chave ou certificado público

Se você quiser permitir que outras pessoas enviem e-mails criptografados para você, pode ser útil não esperar até que eles peçam que você envie sua chave pública para eles.

Você pode decidir ser proativo e garantir que outras pessoas possam obter sua chave ou certificado público quando decidirem enviar um e-mail criptografado. Uma maneira simples de fazer isso é enviar um e-mail assinado digitalmente.

Se você enviar um e-mail assinado digitalmente usando a tecnologia OpenPGP, o Thunderbird geralmente incluirá uma cópia da sua chave pública como um pequeno anexo, que é adicionado automaticamente, porque a chave pública é necessária para verificar se uma assinatura digital é tecnicamente válida.

Se você enviar um e-mail assinado digitalmente usando a tecnologia S/MIME, seu certificado está sempre incluído.

Você pode decidir que sempre assinará digitalmente os e-mails que enviar, você pode encontrar a respectiva configuração em Configurações da Conta. (Por favor, esteja ciente de que, se você assinar digitalmente um e-mail, provavelmente não poderá mais negar plausivelmente que foi o remetente de um e-mail que enviou.)

Outra maneira de distribuir uma chave pública OpenPGP é usar um servidor de chaves. O servidor de chaves disponível em https://keys.openpgp.org/ (operado por membros da comunidade de desenvolvedores OpenPGP) é uma boa escolha para publicar sua chave pública. As versões 78, 91 e 102 do Thunderbird são capazes de consultar este servidor de chaves ao realizar uma descoberta on-line para chaves públicas ausentes.

Para publicar sua chave, você deve exportar sua chave pública para um arquivo, por exemplo, usando o menu ao lado de sua chave pessoal configurada nas configurações da conta do Thunderbird ou usando o OpenPGP Key Manager do Thunderbird. Tenha cuidado e use o comando correto. Para obter uma cópia da sua chave que seja segura para compartilhar com outras pessoas, sempre use um comando que fale sobre uma operação de chave pública. Nunca compartilhe sua chave pessoal e secreta!

Depois de ter um arquivo que contém sua chave pública, você também pode distribuir sua chave usando qualquer outro mecanismo que funcione para compartilhar arquivos, como hospedar o arquivo em seu próprio site.

Essas pessoas ajudaram a escrever este artigo:

Jhonatas Machado
Illustration of hands

Torne-se um voluntário

Desenvolva e compartilhe sua especialidade com outras pessoas. Responda perguntas e aprimore nossa base de conhecimento.

Saiba mais