Если вы пытаетесь отправить почтовое сообщение с включенным Сквозным шифрованием (e2ee), Thunderbird может сообщать, что оно не может быть зашифровано. В этой статье приводятся предварительные требования для отправки зашифрованного почтового сообщения.
Оглавление
Список требований
Все требования должны быть выполнены:
- У вас должен быть персональный ключ OpenPGP или персональный сертификат S/MIME. Как это сделать, объясняется в отдельной статье: Настройка учётной записи почты для использования Сквозного шифрования.
- Если вы до этого сконфигурировали свой собственный ключ или сертификат, убедитесь, что не истёк срок его действия, он не был аннулирован и вы его не удалили.
- Каждое получатель почтового сообщения, которого вы добавили в поля Кому, Копия или Скрытая копия, должны также иметь персональный ключ OpenPGP или персональный сертификат S/MIME, и они должны иметь доступный соответствующий открытый ключ или сертификат. Как вы можете их получить и использовать, объясняется в последующих разделах этой статьи.
- При применении группового шифрования с использованием функции псевдонима получателя OpenPGP должны быть доступны открытые ключи для всех получателей, определенных для псевдонимного адреса электронной почты.
- У вас должны быть ключи или сертификаты одинаковой технологии для всех получателей, включая вас, потому что OpenPGP и S/MIME - разные технологии шифрования и их нельзя смешивать в одном почтовом сообщении. Убедитесь, что вы выбрали правильную технологию при составлении зашифрованного сообщения.
Если вам необходимо более подробное объяснение терминов, упоминающихся в этой статье, а также чтобы узнать, как в целом работает технология шифрования почтовых сообщений, вам может помочь статья Введение в сквозное шифрование Thunderbird.
Получение открытых ключей OpenPGP корреспондентов
Можно использовать следующие механизмы получения открытых ключей OpenPGP:
- Ваш корреспондент отправляет вам почтовое сообщение и прикрепляет свой открытый ключ к этому сообщению. При просмотре такого сообщения, если вы нажмёте на кнопку OpenPGP, отображаемую в области заголовка, Thunderbird предложит вам импортировать ключ.
- Ваш корреспондент отправляет вам почтовое сообщение, содержащее заголовок Autocrypt, содержащий его открытый ключ. При просмотре такого почтового сообщения, если вы щёлкните на кнопку OpenPGP, отображающуюся в области заголовка, Thunderbird предложит вам импортировать ключ.
- Ваш корреспондент опубликовал свой открытый ключ на веб-сервере. Ваш корреспондент может дать вам ссылку на своё открытый ключ. Или вы можете использовать веб-поиск, чтобы найти ключ самостоятельно. В обоих случаях вы загрузите открытый ключ в локальный файл и затем используете Менеджер ключей OpenPGP в Thunderbird для импорта файла, содержащего открытый ключ.
- Ваш корреспондент опубликовал свой открытый ключ на сервере, который использует протокол WKD. При попытке отправить зашифрованное почтовое, когда у вас ещё нет открытого ключа адреса электронной почты получателя, Thunderbird может предложить вам выполнить онлайн-обнаружение, которое способно найти публичные ключи, опубликованные с помощью протокола WKD.
- Ваш корреспондент опубликовал свой открытый ключ на сервере ключей, который поддерживает Thunderbird, например, сервер keys.openpgp.org. При попытке отправить зашифрованное сообщение, когда у вас ещё нет открытого ключа электронного адреса получателя, Thunderbird может предложить вам провести онлайн-обнаружение, которое способно найти публичные ключи, опубликованные на этом сервере ключей.
- Ваш корреспондент опубликовал свой открытый ключ на ключевом сервере, к которому Thunderbird ещё не может обращаться автоматически. Если ваш корреспондент скажет вам, какой сервер ключей содержит его ключ, вы можете использовать веб-браузер, чтобы посетить этот сервер ключей, совершить поиск его открытого ключа, загрузить его в виде файла и затем импортировать этот файл с помощью Менеджера ключей OpenPGP в Thunderbird.
Если Thunderbird не может найти ключ автоматически, обично проще всего отправить простое почтовое сообщение (без шифрования) вашему корреспонденту и попросить его отправить вам почтовое сообщение, содержащее его открытый ключ.
В Thunderbird версий 78 и 91, если вы получили почтовое сообщение с ключом корреспондента, необходимо взаимодействовать с этим сообщением для импорта ключа, либо с помощью меню по правой кнопке мыши на вложении и попросить его импортировать, либо с помощью щелчка по кнопке OpenPGP, отображаемой в области заголовка, которая может сообщить, что это почтовое сообщение содержит открытый ключ и может предложить его импортировать.
В Thunderbird 102 и более новых Thunderbird автоматически собирает ключи, которые видит в кэше, для последующего использования. При создании почтового сообщения, когда открытый ключ корреспондента ещё не был импортирован, Thunderbird может автоматически предложить вам использовать открытые ключи, которые уже были собраны.
Обратите внимание, что невозможно просмотреть кэш всех ключей, которые автоматически собирает Thunderbird. При необходимости Thunderbird автоматически предложит вам сравнение ключей в Ассистенте ключей OpenPGP, к которому вы можете получить доступ из окна создания почтового сообщения в Thunderbird.
Чтобы просмотреть список уже импортированных ключей OpenPGP, вы можете использовать Менеджер ключей OpenPGP в Thunderbird.
Получение сертификатов корреспондентов S/MIME
Стандартный способ распространения сертификата человека - отправить почтовое сообщение, подписанное электронной подписью. Если вы получите подписанное почтовое сообщение от вашего корреспондента, щёлкните по сообщению, чтобы его просмотреть. Если Thunderbird распознает подпись почтового сообщения и сертификат отправителя валидный, он будет автоматически импортирован и доступен, когда вы попытаетесь зашифровать почтовое сообщение для этого корреспондента с помощью технологии S/MIME. Если у вас ещё нет подписанного почтового сообщения от вашего корреспондента, вы можете попросить его отправить вам сообщение, подписанное электронной подписью.
Обратите внимание, что сертификаты, выпущенные удостоверяющими центрами, могут иметь короткий период действия. Сертификаты невозможно использовать после истечения периода их действия. В этом случае вашему корреспонденту потребуется получить новый сертификат. После того, как это произойдёт, он сможет отправить вам новое письмо, подписанное электронной подписью с помощью валидного сертификата.
Огранизации, которые используют сервер LDAP, могут настроить свой сервер на хранение сертификатов S/MIME. Если сервер LDAP сконфигурирован, Thunderbird может автоматически делать запросы к LDAP-серверу, если необходимо получить S/MIME-сертификат.
Чтобы просмотреть список сертификатов, которые у вас уже есть, вы можете использовать Менеджер сертификатов Thunderbird.
Техническая валидность
Thunderbird использует только те ключи и сертификаты, которые определяет как технически валидные.
Thunderbird требует, чтобы ключи OpenPGP содержали по крайней мере один валидный основной или подчинённый ключ, подходящий для создания электронных подписей, а также по крайней мере один ключ, подходящий для шифрования.
Thunderbird может отклонить использование ключей OpenPGP, которые повреждены или которые основаны на криптографических алгоритмах, которые Thunderbird рассматривает как небезопасные.
Открытый ключ OpenPGP имеет внутреннюю структуру, он может содержать несколько подчинённых ключей, также он может содержать такие свойства, как период валидности и связанные имена пользователей и адреса электронной почты. Такие свойства могут добавляться, удаляться или обновляться. Чтобы убедиться, что свойства были на самом деле изменены законным владельцем ключа, свойства подписываются электронной подписью с помощью закрытого ключа владельца. Каждая электронная подпись использует алгоритм подписи. Thunderbird может игнорировать свойства, основанные на небезопасных алгоритмах подписи.
Если вы получили чей-то открытый ключ и Thunderbird отказывается импортировать или использовать его, причины могут быть следующими:
- После его импорта в ключе обнаружился недостаток определённых свойств.
- У ключа неожидаемый период действия.
- Ключ может содержать небезопасные свойства, которые Thunderbird решил отклонить или проигнорировать.
Соответствие адреса электронной почты
Для использования открытого ключа OpenPGP или сертификата S/MIME для отправки зашифрованных почтовых сообщений на адрес электронной почты Thunderbird обычно требует, чтобы внутренняя структура ключа или сертификата содержала точно совпадающий адрес электронной почты. Это позволяет Thunderbird автоматически определить, может ли открытый ключ или сертификат использоваться для адреса электронной почты.
Другими словами, если Алиса хотит отправить зашифрованное почтовое сообщение на bob@example.com, ей нужен открытый ключ OpenPGP или сертификат S/MIME, который утверждает, что предназначен для этого адреса электронной почты. Ключ или сертификат, который утверждает, что предназначен для bobby@example.com, не будет использоваться Thunderbird.
Если Алиса на самом деле хочет использовать открытый ключ или сертификат, содержащий bobby@example.com, для отправки почтового сообщения на bob@example.com, Алисе потребуются дополнительные сведения об адресах электронной почты Боба, которые неочевидны. Боб должен попросить Алису использовать этот ключ несмотря на то, что адреса электронной почты не совпадают. Алиса должна попросить Thunderbird использовать открытый ключ или сертификат, несмотря на несоответствие.
Это считается продвинутым сценарием, который необходимо использовать некоторым пользователям, но который не нужен большинству пользователей. Thunderbird на данный момент не предлагает интерактивное решение для него.
Однако из-за того, что некоторые опытные пользователи запрашивали поддержку для использования открытых ключей OpenPGP с несоответствиями, Thunderbird предлагает продвинутый механизм конфигурирования, который задокументирован в статье Thunderbird и ключи псевдонимов OpenPGP.
Принятие
Если вы получили открытый ключ OpenPGP и ключ, как утверждается, на имя вашего корреспондента и содержит адрес электронной почты вашего корреспондента, всё ещё существует риск, что это неправильный ключ. Подробная информация о риске описана в статье Ключи OpenPGP могут быть подлинными или поддельными.
Из-за этого риска Thunderbird не использует открытые ключи OpenPGP автоматически. Вместо этого для каждого открытого ключа, который вы хотите использовать, требуется подтерждение, что вы принимаете этот ключ, как описано в статье выше.
Другими словами, если Алиса получила открытый ключ OpenPGP, который содержит адрес электронной почты bob@example.com, и Алиса пытается отправить зашифрованное почтовое сообщение на bob@example.com, Thunderbird может пожаловаться, что ещё нет принятых ключей для Боба. Алиса должна следовать указаниям на экране, чтобы просмотреть ключ или ключи, которые доступны для bob@example.com, она должна просмотреть его, она должна в идеале проверить его и она должна пометить ключ как принятый.
Для S/MIME технически валидные сертификаты, подписанные удостоверяющим центром, включенным в Thunderbird согласно Политике Корневого хранилища Mozilla, будет автоматически принят Thunderbird для отправки зашифрованных почтовых сообщений на адрес, укажанный в сертификате.
