Προϋπόθεση για την αποστολή κρυπτογραφημένου email

Αν προσπαθήσετε να στείλετε ένα email με ενεργοποιημένη τη διατερματική κρυπτογράφηση (e2ee), το Thunderbird ίσως αναφέρει ότι δεν μπορεί να κάνει κρυπτογράφηση. Αυτό το άρθρο εξηγεί τις απαιτήσεις για την αποστολή ενός κρυπτογραφημένου μηνύματος email.

Προϋποθέσεις

Πρέπει να πληρούνται όλα τα παρακάτω στοιχεία:

• Πρέπει να διαθέτετε ένα προσωπικό κλειδί OpenPGP ή ένα προσωπικό πιστοποιητικό S/MIME και πρέπει να ρυθμίσετε το Thunderbird έτσι, ώστε να το χρησιμοποιεί. Για να μάθετε πώς να το κάνετε αυτό, ανατρέξετε στο άρθρο Ρύθμιση λογαριασμού email για χρήση διατερματικής κρυπτογράφησης.
• Εάν είχατε ρυθμίσει το δικό σας κλειδί ή πιστοποιητικό στο παρελθόν, βεβαιωθείτε ότι δεν έχει λήξει, ανακληθεί ή διαγραφεί.
• Κάθε παραλήπτης email που έχετε προσθέσει στα πεδία «Προς», «Κοιν.» (CC) ή «Κρυφή κοιν.» (BCC) πρέπει επίσης να διαθέτει ένα προσωπικό κλειδί OpenPGP ή προσωπικό πιστοποιητικό S/MIME και να έχει διαθέσει το αντίστοιχο δημόσιο κλειδί ή πιστοποιητικό. Οι επόμενες ενότητες αυτού του άρθρου εξηγούν πώς να τα αποκτήσετε και να τα χρησιμοποιήσετε.
• Κατά τη χρήση ομαδικής κρυπτογράφησης με τη λειτουργία ψευδωνύμων παραληπτών OpenPGP, πρέπει να είναι διαθέσιμα τα δημόσια κλειδιά για όλους τους παραλήπτες που έχουν καθοριστεί για ένα ψευδώνυμο διεύθυνσης email.
• Πρέπει να διαθέτετε κλειδιά ή πιστοποιητικά της ίδιας τεχνολογίας για όλους τους παραλήπτες και για τον εαυτό σας, επειδή το OpenPGP και το S/MIME είναι διαφορετικές τεχνολογίες κρυπτογράφησης και δεν μπορούν να χρησιμοποιηθούν συνδυαστικά σε ένα email. Βεβαιωθείτε ότι έχετε επιλέξει τη σωστή τεχνολογία κατά τη σύνθεση ενός κρυπτογραφημένου email.

Αν χρειάζεστε μια πιο λεπτομερή εξήγηση των όρων που αναφέρονται σε αυτό το άρθρο και θέλετε να μάθετε πώς λειτουργεί γενικά η τεχνολογία κρυπτογράφησης email, ίσως θελήσετε να διαβάσετε το άρθρο Εισαγωγή στη διατερματική κρυπτογράφηση στο Thunderbird.

Απόκτηση δημόσιων κλειδιών OpenPGP για συνομιλητές

Μπορείτε να αξιοποιήσετε τους εξής μηχανισμούς για να αποκτήσετε ένα δημόσιο κλειδί OpenPGP:

• Ο συνομιλητής σας σάς στέλνει ένα email, έχοντας επισυνάψει το δημόσιο κλειδί του σε αυτό. Κατά την προβολή ενός τέτοιου email, εάν κάνετε κλικ στο κουμπί OpenPGP της περιοχής κεφαλίδας, το Thunderbird θα σας επιτρέψει να εισαγάγετε το κλειδί.
• Ο συνομιλητής σας σάς στέλνει ένα email, το οποίο περιλαμβάνει μια κεφαλίδα Autocrypt που περιέχει το δημόσιο κλειδί του. Κατά την προβολή ενός τέτοιου email, εάν κάνετε κλικ στο κουμπί OpenPGP της περιοχής κεφαλίδας, το Thunderbird θα σας επιτρέψει να εισαγάγετε το κλειδί.
• Ο συνομιλητής σας έχει δημοσιεύσει το δημόσιο κλειδί του σε κάποιον διακομιστή. Ο συνομιλητής σας ενδέχεται να σας έδωσε έναν σύνδεσμο για το δημόσιο κλειδί του. Ή μπορεί να το βρήκατε κάνοντας μια αναζήτηση στο διαδίκτυο. Και στις δύο περιπτώσεις, αποθηκεύετε το δημόσιο κλειδί σε ένα τοπικό αρχείο και χρησιμοποιείτε τη Διαχείριση κλειδιών OpenPGP του Thunderbird, ώστε να εισαγάγετε το αρχείο με το δημόσιο κλειδί.
• Ο συνομιλητής σας έχει δημοσιεύσει το δημόσιο κλειδί του σε κάποιον διακομιστή που χρησιμοποιεί το πρωτόκολλο WKD. Κατά την προσπάθεια αποστολής ενός κρυπτογραφημένου email, χωρίς να έχετε ακόμα κάποιο δημόσιο κλειδί για τη διεύθυνση email ενός παραλήπτη, το Thunderbird θα σας επιτρέψει να εκτελέσετε μια διαδικτυακή αναζήτηση, η οποία μπορεί να εντοπίσει τα δημόσια κλειδιά που έχουν δημοσιευτεί με το πρωτόκολλο WKD.
• Ο συνομιλητής σας έχει δημοσιεύσει το δημόσιο κλειδί του σε κάποιον διακομιστή κλειδιών που υποστηρίζει το Thunderbird, όπως το keys.openpgp.org. Κατά την προσπάθεια αποστολής ενός κρυπτογραφημένου email, χωρίς να έχετε ακόμα κάποιο δημόσιο κλειδί για τη διεύθυνση email ενός παραλήπτη, το Thunderbird θα σας επιτρέψει να εκτελέσετε μια διαδικτυακή αναζήτηση, η οποία μπορεί να εντοπίσει τα δημόσια κλειδιά που έχουν δημοσιευτεί σε αυτόν τον διακομιστή κλειδιών.
• Ο συνομιλητής σας έχει δημοσιεύσει το δημόσιο κλειδί του σε κάποιον διακομιστή κλειδιών, όπου δεν μπορεί να κάνει αυτόματα αναζήτηση το Thunderbird. Εάν ο συνομιλητής σας σάς πει ποιος διακομιστής κλειδιών περιέχει το κλειδί του, μπορείτε να χρησιμοποιήσετε ένα πρόγραμμα περιήγησης για να επισκεφθείτε αυτόν τον διακομιστή, να αναζητήσετε το δημόσιο κλειδί του, να το αποθηκεύσετε σε ένα αρχείο, το οποίο θα εισαγάγετε με τη Διαχείριση κλειδιών OpenPGP του Thunderbird.

Εάν το Thunderbird δεν μπορεί να βρει αυτόματα το κλειδί, είναι συνήθως πιο εύκολο να στείλετε ένα απλό email (χωρίς κρυπτογράφηση) στον συνομιλητή σας και να του ζητήσετε να σας στείλει ένα email με το δημόσιο κλειδί του.

Με τις εκδόσεις 78 και 91 του Thunderbird, όταν λαμβάνατε ένα email με το κλειδί ενός συνομιλητή, ήταν απαραίτητο να αλληλεπιδράσετε με αυτό το email για να εισαγάγετε το κλειδί, είτε κάνοντας εισαγωγή μέσω του μενού δεξιού κλικ για κάποιο συνημμένο, είτε κάνοντας κλικ στο κουμπί OpenPGP της περιοχής κεφαλίδας, η οποία ανέφερε ότι το email περιέχει ένα δημόσιο κλειδί και επέτρεπε την εισαγωγή του.

Από την έκδοση 102 του Thunderbird και έπειτα, το Thunderbird συλλέγει αυτόματα τα κλειδιά που εντοπίζει σε μια προσωρινή μνήμη για μεταγενέστερη χρήση. Κατά τη σύνθεση ενός email, εάν δεν έχει γίνει ακόμα εισαγωγή του δημόσιου κλειδιού του παραλήπτη, το Thunderbird ενδέχεται να σας προσφέρει αυτόματα την επιλογή για χρήση των δημόσιων κλειδιών που έχει ήδη συλλέξει.

Σημειώστε ότι δεν είναι δυνατός ο έλεγχος της προσωρινής μνήμης όλων των κλειδιών που έχει συλλέξει αυτόματα το Thunderbird. Εάν είναι απαραίτητο, το Thunderbird θα σας επιτρέψει αντίστοιχα κλειδιά στον βοηθό κλειδιών OpenPGP, τον οποίο μπορείτε να προσπελάσετε από το παράθυρο σύνθεσης email του Thunderbird.

Για να ελέγξετε τη λίστα των κλειδιών OpenPGP που έχετε ήδη, μπορείτε να χρησιμοποιήσετε τη Διαχείριση κλειδιών OpenPGP του Thunderbird.

Απόκτηση πιστοποιητικών S/MIME για συνομιλητές

Η τυπική μέθοδος διανομής του πιστοποιητικού ενός ατόμου είναι μέσω της αποστολής ενός ψηφιακά υπογεγραμμένου email. Εάν έχετε λάβει ένα ψηφιακά υπογεγραμμένο email από τον συνομιλητή σας, κάντε κλικ στο email για προβολή. Αν το Thunderbird θεωρεί έγκυρα την υπογραφή του email και το πιστοποιητικό του αποστολέα, αυτό θα εισαχθεί αυτόματα και θα είναι διαθέσιμο όταν προσπαθήσετε να κρυπτογραφήσετε ένα email που απευθύνεται στον συνομιλητή που χρησιμοποιεί την τεχνολογία S/MIME. Εάν δεν διαθέτετε ακόμα κάποιο υπογεγραμμένο email από τον συνομιλητή σας, μπορείτε να του ζητήσετε να σας στείλει ένα ψηφιακά υπογεγραμμένο email.

Σημειώστε ότι τα πιστοποιητικά που εκδίδονται από τις CA ενδέχεται να έχουν σύντομη περίοδο ισχύος. Τα πιστοποιητικά δεν μπορούν να χρησιμοποιηθούν αφού λήξει η περίοδος ισχύος. Σε αυτήν την περίπτωση, ο συνομιλητής σας θα πρέπει να αποκτήσει ένα νέο πιστοποιητικό. Μόλις συμβεί αυτό, θα μπορέσει να σας στείλει ένα νέο, ψηφιακά υπογεγραμμένο email με έγκυρο πιστοποιητικό.

Οι οργανισμοί που διαθέτουν διακομιστή LDAP ενδέχεται να τον έχουν ρυθμίσει έτσι, ώστε να αποθηκεύει πιστοποιητικά S/MIME. Εάν έχει ρυθμιστεί ένα διακομιστής LDAP, το Thunderbird μπορεί να στείλει αίτημα στον διακομιστή LDAP εάν χρειάζεται να λάβει ένα πιστοποιητικό S/MIME.

Για να ελέγξετε τη λίστα με τα πιστοποιητικά S/MIME που διαθέτετε ήδη, μπορείτε να χρησιμοποιήσετε τη Διαχείριση πιστοποιητικών του Thunderbird.

Τεχνική εγκυρότητα

Το Thunderbird χρησιμοποιεί μόνο τα κλειδιά και τα πιστοποιητικά που θεωρεί τεχνικά έγκυρα.

Το Thunderbird απαιτεί από ένα κλειδί OpenPGP να περιέχει τουλάχιστον ένα έγκυρο, κύριο ή δευτερεύον κλειδί που να μπορεί να χρησιμοποιηθεί για τη δημιουργία ψηφιακών υπογραφών, καθώς και τουλάχιστον ένα κλειδί που να μπορεί να χρησιμοποιηθεί για κρυπτογράφηση.

Το Thunderbird ενδέχεται να αρνηθεί τη χρήση κλειδιών OpenPGP που έχουν καταστραφεί ή που βασίζονται σε κρυπτογραφικούς αλγορίθμους, τους οποίους θεωρεί επισφαλείς το Thunderbird.

Ένα δημόσιο κλειδί OpenPGP διαθέτει τη δική του εσωτερική δομή· μπορεί να περιέχει πολλά δευτερεύοντα κλειδιά και ιδιότητες, όπως η περίοδος ισχύος και τα σχετικά ονόματα χρήστη και διευθύνσεις email. Αυτές οι ιδιότητες μπορούν να προστεθούν, να αφαιρεθούν ή να ενημερωθούν. Για να είναι βέβαιο ότι οι ιδιότητες τροποποιήθηκαν πράγματι από τον νόμιμο κάτοχο του κλειδιού, οι ιδιότητες υπογράφονται ψηφιακά με το μυστικό κλειδί του κατόχου. Κάθε ψηφιακή υπογραφή χρησιμοποιεί έναν αλγόριθμο υπογραφής. Το Thunderbird ενδέχεται να αγνοήσει τις ιδιότητες που βασίζονται σε επισφαλείς αλγορίθμους υπογραφών.

Εάν έχετε αποκτήσει το δημόσιο κλειδί κάποιου και το Thunderbird αρνείται να το εισαγάγει ή να το χρησιμοποιήσει, αυτό μπορεί να οφείλεται σε κάποιον από τους εξής λόγους:

• Μετά την εισαγωγή του, το κλειδί φαίνεται να μην έχει ορισμένες ιδιότητες.
• Το κλειδί διαθέτει μη αναμενόμενη περίοδο ισχύος.
• Το κλειδί ενδέχεται να περιέχει επισφαλείς ιδιότητες που το Thunderbird αποφάσισε να απορρίψει ή να αγνοήσει.

Αντιστοιχία με διεύθυνση email

Για να χρησιμοποιήσετε ένα δημόσιο κλειδί OpenPGP ή ένα πιστοποιητικό S/MIME για την αποστολή ενός κρυπτογραφημένου email σε μια διεύθυνση email, το Thunderbird απαιτεί συνήθως ακριβή αντιστοιχία της εσωτερικής δομής του κλειδιού ή του πιστοποιητικού με μια διεύθυνση email. Αυτή η απαίτηση επιτρέπει στο Thunderbird να προσδιορίζει αυτόματα εάν ένα δημόσιο κλειδί ή πιστοποιητικό μπορεί να χρησιμοποιηθεί για μια διεύθυνση email.

Με άλλα λόγια, εάν η Αλίκη θέλει να στείλει κρυπτογραφημένο email στο vasilis@paradeigma.com, χρειάζεται ένα δημόσιο κλειδί OpenPGP ή ένα πιστοποιητικό S/MIME που υποτίθεται πως ανήκει σε αυτήν τη διεύθυνση. Το Thunderbird δεν θα χρησιμοποιούσε κάποιο κλειδί ή πιστοποιητικό που αντιστοιχεί στο vasileios@paradeigma.com.

Αν η Αλίκη θέλει οπωσδήποτε να χρησιμοποιήσει το δημόσιο κλειδί ή πιστοποιητικό που αναγράφει τη διεύθυνση vasileios@paradeigma.com για την αποστολή του email στο vasilis@paradeigma.com, τότε η Αλίκη θα πρέπει να έχει περισσότερες γνώσεις για τις διευθύνσεις email του Βασίλη, οι οποίες δεν είναι προφανείς. Ο Βασίλης θα πρέπει να έχει ζητήσει από την Αλίκη να χρησιμοποιήσει το συγκεκριμένο κλειδί, παρά την έλλειψη αντιστοιχίας με τη διεύθυνση email. Η Αλίκη θα πρέπει να ζητήσει από το Thunderbird να χρησιμοποιήσει το δημόσιο κλειδί ή πιστοποιητικό, παρά την έλλειψη αντιστοιχίας.

Αυτή είναι μια σύνθετη περίπτωση, στην οποία ενδέχεται να βρεθούν ορισμένοι χρήστες, αλλά αυτό δεν ισχύει για την πλειοψηφία των χρηστών. Το Thunderbird δεν προσφέρει προς το παρόν κάποια διαισθητική λύση για αυτήν την περίπτωση.

Ωστόσο, επειδή μερικοί έμπειροι χρήστες έχουν ζητήσει υποστήριξη για τη χρήση δημόσιων κλειδιών OpenPGP, παρά την έλλειψη αντιστοιχίας, το Thunderbird παρέχει έναν σύνθετο μηχανισμό παραμέτρων, ο οποίος τεκμηριώνεται στο άρθρο Thunderbird και κλειδιά ψευδωνύμων OpenPGP.

Αποδοχή

Εάν έχετε αποκτήσει κάποιο δημόσιο κλειδί OpenPGP που υποτίθεται ότι ανήκει στον επιθυμητό παραλήπτη και περιέχει τη διεύθυνση email του, υπάρχει ακόμα κίνδυνος να μην είναι το σωστό κλειδί. Το άρθρο Τα κλειδιά OpenPGP ενδέχεται να είναι αυθεντικά ή πλαστά περιγράφει λεπτομερώς τον κίνδυνο αυτό.

Εξαιτίας αυτού του κινδύνου, το Thunderbird δεν χρησιμοποιεί αυτόματα τα δημόσια κλειδιά OpenPGP. Αντίθετα, για κάθε δημόσιο κλειδί που επιθυμείτε να χρησιμοποιήσετε, θα πρέπει να επιβεβαιώσετε ότι θεωρείτε το κλειδί αξιόπιστο, όπως περιγράφει το παραπάνω άρθρο.

Με άλλα λόγια, εάν η Αλίκη έχει αποκτήσει ένα δημόσιο κλειδί OpenPGP για το vasilis@paradeigma.com και προσπαθήσει να στείλει κρυπτογραφημένο email σε αυτήν τη διεύθυνση, το Thunderbird θα την ενημερώσει ότι δεν υπάρχει αποδεκτό κλειδί για τον Βασίλη. Η Αλίκη πρέπει να ακολουθήσει τις οδηγίες στην οθόνη για να αξιολογήσει το κλειδί ή τα κλειδιά για το vasilis@paradeigma.com, να επαληθεύσει την εγκυρότητά του και να τα επισημάνει ως αποδεκτά.

Για το S/MIME, τα τεχνικά έγκυρα πιστοποιητικά που υπογράφει μια CA, η οποία συμπεριλαμβάνεται στο Thunderbird βάσει της πολιτικής Mozilla Root Store, θα γίνονται αυτομάτως αποδεκτά από το Thunderbird για την αποστολή κρυπτογραφημένων email στη διεύθυνση που αναγράφει το πιστοποιητικό.