Публичный pgp ключ что это и как создать
Безопасность: как пользоваться PGP-ключом
DronVR
Безопасность: как пользоваться PGP-ключом
PGP — это дополнительная защита переписки. Чтобы лучше понимать принцип работы PGP, рекомендуем сначала ознакомиться со статьёй Дополнительная безопасность при общении в сети.
Вкратце, это способ шифрования и расшифровки информации. Для функционирования PGP необходимо, чтобы оба участника переписки им пользовались. Для этого на компьютер устанавливается одна из программ, которая позволяет шифровать способом PGP. Рекомендуем gpg4usb (под Linux или Windows) или программу GnuPG (возможные операционные системы указаны на скриншоте ниже).
Варианты программы под разные операционные системы сайте GnuPG
PGP — это способ шифрования, который оформлен по-разному в специализированных программах, но суть его от этого не меняется. Просто установите одну из указанных программ: они отлично справляются со своей задачей.
После установки программы необходимо сгенерировать через неё свой ключ, который и становится дополнительной защитой, позволяя зашифровывать и расшифровывать (при желании отправителя) любые сообщения.
Как этим пользоваться
Рассмотрим установку на примере программы gpg4usb.
Программа скачивается в zip формате: разархивируем её, устанавливаем на компьютер и запускаем. Автоматически появляется «мастер первого запуска». Если аккаунта и PGP-ключей ещё нет, выбираем верхний вариант: создать новую ключевую пару.
Нажимаем Создать новый ключ и попадаем в окно введения личных данных.
ВАЖНО! Не указывайте своё настоящее имя и реальный e-mail. Подтверждать его не потребуется, поэтому можете вводить любое сочетание букв и цифр, а потом добавить @mail.ru, @gmail.com, @rambler.ru и т.д.
Можно задать срок годности ключа на любой период времени или поставить галочку «без срока годности» — тогда ключ будет вечным. Длина ключа выставляется по умолчанию 2048 бит.
После создания ключа мы попадаем в основное окно программы. Чтобы начать пользоваться шифрованием, открываем менеджер ключей.
Поскольку мы только что создали аккаунт, в поле контактов будет только одно имя — ваше. Можно поставить галочку около него и нажать «Экспорт в буфер обмена», чтобы передать ваш публичный ключ собеседнику (чтобы он в свою очередь смог зашифровать для вас сообщение).
ВАЖНО! У вас есть 2 ключа: публичный и персональный. Публичный можно хранить в открытом доступе, чтобы вам могли прислать зашифрованное сообщение, но никогда никому не сообщайте свой персональный ключ, т.к. он нужен для расшифровки сообщений! Если вам плохо понятно, как это работает, перечитайте ещё раз статью про принцип работы PGP.
Теперь посмотрим, как всё это работает. Для наглядности лучше, если у вас уже есть собеседник, который имеет PGP-ключ, но можно отправить сообщение самому себе.
Пишем любой текст, потом во вкладке «Вид» отмечаем галочкой «Зашифровать для:», и поверх основного окна (или справа от него) появляется список ваших контактов (то есть список сохранённых ключей). На данный момент есть только один контакт — вы сами.
Нажимаем «Зашифровать» (значок над надписью *безымянный1.txt) и получаем длинный непонятный набор цифр в окне, где только что был написанный текст сообщения.
Теперь можно нажать «Расшифровать», ввести свой пароль (который был придуман и введён на этапе генерирования ключа) и получить на экране своё же сообщение, прошедшее этап шифрования и расшифровки.
Общение через PGP
Когда у вас появляется реальный контакт, с которым необходимо пообщаться через PGP-шифрование, первым делом нужно добавить его публичный ключ к списку контактов в программе. Для этого просто скопируйте указанный собеседником ключ и нажмите Менеджер ключей => Импорт ключа из => Буфер обмена. После этого в списке ваших контактов появится строка с именем, которое собеседник выбрал при генерации своего ключа.
Теперь осталось написать сообщение, опять нажать Вид => Зашифровать для и выбрать галочкой имя собеседника. Сообщение в зашифрованном виде отобразится в окне с текстом. Копируем получившееся сообщение и отправляем в таком виде собеседнику.
Чтобы вам могли ответить в таком же виде, необходимо отправить собеседнику ваш публичный ключ, который легко посмотреть через Менеджер ключей => галочка напротив вашего никнейма => Экспорт в буфер обмена. Теперь можно просто нажать правой кнопкой мыши в любой текстовый файл (в том числе в самой программе) или сразу в переписке с собеседником и нажать Вставить. С помощью этого ключа ваш собеседник сможет таким же образом зашифровать для вас сообщение, которое вы расшифруете так же, как расшифровали тестовое сообщение самому себе.
ВАЖНО! Отправлять сообщение в зашифрованном виде можно куда угодно: по e-mail, в личную переписку на любом сайте, даже в социальные сети и мессенджеры. Тем не менее, старайтесь избегать контактов по специфическим темам, если известны ваши личные данные (например, аккаунт в соц сети).
На HYDRA ключ PGP используется не только для защиты переписки, но и для защиты аккаунта в целом (двухфакторная аутентификация возможна через PGP), а также с помощью ключа можно восстановить пароль. Об этом готовится отдельная статья.
Шифрование PGP
Аутентификация гарантирует, что если некоторая информация была создана Вами и выложена для публичного доступа, то она действительно поступила от Вас и не была никем фальсифицирована или изменена в пути.
PGP основана на криптографической системе, известной как открытый ключ, которая может быть использована на ненадежных каналах. Это делает ее идеальной для обеспечения защиты информации, передаваемой по таким сетям, как Internet.
В системах с открытым ключом каждый из участников информационного обмена имеет два ключа, взаимно дополняющих друг друга; один является открытым ключом, а другой закрытым. Открытый ключ может и должен быть свободно доступным, так как он является именно тем ключом, который отправитель использует для шифрования передаваемой Вам информации. Закрытый ключ ни в коем случае не должен распространяться. Именно он гарантирует безопасность передаваемых данных.
Вы посылаете письмо в список рассылки для своих клиентов. При этом подписчики списка хотят быть уверены что это именно Вы послали сообщение и что оно не было изменено каким-либо посторонним лицом. Подписываем сообщение с помощью своего закрытого ключа и вставляем подпись в письмо. Теперь все клиенты, у которых есть открытый ключ, могут с помощью него проверить, действительно ли Вы послали это письмо и не изменено ли оно кем-либо.
На наших машинах установлены две версии PGP:
В PGP версии 2.6.3ia для криптования используется алгоритм RSA, а в версии 6.5.1i добавлен алгоритм DSS/DH.
Теперь можете приступать к использованию PGP
Создание пары ключей
Чтобы начать использовать PGP, нужно создать собственную пару ключей (открытый/закрытый). Чтобы это сделать, выполните команду:
Вас попросят выбрать максимальный размер ключа (512, 768 или 1024 байт). Чем больше ключ, тем более надежным он будет, правда ценой небольшого снижения быстродействия при шифровании.
После выбора размера нужно задать идентификатор открытого ключа. Обычно здесь указывают свои имена и/или e-mail адрес. Например:
Далее нужно задать пароль, который будет защищать закрытый ключ. Это необходимо для защиты закрытого ключа. Например, если кто-нибудь украдет его, ключ будет бесполезен без пароля. Наконец, программа попросит в произвольном порядке нажать несколько клавиш на клавиатуре чтобы она могла создать последовательность случайных чисел. Через несколько секунд PGP создаст ключи и известит об этом соответствующим сообщением. После того, как ключи были сгенерированы должным образом, они сохраняются в каталоге
Добавление ключей в файл
Теперь Вам, вероятно, захочется добавить открытые ключи людей, с которыми есть желание обмениваться шифрованными сообщениями. Для этого потребуется получить открытые ключи Ваших корреспондентов: с сервера ключей, непосредственно от конкретных людей, по e-mail, и т.д. Вспомним, что открытые ключи распространяются свободно и нет необходимости передавать их по безопасному каналу. Если в файле somekey.pgp содержится ключ и есть желание добавить его в файл ключей, процедура такова:
Удаление ключа из файла
Удалить ненужный ключ из файла можно командой
После сохранения ключей друзей в файле необходимо послать им свой открытый ключ. Прежде всего его необходимо выделить из собственного файла открытых ключей:
Созданный файл mykey.pgp будет не в формате ASCII. Однако, если потребуется создать файл ключа в формате ASCII чтобы послать, к примеру, по e-mail или добавить дополнительную информацию к базе данных, потребуется использовать команду:
Вместе с ключом также выделяются все сертификаты, которые его подтверждают.
Содержание файлов с ключами
Чтобы просмотреть ключи, содержащиеся в файле, наберите команду:
Еще раз заметим, что файлом по умолчанию является pubring.pgp. Если идентификатор не указан явно, то показываются все ключи из файла. Чтобы просмотреть все сертификаты каждого ключа, необходимо набрать:
Теперь попробуем зашифровать файл. Сделать это можно командой:
Эта команда создает файл с именем файл.pgp, содержащий исходный файл, зашифрованный так, что только получатель может его расшифровать с помощью своего закрытого ключа.
Кодирование сообщения для нескольких получателей
Допустим, необходимо зашифровать и отправить письмо для нескольких получателей. В этом случае поступим так:
Как подписывается сообщение
Подписывание документа позволяет получателю удостовериться в том, что текст написан действительно отправителем и что сообщение не было изменено. Чтобы подписать документ, необходимо использовать закрытый ключ:
Если у нас есть несколько закрытых ключей в нашем secring.pgp, мы можем выбрать один из них при помощи идентификатора. Эта команда создает файл, который не является ASCII-текстом, потому что PGP пытается сжать файл. Если, с другой стороны, Вы хотите подписать файл, оставив текст читабельным и с подписью в конце, то процедура будет выглядеть так :
Эта последняя команда очень полезна при подписывании электронной почты, которую и дальше можно будет читать без использования PGP. Также такое сообщение смогут читать те, кому не обязательно проверять подпись.
Кроме того, можно подписать документ и затем закодировать его при помощи следующей команды:
Для расшифровки файла и/или проверки его подписи используется команда:
pgp входной_файл [-o выходной_файл]
Также можно просто просмотреть расшифрованный файл без сохранения:
PGP — конфиденциальность, безопасность и аутентификация для всех
Стоит ли подвергать личную переписку возможной огласке, когда существуют средства шифрования?
Если вы следите за последними новостями, то слышали немало историй на тему неприкосновенности частной жизни, утечки информации, шпионажа и прочих подобных вещей. Учитывая, что большинство современных коммуникаций проходит через Интернет или при помощи электронных устройств, мы должны знать, как правильно защитить ценную нам информацию. Это применимо не только для крупных организаций, но полезно также всем, кто регулярно использует компьютеры в своей жизни. У всех нас есть информация, которую мы хотим хранить недоступной для посторонних. Но так как мы общаемся через Интернет, то в этом нам может помочь сильный, но простой в использовании инструмент интернет-коммуникации.
Приложение Pretty Good Privacy (PGP), созданное Филом Циммерманом, представляет собой компьютерную программу, которая может быть использована для защиты вашей частной жизни, которая усиливает безопасность и проверяет достоверность отправителей электронной переписки. Можно зашифровать любую электронную переписку, файлы или даже весь жесткий диск, что затруднит «прослушку» и перехват конфиденциальной информации третьими лицами. Также для переписки PGP может предложить что-то наподобие «цифровой подписи», подтверждающее достоверность отправителя (то есть гарантирующее, что отправитель является именно тем человеком, который указан в подписи) и целостность послания. Вообще, представьте себе мир, в котором исчезли бы все угрозы в повседневной переписке, фишинг бы пропал из-за огромных сложностей в осуществлении и все подобные угрозы были бы экономически невыгодны ввиду крайне сложной системы защиты.
Прошло уже 20 лет с момента создания PGP, и с тех пор система значительно прогрессировала. В то время Циммерман попал под расследование правительства США в так называемом деле о «безлицензионном оружейном экспорте». «Оружием» оказались продукты для шифрования сильнее 40 бит (а PGP была 128-битной). Хотя само дело затем было закрыто, а обвинений никому так и не предъявили, но это показывает, насколько мощным инструментом может быть шифрование информации и насколько сильно могут быть заинтересованы в содержании систем шифрования под особым надзором определенные стороны.
В конце концов полнофункциональная версия PGP стала доступной для широкого круга пользователей во всем мире. Фонд свободного программирования разработал собственную OpenPGP-совместимую программу под названием GNU Privacy Guard (GnuPG, или сокращенно GPG), которая свободно распространяется и имеет все необходимые библиотеки, используемые для шифрования, дешифрования и подписи документов и файлов. Эта система может применяться для широкого спектра задач, доступна везде и довольно проста в применении за счет использования графического интерфейса.
Учитывая, что исходный код PGP доступен для свободной загрузки, вы сможете посмотреть его, поискать возможные ошибки, проверить на наличие бэкдоров или просто изучить его работу. Даже если вы сами не в состоянии все это изучить, то для этого есть целые сообщества, не зависимые от правительства или каких-либо заинтересованных организаций. И эти сообщества регулярно проверяют целостность и безопасность PGP-кода. Это особенно актуально, если вспомнить историю о некоей службе из трех букв, которая пыталась обходить шифрование в протоколах связи.
К этому моменту вы уже явно заинтересовались и готовы хотя бы просто посмотреть, что такое PGP/GPG, и узнать, для чего это может пригодиться вам. В асимметричной криптографии нам нужно иметь два раздельных ключа, один из которых будет частным (закрытым, используемым для шифрования или подписи), а другой публичным (открытым, для шифрования первичного текста или проверки цифровой подписи). Совсем не обязательно вникать во все тонкости, но помните, что все знания и нужный опыт придут к вам в процессе ежедневного использования. Тем не менее мы рассмотрим основные понятия криптографии с публичным ключом, чтобы вы могли чувствовать себя более комфортно, осваивая новые инструменты шифрования.
Когда мы говорим о ключе, мы имеем в виду буквенно-цифровой блок текста. Этот ключ можно экспортировать в файл или загрузить его на сервер ключей, чтобы поделиться затем им с остальным миром (это относится к открытому ключу). Данный ключ генерируется PGP, используя алгоритм асимметричного шифрования. Вы должны помнить, что публичный и частный ключи математически взаимосвязаны, что дает вам возможность поделиться открытым ключом с общественностью без ущерба собственной безопасности.
Нет никаких ограничений по использованию PGP/GPG, так как инструмент доступен на всех операционных системах. Как уже упоминалось ранее, мы имеем дело с доступной системой GNU PG, однако есть и специализированные наборы, работающие под какой-то одной операционной системой. Для Mac OS мы имеем GPG-пакет, который содержит плагин для Mail, модуль для управления всеми ключами, систему шифрования/дешифрования и цифровой подписи, проверки текстов и файлов и много чего еще. Имеется и MacGPG — инструмент для управления PGP при помощи командной строки. Если же у вас Windows, то для этой системы имеются аналогичные компоненты в пакете по имени GPGWin.
Важно помнить, что безопасность вашего ключа зависит не только от кодовой фразы, которую вы используете при создании, но и от конфиденциальности при использовании самого ключа. Если кто-то имеет доступ к вашему хранилищу ключей или ключевой фразе (либо ваш компьютер был скомпрометирован при помощи кейлоггера), то вся система безопасности может считаться бесполезной. Поэтому никогда не оставляйте ваши ключи доступными посторонним и не выбирайте секретную фразу таким образом, чтобы ее было легко подобрать.
Когда вы создаете новую пару ключей с помощью PGP, вы должны будете выбрать длину ключа и фразы, которая защитит ключ. Чем больше эта длина, тем больше времени занимает процесс генерации ключа, однако это делается всего лишь один раз, поэтому стоит потерпеть. А я вам советую выбирать длину не менее 4096 бит, а для максимальной безопасности лучше взять 8192 бита. Надеюсь, вы достаточно терпеливы, чтобы дождаться окончания процесса создания ключа, так как наша система генерации раздельна для PGP и GPG.
Почему выбор длины ключа и кодовой фразы так важен? Ну, давайте предположим, что кто-то получил доступ к вашему хранилищу ключей и завладел копией файла секретного ключа. Если этот человек не знает ваш пароль, то ему придется заниматься перебором, что даже с учетом нынешних технических возможностей не так-то просто. Другим вариантом взлома является подбор ключевой фразы при помощи словаря. Этот вариант является более распространенным и прямолинейным. Поэтому, делая секретный ключ достаточно долго, можно в дальнейшем отбить у злоумышленника желание взломать его.
Когда у вас появится своя собственная пара PGP-ключей, вы можете начать использовать их так: распространите публичный ключ, включите его в свою почтовую подпись, раздайте друзьям и коллегам, с которыми ведете активную переписку. Они тоже должны использовать аналогичное PGP/GPG-шифрование своих сообщений при помощи публичного ключа. Любая третья сторона не сможет расшифровать эту переписку, даже если у нее и будет этот самый публичный ключ. Для этого потребуется ваш личный ключ. И если вы захотите отправить в ответ такое же зашифрованное послание, какое прислали вам друзья, то вам нужно будет воспользоваться их публичным ключом. Цифровая подпись работает с точностью до наоборот — она использует ваш личный ключ, в который вставляет «метку», с помощью которой получатели вашего письма могут идентифицировать вас как надежного отправителя и быть уверенными, что письмо дошло к ним в неизменном виде. Это может показаться несколько сложным, однако стоит один раз правильно настроить почтовый клиент за пару кликов мышкой:
Итак, мы узнали, как непросто начиналась система PGP, изучили основы безопасности и получили некоторые рекомендации по работе с PGP. Я надеюсь, это послужит хорошим толчком для того, чтобы попробовать это шифрование и использовать его в дальнейшем. О своей конфиденциальности в Сети мы должны заботиться сами, а с таким инструментом сделать это намного проще. Вы будете благодарить себя за то, что нашли силы и время, чтобы сделать первый шаг к личной безопасности.
Правительства и спецслужбы, равно как и преступный мир, давно уже используют такие системы в своей повседневной жизни. А что же простые пользователи? Еще недавно солидное шифрование можно было себе позволить только за большие деньги. И так было до появления на сцене PGP. Обычный человек не мог сохранить свое личное информационное пространство неприкосновенным. Да и интересующаяся этой информацией сторона не особо хотела этого. Потребовалось 20 лет на то, чтобы этот вопрос наконец-то решился. И теперь у нас гораздо больше возможностей оставаться в неприкосновенности.
Руководство по PGP для Windows
Чтобы использовать PGP
для обмена защищёнными электронными письмами, нам понадобятся три программы: GnuPG, Mozilla Thunderbird и Enigmail. Собственно, шифрование и расшифровку электронной почты осуществляет программа GnuPG. Mozilla Thunderbird – клиент электронной почты, позволяет читать и отправлять электронные письма без веб-браузера. А Enigmail это плагин к Mozilla Thunderbird, который связывает две упомянутые выше программы.
Обратите внимание: в этом руководстве мы говорим об использовании PGP с Mozilla Thunderbird, почтовым клиентом, имеющим функциональность аналогичную программе Outlook. Скорее всего, у вас уже есть любимый почтовый клиент (или вы пользуетесь веб-сервисом, например, Gmail или Outlook.com). Мы не будем останавливаться на том, как интегрировать PGP в различные программы. Вы можете установить Thunderbird и начать экспериментировать с PGP или поискать другие технические решения, которые позволят использовать PGP с программой, которую предпочитаете вы. На данный момент нам неизвестно о качественном решении для других почтовых клиентов.
При использовании PGP электронное письмо шифруется не полностью: информация об отправителе и адресате, а также тема сообщения остаются незашифрованными! В существующих системах работы с электронной почтой нет возможности шифровать данные об отправителе и адресате. Mozilla Thunderbird с дополнением Enigmail дают простую возможность шифровать лишь содержимое переписки.
Пройдём все этапы: скачаем, установим и настроим программы, а затем посмотрим, как их использовать.
Системные требования: Подключение к интернету, компьютер с операционной системой Windows, учётная запись эл. почты
Ссылки для скачивания:
Версии, использованные в этом руководстве: Windows: Windows 10 Ultimate; Mozilla Thunderbird 45.2.0; Enigmail 1.9; GnuPG 2.1.14
Лицензии: бесплатные программы с разными лицензиями
Дополнительные материалы:
Уровень: Начальный / средний
Необходимое время: 30-60 минут
Pretty Good Privacy (PGP) – способ уберечь ваши сообщения электронной почты от посторонних глаз. А также (хоть и в меньшей степени) от прочтения, если компьютер, на котором находится почта, оказался в чужих руках.
PGP также пригодится для подтверждения, что письмо действительно отправлено тем, кто его подписал, а не злоумышленником (электронное письмо очень легко подделать). Эта функция особенно важна, если вы – в группе риска, то есть можете стать жертвой слежки или дезинформации.
Получение и установка GnuPG Anchor link
Программу GnuPG (так же известную как GPG) для Windows можно получить, если скачать небольшой установщик с сайта GnuPG
Щёлкните по «Download» рядом с надписью «Simple installer for GnuPG modern», чтобы скачать установщик GPG.
Большинство браузеров просят подтвердить действительно ли вы хотите скачать файл. Уведомления Microsoft Edge 25 появляются внизу окна браузера.
Получение Mozilla Thunderbird Anchor link
Откройте веб-сайт Mozilla Thunderbird.
Нажмите зелёную кнопку «Free Download». Сайт определит языковые настройки вашего компьютера. Если вы хотите установить Thunderbird на другом языке, выберите его, щёлкнув по ссылке «Systems & Languages».
Большинство браузеров просят подтвердить действительно ли вы хотите скачать файл. Уведомления Microsoft Edge 25 появляются внизу окна браузера.
Установка GnuPG Anchor link
В «Проводнике» Windows дважды щёлкните по файлу gnupg-w32-2.1.14_20160714.exe. Появится просьба подтвердить установку программы. Нажмите кнопку «Yes».
Откроется окно с предложением изменить языковые настройки. Можете оставить английский и нажать на кнопку «OK».
В следующем окне вам будет предложено ознакомиться с устанавливаемой программой. Нажмите на кнопку «Next».
Откроется окно с лицензионным соглашением. Нажмите «Next».
В пакете GnuPG нет выбора компонентов установки, поэтому снова нажмите «Next».
Теперь предлагается выбрать имя папки в меню для GnuPG. Не меняйте настройки по умолчанию. Нажмите кнопку «Install»:
Вы увидите окно с индикатором процесса. Когда установка завершится, появится фраза «Installation Complete». Снова нажмите кнопку «Next».
Наконец, последний шаг. Снимите галочку в поле «Show the README file» и нажмите кнопку «Finish».
Установка Mozilla Thunderbird Anchor link
Также как и в случае с GnuPG, установка Mozilla Thunderbird начинается с двойного нажатия на установочный файл (в данном случае Thunderbird Setup 45.2.0). Как обычно, появится запрос подтверждения. Нажмите кнопку «Run»..
Последует вопрос, разрешить ли Mozilla Thunderbird внести изменения в ваш компьютер путём установки файлов. Нажмите кнопку «Yes».
Окно установки Mozilla Thunderbird. Нажмите кнопку «Next».
Далее, нужно сделать выбор между установкой с параметрами по умолчанию («Standard») и с настройкой параметров («Custom»). Выберите первый вариант и нажмите кнопку «Next».
Появится сообщение о том, куда будут установлены файлы Mozilla Thunderbird. Нажмите кнопку «Install».
По завершении установки вы увидите последнее окно, после которого запустится Mozilla Thunderbird. Нажмите кнопку «Finish».
Подготовка к установке Enigmail Anchor link
При первом запуске Mozilla Thunderbird появится небольшое окно с просьбой подтвердить некоторые настройки по умолчанию. Рекомендуем нажать кнопку «Set as Default».
При первом запуске Mozilla Thunderbird вам буден задан вопрос, хотите ли вы получить новый адрес электронной почты. Нажмите кнопку «Skip this and use my existing email». Теперь настроим Mozilla Thunderbird для отправки и получения электронной почты. Если вы привыкли пользоваться веб-интерфейсом gmail.com, outlook.com или yahoo.com, программа Mozilla Thunderbird покажется вам непривычной, но кардинальных новшеств тут нет.
Добавление почтового адреса в Mozilla Thunderbird
Откроется новое окно:
Укажите имя, адрес электронной почты и пароль. Mozilla не будет иметь доступ к вашему паролю или почтовому аккаунту. Нажмите кнопку «Continue».
Во многих случаях Mozilla Thunderbird может автоматически определять нужные настройки.
Иногда Mozilla Thunderbird недостаёт информации, тогда настраивать нужно вручную. Вот как это делается для учётной записи Gmail:
Если для Google-аккаунта у вас включена двухэтапная аутентификация (это может понадобиться – в зависимости от модели угроз), то вы не сможете использовать свой обычный пароль Gmail в Thunderbird. Чтобы получить доступ к Gmail, вам придётся создать новый пароль специально для Thunderbird. Более подробная информация содержится в справочной системе Google.
Когда все данные аккуратно введены, нажмите кнопку «Done»..
Mozilla Thunderbird скачает копии электронных писем на ваш компьютер. Попробуйте отправить друзьям тестовое сообщение.
Установка Enigmail Anchor link
Enigmail устанавливается не так, как Mozilla Thunderbird и GnuPG. Как мы уже говорили, Enigmail – плагин (дополнение) к Mozilla Thunderbird. Нажмите кнопку меню (с тремя горизонтальными линиями в правом верхнем углу окна Thunderbird), называемую гамбургером и выберите «Add Ons».
Вы увидите вкладку «Add-ons Manager».
Введите «Enigmail» в поисковую строку, чтобы найти дополнение на сайте Mozilla.
Enigmail будет первым в списке. Нажмите «Install».
После установки Enigmail браузер Mozilla Thunderbird предложит перезагрузиться, чтобы активировать Enigmail. Нажмите кнопку «Restart Now» и Mozilla Thunderbird перезагрузится.
После перезагрузки Mozilla Thunderbird всплывёт дополнительное окно настройки Enigmail. Выберите предложенный по умолчанию вариант «Start setup now» и нажмите «Next».
По нашему мнению, стандартная конфигурация дополнения Enigmail является хорошим выбором. Нажмите «Next».
Пошаговое описание необходимой настройки Anchor link
В мае 2018 года исследователи обнаружили несколько уязвимостей в PGP (включая GPG) для электронной почты и предположили, что злоумышленники могут использовать их в своих целях.
Разработчики Thunderbird и Enigmail внедрили защиту от таких уязвимостей (EFAIL). В версии 2.0.6 (от 27 мая 2018 года) Enigmail включены как исправления для защиты пользователей от всех известных уязвимостей, описанных в исследовании EFAIL, так и несколько новых, превосходящих ранние исправления Enigmail, разработанных другими исследователями. Каждое новое исправление немного затрудняет злоумышленнику взлом защиты Enigmail. Мы уверены в том, что при постоянном обновлении Enigmail до актуальной версии пользователи Thunderbird снова смогут использовать PGP.
Но несмотря на то, что в настоящее время Enigmail может обеспечить защиту от большинства известных угроз даже при включенном HTML, обнаруженные EFAIL уязвимости показали нам, насколько опасным для обеспечения безопасности может быть использование HTML в электронной почте. Таким образом, мы рекомендуем пользователям Enigmail выключить HTML, пройдя View > Message Body As > Plain Text («Вид» > «Тело сообщения в виде» > «Простого текста»).
1. Сначала нажмите на кнопку Меню Thunderbird (три горизонтальные линии).
2. Выберите справа во всплывшем списке пункт «View» (Вид).
3. Далее выберите в появившемся списке пункт «Message Body As» (Тело сообщения в виде) и затем отметьте пункт «Plain Text» (Простого текста).
Просмотр сообщений электронной почты в режиме простого текста может быть затруднён. И не только потому, что множество сервисов рассылают сообщения, используя исключительно HTML. Отключение HTML может стать причиной некоторых проблем, например некоторые вложения перестанут отображаться. Пользователи Thunderbird не должны идти на компромисс между удобством использования и безопасностью, и мы надеемся, что Thunderbird рассмотрит возможность поддержки сообщества, использующего только простой текст. В настоящее время пользователям придётся самим решать, идти ли на риск использования сообщений электронной почты в режиме HTML. Наиболее уязвимой группе пользователей, возможно, не стоило бы рисковать, однако правильным выбором для вашего сообщества станет решение, основанное на анализе вашей ситуации.
Теперь приступим к созданию открытого и закрытого ключей. Узнайте больше о ключах в нашем руководстве «Введение в шифрование с открытым ключом и PGP».
Создание открытого и закрытого ключей Anchor link
Если у вас уже есть настроенная учётная запись электронной почты, Enigmail использует её. Для начала вам нужно выбрать надёжный пароль для своего закрытого ключа.
Нажмите кнопку «Next».
Для открытого ключа установлен определённый срок действия. Когда он истечёт, ваши собеседники больше не смогут использовать этот ключ, чтобы шифровать для вас сообщения. (Никакого специального предупреждения или подсказки вы не получите). Так что сделайте пометку в своём календаре, чтобы обратить внимание на «срок годности» ключа примерно за месяц до указанной даты.
Срок службы действующего ключа можно продлить, определив для него новую, более позднюю дату. Можно просто создать новый ключ «с нуля». В обоих случаях может понадобиться связаться с теми, кто общается с вами по электронной почте, и убедиться, что они получили ваш новый ключ. Сегодня этот процесс плохо автоматизирован на программном уровне. Поэтому создайте себе напоминание. Если управление ключом для вас проблема, можно снять ограничение по дате. Правда, в этом случае другие люди могут попытаться использовать ваш «вечный» ключ, даже если у вас больше нет парного закрытого ключа или вы вообще перестали использовать PGP.
Для проверки срока службы ключа в Thunderbird, нажмите кнопку меню и выберите пункт «Key Management». Найдите свой ключ в открывшемся окне «Enigmail Key Management» и щелкните по нему два раза. Откроется новое окно и дата окончания срока службы вашего ключа будет отображена в поле «Expiry». Для установки новой даты нажмите кнопку «Change». Не забудьте отправить обновленный открытый ключ вашим корреспондентам или опубликовать на сервере ключей.
Enigmail создаст ключ. Когда этот процесс завершится, появится маленькое окно с вопросом о создании сертификата отзыва. С помощью сертификата отзыва вы сможете прекратить действие закрытого ключа в случае, если вы потеряете свой закрытый ключ или же если он будет украден. Именно на случай кражи, хранить сертификат отзыва следует отдельно от закрытого ключа. Запишите его на CD диск или на USB-флешку и поместите в сохранное место. Публикация сертификата отзыва на сервере ключей даст понять другим пользователям PGP, что не стоит более пользоваться или доверять вашему данному открытому ключу. Стоит отметить что, если вы просто удалите закрытый ключ, это не означает неработоспособность парного открытого ключа. Люди по-прежнему смогут отправлять вам зашифрованные письма, а вы будете не в состоянии их расшифровать. Нажмите кнопку «Generate Certificate».
Сначала вам понадобится ввести пароль, который вы использовали при создании ключа. Нажмите кнопку «OK».
Откроется окно сохранения сертификата отзыва. Хотя вы можете сохранить файл и на компьютере, мы рекомендуем взять для этого USB-флешку, которую вы не будете использовать где-либо ещё и станете хранить в безопасном месте. Советуем не хранить сертификат отзыва на компьютере с ключами, чтобы избежать случайного отзыва. Лучше всего хранить этот файл на отдельном зашифрованном диске. Выберите носитель/папку для записи файла и нажмите кнопку «Save».
Enigmail сообщит дополнительные данные о сохранении сертификата отзыва. Нажмите кнопку «OK».
Вот и всё, вы создали свои открытый и закрытый ключи. Нажмите кнопку «Finish».
Дополнительные настройки Anchor link
Отображение отпечатков и сроков годности ключей
Следующие шаги совершенно необязательны, но могут быть полезны при использовании OpenPGP и Enigmail. Идентификатор ключа – небольшая часть отпечатка ключа, а отпечаток – лучший способ убедиться в достоверности открытого ключа. Изменив вид по умолчанию, мы сделаем отображение отпечатков более удобным. Нажмите кнопку настройки, затем «Enigmail» и «Менеджер ключей» (Key Management).
Откроется окно с двумя столбцами: «Name» и «Key ID».
Справа есть маленькая кнопка. Нажмите на неё, чтобы настроить столбцы. Снимите флажок в поле «Key ID» и активируйте опции «Fingerprint» и «Key Validity».
Теперь будут отображаться три столбца: «Name», «Key Validity», и «Fingerprint».
Поиск других пользователей PGP
Anchor link
Получение открытого ключа по электронной почте
Вы можете получить открытый ключ как вложение электронной почты. Нажмите кнопку «Import Key».
Откроется маленькое окошко импорта ключа. Нажмите кнопку «Yes».
Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».
Если вы заново загрузите электронное письмо, вы увидите, что расположенная сверху панель изменилась.
Если вы снова откроете окно управления ключами Enigmail, то сможете проверить результат. Ваш ключ выделен PGP жирным шрифтом (потому что у вас есть и закрытый, и открытый ключи). Открытый ключ, который вы только что импортировали, не выделен жирным, потому что соответствующего закрытого ключа у вас нет.
Получение открытого ключа в виде файла
Открытый ключ часто можно получить, просто загрузив его с сайта или во время чата. Тогда, скорее всего, файл будет сохранён в папке «Downloads».
Откройте менеджер ключей Enigmail и выберите в меню «File» – «Import Keys from File».
Откроется окошко импорта. Нажмите кнопку «Yes».
Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».
Получение открытого ключа при помощи ссылки
Можно загрузить открытый ключ при помощи URL-ссылки.
Откройте менеджер ключей и выберите в меню «Edit» – «Import Keys from URL».
Введите URL-ссылку. Как правило, это доменное имя, завершающееся адресом файла.
Укажите URL-ссылку и нажмите кнопку «OK».
Появится окошко с запросом подтверждения импорта PGP-ключа. Нажмите кнопку «Yes».
Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».
>Если вы откроете https://www.eff.org/about/staff, вы заметите ссылки на открытые ключи PGP под фотографиями сотрудников. Например, PGP-ключ Дэнни О’Брайена (Danny O’Brien) расположен по адресу: https://www.eff.org/files/pubkeydanny.txt.
Получение открытого ключа с сервера ключей
Серверы ключей – очень полезная возможность получать открытые ключи. Попробуйте поискать открытый ключ.
Откройте менеджер ключей, выберите в меню «Keyserver» – «Search for Keys».
Откроется небольшое окно с поисковой строкой. Можно искать по полному адресу электронной почты, по его фрагменту или по имени. Попробуем найти ключи для адреса «samir@samirnassar.com». Нажмите кнопку «OK».
Появится окно побольше со многими опциями. Если прокрутите вниз, то увидите, что некоторые ключи выделены курсивом и серым цветом. Либо эти ключи были отозваны, либо их сроки действия истекли.
У Самира Нассара (Samir Nassar) есть несколько PGP-ключей и мы пока не знаем какой из них стоит выбрать. Один из ключей выделен курсивом и серым цветом – он отозван. Так как вы не знаете какой ключ вам понадобится, есть смысл импортировать все ключи. Галочкой отмечайте ключи и нажимайте кнопку «OK».
Откроется небольшое окно, в котором вас проинформируют об успешности ваших действий. Нажмите кнопку «OK»
В менеджере ключей Enigmail появятся новые ключи:
Обратите внимание, что из трёх импортированных ключей у одного истёк срок действия, один был отозван и один является действительным в настоящее время.
Оповещение адресатов об использовании PGP Anchor link
Итак, у вас есть PGP. Хорошо бы сообщить об этом другим. Тогда вы сможете обмениваться шифрованными письмами.
При использовании PGP электронное письмо шифруется не полностью: информация об отправителе и адресате, а также тема сообщения остаются незашифрованными! В существующих системах работы с электронной почтой нет возможности шифровать данные об отправителе и адресате. Mozilla Thunderbird с Enigmail дают простую возможность шифровать содержимое почты.
Давайте рассмотрим три способа оповещения людей о том, что вы используете PGP.
Оповещение людей об использовании PGP по электронной почте
Вы можете просто отправить другому человеку ваш открытый ключ по электронной почте как вложение.
Нажмите кнопку «Write» в Mozilla Thunderbird.
Укажите адрес и тему письма, например, «Мой открытый ключ». Выберите в меню Enigmail опцию «Attach My Public Key». Если вы уже импортировали PGP-ключ адресата, изображение замочка на панели Enigmail будет подсвечено. Вы можете также нажать кнопку с изображением карандаша, чтобы подписать электронное письмо. Цифровая подпись PGP позволит получателю убедиться, что именно вы отправили письмо и его содержимое не было изменено.
Появится окно с напоминанием о добавлении вложения. Это результат ошибки взаимодействия между Enigmail и Mozilla Thunderbird. Не беспокойтесь, ваш открытый ключ будет добавлен во вложение. Выберите «No, Send Now». Ниже приведено подтверждение:
Оповещение людей об использовании PGP через веб-сайт
Если вы уже сообщили об этом по электронной почте, можете дополнительно разместить свой открытый ключ на веб-сайте. Загрузите файл на сервер и поставьте на него гиперссылку. В этом руководстве мы не станем вдаваться в подробности, как это сделать, но вы должны знать наверняка, как экспортировать ключ в виде файла для использования в будущем.
Нажмите кнопку настройки, затем «Enigmail» и «Key Management».
Выделите ключ жирным шрифтом, нажмите правую кнопку мыши для вызова контекстного меню и выберите «Export keys to file».
Anchor link
Anchor linkПоявится небольшое окно с тремя кнопками. Нажмите кнопку «Export Public Keys Only».
Откроется окно сохранения файла. Чтобы легче найти его в будущем, есть смысл использовать папку «Documents». Теперь можете использовать этот файл по вашему усмотрению.
Осторожнее, не нажмите кнопку «Export Secret Keys». Экспорт закрытого ключа может дать злоумышленнику возможность притвориться вами (если ему удастся угадать ваш пароль).
Загрузка ключей на сервер
Серверы ключей облегчают поиск и скачивание открытых ключей. Большинство современных серверов ключей синхронизируются друг с другом. Таким образом, если открытый ключ загружен на один сервер, он в конечном счёте появится на всех серверах.
Публикацию вашего открытого ключа на сервере ключей можно рассматривать как удобный способ дать людям знать, что у вас есть открытый ключ PGP. Но следует помнить о специфике работы серверов ключей: ключ, который загружен на сервер, не может быть впоследствии оттуда удалён. Вы можете только отозвать его.
Перед загрузкой вашего открытого ключа на сервер ключей хорошо обдумайте последствия того, что все будут знать, что вы используете PGP. Ведь удалить ключ с сервера не получится.
Если вы решили загрузить открытый ключ на сервер ключей, вернитесь к окну «Key Management».
Правой кнопкой мыши выберите в меню «Keyserver» действие «Upload Public Keys».
Отправка почты, зашифрованной при помощи PGP Anchor link
Отправим первое зашифрованное письмо.
В главном окне Mozilla Thunderbird нажмите кнопку «Write». Откроется новое окно.
Напишите сообщение, выберите адресата, чей открытый ключ у вас уже есть. Enigmail обнаружит ключ и автоматически зашифрует сообщение.
Обратите внимание: тема письма не будет зашифрована, поэтому для неё лучше выбрать что-нибудь безобидное, типа «Привет».
После шифрования содержимое письма будет выглядеть по-другому. Например, текст преобразуется так:
Получение почты, зашифрованной при помощи PGP Anchor link
Посмотрим, что происходит, когда вы получаете зашифрованное письмо.
Mozilla Thunderbird оповещает вас о новых письмах. Нажмите на сообщение.
Откроется маленькое окно с запросом пароля к PGP-ключу. (Не вводите пароль электронной почты!) Нажмите кнопку «OK».
Сообщение будет расшифровано.
Отзыв PGP-ключа Anchor link
Отзыв PGP-ключа с помощью Enigmail
Срок действия PGP-ключей, созданных в программе Enigmail – пять лет. Если вы потеряете файлы с ключами, то есть надежда, что по истечении срока службы ключа люди попросят у вас новый открытый ключ.
Возможно, понадобиться прекратить действие ключа до этого срока. Например, если вы захотите создать новый, более сильный PGP-ключ. Самый простой способ отозвать свой PGP-ключ в Enigmail – использовать встроенный диспетчер ключей.
Нажмите правой кнопкой мыши на вашем PGP-ключе (выделен жирным шрифтом) и выберите опцию «Revoke key».
Откроется окно с информацией и запросом подтверждения. Нажмите кнопку «Revoke key».
Появится окно для пароля. Введите пароль от PGP-ключа и нажмите кнопку «OK».
Появится окно с информацией, что операция прошла успешно. Нажмите кнопку «OK».
В окне менеджера ключей вы заметите изменения. Обратите внимание на ваш PGP-ключ: он стал серым и выделен курсивом.
Отзыв PGP-ключа с помощью сертификата отзыва
Как упоминалось ранее, у вас могут появиться причины отозвать собственный ключ до истечения его срока действия. У других людей тоже могут появиться веские причины, чтобы отозвать существующий ключ. В предыдущем разделе мы говорили о том, что Enigmail генерирует и импортирует сертификаты отзыва при использовании Менеджера ключей Enigmail для отзыва ключа.
Вы можете получить сертификат отзыва от друга в качестве уведомления о том, что ваш друг хочет отозвать свой ключ. Так как у вас уже есть сертификат отзыва, вы сможете использовать его для отзыва своего ключа.
Войдите в менеджер ключей Enigmail и выберите в меню «File» опцию «Import Keys from File».
Откроется окно, в котором можно выбрать сертификат отзыва. Выберите файл и нажмите кнопку «Open».
Появится сообщение о том, что сертификат был успешно импортирован, а ключ – отозван. Нажмите кнопку «OK».
Вернитесь к менеджеру ключей. Вы увидите, что отозванный ключ стал серым и выделен курсивом.
Теперь у вас есть все необходимые инструменты. Попробуйте самостоятельно отправить письмо, зашифрованное при помощи PGP.