ssl – Thunderbird 78: Как добавить исключение безопасности? –

Введение

При разработке инфраструктуры электронной почты, которая используется каждым из нас, в ней не был предусмотрен механизм обеспечения защиты. В то время, как большинство людей подключается к серверам электронной почты с использованием защищённого соединения (“SSL”), некоторые серверы разрешают незащищённый доступ.

Более того, когда сообщение перемещается по цепочке от отправителя к получателю, соединение между каждым из серверов не обязательно является защищённым. Это дает возможность третьей стороне осуществлять перехват, чтение и подмену сообщений электронной почты при их передаче.

Когда вы подписываете сообщение цифровой подписью, вы внедряете в сообщение информацию, удостоверяющую вашу личность. Когда вы зашифровываете сообщение, это значит что оно будет выглядеть “закодированным”, и может быть прочтено только тем человеком, кто имеет ключ для расшифровки сообщения.

Чтобы зашифровать сообщение, вы можете использовать криптосистему с открытым ключом. В такой системе, каждый участник имеет два отдельных ключа: открытый ключ и закрытый ключ. Когда кто нибудь хочет послать вам зашифрованное сообщение, он или она использует ваш открытый ключ, чтобы сгенерировать алгоритм шифрования. Когда вы получаете сообщение, вы должны использовать ваш закрытый ключ, чтобы его расшифровать.

Важно: Никогда никому не давайте ваш закрытый ключ.

Протокол, используемый для шифрования электронной почты, называется PGP (Pretty Good Privacy). Чтобы использовать PGP в Thunderbird, нужно сначала установить:

Оба из этих приложений также предоставляют возможность цифровой подписи сообщения.

Интегрируем почтовые сертификаты

1. Установка Thunderbird

1 erzeugung eines zertifikates

Zertifikate können aus zwei Teilen bestehen: dem öffentlichen Schlüssel und dem privaten Schlüssel. Zum Unterschreiben (und indirekt auch zum Verschlüsseln) braucht man ein Zertifikat mit öffentlichem und privatem Schlüssel. Der private Schlüssel ist das Geheimnis, das zum Entschlüsseln und zum digitalen Unterschreiben verwendet wird. Der öffentliche Schlüssel wird zum Verschlüsseln und zur Überprüfung der digitalen Unterschrift benötigt.

Für private Zwecke kann man sich leicht online bei www.trustcenter.de ein solches Zertifikat ausstellen lassen. Auf der verlinkten Webseite geschieht die Ausstellung des Zertifikats in folgenden Schritten:

1. Ausfüllen der notwendigen Web-Formulare und Erzeugung des Schlüsselpaares

2. Verifizierung der Email-Adresse

3. Installation des öffentlichen Teils des Zertifikates im Web-Browser

2 Überprüfung der Email-Adresse

Bevor jedoch trustcenter.de den öffentlichen Teil des Schlüssels unterschreibt, überprüft es die Email-Adresse. Zu diesem Zweck habe ich nach ca. 2,5 Stunden eine entsprechende Email von certificate@trustcenter.de erhalten (vermutlich geht es in den meisten Fällen in wenigen Minuten.

und die Bestätigungsmail senden, in dem man auf den Link in der Mail klickt und darauf achtet, dass

1. beim Senden der Mail das richtige Mail-Konto verwendet wird.
2. außer der Kontrollnummer die Mail leer ist, insbesondere der Rattenschwanz gelöscht wird:

Damit ist die Email-Adresse überprüft und man kann sich den vom Trustcenter unterschriebenen öffentlichen Teil des Zertifikates holen.

3 Installation des öffentlichen Teils des Zertifikates im Browser

Kurze Zeit nach dem Senden der Mail erhält man eine weitere Email mit einem Link, der die Installation des Zertifikates im Browser ermöglicht:

Das Zertifikat bestehend aus privatem und öffentlichem Schlüssel ist nun im Browser gespeichert. Für die Verwendung mit Thunderbird muss es nun vom Browser exportiert werden.

2 export des zertifikates vom browser in eine datei

Der Export des Zertifikates mit privatem und öffentlichem Schlüssel wird im Folgenden beispielhaft für die Browser Opera 11 und FireFox 3 gezeigt.

1 FireFox 3

Bei FireFox 3 geht es ganz ähnlich: Menü “Extras”, Menüpunkt “Einstellungen”, dann den Reiter “Erweitert” und den Unterreiter “Verschlüsselung” wählen:

Dort auf “Zertifikate anzeigen” klicken und den Reiter “Persönliche Zertifikate” wählen. In dem dann erscheinenden Dialog wählen Sie das Zertifikat aus und klicken auf den Knopf “exportieren”.

Nun muss dieses Zertifikat in Thunderbird importiert werden.

1 Opera 11

In Opera 11 geht es so: Drücken Sie strg-F12, wechseln Sie auf den Reiter “Erweitert” und wählen Sie aus der Auswahlliste links “Sicherheit”

Wählen Sie ein Verzeichnis und einen Namen, unter dem Sie Ihr Zertifikat mit privatem Schlüssel speichern wollen. Als Name empfehle ich “Zertifikat mit privatem Schlüssel von trustcenter.de für Emailadresse”, wobei Sie “Emailadresse” durch Ihre Emailadresse ersetzen.

Wählen als Dateityp “PKCS #12 (mit privatem Schlüssel):

Bitte geben Sie nun das Passwort, das Sie oben vergeben haben, zweimal ein – der folgende Dialog erscheint so ähnlich zwei mal hintereinander (ein mal, um den privaten Teil des Zertifikates freizugeben, und einmal, um die exportierte Datei mit dem Passwort zu schützen):

3 import des zertifikates in thunderbird

Der Import des Zertifikates geht über das Menü “Extras” (unter Linux im Menü “Bearbeiten”) und den Menüpunkt “Einstellungen”. Dort Klicken Sie auf den Reiter “Erweitert” und auf den Unter-Reiter “Zertifikate”. Dort findet sich ein Knopf “Zertifikate”, den Sie drücken, um Ihr Zertifikat zu importieren:

Wählen Sie nun den Reiter “Ihre Zertifikate” und klicken Sie auf “Importieren…”

In dem dann erscheinenden Datei-Auswahl-Dialog wählen Sie die oben gespeicherte Zertifikats-Datei und geben das Transport-Passwort für das Zertifikat mit privatem Schlüssel ein.

4 konfiguration des zertifikates in thunderbird

Jetzt muss nur noch der Schlüssel dem Email-Konto zugeordnet werden, zu dem er gehört:

Klicken Sie in Thunderbird auf das Menü “Extras” und wählen Sie den Menüpunkt “Konto-Einstellungen”. Wählen Sie in der linken Liste den zu dem richtigen Konto gehörende “S/MIME-Sicherheit” aus.

Drücken Sie dann auf die beiden “Auswählen”-Knöpfe und wählen Sie das Zertifikat:

Nun ist die Einrichtung abgeschlossen. Sie können mit S/MIME verschlüsselte Mails senden und empfangen.

Ssl – thunderbird 78: как добавить исключение безопасности? –

Зачем нужны сертификаты

Безопасность своей электронной почты можно с легкостью обеспечить, обратившись за помощью к программе Thunderbird. Почтовый клиент Open Source поддерживает все более или менее крупные почтовые ресурсы, например Google, Microsoft и GMX, и позволяет устанавливать локальные сервисы.

Кроме того, посредством этой утилиты удобно «привязывать» бесплатные почтовые сертификаты таких сервисов, как Comodo, WISeKey или StartCom. Сертификат указывает на вас вашему партнеру по электронной переписке как на фактический источник, а также дает возможность принимать закодированные сообщения.

С помощью данного сертификата вы создаете для этого приватный и публичный ключи. Приватный ключ служит, чтобы расшифровывать те сообщения, которые ваш партнер прежде скрыл от чужих глаз, воспользовавшись вашим публичным ключом.

Подлинность и действительность вложенного в вашу почту сертификата почтовая программа получателя проверяет у компании, которая ранее его выдала. Ваш публичный ключ автоматически передается со всей сертифицированной корреспонденцией.

Отправка вашего открытого ключа по электронной почте

Для получения зашифрованных сообщений от других людей, вы должны сначала отправить им свой открытый ключ:

1. Создайте сообщение.
2. Выберите из меню Thunderbird и выберите .

   

3. Отправьте сообщение, как обычно.

Отправка подписанной и/или зашифрованной электронной почты

1. Составьте сообщение как обычно.
2. Чтобы подписать сообщение цифровой подписью, выберите в меню Thunderbird и включите опцию . Чтобы зашифровать сообщение, включите опцию . Система может попросить вас ввести пароль перед шифровкой сообщения.

   

3. Если ваш адрес электронной почты связан с ключом PGP, то сообщение будет зашифровано этим ключом. Если же адрес электронной почты не связан с ключом PGP, вам будет предложено выбрать необходимый ключ из списка.
4. Просто отправьте сообщение.

Примечание: Строка «Тема» сообщения зашифрована не будет.

Получение открытого ключа по электронной почте

Чтобы отправлять зашифрованные сообщения другим людям, вы должны получить и сохранить их открытые ключи:

1. Откройте сообщение, содержащее открытый ключ.
2. Внизу окна дважды щёлкните по вложению, которое имеет расширение ‘.asc’. (Этот файл содержит открытый ключ.)
3. Thunderbird автоматически определит, что это вложение является ключом PGP. Появится диалоговое окно, предлагающее вам ‘Импортировать’ или ‘Просмотреть’ ключ. Щёлкните по Импортировать, чтобы импортировать ключ.

   

4. Вы увидите подтверждающее сообщение о том, что ключ был успешно импортирован. Щёлкните OK для завершения процесса.

Создание ключей pgp

Создайте пару открытый/закрытый ключ следующим образом:

1. В меню Thunderbird щёлкните по и выберите .
2. Выберите Да, я хочу запустить сейчас мастер настройки, как показано на изображении ниже. Для продолжения щёлкните Далее.

   

3. Мастер спросит, хотите ли вы подписывать все исходящие сообщения или же вы хотите настроить разные правила для разных получателей. Обычно является хорошей идеей подписывать всю почту, чтобы люди смогли удостовериться, что почта в самом деле пришла от вас. Получателю сообщения нет необходимости использовать цифровые подписи или PGP, чтобы прочитать подписанное цифровой подписью сообщение. Выберите Да, я хочу подписывать всю мою почту и щёлкните Далее для продолжения.
4. Далее мастер спросит вас, хотите ли вы шифровать всю свою почту. Вам не следует выбирать эту опцию, если только у вас нет открытых ключей для всех людей, которым вы будете отправлять почту. Выберите Нет, я создам свой собственный список правил для тех кто пошлет мне свой открытый ключ и щёлкните Далее для продолжения.
5. Мастер спросит, может ли он изменить некоторые из настроек форматирования вашей почты для улучшения работы с PGP. Обычно рекомендуется ответить на это Да. Щёлкните Далее для продолжения.
6. Выберите те учетные записи электронной почты, для которых вы хотите создать ключи. Далее введите пароль в поле ‘Пароль’, который будет использоваться для защиты закрытого ключа. Этот пароль будет также использоваться для расшифрования сообщений, так что не забывайте его. Длина пароля должна быть не менее 8 символов и он не должен содержать слова из словарей (прочтите эту статью на Wikipedia, в которой приведены советы по созданию сильных паролей). Введите этот пароль дважды и щёлкните Далее для продолжения.
7. На следующем экране будут отображены установленные вами настройки. Если вас всё устраивает, щёлкните Далее для продолжения.
8. Когда процесс создания ваших ключей будет завершен, щёлкните Далее для продолжения.
9. Мастер спросит вас, хотите ли вы создать ‘Сертификат отзыва’, который вы сможете использовать, если защита вашей ключевой пары была скомпрометирована и вам необходимо проинформировать других, что она более не действительна. Если вы хотите создать файл, щёлкните по Сгенерировать сертификат и следуйте шагам, описанным на последующих экранах. Иначе, щёлкните по Пропустить.
10. Наконец мастер проинформирует вас, что процесс завершен. Щёлкните Завершить, чтобы выйти из мастера настройки.

Установка gpg и enigmail

Чтобы установить GnuPG, загрузите соответствующий вашей платформе пакет со страницы загрузки GnuPG. Выполните пункты инструкции установщика. Для получения более подробной информации по установке PGP на конкретную операционную систему прочтите:

Чтобы установить Enigmail:

1. В Thunderbird выберите .
2. Используйте панель поиска в верхнем правом углу, чтобы найти Enigmail.
3. Выберите Enigmail из списка результатов поиска и выполните инструкции по установке дополнения.

Чтение подписанной и/ или зашифрованной электронной почты

Когда вы получите зашифрованное сообщение, Thunderbird попросит вас ввести ваш секретный пароль, чтобы расшифровать сообщение. Чтобы определить, было или нет входящее сообщение подписано или зашифровано, вам необходимо посмотреть на панель информации над телом сообщения.

Если Thunderbird распознает подпись, над сообщением появится зеленая панель (как показано ниже).

Если сообщение было зашифровано и подписано, то в зеленой панели также появится текст “Расшифрованное сообщение”.

Если сообщение было зашифровано, но не подписано, то появится панель, показанная на рисунке ниже.

Заметка: Сообщения, которые не были подписаны, могут быть получены от кого-то, кто пытается выдать себя за кого-то другого

Отзыв вашего ключа

Если вы думаете, что ваш закрытый ключ был “скомпрометирован” (что значит, что кто-то ещё имел доступ к файлу, содержащему ваш закрытый ключ), вам следует как можно скорее отозвать ваш текущий набор ключей и создать новую пару. Чтобы отозвать ваш текущий набор ключей:

1. В меню Thunderbird щёлкните по и выберите .

   

2. Появится диалоговое окно. Отметьте Отобразить все ключи по умолчанию, чтобы показать все ключи.
3. Щёлкните правой кнопкой по ключу, который вы хотите отозвать, и выберите Отозвать Ключ.
4. Появится диалоговое окно для подтверждения отмены ключа. Щёлкните Отозвать ключ для продолжения.
5. Появится другое диалоговое окно, в которое надо ввести ваш секретный пароль для подтверждения. Введите пароль и щёлкните OK, чтобы отозвать ключ.

Отправьте сертификат отзыва людям, с которыми вы переписывались, чтобы они могли знать, что ваш текущий ключ более не действителен. Это обеспечивает то, что если кто-либо попытается использовать ваш текущий ключ, чтобы выдать себя за вас, получатели будут знать, что ключевая пара недействительна.