Tento článek obsahuje pokyny pro konfiguraci koncového šifrování v Thunderbirdu. Obecnější informace naleznete v článku Úvod do koncového šifrování v Thunderbirdu.
Abyste mohli v e-mailu používat koncové šifrování, musíte vlastnit patřičné kryptografické klíče a nakonfigurovat je v Thunderbirdu v Nastavení účtu. Provedením této konfigurace potvrzujete, že jste ochotni tuto funkci používat.
Postup dokončení konfigurace závisí na technologii koncového šifrování, kterou si přejete používat. Můžete se rozhodnout pro konfiguraci pouze jedné z těchto technologií, nebo obou. Konfigurace se provádí pro každý účet a identitu zvlášť, protože je přímo spojena s e-mailovou adresou.
Vlastní konfigurace standardu OpenPGP
Pokud si chcete vyměňovat šifrované zprávy s korespondenty, kteří už jsou na používání standardu OpenPGP připraveni, potřebujete pro sebe osobní klíč OpenPGP. Thunderbird ho definuje jako pár klíčů sestávající z tajného a veřejného klíče spolu se „jmenovkou“, která obsahuje vaši e-mailovou adresu.
Jestliže jste si v Thunderbirdu nikdy klíč OpenPGP nevytvářeli, ale dříve jste používali jiný software OpenPGP, je možné, že již tajný klíč vlastníte. Pomocí funkce zálohování/exportu v tomto jiném softwaru uložte svůj tajný klíč do souboru, a pak, pokud se vám to podařilo, zkuste výsledný soubor naimportovat do Thunderbirdu. (Upozorňujeme, že při importu tajných klíčů do Thunderbirdu dojde k odstranění jejich ochrany. Chcete-li tedy zajistit, aby byly vaše tajné klíče i nadále v počítači uchovávány bezpečně, je nejlepší si v nastavení Thunderbirdu nastavit hlavní heslo, které pak bude automaticky použito i pro ochranu vašich tajných klíčů OpenPGP.)
Pokud jste dříve používali Thunderbird 68 (nebo starší verze) s doplňkem Enigmail, možná už tajné klíče máte, protože několik verzí Enigmailu tajné klíče automaticky vytvářelo, aniž by se vás dotazovaly. Je možné, že jsou stále uloženy ve vašem počítači. Kdybyste je chtěli používat s nejnovější verzí Thunderbirdu, můžete se pokusit je najít pomocí softwaru GnuPG. (Viz příslušná kapitola v článku OpenPGP v Thunderbirdu – praktický návod a často kladené dotazy.)
Jestliže jste si nikdy pomocí jiného softwaru klíče OpenPGP nevytvářeli nebo byste je už znovu neradi používali, pak vám Thunderbird umožňuje vytvořit si tento druh klíče v Nastavení účtu v sekci Koncové šifrování.
Klikněte na tlačítko
a podle potřeby vyberte buď nebo .Po naimportování klíče by vám měl Thunderbird nabídnout ho vybrat jako osobní klíč pro daný účet nebo identitu, pokud při importu splnil následující požadavky:
- platnost klíče nevypršela
- klíč není odvolán
- klíč je platný pro digitální podepisování i šifrování
- klíč obsahuje ID uživatele s e-mailovou adresou účtu nebo identity, kterou právě v Nastavení účtu konfigurujete
Jakmile ho vyberete, dokončili jste své vlastní nastavení zabezpečení e-mailu pomocí OpenPGP.
Vlastní konfigurace standardu S/MIME
Pokud si chcete vyměňovat šifrované zprávy s korespondenty, kteří už jsou na používání standardu S/MIME připraveni, potřebujete pro sebe osobní e-mailový certifikátový klíč.
Technologie S/MIME pro šifrování e-mailů je závislá na službě důvěryhodných třetích stran, tzv. certifikačních autorit (CA), od kterých musíte získat osobní certifikát a ten pak nainstalovat a nakonfigurovat v Thunderbirdu.
Obvykle není praktické si certifikát vytvořit sám, poněvadž vaši e-mailoví korespondenti zpravidla nebudou takovéto certifikáty podepsané sebou samými přijímat.
Přípravné kroky pro získání osobního certifikátu od certifikační autority jsou obvykle následující:
- vytvoříte si surové kryptografické klíče, dvojici tajného a veřejného klíče
- svůj veřejný klíč odešlete certifikační autoritě, která je podporována Thunderbirdem
- certifikační autorita váš veřejný klíč podepíše na svých systémech a přidá k němu několik dalších údajů, čímž vytvoří váš certifikát
- certifikační autorita vám certifikát zašle zpět
- obdržený certifikát spojíte s tajným klíčem, který jste si prve vytvořili, a tím se z certifikátu stane váš osobní certifikát
- svůj osobní certifikát naimportujete do Thunderbirdu pomocí správce certifikátů
- v Thunderbirdu otevřete Nastavení účtu, přejdete do sekce Koncové šifrování a vyberete certifikát, který si s daným e-mailovým účtem přejete používat (k výběru budou nabídnuty pouze osobní certifikáty, které Thunderbird považuje za platné). Vyberte certifikát pro šifrování i digitální podepisování.
Poslední verze Thunderbirdu vám při vytváření páru surových klíčů pro S/MIME nepomohou. Musíte použít externí software.
Některé certifikační autority nabízejí pohodlnou možnost automatického vytvoření páru klíčů. To však není ideální, jelikož je možné, že tajný klíč použitý pro váš osobní certifikát bude vytvořen na počítačích provozovaných danou certifikační autoritou a existuje tak riziko, že někdo získá a uchová si kopii tohoto tajného klíče, což by mu mohlo umožnit dešifrovat vám zasílané šifrované e-mailové zprávy.
Otestování vlastního nastavení
Po dokončení svého nastavení byste ho měli otestovat. Zkuste si poslat zašifrovaný a digitálně podepsaný e-mail. Za tímto účelem vytvořte novou zprávu. Pokud máte více účtů nebo identit, ujistěte se, že v adresním poli Od v horní části okna pro psaní zprávy je uvedena identita, u níž už jste provedli nastavení koncového šifrování.
Poté stejnou e-mailovou adresu zadejte do pole Komu. Doplňte také testovací předmět a testovací obsah zprávy. Pak povolte šifrování (v Thunderbirdu verze 102 to lze snadno provést pomocí tlačítka
na nástrojové liště. V předchozích verzích klikněte na nástrojové liště na šipku zobrazenou za tlačítkem a vyberte možnost ) a následně zprávu odešlete. Potom se vraťte do složky Doručená pošta, přijměte nové zprávy a měli byste obdržet zprávu, kterou jste právě odeslali. Měla by se hlásit jako zašifrovaná; podívejte se v oblasti záhlaví zprávy po příslušných značkách S/MIME nebo OpenPGP, po jejichž kliknutí si lze zobrazit podrobné informace.Distribuce svého veřejného klíče nebo certifikátu
Pokud chcete ostatním umožnit posílat vám zašifrované e-maily, může být užitečné nečekat, až vás požádají, abyste jim poslali svůj veřejný klíč.
Mohli byste se rozhodnout být iniciativní a zajistit, aby ostatní lidé byli schopni získat váš veřejný klíč nebo certifikát v okamžiku, kdy se rozhodnou poslat vám zašifrovaný e-mail. Jednoduchý způsob, jak toho docílit, je zaslat jim digitálně podepsaný e-mail.
Pokud odešlete digitálně podepsaný e-mail pomocí technologie OpenPGP, Thunderbird obvykle přiloží kopii vašeho veřejného klíče jako malou přílohu, jenž je připojován automaticky, protože veřejný klíč je vyžadován k ověření, zda je digitální podpis technicky platný.
Pokud odesíláte digitálně podepsaný e-mail pomocí technologie S/MIME, je váš certifikát vždy přiložen.
Můžete se rozhodnout, že své odesílané e-maily budete vždy digitálně podepisovat; příslušné nastavení najdete v Nastavení účtu. (Upozorňujeme, že pokud e-mail digitálně podepíšete, pravděpodobně již nebudete moci věrohodně popřít, že jste jeho odesílatelem.)
Dalším způsobem distribuce veřejného klíče OpenPGP je použití serveru klíčů. Dobrou volbou pro zveřejnění veřejného klíče je server klíčů dostupný na adrese https://keys.openpgp.org/ (provozovaný členy komunity vývojářů technologie OpenPGP). Verze Thunderbirdu 78, 91 a 102 se dovedou tohoto serveru klíčů dotazovat při internetovém vyhledávání chybějících veřejných klíčů.
Chcete-li svůj klíč zveřejnit, musíte svůj veřejný klíč exportovat do souboru, například pomocí nabídky nacházející se vedle vašeho nakonfigurovaného osobního klíče v Nastavení účtu Thunderbirdu nebo pomocí správce klíčů OpenPGP Thunderbirdu. Buďte opatrní a použijte správný příkaz. Pro získání kopie svého klíče, která je bezpečná pro sdílení s ostatními, vždy použijte příkaz, který mluví o operaci s veřejným klíčem. Nikdy nesdílejte svůj osobní, tajný klíč!
Jakmile získáte soubor, který obsahuje váš veřejný klíč, můžete svůj klíč distribuovat také pomocí jakéhokoli jiného mechanismu, který se hodí ke sdílení souborů, například hostováním souboru na vašich webových stránkách.