Шифрование файлов с помощью PGP
Поддержка этой версии Orchestrator завершена. Рекомендуется выполнить обновление до Orchestrator 2019.
Действие шифрования файла PGP шифрует файл или целое дерево папок с помощью созданного файла ключа PGP. При шифровании всей папки дерево папок сохраняется ниже корневой папки. Например, при шифровании C:\Documents and Settings\Administrator\My Documents\*.* и всех вложенных папок все файлы в папке «Мои документы» будут зашифрованы, а также все файлы в папке «Мои документы». Все файлы, которые находятся во вложенных папках, будут находиться в одной вложенной папке в папке Output. Используйте действие шифрования файлов с помощью PGP для шифрования файлов перед резервным копированием.
Чтобы использовать это действие, необходимо установить исполняемый файл gpg.
Это действие поддерживает ключи DSS и RSA4.
Ключи RSA не поддерживаются.
Установка GnuPG
GnuPG — это программа с открытым исходным кодом, используемая в стандартных действиях шифрования и расшифровки с помощью PGP для шифрования и расшифровки файлов. Следующие процедуры описывают способы установки этого исполняемого файла и связанного файла на сервер Runbook или компьютер, на котором выполняется Runbook Designer.
Установка GnuPG версии 1.x и 2.0.x
Выполните указанные ниже действия.
- Загрузите файлы gpg.exe и iconv.dll версии 1.4.10 или более поздней из GnuPG.
- Сохраните gpg.exe и iconv.dll в папку :\Program Files (x86)\Common Files\Microsoft System Center \Orchestrator\Extensions\Support\Encryption на каждом сервере Runbook и компьютере под управлением Designer Runbook.
Установка GnuPG версии 2.x
Выполните указанные ниже действия.
- Загрузите файлы gpg.exe, gpg-agent.exe, iconv.dll, libassuan-0.dll, libgcrypt-20.dll, libgpg-error-0.dll, libnpth-0.dll, libsqlite3-0.dll и zlib1.dll версии 2.x или более поздней из GnuPG.
- Сохраните gpg.exe, gpg-agent.exe, iconv.dll, libassuan-0.dll, libgcrypt-20.dll, libgpg-error-0.dll, libnpth-0.dll, libsqlite3-0.dll и zlib1.dll в папку :\Program Files(x86)\Common Files\Orchestrator\Extensions\Support\Encryption на каждом сервере Runbook и компьютере, на котором выполняется Designer Runbook.
Настройка действия шифрования файлов с помощью PGP
Перед настройкой действия шифрования файлов с помощью PGP необходимо определить следующее:
- Путь к файлам, которые необходимо зашифровать.
- Папка выходных данных, где будут храниться зашифрованные файлы.
Используйте следующие сведения для настройки действия шифрования файлов с помощью PGP.
Сведения
| Параметры | Инструкции по настройке |
|---|---|
| Путь | Введите путь к файлам, которые требуется зашифровать. Необходимо использовать полный путь. Можно использовать подстановочные знаки «?» и «*», чтобы указать путь к файлам, которые необходимо зашифровать. В этом поле можно ввести только символы из текущего языкового стандарта системы. |
| Включая вложенные каталоги | Выберите этот параметр, чтобы найти все файлы, которые соответствуют указанному имени, во всех вложенных папках в папке, указанной в пути. |
| Выходная папка | Введите путь к папке, в которой должны храниться зашифрованные файлы. |
| Skip | Выберите этот параметр, чтобы пропустить шифрование файла, если файл с таким именем найден в папке выходных данных. |
| Overwrite | Выберите этот параметр, чтобы перезаписать все файлы с тем же именем, что и полученный зашифрованный файл. |
| Создать уникальное имя | Выберите этот параметр, чтобы дать зашифрованному файлу уникальное имя, если файл с таким именем уже существует. |
| Расширение файла | Введите расширение имени файла, которое нужно добавить к имени файла при его шифровании. По умолчанию используется расширение gpg. |
Продвинутый уровень
| Параметры | Инструкции по настройке |
|---|---|
| Файл ключа | Введите расположение файла ключа PGP, который будет использоваться для шифрования файлов. Если оставить это поле пустым, действие шифрования файлов с помощью PGP использует файл, указанный в поле Папка набора ключей. Файлы могут иметь любое расширение имени файла, но стандартно используется *.asc. |
| Папка набора ключей | Введите расположение папки, содержащей ключ, который будет использоваться для шифрования файлов. Файл открытого ключа (*.pkr) можно переименовать с расширением *.gpg. Важно: Действие PGP Encrypt File создает файлы в папке keyring. Учетная запись Orchestrator Runbook Service или учетная запись пользователя, используемая для запуска модуля runbook, должна иметь разрешение на чтение и запись для папки набора ключей. |
| Пользователь | Введите имя пользователя, указанное при создании ключа шифрования. Это поле является обязательным. |
| Комментарий | Введите комментарий, указанный при создании ключа шифрования. Если это поле было заполнено во время создания ключа шифрования, вы должны указать эти сведения при применении этого действия. |
| Электронная почта | Введите адрес электронной почты, указанный при создании ключа шифрования. Это поле является обязательным. |
Опубликованные данные
В следующей таблице перечислены опубликованные элементы данных.
| Элемент | Описание |
|---|---|
| Файл ключа | Путь к файлу ключа, используемого для шифрования файлов. |
| Папка набора ключей | Путь к папке набора ключей, содержащей ключ, используемый для шифрования файлов. |
| Пользователь | Имя пользователя, использованное для шифрования файлов. |
| Комментировать | Комментарий, использованный для шифрования файлов. |
| Адрес электронной почты | Адрес электронной почты, использованный для шифрования файлов. |
| Папка выходных данных | Путь к папке, где сохранены зашифрованные файлы. |
| Файлы для шифрования | Количество файлов, которые Orchestrator попытался зашифровать. |
| Зашифрованные файлы | Количество успешно зашифрованных файлов. |
| Имя зашифрованного файла | Путь к полученному зашифрованному файлу. |
Pgp ключ что это
PGP (Pretty Good Privacy / «Достаточно надежная конфиденциальность») — это программа шифрования с публичным ключом, которая стала самым популярным стандартом для шифрования электронных писем . Фраза «Достаточно надежная» – это ироничное преуменьшение.
Помимо шифрования и дешифрования электронной почты, PGP используется для подписи сообщений, чтобы получатель мог верифицировать как личность отправителя, так и целостность содержимого.
PGP использует приватный ключ, который должен храниться в секрете, и публичный ключ, который известен отправителю и получателю.
GPG (GNU Privacy Guard) является независимой реализацией стандартов OpenPGP.
Настройка PGP/GPG позволит вам:
Верифицировать автоматические сообщения от Кракен, чтобы вы могли быть уверены, что они пришли от нас и не были изменены во время транзита.
Получать от нас зашифрованные автоматические электронные письма . Некоторые из этих писем будут содержать конфиденциальную информацию, такую как инструкции по восстановлению вашего аккаунта, поэтому шифрование добавляет дополнительный уровень безопасности.
PGP / GPG шифрование
Защита своих данных от чужих глаз — в некоторых случаях может быть вопросом жизни и смерти, а полагаться в этом вопросе на других означает доверять им свои данные. Защитить от любопытных носов свою переписку своими же силами поможет GPG шифрование.
Я также могу вам посоветовать статью «Зашифрованная почта», в которой мы рассказывали как с помощью GPG шифрования зашифровать конфиденциальную переписку.
- GPG шифрование
- История PGP / GPG шифрования
- Термины GPG шифрования
- Установка GPG шифрования
- Шифрование сообщений и файлов
- Подписи в GPG шифровании
- Функция Web of Trust
- Зачем нужно шифрование
GPG шифрование
GPG (Gnu Privacy Guard) — это инструмент асимметричного шифрования. Если проще, он создает такое сообщение, которое может прочитать только тот, кому ты его написал. Он незаменим при передаче любой важной текстовой информации. Это могут быть письма электронной почты, личные сообщения на форумах, или даже на публичных открытых сервисах. Помимо шифрования он также предоставляет несколько других функций для обеспечения безопасности.
Всегда самым очевидным способом защитить свои коммуникации было шифрование. Раньше для этого применялось симметричное шифрование, требовавшее передачи ключей по надежному каналу. С развитием электронных коммуникаций, увеличением объема данных и возможностей прослушки надежная передача ключей стала трудной задачей.
История PGP / GPG шифрования
В 1970-ых были разработаны асимметричные алгоритмы, позволяющие безопасно, открыто и автоматизировано обмениваться ключами. Схемы таких алгоритмов позволяют двум сторонам обменяться открытыми ключами, используемыми для обозначения получателя сообщения, и при зашифровке использовать открытый ключ получателя одновременно с секретным ключом отправителя. Расшифровать сообщение можно только секретным ключом получателя, и при этом будет видно, что шифрование выполнял именно владелец открытого ключа, то есть отправитель. В такой схеме секретные ключи, используемые для расшифровки, не нужно передавать, поэтому они остаются в безопасности, а отправитель сообщения выявляется при расшифровке, что исключает подмену информации. Но подобное изобретение было доступно только военным и спец. службам.
В 1991 появился общедоступный инструмент асимметричного шифрования для личного использования — PGP, задавший стандарт, однако он был платным и являлся зарегистрированной товарной маркой.
В 1999 был создан GPG — свободный, бесплатный, открытый и полностью совместимый со стандартом аналог PGP. Именно GPG стал самым популярным и зрелым инструментом асимметричного шифрования.
Термины GPG шифрования
Прежде чем приступить к использованию GPG, нужно понять несколько главных особенностей этого инструмента. Первая и основная особенность — это понятие «ключи». Каждый пользователь создает себе свой личный ключ. Ключ пользователя состоит из двух частей
- Публичный ключ (из публичной части)
- Секретный ключ (из секретной части)
Публичный ключ (далее просто «ключ») представляет собой своего рода визитную карточку, которую пользователь раздает всем своим контактам, желающим переписываться с шифрованием.
Секретный ключ отвечает за процессы шифрования исходящих сообщений и расшифровки полученных. Его следует хранить в безопасном месте. Принято считать, что если кто-либо завладеет секретным ключом, то ключ можно считать скомпрометированным, а значит небезопасным. Этого следует избегать.
Вторая особенность — ключи, основанные на разных алгоритмах совместимы между собой. Неважно, использует ли пользователь RSA или ELGamal, для шифрования не нужно забивать голову такими деталями. Это достигается за счет работы по упомянутому выше стандарту и через некоторые криптографические приемы. Это одно из главных преимуществ GPG. Достаточно знать нужные команды, и программа сделает все сама. В библиотеку входит большое количество асимметричных алгоритмов, симметричным шифров и односторонних хэш-функций. Разнообразие также является преимуществом, потому что позволяет создать одновременно и общие рекомендованные конфигурации, подходящие для большинства, и возможность тонкой настройки для более опытных пользователей.
Как установить GPG шифрование
Для начала работы нужно установить сам GPG. Пользователи Linux могут поставить его из любого пакетного менеджера, поискав там «gnupg», или собрать вручную. Пользователи Windows могут воспользоваться сильно устаревшим клиентом GPG4Win, который имеет несколько неприятных багов и больше функций, или портативным и более свежим клиентом GPG4USB, который имеет меньше функций, но намного проще и стабильнее. Кстати, мы уже писали о том как с помощью клиента GPG4USB зашифровать свою переписку.
Независимо от операционной системы и клиента, после установки нужно будет создать свой ключ, введя в терминале или кликнув в клиенте соответствующую команду. Программа попросит определиться с алгоритмом шифрования. Обычно их два — это RSA и ELGamal (на самом деле три, если на Linux Вы отважились поставить экспериментальную ветку «modern» с криптографией на эллиптических кривых). Конкретных рекомендаций по алгоритмам нет, они разные и каждый выбирает себе схему по нраву.
Затем необходимо определиться с размером ключа в битах. Здесь тоже нет короткого и однозначного ответа. У слишком длинных ключей есть и недостатки. Одно можно сказать с уверенностью: при выборе RSA и ELGamal не используйте ключи меньше 2048 бит, они крайне не безопасны. Далее программа попросит заполнить несколько форм: E-mail, Имя и комментарий. E-mail и Имя — это публичная информация, которую сможет увидеть каждый, с кем вы будете переписываться.
• В качестве почты можно указать другие виды связи, например ID какого-либо сервиса или мессенджера (Tox, Jabber, BitMessage и т. д.), разделив знаком «@» сам идентификатор/адрес и название сервиса. Чаще всего содержание именно этого поля используется для идентификации владельца ключа.
• Имя выбирать по своему усмотрению. Например, часто используемый ник или вообще «Anonymous».
• Поле комментария заполнять не обязательно. Можно ввести дополнительный. адрес или свою должность. Комментарий будет виден другим пользователям.
После заполнения всех форм нужно ввести пароль. Его можно и пропустить, что не рекомендуется, так как это единственная мера безопасности, которая защитит секретную часть ключа в случае захвата файла с данным ключом злоумышленником. Также важно не забыть пароль, иначе работа с ключом будет более невозможна. При создании ключа нужно внимательно проверять корректность ввода всех полей — ошибки потом не исправить. Публичный ключ распространяется среди большого количества людей, поэтому среди пользователей не принято их часто менять — не у всех контактов может быть свежий ключ.
Сгенерировав свой GPG-ключ, можно начать его распространять. Для этого надо ввести команду отображения публичной части. Исторически сложилось так, что программа изначально применялась для шифрования почты и подписи публичных сообщений в почтовых рассылках, поэтому ключи отображаются по принципу формата РЕМ (англ. «PrivacyEnhanced Mail»). Формат представляет собой единый стандартный блок ключа, начинающийся заголовком — BEGIN PGP PUBLIC KEY BLOCK —, за ним следует достаточно длинное тело самого ключа, кодированное цифрами и латинским алфавитом, и завершающий заголовок — END PGP PUBLIC KEY BLOCK —. Весь блок с заголовками представляет собой ключ GPG, его и нужно распространять целиком. Помимо ручного распространения ключей, возможно использовать специализированные сервера. Пользователь загружает свой публичный ключ на сервер, и при необходимости любой может запросить его. Во многих программах в качестве сервера по умолчанию часто указывают сервер MIT.
Каждый GPG-ключ уникален. Запоминать и сравнивать такие большие блоки ключей вручную невозможно, поэтому для этого существуют отпечатки ключей. Каждый отпечаток ключа тоже уникален, формируется из публичной части, предоставляя короткую уникальную строку для идентификации. В строке отпечатка содержится 40 символов с разделением на 4 символа пробелами. Важно знать, что последние 8 или 16 символов являются еще и ID ключа. При использовании команд из терминала надо будет указывать ID для работы. Отпечатки удобны для быстрого сравнения двух ключей, или короткого указателя нужного ключа при нехватке места.
Шифрование сообщений и файлов
Шифрованные с помощью GPG сообщения состоят из похожих на публичный ключ блоков, только с заголовком — BEGIN PGP MESSAGE —, а длина кодированной символами части зависит от длины сообщения. Подобные сообщения могут быть прочитаны только обладателем ключа, которому адресовано сообщение. Также можно зашифровать свое послание для нескольких ключей, что очень удобно при общении небольшой группы людей. Шифровать можно и файлы, тогда результат шифрования будет записан в файл, а не кодирован текстовыми символами.
Подписи в GPG
Подпись сообщений является удобным средством открытого публичного подтверждения авторства, потому что, как и в случае с шифрованием, только истинный обладатель ключа может подписать свое послание таким ключом и подделать подобную подпись невозможно. Отличается от шифрованных сообщений тем, что текст остается открытым, заключенным с двух сторон соответствующим заголовком, а снизу добавляется небольшой блок самой подписи, также кодированный символами. При попытке изменить хотя бы один символ открытого текста, подпись станет не действительной. Проверка подписей также выполняется при помощи GPG.
Подписи тоже можно применять на файлах. Особенно часто эта функция применяется разработчиками ПО, связанного с безопасностью. Делается это для того, чтобы предотвратить подмену файлов злоумышленниками, которые могут встроить в программы вредоносный код. Подписываются обычно архивы или сборки, сама подпись сохраняется в отдельный файл с расширением .asc или .sig. Ключ публикуется в нескольких местах и/или загружается на сервер, где его очень трудно подменить. Сам процесс проверки называется «верификация подписи».
Функция Web of Trust
Еще одна функция GPG, которую стоит упомянуть — это Web of Trust. Она используется для подтверждения принадлежности публичного ключа конкретному человеку. Для этого знакомые друг с другом пользователи GPG обмениваются ключами при личной встрече.
Каждый из них сверяет отпечаток ключей и создает для каждого полученного ключа электронный сертификат, доказывающий достоверное соответствие между определенной персоной и публичным ключом.
Создание сертификата называется «подписывание ключей». Сам сертификат потом загружается на сервер ключей, и любой может его запросить. Подразумевается, что чем больше пользователей подписали ключ, тем выше к владельцу доверие.
Модель использования WoT предполагает, что пользователи всегда указывают в ключах свои реальные имена и все желающие установить сеть доверия могут физически встретиться для личного обмена ключами. Это делает подобную схему трудно выполнимой при анонимном общении.
При псевдонимном общении для обмена можно использовать каналы связи или сервисы с аутентификацией, которая будет подтверждать достоверность. В любом случае, сети доверия при анонимном или псевдонимном общении не такие стойкие, частично из-за отсутствия «крепкого набора», формирующего основную группу доверенных пользователей, частично из-за человеческого фактора. Решение о целесообразности подобной сети доверия лежит целиком на группе пользователей, желающих ее построить.
Зачем нужно шифрование
Зачем вообще нужно все это шифрование, если человек ничего не скрывает и не нарушает? Это один из самых часто задаваемых вопросов. На него есть несколько ответов. За последние годы возможность тотальной слежки за сетевой деятельностью миллионов пользователей стала уже вопросом не технической сложности, а ресурсов. Обладатели таких ресурсов — все спецслужбы мира и десятки крупных корпораций, с помощью таких программ как PRISM и XKeyscore могут собирать и хранить годами все письма электронной почты, SMS-сообщения и историю звонков.
Это нарушает конституционные права граждан на тайну переписки, однако влияние этих организаций такое сильное, что остановить неправомерный сбор информации невозможно. Использование GPG не снимет слежку с миллионов людей и не исправит магическим образом весь мир. Это всего лишь инструмент в руках человека. Инструмент, позволяющий сохранить письма и слова только для тех, кому они предназначены, и ни для кого больше. Это немного, но по крайне мере это возвращает право каждого человека на тайну переписки.
Вас может заинтересовать обзор расширения браузера для передачи зашифрованных файлов MiniLock
Если сбор данных и слежка кажутся слишком отдаленными, можно рассмотреть шифрование с еще более практичной стороны. Та же электронная почта в открытом виде проходит десятки промежуточных узлов. На каждом может быть сколько угодно уязвимостей и дыр безопасности, которые могут быть использованы кем угодно.
В мире, где цифровые коммуникации играют ключевую роль, шифрование — это элементарное правило безопасности, предотвращающее огромное количество проблем. Глупо не воспользоваться возможностью повысить безопасность, учитывая что программа распространяется бесплатно, и освоить ее можно достаточно быстро. А подробнее ознакомиться с командами можно в официальном руководстве.
Руководство по PGP для Windows
Чтобы использовать PGP для обмена защищёнными электронными письмами, нам понадобятся три программы: GnuPG, Mozilla Thunderbird и Enigmail. Собственно, шифрование и расшифровку электронной почты осуществляет программа GnuPG. Mozilla Thunderbird – клиент электронной почты, позволяет читать и отправлять электронные письма без веб-браузера. А Enigmail это плагин к Mozilla Thunderbird, который связывает две упомянутые выше программы.
Обратите внимание: в этом руководстве мы говорим об использовании PGP с Mozilla Thunderbird, почтовым клиентом, имеющим функциональность аналогичную программе Outlook. Скорее всего, у вас уже есть любимый почтовый клиент (или вы пользуетесь веб-сервисом, например, Gmail или Outlook.com). Мы не будем останавливаться на том, как интегрировать PGP в различные программы. Вы можете установить Thunderbird и начать экспериментировать с PGP или поискать другие технические решения, которые позволят использовать PGP с программой, которую предпочитаете вы. На данный момент нам неизвестно о качественном решении для других почтовых клиентов.
При использовании PGP электронное письмо шифруется не полностью: информация об отправителе и адресате, а также тема сообщения остаются незашифрованными! В существующих системах работы с электронной почтой нет возможности шифровать данные об отправителе и адресате. Mozilla Thunderbird с дополнением Enigmail дают простую возможность шифровать лишь содержимое переписки.
Пройдём все этапы: скачаем, установим и настроим программы, а затем посмотрим, как их использовать.
Системные требования: Подключение к интернету, компьютер с операционной системой Windows, учётная запись эл. почты
Ссылки для скачивания:
Версии, использованные в этом руководстве: Windows: Windows 10 Ultimate; Mozilla Thunderbird 45.2.0; Enigmail 1.9; GnuPG 2.1.14
Лицензии: бесплатные программы с разными лицензиями
Дополнительные материалы:
- https://www.gnupg.org/documentation/guides.html
- Введение в шифрование с открытым ключом и PGP
- Создание надёжных паролей
- Анимированный обзор: как создать надёжный пароль при помощи игральной кости
- Анимированный обзор: менеджеры паролей повышают безопасность в сети
Уровень: Начальный / средний
Необходимое время: 30-60 минут
Pretty Good Privacy (PGP) – способ уберечь ваши сообщения электронной почты от посторонних глаз. А также (хоть и в меньшей степени) от прочтения, если компьютер, на котором находится почта, оказался в чужих руках.
PGP также пригодится для подтверждения, что письмо действительно отправлено тем, кто его подписал, а не злоумышленником (электронное письмо очень легко подделать). Эта функция особенно важна, если вы – в группе риска, то есть можете стать жертвой слежки или дезинформации.
Для работы с PGP нужно установить некоторые утилиты в дополнение к вашей обычной программе — клиенту электронной почты. Понадобится создать секретный (закрытый) ключ , который вам предстоит надёжно оберегать. С помощью этого закрытого ключа вы будете расшифровывать приходящие сообщения и ставить собственную цифровую подпись при отправке, чтобы подтвердить свою личность. Наконец, вы научитесь распространять свой открытый ключ – небольшой фрагмент данных, который нужен, чтобы другие люди могли отправлять вам шифрованные письма, а также для проверки вашей цифровой подписи.
Получение и установка GnuPG anchor link
Программу GnuPG (так же известную как GPG) для Windows можно получить, если скачать небольшой установщик с сайта GnuPG
Щёлкните по «Download» рядом с надписью «Simple installer for GnuPG modern», чтобы скачать установщик GPG.
Большинство браузеров просят подтвердить действительно ли вы хотите скачать файл. Уведомления Microsoft Edge 25 появляются внизу окна браузера.
Получение Mozilla Thunderbird anchor link
Откройте веб-сайт Mozilla Thunderbird.
Нажмите зелёную кнопку «Free Download». Сайт определит языковые настройки вашего компьютера. Если вы хотите установить Thunderbird на другом языке, выберите его, щёлкнув по ссылке «Systems & Languages».
Большинство браузеров просят подтвердить действительно ли вы хотите скачать файл. Уведомления Microsoft Edge 25 появляются внизу окна браузера.
Вне зависимости от того, какой браузер вы используете, лучше всего сначала сохранить файл, таким образом нажмите на кнопку «Save» . По умолчанию большинство браузеров сохраняет файлы в папку «Downloads».
Установка GnuPG anchor link
В «Проводнике» Windows дважды щёлкните по файлу gnupg-w32-2.1.14_20160714.exe. Появится просьба подтвердить установку программы. Нажмите кнопку «Yes».
Откроется окно с предложением изменить языковые настройки. Можете оставить английский и нажать на кнопку «OK».
В следующем окне вам будет предложено ознакомиться с устанавливаемой программой. Нажмите на кнопку «Next».
Откроется окно с лицензионным соглашением. Нажмите «Next».
В пакете GnuPG нет выбора компонентов установки, поэтому снова нажмите «Next».
Теперь предлагается выбрать имя папки в меню для GnuPG. Не меняйте настройки по умолчанию. Нажмите кнопку «Install»:
Вы увидите окно с индикатором процесса. Когда установка завершится, появится фраза «Installation Complete». Снова нажмите кнопку «Next».
Наконец, последний шаг. Снимите галочку в поле «Show the README file» и нажмите кнопку «Finish».
Установка Mozilla Thunderbird anchor link
Также как и в случае с GnuPG, установка Mozilla Thunderbird начинается с двойного нажатия на установочный файл (в данном случае Thunderbird Setup 45.2.0). Как обычно, появится запрос подтверждения. Нажмите кнопку «Run»..
Последует вопрос, разрешить ли Mozilla Thunderbird внести изменения в ваш компьютер путём установки файлов. Нажмите кнопку «Yes».
Окно установки Mozilla Thunderbird. Нажмите кнопку «Next».
Далее, нужно сделать выбор между установкой с параметрами по умолчанию («Standard») и с настройкой параметров («Custom»). Выберите первый вариант и нажмите кнопку «Next».
Появится сообщение о том, куда будут установлены файлы Mozilla Thunderbird. Нажмите кнопку «Install».
По завершении установки вы увидите последнее окно, после которого запустится Mozilla Thunderbird. Нажмите кнопку «Finish».
Подготовка к установке Enigmail anchor link
При первом запуске Mozilla Thunderbird появится небольшое окно с просьбой подтвердить некоторые настройки по умолчанию. Рекомендуем нажать кнопку «Set as Default».
При первом запуске Mozilla Thunderbird вам буден задан вопрос, хотите ли вы получить новый адрес электронной почты. Нажмите кнопку «Skip this and use my existing email». Теперь настроим Mozilla Thunderbird для отправки и получения электронной почты. Если вы привыкли пользоваться веб-интерфейсом gmail.com, outlook.com или yahoo.com, программа Mozilla Thunderbird покажется вам непривычной, но кардинальных новшеств тут нет.
Добавление почтового адреса в Mozilla Thunderbird anchor link
Откроется новое окно:
Укажите имя, адрес электронной почты и пароль . Mozilla не будет иметь доступ к вашему паролю или почтовому аккаунту. Нажмите кнопку «Continue».
Во многих случаях Mozilla Thunderbird может автоматически определять нужные настройки.
Иногда Mozilla Thunderbird недостаёт информации, тогда настраивать нужно вручную. Вот как это делается для учётной записи Gmail:
- Сервер входящей почты (IMAP) – требуется SSL
- imap.gmail.com
- Порт: 993
- Требуется SSL: да
- Сервер исходящей почты (SMTP) – требуется TLS
- smtp.gmail.com
- Порт: 465 или 587
- Требуется SSL: да
- Требуется аутентификация: да
- Те же настройки, что и для входящей почты
- Полное имя: [ваше имя или псевдоним ]
- Название аккаунта / пользователя: ваш полный адрес Gmail (username@gmail.com). Пользователям Google Apps следует использовать собственный домен: username@your_domain.com
- Адрес электронной почты: ваш полный адрес Gmail (username@gmail.com). Пользователям Google Apps следует использовать собственный домен: username@your_domain.com
- Пароль: ваш пароль Gmail
Если для Google-аккаунта у вас включена двухэтапная аутентификация (это может понадобиться – в зависимости от модели угроз), то вы не сможете использовать свой обычный пароль Gmail в Thunderbird. Чтобы получить доступ к Gmail, вам придётся создать новый пароль специально для Thunderbird. Более подробная информация содержится в справочной системе Google.
Когда все данные аккуратно введены, нажмите кнопку «Done»..
Mozilla Thunderbird скачает копии электронных писем на ваш компьютер. Попробуйте отправить друзьям тестовое сообщение.
Установка Enigmail anchor link
Enigmail устанавливается не так, как Mozilla Thunderbird и GnuPG. Как мы уже говорили, Enigmail – плагин (дополнение) к Mozilla Thunderbird. Нажмите кнопку меню (с тремя горизонтальными линиями в правом верхнем углу окна Thunderbird), называемую гамбургером и выберите «Add Ons».
Вы увидите вкладку «Add-ons Manager».
Введите «Enigmail» в поисковую строку, чтобы найти дополнение на сайте Mozilla.
Enigmail будет первым в списке. Нажмите «Install».
После установки Enigmail браузер Mozilla Thunderbird предложит перезагрузиться, чтобы активировать Enigmail. Нажмите кнопку «Restart Now» и Mozilla Thunderbird перезагрузится.
После перезагрузки Mozilla Thunderbird всплывёт дополнительное окно настройки Enigmail. Выберите предложенный по умолчанию вариант «Start setup now» и нажмите «Next».
По нашему мнению, стандартная конфигурация дополнения Enigmail является хорошим выбором. Нажмите «Next».
Пошаговое описание необходимой настройки anchor link
В мае 2018 года исследователи обнаружили несколько уязвимостей в PGP (включая GPG) для электронной почты и предположили, что злоумышленники могут использовать их в своих целях.
Разработчики Thunderbird и Enigmail внедрили защиту от таких уязвимостей (EFAIL). В версии 2.0.6 (от 27 мая 2018 года) Enigmail включены как исправления для защиты пользователей от всех известных уязвимостей, описанных в исследовании EFAIL, так и несколько новых, превосходящих ранние исправления Enigmail, разработанных другими исследователями. Каждое новое исправление немного затрудняет злоумышленнику взлом защиты Enigmail. Мы уверены в том, что при постоянном обновлении Enigmail до актуальной версии пользователи Thunderbird снова смогут использовать PGP.
Но несмотря на то, что в настоящее время Enigmail может обеспечить защиту от большинства известных угроз даже при включенном HTML, обнаруженные EFAIL уязвимости показали нам, насколько опасным для обеспечения безопасности может быть использование HTML в электронной почте. Таким образом, мы рекомендуем пользователям Enigmail выключить HTML, пройдя View > Message Body As > Plain Text («Вид» > «Тело сообщения в виде» > «Простого текста»).
1. Сначала нажмите на кнопку Меню Thunderbird (три горизонтальные линии).
2. Выберите справа во всплывшем списке пункт «View» (Вид).
3. Далее выберите в появившемся списке пункт «Message Body As» (Тело сообщения в виде) и затем отметьте пункт «Plain Text» (Простого текста).
Просмотр сообщений электронной почты в режиме простого текста может быть затруднён. И не только потому, что множество сервисов рассылают сообщения, используя исключительно HTML. Отключение HTML может стать причиной некоторых проблем, например некоторые вложения перестанут отображаться. Пользователи Thunderbird не должны идти на компромисс между удобством использования и безопасностью, и мы надеемся, что Thunderbird рассмотрит возможность поддержки сообщества, использующего только простой текст. В настоящее время пользователям придётся самим решать, идти ли на риск использования сообщений электронной почты в режиме HTML. Наиболее уязвимой группе пользователей, возможно, не стоило бы рисковать, однако правильным выбором для вашего сообщества станет решение, основанное на анализе вашей ситуации.
Теперь приступим к созданию открытого и закрытого ключей. Узнайте больше о ключах в нашем руководстве «Введение в шифрование с открытым ключом и PGP».
Создание открытого и закрытого ключей anchor link
Если у вас уже есть настроенная учётная запись электронной почты, Enigmail использует её. Для начала вам нужно выбрать надёжный пароль для своего закрытого ключа.
Нажмите кнопку «Next».
Для открытого ключа установлен определённый срок действия. Когда он истечёт, ваши собеседники больше не смогут использовать этот ключ, чтобы шифровать для вас сообщения. (Никакого специального предупреждения или подсказки вы не получите). Так что сделайте пометку в своём календаре, чтобы обратить внимание на «срок годности» ключа примерно за месяц до указанной даты.
Срок службы действующего ключа можно продлить, определив для него новую, более позднюю дату. Можно просто создать новый ключ «с нуля». В обоих случаях может понадобиться связаться с теми, кто общается с вами по электронной почте, и убедиться, что они получили ваш новый ключ. Сегодня этот процесс плохо автоматизирован на программном уровне. Поэтому создайте себе напоминание. Если управление ключом для вас проблема, можно снять ограничение по дате. Правда, в этом случае другие люди могут попытаться использовать ваш «вечный» ключ, даже если у вас больше нет парного закрытого ключа или вы вообще перестали использовать PGP.
Для проверки срока службы ключа в Thunderbird, нажмите кнопку меню и выберите пункт «Key Management». Найдите свой ключ в открывшемся окне «Enigmail Key Management» и щелкните по нему два раза. Откроется новое окно и дата окончания срока службы вашего ключа будет отображена в поле «Expiry». Для установки новой даты нажмите кнопку «Change». Не забудьте отправить обновленный открытый ключ вашим корреспондентам или опубликовать на сервере ключей.
Enigmail создаст ключ. Когда этот процесс завершится, появится маленькое окно с вопросом о создании сертификата отзыва. С помощью сертификата отзыва вы сможете прекратить действие закрытого ключа в случае, если вы потеряете свой закрытый ключ или же если он будет украден. Именно на случай кражи, хранить сертификат отзыва следует отдельно от закрытого ключа. Запишите его на CD диск или на USB-флешку и поместите в сохранное место. Публикация сертификата отзыва на сервере ключей даст понять другим пользователям PGP, что не стоит более пользоваться или доверять вашему данному открытому ключу. Стоит отметить что, если вы просто удалите закрытый ключ, это не означает неработоспособность парного открытого ключа. Люди по-прежнему смогут отправлять вам зашифрованные письма, а вы будете не в состоянии их расшифровать. Нажмите кнопку «Generate Certificate».
Сначала вам понадобится ввести пароль, который вы использовали при создании ключа. Нажмите кнопку «OK».
Откроется окно сохранения сертификата отзыва. Хотя вы можете сохранить файл и на компьютере, мы рекомендуем взять для этого USB-флешку, которую вы не будете использовать где-либо ещё и станете хранить в безопасном месте. Советуем не хранить сертификат отзыва на компьютере с ключами, чтобы избежать случайного отзыва. Лучше всего хранить этот файл на отдельном зашифрованном диске. Выберите носитель/папку для записи файла и нажмите кнопку «Save».
Enigmail сообщит дополнительные данные о сохранении сертификата отзыва. Нажмите кнопку «OK».
Вот и всё, вы создали свои открытый и закрытый ключи. Нажмите кнопку «Finish».
Дополнительные настройки anchor link
Отображение отпечатков и сроков годности ключей anchor link
Следующие шаги совершенно необязательны, но могут быть полезны при использовании OpenPGP и Enigmail. Идентификатор ключа – небольшая часть отпечатка ключа, а отпечаток – лучший способ убедиться в достоверности открытого ключа. Изменив вид по умолчанию, мы сделаем отображение отпечатков более удобным. Нажмите кнопку настройки, затем «Enigmail» и «Менеджер ключей» (Key Management).
Откроется окно с двумя столбцами: «Name» и «Key ID».
Справа есть маленькая кнопка. Нажмите на неё, чтобы настроить столбцы. Снимите флажок в поле «Key ID» и активируйте опции «Fingerprint» и «Key Validity».
Теперь будут отображаться три столбца: «Name», «Key Validity», и «Fingerprint».
Поиск других пользователей PGP anchor link
Получение открытого ключа по электронной почте anchor link
Вы можете получить открытый ключ как вложение электронной почты. Нажмите кнопку «Import Key».
anchor link
Откроется маленькое окошко импорта ключа. Нажмите кнопку «Yes».
Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».
Если вы заново загрузите электронное письмо, вы увидите, что расположенная сверху панель изменилась.
Если вы снова откроете окно управления ключами Enigmail, то сможете проверить результат. Ваш ключ выделен PGP жирным шрифтом (потому что у вас есть и закрытый, и открытый ключи). Открытый ключ, который вы только что импортировали, не выделен жирным, потому что соответствующего закрытого ключа у вас нет.
Получение открытого ключа в виде файла anchor link
Открытый ключ часто можно получить, просто загрузив его с сайта или во время чата. Тогда, скорее всего, файл будет сохранён в папке «Downloads».
Откройте менеджер ключей Enigmail и выберите в меню «File» – «Import Keys from File».
Открытые ключи могут называться по-разному. У них могут быть и разные расширения, например, .asc, .pgp или .gpg. Выберите файл и нажмите кнопку «Open».
Откроется окошко импорта. Нажмите кнопку «Yes».
Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».
Получение открытого ключа при помощи ссылки anchor link
Можно загрузить открытый ключ при помощи URL-ссылки.
Откройте менеджер ключей и выберите в меню «Edit» – «Import Keys from URL».
Введите URL-ссылку. Как правило, это доменное имя , завершающееся адресом файла.
Укажите URL-ссылку и нажмите кнопку «OK».
Появится окошко с запросом подтверждения импорта PGP-ключа. Нажмите кнопку «Yes».
Появится новое окно, отображающее результат импорта. Нажмите кнопку «OK».
>Если вы откроете https://www.eff.org/about/staff, вы заметите ссылки на открытые ключи PGP под фотографиями сотрудников. Например, PGP-ключ Дэнни О’Брайена (Danny O’Brien) расположен по адресу: https://www.eff.org/files/pubkeydanny.txt.
Получение открытого ключа с сервера ключей anchor link
Серверы ключей – очень полезная возможность получать открытые ключи. Попробуйте поискать открытый ключ.
Откройте менеджер ключей, выберите в меню «Keyserver» – «Search for Keys».
Откроется небольшое окно с поисковой строкой. Можно искать по полному адресу электронной почты, по его фрагменту или по имени. Попробуем найти ключи для адреса «samir@samirnassar.com». Нажмите кнопку «OK».
Появится окно побольше со многими опциями. Если прокрутите вниз, то увидите, что некоторые ключи выделены курсивом и серым цветом. Либо эти ключи были отозваны, либо их сроки действия истекли.
У Самира Нассара (Samir Nassar) есть несколько PGP-ключей и мы пока не знаем какой из них стоит выбрать. Один из ключей выделен курсивом и серым цветом – он отозван. Так как вы не знаете какой ключ вам понадобится, есть смысл импортировать все ключи. Галочкой отмечайте ключи и нажимайте кнопку «OK».
Откроется небольшое окно, в котором вас проинформируют об успешности ваших действий. Нажмите кнопку «OK»
В менеджере ключей Enigmail появятся новые ключи:
Обратите внимание, что из трёх импортированных ключей у одного истёк срок действия, один был отозван и один является действительным в настоящее время.
Оповещение адресатов об использовании PGP anchor link
Итак, у вас есть PGP. Хорошо бы сообщить об этом другим. Тогда вы сможете обмениваться шифрованными письмами.
При использовании PGP электронное письмо шифруется не полностью: информация об отправителе и адресате, а также тема сообщения остаются незашифрованными! В существующих системах работы с электронной почтой нет возможности шифровать данные об отправителе и адресате. Mozilla Thunderbird с Enigmail дают простую возможность шифровать содержимое почты.
Давайте рассмотрим три способа оповещения людей о том, что вы используете PGP.
Оповещение людей об использовании PGP по электронной почте anchor link
Вы можете просто отправить другому человеку ваш открытый ключ по электронной почте как вложение.
Нажмите кнопку «Write» в Mozilla Thunderbird.
Укажите адрес и тему письма, например, «Мой открытый ключ». Выберите в меню Enigmail опцию «Attach My Public Key». Если вы уже импортировали PGP-ключ адресата, изображение замочка на панели Enigmail будет подсвечено. Вы можете также нажать кнопку с изображением карандаша, чтобы подписать электронное письмо. Цифровая подпись PGP позволит получателю убедиться, что именно вы отправили письмо и его содержимое не было изменено.
Появится окно с напоминанием о добавлении вложения. Это результат ошибки взаимодействия между Enigmail и Mozilla Thunderbird. Не беспокойтесь, ваш открытый ключ будет добавлен во вложение. Выберите «No, Send Now». Ниже приведено подтверждение:
Оповещение людей об использовании PGP через веб-сайт anchor link
Если вы уже сообщили об этом по электронной почте, можете дополнительно разместить свой открытый ключ на веб-сайте. Загрузите файл на сервер и поставьте на него гиперссылку. В этом руководстве мы не станем вдаваться в подробности, как это сделать, но вы должны знать наверняка, как экспортировать ключ в виде файла для использования в будущем.
Нажмите кнопку настройки, затем «Enigmail» и «Key Management».
Выделите ключ жирным шрифтом, нажмите правую кнопку мыши для вызова контекстного меню и выберите «Export keys to file».
anchor link
Появится небольшое окно с тремя кнопками. Нажмите кнопку «Export Public Keys Only».
Откроется окно сохранения файла. Чтобы легче найти его в будущем, есть смысл использовать папку «Documents». Теперь можете использовать этот файл по вашему усмотрению.
Осторожнее, не нажмите кнопку «Export Secret Keys». Экспорт закрытого ключа может дать злоумышленнику возможность притвориться вами (если ему удастся угадать ваш пароль).
Загрузка ключей на сервер anchor link
Серверы ключей облегчают поиск и скачивание открытых ключей. Большинство современных серверов ключей синхронизируются друг с другом. Таким образом, если открытый ключ загружен на один сервер, он в конечном счёте появится на всех серверах.
Публикацию вашего открытого ключа на сервере ключей можно рассматривать как удобный способ дать людям знать, что у вас есть открытый ключ PGP. Но следует помнить о специфике работы серверов ключей: ключ, который загружен на сервер, не может быть впоследствии оттуда удалён. Вы можете только отозвать его.
Перед загрузкой вашего открытого ключа на сервер ключей хорошо обдумайте последствия того, что все будут знать, что вы используете PGP. Ведь удалить ключ с сервера не получится.
Если вы решили загрузить открытый ключ на сервер ключей, вернитесь к окну «Key Management».
Правой кнопкой мыши выберите в меню «Keyserver» действие «Upload Public Keys».
Отправка почты, зашифрованной при помощи PGP anchor link
Отправим первое зашифрованное письмо.
В главном окне Mozilla Thunderbird нажмите кнопку «Write». Откроется новое окно.
Напишите сообщение, выберите адресата, чей открытый ключ у вас уже есть. Enigmail обнаружит ключ и автоматически зашифрует сообщение.
Обратите внимание: тема письма не будет зашифрована, поэтому для неё лучше выбрать что-нибудь безобидное, типа «Привет».
После шифрования содержимое письма будет выглядеть по-другому. Например, текст преобразуется так:
Получение почты, зашифрованной при помощи PGP anchor link
Посмотрим, что происходит, когда вы получаете зашифрованное письмо.
Mozilla Thunderbird оповещает вас о новых письмах. Нажмите на сообщение.
Откроется маленькое окно с запросом пароля к PGP-ключу. (Не вводите пароль электронной почты!) Нажмите кнопку «OK».
Сообщение будет расшифровано.
Отзыв PGP-ключа anchor link
Отзыв PGP-ключа с помощью Enigmail anchor link
Срок действия PGP-ключей, созданных в программе Enigmail – пять лет. Если вы потеряете файлы с ключами, то есть надежда, что по истечении срока службы ключа люди попросят у вас новый открытый ключ.
Возможно, понадобиться прекратить действие ключа до этого срока. Например, если вы захотите создать новый, более сильный PGP-ключ. Самый простой способ отозвать свой PGP-ключ в Enigmail – использовать встроенный диспетчер ключей.
Нажмите правой кнопкой мыши на вашем PGP-ключе (выделен жирным шрифтом) и выберите опцию «Revoke key».
Откроется окно с информацией и запросом подтверждения. Нажмите кнопку «Revoke key».
Появится окно для пароля. Введите пароль от PGP-ключа и нажмите кнопку «OK».
Появится окно с информацией, что операция прошла успешно. Нажмите кнопку «OK».
В окне менеджера ключей вы заметите изменения. Обратите внимание на ваш PGP-ключ: он стал серым и выделен курсивом.
Отзыв PGP-ключа с помощью сертификата отзыва anchor link
Как упоминалось ранее, у вас могут появиться причины отозвать собственный ключ до истечения его срока действия. У других людей тоже могут появиться веские причины, чтобы отозвать существующий ключ. В предыдущем разделе мы говорили о том, что Enigmail генерирует и импортирует сертификаты отзыва при использовании Менеджера ключей Enigmail для отзыва ключа.
Вы можете получить сертификат отзыва от друга в качестве уведомления о том, что ваш друг хочет отозвать свой ключ. Так как у вас уже есть сертификат отзыва, вы сможете использовать его для отзыва своего ключа.
Войдите в менеджер ключей Enigmail и выберите в меню «File» опцию «Import Keys from File».
Откроется окно, в котором можно выбрать сертификат отзыва. Выберите файл и нажмите кнопку «Open».
Появится сообщение о том, что сертификат был успешно импортирован, а ключ – отозван. Нажмите кнопку «OK».
Вернитесь к менеджеру ключей. Вы увидите, что отозванный ключ стал серым и выделен курсивом.
Теперь у вас есть все необходимые инструменты. Попробуйте самостоятельно отправить письмо, зашифрованное при помощи PGP.