Se si tenta di inviare un'email con la crittografia end-to-end (e2ee) abilitata, tramite Thunderbird potrebbe venire segnalato che non è possibile crittografare quel messaggio di posta elettronica. Questo articolo spiega i requisiti per l'invio di un messaggio di posta elettronica crittografato.
Indice dei contenuti
Elenco requisiti
Tutti gli elementi devono essere soddisfatti:
- È necessario disporre di una chiave OpenPGP personale o di un certificato S/MIME personale e si deve configurare Thunderbird per utilizzarlo. Per informazioni su come procedere, leggere l'articolo: Come configurare il proprio account email per utilizzare la crittografia end-to-end.
- Se in precedenza si era configurata la propria chiave o il proprio certificato, assicurarsi che non sia scaduto, non sia stato revocato e di non averlo eliminato.
- Ogni destinatario che è stato aggiunto ai campi A, Cc o Ccn del proprio messaggio di posta elettronica deve possedere anche una chiave OpenPGP personale o un certificato S/MIME personale e deve aver reso disponibile la rispettiva chiave pubblica o certificato. Come ottenerli e utilizzarli è spiegato nelle sezioni seguenti di questo articolo.
- Quando si utilizza la crittografia di gruppo utilizzando la funzione di OpenPGP per gli alias del destinatario, le chiavi pubbliche per tutti i destinatari definiti per un indirizzo alias email devono essere disponibili.
- Si deve disporre di chiavi o certificati della stessa tecnologia per tutti i destinatari, compreso se stesso, perché OpenPGP e S/MIME sono tecnologie di crittografia separate e non possono essere combinate in un'unica email. Assicurarsi di aver selezionato la tecnologia corretta durante la composizione di un'email crittografata.
Se si necessita di una spiegazione più dettagliata dei termini menzionati in questo articolo e di informazioni per sapere come funziona la tecnologia di crittografia della posta elettronica in generale, si consiglia di leggere l'articolo Introduzione alla crittografia end-to-end in Thunderbird.
Ottenere le chiavi pubbliche OpenPGP dei propri corrispondenti
I seguenti meccanismi possono essere utilizzati per ottenere una chiave pubblica OpenPGP:
- Il proprio corrispondente invia un'email e allega la sua chiave pubblica a quell'email. Quando si visualizza un'email di questo tipo, se si fa clic sul pulsante OpenPGP mostrato nell'area dell'intestazione, tramite Thunderbird verrà proposto di importare la chiave.
- Il proprio corrispondente invia un'email che include un'intestazione di crittografia automatica ("Autocrypt header") contenente la sua chiave pubblica. Quando si visualizza un'email di questo tipo, se si fa clic sul pulsante OpenPGP mostrato nell'area dell'intestazione, tramite Thunderbird verrà proposto di importare la chiave.
- Il proprio corrispondente ha pubblicato la sua chiave pubblica su un server web e potrebbe fornirvi un link alla sua chiave pubblica. Oppure, si potrebbe utilizzare una ricerca sul web e trovare la sua chiave per conto proprio. In entrambi i casi si scarica la chiave pubblica in un file locale, quindi si utilizza il Gestore delle chiavi OpenPGP di Thunderbird per importare il file contenente la chiave pubblica.
- Il proprio corrispondente ha pubblicato la sua chiave pubblica su un server che utilizza il protocollo WKD. Quando si tenta di inviare un'email crittografata, ma non si dispone ancora di una chiave pubblica per l'indirizzo email di un destinatario, tramite Thunderbird potrebbe essere offerta la possibilità di eseguire un rilevamento online che è in grado di trovare le chiavi pubbliche pubblicate utilizzando il protocollo WKD.
- Il proprio corrispondente ha pubblicato la sua chiave pubblica su un keyserver (server di chiavi) supportato da Thunderbird, come il server keys.openpgp.org. Quando si tenta di inviare un'email crittografata, ma non si dispone ancora di una chiave pubblica per l'indirizzo email di un destinatario, tramite Thunderbird potrebbe essere offerta la possibilità di eseguire un rilevamento online che è in grado di trovare le chiavi pubbliche pubblicate su quel keyserver.
- Il proprio corrispondente ha pubblicato la sua chiave pubblica su un keyserver che Thunderbird non è ancora in grado di interrogare automaticamente. Se il proprio corrispondente comunica quale keyserver contiene la sua chiave, si potrebbe essere in grado di utilizzare un browser web per visitare quel keyserver, cercare la sua chiave pubblica, scaricarla in un file e quindi importare quel file utilizzando il Gestore delle chiavi OpenPGP di Thunderbird.
Se Thunderbird non riesce a trovare la chiave automaticamente, di solito è più facile inviare una semplice email (senza crittografia) al proprio corrispondente e chiedergli di inviare un'email che contiene la sua chiave pubblica.
Con le versioni 78 e 91 di Thunderbird, se si riceveva un'email con la chiave di un corrispondente, era necessario interagire con quell'email per importare la chiave, sia utilizzando il menu di scelta rapida su un allegato e chiedendo di importarla, sia facendo clic sul pulsante OpenPGP mostrato nell'area dell'intestazione, che poteva segnalare che l'email conteneva una chiave pubblica e poteva offrire di importarla.
Con la versione 102 di Thunderbird e versioni successive, tramite Thunderbird verranno raccolte automaticamente in una cache le chiavi che il programma è in grado di rilevare e sarà possibile utilizzarle successivamente. Quando si compone un'email e la chiave pubblica del proprio corrispondente non è stata ancora importata, Thunderbird potrebbe essere in grado di offrire automaticamente la possibilità di utilizzare le chiavi pubbliche che si sono già raccolte.
Si tenga presente che non è possibile analizzare la cache di tutte le chiavi che Thunderbird ha raccolto automaticamente. Se necessario, Thunderbird offrirà le chiavi di cui trova corrispondenza nell'Assistente chiavi OpenPGP, a cui si può accedere dalla finestra di composizione della posta elettronica di Thunderbird.
Per analizzare l'elenco delle chiavi OpenPGP già importate, si può utilizzare il Gestore delle chiavi OpenPGP di Thunderbird.
Ottenere i certificati S/MIME dei propri corrispondenti
Il metodo standard per distribuire il certificato di una persona è quello di inviare un'email con firma digitale. Se si è ricevuta un'email firmata digitalmente dal proprio corrispondente, fare clic sull'email per visualizzarla. Se Thunderbird considera validi la firma dell'email e il certificato del mittente, verranno importati automaticamente e resi disponibili quando si tenta di crittografare un'email da inviare a quel corrispondente utilizzando la tecnologia S/MIME. Se non si dispone ancora di un'email firmata digitalmente dal proprio corrispondente, è possibile chiedergli di inviare un'email firmata digitalmente.
Si tenga presente che i certificati emessi dalle CA ("Autorità di certificazione") possono avere un breve periodo di validità e che i certificati non sono più utilizzabili dopo la scadenza del periodo di validità. In tal caso il proprio corrispondente dovrà ottenere un nuovo certificato. Dopo averlo ottenuto, potrà inviarvi una nuova email firmata digitalmente con un certificato valido.
Le organizzazioni che gestiscono un server LDAP possono configurare il proprio server per archiviare i certificati S/MIME. Se è stato configurato un server LDAP, Thunderbird può interrogare automaticamente il server LDAP se ha bisogno di ottenere un certificato S/MIME.
Per analizzare l'elenco dei certificati S/MIME di cui già si dispone, si può utilizzare il Gestore certificati di Thunderbird.
Validità tecnica
In Thunderbird vengono utilizzate solo chiavi e certificati che il programma considera tecnicamente validi.
In Thunderbird è richiesto che una chiave OpenPGP contenga almeno una chiave primaria o subordinata valida utilizzabile per la creazione di firme digitali e almeno una chiave utilizzabile per la crittografia.
Thunderbird potrebbe rifiutarsi di utilizzare chiavi OpenPGP danneggiate o basate su algoritmi crittografici che il programma considera non sicuri.
Una chiave pubblica OpenPGP ha una sua struttura interna, può contenere diverse chiavi subordinate e contiene anche proprietà, come il periodo di validità e i relativi nomi utente e indirizzi email. Tali proprietà possono essere aggiunte, rimosse o aggiornate. Per garantire che le proprietà siano state realmente modificate dal legittimo proprietario della chiave, le proprietà sono firmate digitalmente utilizzando la chiave segreta del proprietario. Ogni firma digitale utilizza un algoritmo di firma. Thunderbird può ignorare le proprietà basate su algoritmi di firma non sicuri.
Se si è ottenuta la chiave pubblica di qualcuno e Thunderbird non accetta di importarla o utilizzarla, i motivi possibili sono:
- Dopo averla importata, la chiave sembra priva di determinate proprietà.
- La chiave ha un periodo di validità inatteso.
- La chiave potrebbe contenere proprietà non sicure che Thunderbird ha deciso di rifiutare o ignorare.
Corrispondenza degli indirizzi email
Per utilizzare una chiave pubblica OpenPGP o un certificato S/MIME per inviare un'email crittografata a un indirizzo email, in Thunderbird viene richiesto solitamente che la struttura interna della chiave o del certificato indichi l'indirizzo email esattamente corrispondente. Ciò consente a Thunderbird di decidere automaticamente se è possibile utilizzare una chiave pubblica o un certificato per un indirizzo email.
In altre parole, se Alice vuole inviare email crittografate a [email protected], ha bisogno di una chiave pubblica OpenPGP o di un certificato S/MIME che afferma di essere per quell'indirizzo email: una chiave o un certificato che afferma di essere per [email protected] non verrebbe utilizzato da Thunderbird.
Se Alice volesse davvero utilizzare la chiave pubblica o l'elenco dei certificati [email protected] per inviare email a [email protected], Alice dovrebbe avere ulteriori conoscenze sugli indirizzi email di Mario, che non sono ovvi. Mario dovrebbe chiedere ad Alice di usare quella chiave nonostante l'indirizzo email non corrisponda. Alice dovrebbe chiedere a Thunderbird di utilizzare la chiave pubblica o il certificato nonostante la mancata corrispondenza.
Questo viene considerato uno scenario avanzato, che alcuni utenti potrebbero dover utilizzare, ma di cui la maggior parte degli utenti non ha bisogno. Thunderbird attualmente non offre una soluzione interattiva per questo tipo di scenario.
Tuttavia, poiché alcuni utenti esperti hanno richiesto supporto per l'utilizzo di chiavi pubbliche OpenPGP non corrispondenti, in Thunderbird viene offerto un meccanismo di configurazione avanzato, documentato nell'articolo Thunderbird e le chiavi alias OpenPGP.
Accettazione
Se si è ottenuta una chiave pubblica OpenPGP e la chiave afferma di essere a nome del proprio corrispondente e contiene l'indirizzo email di quel corrispondente, c'è ancora il rischio che non sia la chiave giusta. Il rischio viene descritto dettagliatamente nell'articolo Le chiavi OpenPGP potrebbero essere autentiche o contraffatte, come effettuare una verifica.
A causa di questo rischio, in Thunderbird non vengono utilizzate automaticamente le chiavi pubbliche OpenPGP. Piuttosto, per ogni chiave pubblica che si desidera utilizzare, si deve confermare personalmente che la chiave, per quanto vi riguarda, è accettabile, come descritto nell'articolo menzionato precedentemente.
In altre parole, se Alice ha ottenuto una chiave pubblica OpenPGP che elenca l'indirizzo email [email protected] e Alice tenta di inviare un'email crittografata a [email protected], in Thunderbird potrebbe venire segnalato che ancora non esiste una chiave accettata per Mario. Alice deve seguire la guida offerta sullo schermo per rivedere la chiave o le chiavi disponibili per [email protected]: dovrebbe rivederla, verificarla e contrassegnarla come accettata.
Per la tecnologia S/MIME, i certificati tecnicamente validi firmati da una CA che è stata inclusa in Thunderbird in base alla "Mozilla Root Store Policy" (informazioni in inglese), verranno accettati automaticamente da Thunderbird per l'invio di email crittografate all'indirizzo elencato nel certificato.