Щоб надіслати зашифроване OpenPGP-повідомлення, ви повинні отримати відкритий ключ одержувача, наприклад, з отриманого від нього повідомлення або із сервера відкритих ключів. Після отримання відкритого ключа ви також повинні вирішити, чи хочете ви його прийняти, оскільки Thunderbird не може автоматично визначити, чи є ключ надійним - ключ може бути автентичним або підробленим. Про те, як визначити, чи є ключ автентичним або підробленим, щоб мати змогу вирішити, приймати його чи ні, йдеться в цій статті.

Приклад підробленого ключа

Хтось може дуже легко створити відкритий ключ з ім'ям та адресою електронної пошти іншої людини. Наприклад, особа Меллорі зі зловмисними намірами може просто створити ключ, який містить ім'я та адресу електронної пошти вашого друга Боба, і надіслати його вам. Якщо хтось інший, а не Боб, створив ключ, то це підроблений ключ.

Якщо ви вирішите використати підроблений ключ від імені Боба, ви можете повірити, що ведете з ним конфіденційну розмову, оскільки використовуєте шифрування електронної пошти, тоді як насправді зашифроване повідомлення може прочитати зловмисник Меллорі, який створив підроблений ключ від імені Боба. Це називається Монстр у середині атаки (MITM), також відомий як Людина в середині атаки (Man-in-the-Middle-Attack).

Як вирішити, чи приймати публічний ключ

Щоб уникнути випадкового використання підробленого ключа, Thunderbird ніколи не використовуватиме чужий ключ автоматично. Thunderbird завжди вимагатиме, щоб ви прийняли рішення про визнання ключа автентичним. Ви також вирішуєте, скільки часу ви хочете витратити на перевірку автентичності чи підробленості ключа.

Якщо ви спілкуєтеся з кореспондентом у невимушеній обстановці і вважаєте, що вміст вашого повідомлення не дуже конфіденційний, ви можете позначити ключ як прийнятий, не перевіряючи, чи є він автентичним.

Однак, якщо ви маєте намір обмінюватися критично важливою інформацією, і ваша свобода або життя залежить від того, щоб інформація залишалася конфіденційною, то вам слід ретельно перевірити, що ви отримали справжній ключ, що ключ дійсно надійшов від людини, з якою ви бажаєте листуватися. Ви можете зробити це, переглянувши деталі ключа, а потім використати канал зв'язку відмінний від електронної пошти, щоб поговорити з вашим кореспондентом. Потім кожен з вас повинен переглянути деталі відкритого ключа іншої людини і подивитися на відбиток пальця, який там зображений. Відбиток - це хеш повного ключа, своєрідна контрольна сума, а отже, унікальний спосіб ідентифікації ключа.

Приклад процесу перевірки

Щоб пояснити цей процес більш детально, якщо Аліса і Боб хочуть переконатися, що вони використовують правильні ключі один одного, вони повинні виконати перевірку у два кроки. На першому кроці Аліса відкриє дані свого особистого ключа, знайшовши його або в менеджері ключів OpenPGP, або на вкладці End-To-End шифрування в налаштуваннях акаунта. Боб відкривав дані отриманого ним ключа, який стверджував, що він виданий на ім'я Аліси. Потім Аліса повинна зачитати відбиток пальця, який вона бачить на екрані, для свого ключа, а Боб повинен послухати і порівняти його з відбитком пальця, який відображається на його екрані для ключа на ім'я Аліси. Якщо інформація повністю збігається, то Боб перевірив ключ Аліси і може натиснути прапорець з написом "Так, я особисто перевірив, що цей ключ має правильний відбиток пальця".

На другому кроці Аліса і Боб повинні повторити процес, переглянувши ключ Боба. Боб повинен відкрити дані свого ключа, а Аліса повинна відкрити ключ, який вона отримала і стверджує, що він від імені Боба. Потім Боб повинен прочитати відбиток пальця, який він бачить на екрані, для свого ключа, а Аліса повинна послухати і порівняти його з інформацією, яку вона бачить на екрані для ключа Боба. Якщо рядок відбитків повністю збігається, то Аліса перевірила ключ Боба і може натиснути прапорець з написом "Так, я особисто перевірила, що цей ключ має правильний відбиток пальця".