Questo articolo fornisce le indicazioni necessarie per la configurazione delle impostazioni di crittografia end-to-end nelle Impostazioni account di Thunderbird. Per un'introduzione più generale, leggere anche l'articolo Introduzione alla crittografia end-to-end in Thunderbird.
Per utilizzare la crittografia end-to-end (e2ee) con l'email, è necessario che l'utente possieda le proprie chiavi crittografiche appropriate e che le configuri nelle impostazioni dell'account in Thunderbird. Eseguendo questa configurazione, l'utente conferma di essere disposto a utilizzare questa funzionalità.
I passaggi per completare la configurazione dipendono dalla tecnologia e2ee che si desidera utilizzare (OpenPGP o S/MIME). Si può scegliere di configurare solo una o entrambe le tecnologie. La configurazione è separata per ogni account e identità, poiché è direttamente correlata a un indirizzo email.
Indice dei contenuti
Configurazione con tecnologia OpenPGP
Se si desidera scambiare messaggi crittografati con dei corrispondenti che hanno già configurato OpenPGP, è necessario disporre di una propria chiave personale OpenPGP. Thunderbird definisce la chiave OpenPGP come una coppia di chiavi, composta da chiavi segrete e pubbliche, insieme a un'etichetta che contiene l'indirizzo email dell'utente.
Nel caso in cui l'utente non abbia mai creato una chiave OpenPGP in Thunderbird ma abbia già utilizzato un altro programma ("software") OpenPGP, potrebbe essere già in possesso di una chiave segreta. In questo caso, utilizzare una funzione di backup/esportazione dell'altro software per salvare la chiave segreta in un file e, se tutto è andato a buon fine, provare a importare il file risultante in Thunderbird.
Se nel corso dei vari aggiornamenti del programma si è utilizzato Thunderbird 68 (o versioni precedenti) con il componente aggiuntivo Enigmail, si potrebbero già avere delle chiavi segrete perché molte delle versioni di Enigmail creavano automaticamente chiavi segrete senza un'esplicita richiesta all'utente. Queste chiavi potrebbero essere ancora archiviate sul proprio computer. Se si desidera riutilizzarle con la versione più recente di Thunderbird, si può provare a utilizzare il software GnuPG per recuperarle. Per ulteriori informazioni su questo argomento, leggere la documentazione specifica nell'articolo OpenPGP in Thunderbird.
Se non si sono mai utilizzati altri software per creare chiavi OpenPGP, o se si preferisce non riutilizzare quelle chiavi, Thunderbird consente di creare questo tipo di chiave dalle Impostazioni account tramite la scheda
.- Fare clic sul pulsante dei menu > (oppure nelle versioni precedenti la versione 102, dalla barra dei menu, fare clic su > ).
- Nel riquadro degli account, fare clic su Crittografia end-to-end sotto l'account desiderato.
- Nella sezione specifica per OpenPGP, fare clic sul pulsante e, nella nuova finestra che si apre, selezionare l'opzione Crea una nuova chiave OpenPGP o Importa una chiave OpenPGP esistente, a seconda delle proprie esigenze.
- Seguire quindi la procedura guidata per creare o importare la chiave.
Se si sceglie di importare una chiave, dopo averla importata, Thunderbird dovrebbe offrire la possibilità di selezionarla come chiave personale per quell'account o identità, se ha superato i seguenti requisiti durante l'importazione:
- La chiave non è scaduta
- La chiave non è stata revocata
- La chiave è valida sia per la firma digitale che per la crittografia
- La chiave contiene un ID utente con l'indirizzo email dell'account o dell'identità che si sta configurando all'interno delle Impostazioni account
Dopo aver selezionato la chiave, la configurazione per la sicurezza della posta elettronica OpenPGP è terminata.
Configurazione con tecnologia S/MIME
Se si desidera scambiare messaggi crittografati con dei corrispondenti che hanno già configurato S/MIME, è necessario disporre di una propria chiave di certificato email personale.
La tecnologia di crittografia delle email S/MIME dipende dal servizio di terze parti fidate, le cosiddette "Autorità di certificazione" (CA), da cui si deve ottenere un certificato personale per se stessi e installarlo e configurarlo in Thunderbird.
Di solito non è pratico creare un certificato da soli, perché i propri corrispondenti di posta elettronica per consuetudine non accetteranno tali certificati auto-firmati.
Le fasi di preparazione per ottenere un certificato personale da una CA solitamente sono:
- Creare chiavi crittografiche grezze, una coppia di chiavi segrete e pubbliche.
- Inviare la propria chiave pubblica a una CA supportata da Thunderbird.
- La CA firmerà sui propri sistemi la chiave pubblica del richiedente e aggiungerà altri dati per creare il certificato del richiedente.
- La CA rimanderà il certificato al richiedente.
- Unire il certificato ricevuto con la chiave segreta che era stata personalmente creata in precedenza, questo trasformerà il certificato nel proprio certificato personale.
- Importare il proprio certificato personale utilizzando il Gestore dei certificati di Thunderbird.
- Aprire le impostazioni dell'account in Thunderbird, aprire la crittografia end-to-end relativa a quell'account e selezionare il certificato che si desidera utilizzare con quell'account email (saranno offerti per la selezione solo i certificati personali considerati validi da Thunderbird). Selezionare il certificato sia per la crittografia che per la firma digitale.
Le versioni recenti di Thunderbird non sono in grado di aiutare l'utente a creare la sua coppia di chiavi grezze per la tecnologia S/MIME. È necessario utilizzare un software esterno. Alcune CA offrono la comodità di creare automaticamente una coppia di chiavi. Questa non è la soluzione ideale, perché la chiave segreta utilizzata per il proprio certificato personale potrebbe essere stata creata sui computer gestiti dalla CA. Esiste quindi il rischio che qualcuno ottenga e conservi una copia della chiave segreta che potrebbe consentirgli di decrittare i messaggi di posta elettronica crittografati che vengono inviati all'utente.
Effettuare un test della propria configurazione
Dopo aver completato la propria configurazione, si dovrebbe effettuare un test. Provare ad autoinviarsi un'email crittografata e firmata digitalmente. Per farlo, comporre un nuovo messaggio. Se si dispone di più account o identità, assicurarsi che l'indirizzo "Da" nella parte superiore della finestra di composizione mostri un'identità per la quale si sia già completata la configurazione della crittografia end-to-end.
Quindi inserire lo stesso indirizzo email nel campo "A", aggiungere anche un oggetto e il contenuto del messaggio di prova ed attivare la crittografia. Nella versione 102 di Thunderbird è possibile attivare facilmente la crittografia facendo clic sul pulsante
nella barra degli strumenti. Nelle versioni precedenti, fare clic sulla freccia accanto al pulsante nella barra degli strumenti e dal menu contestuale selezionare . Inviare il messaggio, tornare alla propria casella di posta, provare a scaricare i nuovi messaggi e si dovrebbe ricevere il messaggio che ci si è appena inviati. Dovrebbe essere segnalato come crittografato, fare riferimento alle etichette S/MIME o OpenPGP appropriate nell'area dell'intestazione del messaggio, su cui è possibile fare clic per visualizzare informazioni dettagliate.Distribuire la propria chiave pubblica o il proprio certificato
Se un utente desidera consentire ad altri di inviare email crittografate al suo indirizzo email, potrebbe essere utile non aspettare fino a quando i suoi corrispondenti chiedano che venga loro inviata la sua chiave pubblica.
L'utente potrebbe decidere di anticipare i tempi e assicurarsi che altre persone possano ottenere la sua chiave pubblica o il suo certificato quando decideranno di inviare al suo indirizzo delle email crittografate. Un modo semplice per farlo è inviare un'email firmata digitalmente.
Se si invia un'email firmata digitalmente utilizzando la tecnologia OpenPGP, Thunderbird includerà solitamente una copia della propria chiave pubblica sotto forma di un piccolo allegato aggiunto automaticamente, perché la chiave pubblica è necessaria per verificare che una firma digitale sia tecnicamente valida.
Se si invia un'email firmata digitalmente utilizzando la tecnologia S/MIME, il proprio certificato è sempre incluso.
È possibile decidere di firmare sempre digitalmente le email che si inviano. È possibile trovare l'impostazione per questo tipo di scelta nella sezione Crittografia end-to-end delle impostazioni dell'account in Thunderbird. Tenere presente che se si firma digitalmente un'email, probabilmente non si sarà più in grado di negare plausibilmente di essere stato il mittente di un'email che si è inviata.
Un altro modo per distribuire una chiave pubblica OpenPGP è utilizzare un "keyserver" (server di chiavi). Il keyserver disponibile su https://keys.openpgp.org/ (gestito dai membri della comunità di sviluppatori OpenPGP) è una buona scelta per pubblicare la propria chiave pubblica. Le versioni 78, 91 e 102 di Thunderbird sono in grado di eseguire ricerche su quel keyserver durante l'esecuzione di un rilevamento online per chiavi pubbliche mancanti.
Per pubblicare la propria chiave, si deve esportare la propria chiave pubblica in un file, ad esempio utilizzando il menu accanto alla propria chiave personale configurata nelle impostazioni dell'account su Thunderbird o utilizzando il Gestore delle chiavi OpenPGP di Thunderbird. Prestare sempre attenzione e utilizzare il comando corretto. Per ottenere una copia della propria chiave che sia sicura per la condivisione con altri, utilizzare sempre un comando che faccia riferimento a un'operazione con chiave pubblica. Non condividere mai la propria chiave personale e segreta.
Dopo che il file che contiene la propria chiave pubblica è disponibile, è anche possibile distribuire la propria chiave utilizzando qualsiasi altro meccanismo che funzioni per la condivisione di file, come ad esempio l'hosting del file sul proprio sito web.