Questo articolo fornisce informazioni dettagliate per gli utenti di Thunderbird che desiderano inviare e ricevere messaggi di posta elettronica crittografati e firmati digitalmente utilizzando lo standard OpenPGP. Questa funzione è comunemente nota come crittografia end-to-end (e2ee) e rende le comunicazioni più sicure contro le intercettazioni di terze parti. In Thunderbird 78 è disponibile il supporto integrato per due standard di crittografia, OpenPGP e S/MIME.
Questo articolo fornisce anche informazioni importanti per gli utenti del precedente componente aggiuntivo Enigmail che migrano da Thunderbird 68 a Thunderbird 78.
Indice dei contenuti
- 1 In che cosa consiste la crittografia end-to-end e come funziona?
- 2 Thunderbird supporta lo standard di crittografia OpenPGP?
- 3 Perché Enigmail è stato sostituito? Verrà reso nuovamente disponibile?
- 4 OpenPGP in Thunderbird 78 assomiglia a Enigmail e funziona esattamente allo stesso modo?
- 5 Non avendo mai utilizzato prima OpenPGP con Thunderbird, come si imposta OpenPGP?
- 6 Avendo già utilizzato Enigmail, come si esegue la migrazione e la configurazione?
- 7 La migrazione di Enigmail è stata completata con successo, ma non è ancora possibile utilizzare OpenPGP
- 8 È possibile ripetere la migrazione?
- 9 Provando a importare un file con chiavi pubbliche si riceve un messaggio di errore che indica che il file è troppo grande
- 10 In precedenza è stato utilizzato OpenPGP con GnuPG, ma con un programma di posta elettronica diverso. Qual è la procedura da adottare per migrare le proprie chiavi in Thunderbird 78?
- 11 Compare una segnalazione di Enigmail che la migrazione della chiave privata è fallita
- 12 Quali sono i tipi di chiavi OpenPGP supportati?
- 13 La propria chiave segreta è stata importata ma Thunderbird non è in grado di decifrare le email
- 14 Che cosa si può fare se la propria chiave segreta non è supportata da Thunderbird?
- 15 È possibile utilizzare una smartcard OpenPGP o un token hardware con Thunderbird 78?
- 16 Come inviare un'email crittografata o con firma digitale?
- 17 Che cos'è necessario per inviare un messaggio crittografato?
- 18 Che cosa significa l'accettazione di una chiave?
- 19 Perché è necessario contrassegnare la propria chiave segreta come accettata come chiave personale?
- 20 Perché la crittografia viene attivata automaticamente quando si risponde a un messaggio crittografato?
- 21 Come si ottengono le chiavi pubbliche dei propri corrispondenti?
- 22 In Thunderbird viene supportata la crittografia opportunistica o automatica?
- 23 Il componente aggiuntivo Enigmail era stato configurato per fidarsi di tutte le chiavi utilizzabili. In Thunderbird questa caratteristica è supportata?
- 24 Perché in Thunderbird viene attivata automaticamente la firma digitale quando l'utente attiva la crittografia?
- 25 Perché tramite Thunderbird viene inviata automaticamente la chiave pubblica dell'utente ogni volta che firma digitalmente un'email?
- 26 La chiave pubblica utilizzata è molto grande, perché contiene molte firme ed è troppo grande per includerla in ogni messaggio firmato
- 27 Si è utilizzata una configurazione avanzata con GnuPG per utilizzare un gruppo di destinatari e definire le chiavi da utilizzare
- 28 In Thunderbird vengono supportate regole per destinatario o regole di filtro per decrittare automaticamente le email?
- 29 È possibile disattivare la crittografia dell'oggetto dell'email?
- 30 In Thunderbird viene supportato il "Web Of Trust"?
- 31 In che modo vengono memorizzate in Thunderbird le chiavi accettate?
- 32 Dove vengono memorizzate in Thunderbird le chiavi OpenPGP?
- 33 Come si può esportare la propria chiave segreta o pubblica?
- 34 Si deve utilizzare sia GnuPG che Thunderbird in parallelo, è possibile sincronizzare le proprie chiavi?
- 35 Come viene protetta la propria chiave personale?
- 36 In Thunderbird viene supportato il protocollo crittografico Autocrypt?
- 37 In precedenza si è utilizzata la Modalità Junior di Enigmail (simboli verdi, rossi, gialli), quali sono le opzioni disponibili?
- 38 Si sta utilizzando Enigmail 2.2.x per eseguire una migrazione, ma l'importazione sembra bloccata
- 39 Dove si possono porre domande o segnalare problemi relativi alla funzione OpenPGP?
- 40 Come si può verificare se il problema riscontrato è già stato segnalato?
- 41 Si sta riscontrando un problema e si vuole provare ad analizzarlo per conto propio
- 42 Thunderbird si è aggiornato automaticamente alla versione 78, ma si desidera riutilizzare Thunderbird 68 ed Enigmail
- 43 Si è ricevuta un'email crittografata con un destinatario nascosto (ID chiave 0x00000000) ma tramite Thunderbird il messaggio non può essere decrittato
In che cosa consiste la crittografia end-to-end e come funziona?
La crittografia end-to-end (e2ee) rende le comunicazioni più sicure contro il rischio di essere spiati da terzi. Fare riferimento all'articolo Introduzione alla crittografia end-to-end in Thunderbird in cui vengono illustrate alcune delle nozioni di base.
Thunderbird supporta lo standard di crittografia OpenPGP?
Sì. In Thunderbird 78 è disponibile il supporto integrato per due standard di crittografia, OpenPGP e S/MIME. OpenPGP è stato attivato per impostazione predefinita a partire dalla versione 78.2.1.
Le versioni precedenti di Thunderbird (versione 68 e precedenti) avevano il supporto S/MIME integrato ed era possibile aggiungere il supporto OpenPGP utilizzando il componente aggiuntivo Enigmail e il programma GnuPG. Il componente aggiuntivo Enigmail non è più disponibile per Thunderbird 78 se non per assistere i suoi ex utenti nella migrazione al supporto OpenPGP integrato o per ottenere indicazioni su come ripristinare la loro esperienza utente Enigmail "Junior Mode".
Perché Enigmail è stato sostituito? Verrà reso nuovamente disponibile?
Il componente aggiuntivo Enigmail è stato sostituito con il supporto integrato per OpenPGP in Thunderbird 78.
Questa modifica è stata necessaria perché Thunderbird ha smesso di supportare i componenti aggiuntivi obsoleti ("legacy"), come Enigmail, a partire da Thunderbird 78. Lo stesso cambiamento è avvenuto in Firefox nel 2017 (informazioni in inglese). Nel 2020, Thunderbird ha seguito la scelta intrapresa per Firefox perché condivide il codice della piattaforma Mozilla con Firefox.
Enigmail non sarà ulteriormente sviluppato (informazioni in inglese) o migrato ad altre tecnologie dei componenti aggiuntivi. A proposito di questo cambiamento, Patrick Brunschwig, autore di Enigmail, ha scritto:
"Il mio obiettivo è sempre stato quello di avere il supporto per OpenPGP incluso nel prodotto principale di Thunderbird. Anche se segnerà la fine di una lunga storia, dopo aver lavorato su Enigmail per 17 anni, sono molto contento di questo risultato."
OpenPGP in Thunderbird 78 assomiglia a Enigmail e funziona esattamente allo stesso modo?
No, ci sono molte differenze nell'interfaccia utente e nelle caratteristiche offerte. Il supporto OpenPGP integrato di Thunderbird non è una copia esatta di Thunderbird con Enigmail. Thunderbird vuole offrire una soluzione completamente integrata e non utilizza più GnuPG per impostazione predefinita per evitare problemi di licenza. In questo documento (in inglese) vengono spiegate le differenze:
https://wiki.mozilla.org/Thunderbird:OpenPGP:Migration-From-Enigmail
Non avendo mai utilizzato prima OpenPGP con Thunderbird, come si imposta OpenPGP?
Per utilizzare la funzionalità OpenPGP in Thunderbird, è necessario impostare una cosiddetta coppia di chiavi personali per il proprio indirizzo email. È possibile farlo nella sottosezione
delle impostazioni del proprio account. Se si è già utilizzato OpenPGP con altri programmi, è necessario importare una copia di backup della propria chiave esistente. Altrimenti, è possibile creare una nuova chiave.-
- Se si dispone già di una coppia di chiavi OpenPGP personale da un altro programma, scegliere .
- Se non si dispone ancora di una chiave, scegliere .
> > selezionare il proprio account > >
- Dopo aver importato o creato la chiave, mentre si è ancora nelle impostazioni dell'account, selezionare la chiave che si desidera utilizzare attivamente con il proprio account di posta elettronica.
Si noti che l'utilizzo di OpenPGP comporta delle conseguenze come spiegato nell'introduzione generale. È importante eseguire una copia di sicurezza ("copia di backup") della chiave e conservarla in un luogo sicuro, possibilmente non sul proprio computer ma su un dispositivo esterno.
Avendo già utilizzato Enigmail, come si esegue la migrazione e la configurazione?
È possibile aggiornare le impostazioni di Thunderbird da una versione precedente (come la versione 68.x) alla versione 78.x. Si consiglia di eseguire una copia di sicurezza del vecchio profilo di Thunderbird prima di utilizzare Thunderbird 78 per la prima volta, poiché una volta eseguito l'aggiornamento, il profilo creato da Thunderbird 78 non può più essere utilizzato con Thunderbird 68. Se per qualsiasi motivo si decide di voler continuare a utilizzare Thunderbird 68 ed Enigmail, una copia di sicurezza del vecchio profilo consentirà di tornare indietro facilmente.
Enigmail è attualmente disponibile in due versioni, la 2.1.x e la 2.2.x:
- Enigmail 2.1.x funziona solo con Thunderbird 68 e versioni precedenti e fornisce la funzionalità classica.
- La versione 2.2.x di Enigmail è una versione appositamente modificata, che funziona solo con Thunderbird 78 e versioni successive. Enigmail 2.2.x non fornisce la funzionalità classica, ma è stata creata per aiutare l'utente a migrare le sue chiavi e impostazioni in Thunderbird 78.
Se si avvia Thunderbird 78 con un profilo esistente e nel profilo precedente era stato installato Enigmail, in Thunderbird 78 verrà rilevato che il precedente componente aggiuntivo Enigmail 2.1.x non è compatibile. Dovrebbe avviarsi la ricerca automatica di una versione più recente, verrà trovato Enigmail 2.2.x e verrà installato. Verrà aperto Enigmail automaticamente con una scheda di benvenuto, una spiegazione che avverte che è possibile eseguire la migrazione e un pulsante per avviarla.
Enigmail utilizzava il programma GnuPG per archiviare e gestire tutte le chiavi e le impostazioni di fiducia. Se si fa clic sul pulsante per avviare la migrazione, il programma di migrazione Enigmail leggerà le vecchie chiavi dell'utente da GnuPG una dopo l'altra. È necessario inserire le password per confermare l'esportazione delle proprie chiavi da GnuPG e per consentirne lo sblocco per l'importazione nella nuova memorizzazione interna delle chiavi di Thunderbird.
In Thunderbird 78 vengono utilizzate impostazioni diverse rispetto a Enigmail. Con Enigmail, era possibile attivare OpenPGP per un account di posta elettronica, ma anche lasciare che l'estensione selezionasse automaticamente quale delle proprie chiavi sarebbe stata utilizzata. In Thunderbird 78 viene utilizzata una combinazione di queste impostazioni. Per attivare OpenPGP per un account di posta elettronica, è necessario specificare esplicitamente quale chiave personale utilizzare.
Di conseguenza, se in precedenza l'utente aveva utilizzato la selezione automatica, la migrazione potrebbe non aver ancora selezionato una chiave. Dopo la migrazione, si dovrebbe controllare manualmente la configurazione di tutti i propri account di posta elettronica e identità e, se necessario, selezionare manualmente la chiave appropriata.
La migrazione di Enigmail è stata completata con successo, ma non è ancora possibile utilizzare OpenPGP
Se in Thunderbird 68 era stato attivato Enigmail per un account email ed era stata attivata la preferenza "Usa l'indirizzo email di questa identità per scegliere la chiave OpenPGP", allora OpenPGP potrebbe non essere attivato automaticamente in Thunderbird 78. È necessario utilizzare le impostazioni dell'account per selezionare una chiave OpenPGP per ogni account e identità che si desidera utilizzare con OpenPGP. Sfortunatamente, la migrazione di Enigmail non li seleziona automaticamente per l'utente.
È possibile ripetere la migrazione?
Se si manifesta qualche problema con la migrazione, è possibile ripeterla. Per esempio, la migrazione potrebbe non riuscire se si verifica un bug in Thunderbird o se non si ricorda la password per tutte le chiavi personali e si è eseguita solo una migrazione parziale. Per ripetere la migrazione, è necessario accedere a un comando dalla barra dei menu in alto. Se si sta utilizzando Windows o Linux e la barra dei menu in alto non è visibile, fare clic con il tasto destro del mouse nell'area superiore della finestra principale di Thunderbird e attivare la Barra dei menu. Quindi utilizzare il menu Strumenti, che contiene il comando "Migra le impostazioni di Enigmail".
Provando a importare un file con chiavi pubbliche si riceve un messaggio di errore che indica che il file è troppo grande
La risposta a questo tipo di problema è riportata nella domanda del paragrafo successivo.
In precedenza è stato utilizzato OpenPGP con GnuPG, ma con un programma di posta elettronica diverso. Qual è la procedura da adottare per migrare le proprie chiavi in Thunderbird 78?
È necessario prima esportare le chiavi dall'altro programma e quindi reimportarle in Thunderbird.
Come metodo di esportazione delle proprie chiavi personali (chiamate anche chiavi private o segrete), è possibile utilizzare un comando dal prompt dei comandida terminale per esportarle in un file. Per esportare le chiavi gestite da GnuPG, è possibile utilizzare il seguente comando:
gpg --export-secret-keys --armor > my-secret-keys.asc
Sarà quindi possibile importarle in Thunderbird. Utilizzare la funzione "Aggiungi chiave…" e "Importa una chiave OpenPGP esistente" nelle impostazioni dell'account Thunderbird relative alla crittografia end-to-end, oppure utilizzare la Barra dei menu per aprire il menu
in cui compare la voce . Dopo aver fatto clic sulla voce , fare clic sul menu nella barra dei menu della finestra Gestore delle chiavi OpenPGP, fare quindi clic su "Importa chiavi segrete da file" e selezionare il file creato con il metodo descritto qui sopra. Probabilmente si dispone solo di una piccola quantità di chiavi personali, quindi questo approccio dovrebbe funzionare.È possibile utilizzare un approccio simile per esportare le chiavi pubbliche dei propri corrispondenti utilizzando il seguente comando:
gpg --export --armor > all-public-keys.asc
Tuttavia, se si dispone di molte chiavi, si potrebbe riscontrare un problema a causa di una limitazione corrente in Thunderbird. Attualmente, in Thunderbird non è possibile importare un grande insieme di chiavi in un unico passaggio. Un tentativo di importare un file di dimensioni superiori a 5 MB verrà rifiutato.
È possibile utilizzare una delle due opzioni seguenti per aggirare questa limitazione.
- La prima opzione è utilizzare un gestore di chiavi grafico per GnuPG ed esportare le chiavi in file separati. Per esempio, se tutte le chiavi pubbliche in totale hanno una dimensione di 17 MB, si dovrebbero creare 4 file e selezionare un quarto delle chiavi pubbliche per ogni file esportato. Questo metodo è piuttosto laborioso.
- In alternativa, per importare le chiavi pubbliche in Thunderbird, si potrebbe provare a utilizzare per la migrazione il componente aggiuntivo Enigmail versione 2.2.x, anche se non si è mai utilizzato Enigmail prima.
Per farlo, utilizzare Thunderbird 78 e cercare il componente aggiuntivo Enigmail. Verrà offerta la possibilità di installare la versione 2.2.x. Dopo aver installato il componente aggiuntivo, è possibile accedere manualmente al comando "Migrate Enigmail Settings" dalla barra dei menu in alto di Thunderbird, sottomenu Strumenti. Tenere presente che questo metodo potrebbe fallire, perché dipende da come è stato configurato il programma GnuPG sul proprio computer, quindi non è possibile garantire che questo approccio funzioni.
Se il programma GnuPG è stato installato correttamente sul computer, il componente aggiuntivo per la migrazione di Enigmail lo troverà e importerà tutte le chiavi pubbliche da GnuPG in Thunderbird una per una, senza essere influenzato dal limite di dimensioni sopra menzionato.
Compare una segnalazione di Enigmail che la migrazione della chiave privata è fallita
Ciò potrebbe significare che si stava tentando di importare una chiave che non è ancora supportata dal programma RNP. Un altro possibile motivo è una configurazione incompleta del programma GnuPG sul proprio computer, specialmente se non è comparsa la richiesta di inserire una password per esportare la propria chiave privata, questo non dovrebbe verificarsi se si è recentemente utilizzato con successo Enigmail sul computer.
Un buon modo per assicurarsi di aver installato correttamente GnuPG è utilizzare la seguente procedura:
- Installare Thunderbird 68 in una directory separata, avviare quindi Thunderbird 68 con il parametro -P ed eseguirlo con un profilo separato (non è necessario configurare un account di posta elettronica, è possibile annullare il suggerimento).
- Installare quindi Enigmail nel proprio profilo Thunderbird 68 ed eseguire la procedura guidata di configurazione di Enigmail, che aiuterà a configurare correttamente il programma GnuPG.
Se queste informazioni non sono state d'aiuto, è possibile consultare le FAQ di Enigmail (in inglese) a questo link: https://enigmail.net/index.php/en/faq-en?view=topic&id=14
Quali sono i tipi di chiavi OpenPGP supportati?
Si tenga presente che in Thunderbird viene utilizzato il programma RNP per l'elaborazione delle chiavi e che quel programma potrebbe non supportare ancora alcuni tipi di chiavi. Ciò significa che alcune chiavi supportate da GnuPG / Enigmail potrebbero non funzionare con Thunderbird 78 per impostazione predefinita, specialmente alcune chiavi con una struttura avanzata. Tuttavia, per le chiavi private, si potrebbe risolvere il problema configurando Thunderbird per utilizzare GnuPG, come spiegato nel paragrafo successivo.
- Alcune chiavi che sono incomplete, ad esempio quelle che utilizzano una chiave primaria offline
- Chiavi che utilizzano una password diversa per una sottochiave
- Chiavi situate su una smartcard
- Chiavi che utilizzano l'algoritmo hash MD5
- Alcune altre chiavi che il programma RNP potrebbe non supportare ancora
La propria chiave segreta è stata importata ma Thunderbird non è in grado di decifrare le email
Potrebbe essere stata importata la chiave sbagliata. Per verificare di aver davvero importato la chiave giusta, è possibile procedere in questo modo:
- In Thunderbird, fare clic su un messaggio che si ritiene di dover essere in grado di decifrare, ma che non si è in grado di decifrare.
- Fare clic su > > e salvare il messaggio in un file su disco (per esempio /tmp/test.eml).
- Aprire un terminale ed eseguire questo comando: gpg --list-packets /tmp/test.eml
Si dovrebbe ottenere un elenco di ID chiave che possono essere utilizzati per decifrare il messaggio (crittografato con… ID…). - Tornare su Thunderbird e fare clic su > > .
- Per ciascuna delle chiavi segrete che si hanno a disposizione (elencate in grassetto), fare doppio clic per visualizzare le proprietà della chiave, quindi fare clic sulla scheda della struttura.
Si riesce a trovare l'ID mostrato nell'elenco ottenuto nel terminale da gpg? Si deve avere le chiavi segrete per almeno uno degli ID mostrati da gpg. Se non si dispone di alcuna chiave segreta corrispondente, non è possibile decifrare il messaggio. Se invece si dispone di una chiave segreta corrispondente, ma Thunderbird non riesce ancora a decifrare il messaggio, aprire una segnalazione di bug relativa a questa disfunzione di Thunderbird con ulteriori dettagli sulla propria chiave. Le segnalazioni di bug devono essere compilate in inglese.
Che cosa si può fare se la propria chiave segreta non è supportata da Thunderbird?
In Thunderbird 78 è consentito configurare opzionalmente il programma esterno chiamato GnuPG per la gestione delle chiavi segrete (per la firma digitale e la decrittazione dei messaggi ricevuti). Ciò consentirà l'uso di smartcard o token hardware che memorizzano una chiave segreta. È possibile anche utilizzarlo per le chiavi che sono archiviate nei file sul proprio computer e non sono supportate dall'implementazione OpenPGP integrata di Thunderbird.
È necessario installare e configurare personalmente il programma GnuPG richiesto, perché non può essere distribuito insieme a Thunderbird. Pertanto questo meccanismo non è attivato per impostazione predefinita. Per sapere come procedere, fare riferimento alla prossima domanda relativa alle smartcard.
Tenere presente che le chiavi pubbliche e le relative impostazioni di accettazione (per la crittografia e la verifica della firma) sono sempre gestite dal codice interno di Thunderbird.
È possibile utilizzare una smartcard OpenPGP o un token hardware con Thunderbird 78?
Sì, è disponibile un meccanismo opzionale. È necessario installare personalmente GnuPG e tutti i programmi richiesti. Per maggiori dettagli, fare riferimento a questo documento (in inglese): https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards
Come inviare un'email crittografata o con firma digitale?
Assicurarsi di aver configurato la propria chiave privata per il proprio account di posta elettronica o per la propria identità. Quando si scrive un'email, utilizzare il menu
o il menu associato al pulsante Sicurezza e attivare la protezione che si desidera utilizzare.Che cos'è necessario per inviare un messaggio crittografato?
- È necessario che la propria chiave personale sia configurata e selezionata.
- È necessario disporre di una chiave pubblica accettata per ogni destinatario di un messaggio crittografato a cui si desidera inviare il messaggio. Le chiavi pubbliche sono spesso allegate ai messaggi di posta elettronica dei propri corrispondenti. Ulteriori informazioni su come ottenere le chiavi pubbliche da altri corrispondenti sono disponibili in un altro paragrafo di questo documento.
- È necessario verificare che le chiavi pubbliche dei propri corrispondenti appartengano realmente a loro. Se si accetta la chiave pubblica di qualcuno senza verificarla, si esporrà la propria comunicazione ad attacchi Man In The Middle (MITM).
- Se non si dispone di una chiave pubblica per ogni destinatario, l'invio del proprio messaggio verrà bloccato e comparirà un avviso di segnalazione di Thunderbird. È possibile scegliere tra non inviare affatto il messaggio o disattivare la crittografia e inviare il messaggio senza protezione.
Che cosa significa l'accettazione di una chiave?
Tecnicamente, chiunque è in grado di creare una chiave OpenPGP a nome di chiunque, utilizzando qualsiasi indirizzo di posta elettronica desideri. Nessuno è in grado di limitarlo o impedirlo. Ciò significa che, ogni volta che si riceve la chiave pubblica di un corrispondente, c'è il rischio che sia una chiave falsa e che quel corrispondente cerchi di ingannare il destinatario. A meno che non si sia verificata la chiave del proprio corrispondente, si potrebbe non avere una conversazione riservata con il proprio corrispondente, ma piuttosto si potrebbe essere vittime di un attacco Man-In-The-Middle (MITM). La decisione di stabilire se si tratta di un potenziale attacco o se il messaggio proviene effettivamente da un proprio corrispondente fidato è del tutto personale ed è possibile solo prendere una decisione di volta in volta in base al corrispondente.
Se si accetta una chiave, significa che si è disposti a utilizzare quella chiave per inviare messaggi crittografati a quel corrispondente. Se si riceve un'email da un corrispondente, la propria decisione di accettazione determinerà la modalità di visualizzazione della firma digitale. Solo le firme delle chiavi accettate verranno mostrate come valide.
Perché è necessario contrassegnare la propria chiave segreta come accettata come chiave personale?
È una questione che riguarda gli attacchi teorici. In Thunderbird le chiavi personali vengono trattate in modo diverso, il programma garantisce piena fiducia a quelle chiavi e salta la solita domanda di accettazione (verificata, non verificata, ecc.).
In teoria, un utente malintenzionato potrebbe creare una chiave in nome di uno dei contatti di colui che la riceve, inviargli la chiave segreta e ingannarlo per far sì che venga importata. Visualizzando la richiesta di confermare che una chiave segreta è la propria chiave, probabilmente si noterà che non è una chiave a proprio nome e probabilmente si rifiuterà il suo utilizzo come chiave personale. Questo interromperà l'attacco. Questa impostazione è simile al modello di GnuPG di impostazione della chiave con "ownertrust ultimate" (livello di fiducia ultimate).
Perché la crittografia viene attivata automaticamente quando si risponde a un messaggio crittografato?
Quando si risponde, l'impostazione predefinita è quella di includere le informazioni contenute nel messaggio a cui si risponde. Il proprio corrispondente potrebbe avere dei validi motivi per crittografare il suo messaggio, quindi si dovrebbe prestare molta attenzione quando si include il testo originale in un nuovo messaggio che si invia. Si consiglia di continuare a utilizzare la crittografia. Se non si è in grado di crittografare il messaggio e se si ritiene di rispondere senza utilizzare la crittografia, si dovrebbe probabilmente rimuovere tutto il testo citato dal messaggio di posta elettronica che si sta scrivendo.
Come si ottengono le chiavi pubbliche dei propri corrispondenti?
Se si riceve da uno dei propri corrispondenti un'email con la sua chiave pubblica allegata, o come un normale allegato o contenuta in un'intestazione email nascosta secondo lo standard Autocrypt, tramite Thunderbird verrà resa disponibile la possibilità di importare la chiave.
Si può provare a individuare le chiavi online tramite l'indirizzo email, facendo clic su un indirizzo email in un messaggio email che si sta leggendo e utilizzando il comando "Individua chiave" visualizzato nel menu a comparsa. Attualmente, verranno cercate le chiavi pubblicate utilizzando il protocollo WKD e le chiavi verranno cercate nel keyserver di keys.openpgp.org. Lo stesso meccanismo può essere utilizzato dal Gestore delle chiavi OpenPGP, utilizzando il keyserver, il comando "Individua chiavi online", che consente di cercare tramite qualsiasi indirizzo email o ID chiave o impronta digitale. Inoltre, lo stesso meccanismo di rilevamento può essere utilizzato quando si tenta di inviare un'email crittografata e si riesaminano le informazioni mancanti sulla chiave. Se una chiave è stata pubblicata su Internet, è possibile scaricare la chiave e utilizzare il gestore delle chiavi OpenPGP per importare il file scaricato, oppure si può provare a importarla scaricandola da un determinato URL.
Con Enigmail veniva offerta la ricerca su keyserver non verificabili. Al momento in Thunderbird non viene offerto questo tipo di ricerca, a causa dei vari problemi rilevati con quei keyserver nel recente passato. Se è necessario ottenere una chiave da un keyserver che non è attualmente supportato da Thunderbird 78, è necessario utilizzare un altro programma per ottenerla, quindi salvarla in un file e infine utilizzare il Gestore delle chiavi OpenPGP per importare il file della chiave pubblica.
Si può ottenere le chiavi pubbliche dei corrispondenti da altri server utilizzando il seguente comando gpg:
gpg --keyserver pgp.key-server.io --armor --export PASTE_KEY_ID_HERE
Copiare negli appunti la chiave pubblica PGP ricevuta e importala utilizzando il menu
nella barra dei menu della finestra Gestore delle chiavi OpenPGP selezionando l'opzione "Importa chiavi dagli appunti".In Thunderbird viene supportata la crittografia opportunistica o automatica?
No. Al momento, in Thunderbird viene richiesto che l'utente prenda l'iniziativa e decida quando utilizzare o meno la crittografia, attivando le opzioni appropriate durante la composizione di un'email.
Il componente aggiuntivo Enigmail era stato configurato per fidarsi di tutte le chiavi utilizzabili. In Thunderbird questa caratteristica è supportata?
No. Per la chiave pubblica di ogni corrispondente che si desidera o si deve utilizzare, in Thunderbird 78 è necessario che si accetti la chiave almeno una volta.
Perché in Thunderbird viene attivata automaticamente la firma digitale quando l'utente attiva la crittografia?
La crittografia dei messaggi di per sé fornisce solo la riservatezza del contenuto, ma non fornisce informazioni affidabili sul mittente effettivo del messaggio. In teoria, qualcuno potrebbe aver inviato un messaggio crittografato falsificando però il mittente dell'email, dando in questo modo una falsa impressione di comunicazione affidabile. Poiché un'email crittografata senza firma digitale non è veramente sicura, si consiglia vivamente di firmare digitalmente anche le email.
In Thunderbird attualmente non è disponibile un'opzione per impedire che la firma digitale venga attivata automaticamente. Gli sviluppatori di Thunderbird stanno prendendo in considerazione la possibilità di fornire in futuro questa caratteristica come configurazione predefinita. Al momento, se non si desidera inviare una firma digitale, è necessario disattivare manualmente questa opzione prima di inviare ogni email crittografata che si desidera inviare.
Perché tramite Thunderbird viene inviata automaticamente la chiave pubblica dell'utente ogni volta che firma digitalmente un'email?
Il punto centrale della firma digitale di un messaggio è che il destinatario sarà in grado di verificare che la firma digitale sia corretta. Una firma digitale non può essere verificata se la chiave pubblica del corrispondente non è disponibile. Per assicurarsi che i propri destinatari possano verificare la propria firma, è meglio includere sempre anche la propria chiave pubblica.
Al momento, in Thunderbird non viene fornita un'opzione di configurazione per escludere automaticamente la chiave pubblica dell'utente durante la firma digitale, ma è necessario che l'utente la disattivi manualmente prima dell'invio.
La chiave pubblica utilizzata è molto grande, perché contiene molte firme ed è troppo grande per includerla in ogni messaggio firmato
A causa delle limitazioni attuali, al momento in Thunderbird non è possibile ridurre (minimizzare) automaticamente la chiave pubblica. Se si vuole evitare che la propria chiave di grosse dimensioni venga inviata con ogni messaggio firmato digitalmente, è possibile utilizzare altri programmi, come GnuPG, per modificare e ridurre la propria chiave. Assicurarsi di essere in possesso di una copia di sicurezza (copia di backup) affidabile della propria chiave segreta, quindi esportare la propria chiave. Utilizzare un altro programma (ad esempio GnuPG) per minimizzare la chiave, eliminare quindi la propria chiave segreta in Thunderbird, importa la chiave minimizzata e assicurati di regolare le impostazioni del proprio account per utilizzare quella chiave. Una versione futura di Thunderbird potrebbe tentare di minimizzare automaticamente la chiave quando necessario, ma ciò dipenderà dalle funzionalità future disponibili nella libreria RNP.
Si è utilizzata una configurazione avanzata con GnuPG per utilizzare un gruppo di destinatari e definire le chiavi da utilizzare
Attualmente, in Thunderbird 78 questa funzione non è supportata, ma c'è la volontà di supportarla in futuro. È possibile seguire lo stato di avanzamento di questo miglioramento nel Bug 1644085.
In Thunderbird vengono supportate regole per destinatario o regole di filtro per decrittare automaticamente le email?
È possibile disattivare la crittografia dell'oggetto dell'email?
No, attualmente non è possibile.
In Thunderbird viene supportato il "Web Of Trust"?
No, il Web Of Trust non è supportato. Thunderbird non si fiderà automaticamente né accetterà chiavi firmate da altri. Attualmente, se si indica di aver verificato la chiave di un corrispondente, in Thunderbird non verrà aggiunta la propria firma alla chiave del corrispondente. Questo potrebbe cambiare in una futura versione di Thunderbird.
Quando si utilizza lo strumento di migrazione Enigmail per migrare le chiavi pubbliche in Thunderbird, il programma dovrebbe rilevare le chiavi che sono già state firmate dalla chiave personale e contrassegnare automaticamente le chiavi corrispondenti come chiavi accettate, quindi non è necessario ricominciare da capo.
In che modo vengono memorizzate in Thunderbird le chiavi accettate?
Queste informazioni sono memorizzate in un file chiamato openpgp.sqlite nella directory del profilo di Thunderbird.
Dove vengono memorizzate in Thunderbird le chiavi OpenPGP?
Le chiavi OpenPGP vengono memorizzate nella directory del profilo di Thunderbird.
Come si può esportare la propria chiave segreta o pubblica?
Utilizzare il gestore delle chiavi OpenPGP, facendo clic sul menu
nella barra dei menu di Thunderbird e selezionando . Nella finestra "Gestore delle chiavi OpenPGP" che si apre, trovare la chiave che si desidera esportare e fare clic su di essa per selezionarla. Quindi fare clic sul menu nella barra dei menu della finestra Gestore delle chiavi OpenPGP e selezionare "Esporta chiavi pubbliche in un file" o "Effettua backup della chiave segreta su file" a seconda di ciò che si desidera. Il gestore delle chiavi OpenPGP consente anche di esportare le chiavi pubbliche dei propri corrispondenti.In alternativa, dal menu
aprire le Impostazioni account per l'account di posta elettronica della chiave che si desidera esportare e selezionare sulla sinistra Crittografia end-to-end per visualizzarne le impostazioni. Accanto a ciascuna chiave personale c'è il simbolo di una piccola freccia, su cui si può fare clic per aprire i dettagli della chiave. Fare clic sul pulsante per aprire un elenco di possibili azioni, selezionare quindi "Esporta chiave pubblica in un file" o "Effettua backup della chiave segreta su file".Si deve utilizzare sia GnuPG che Thunderbird in parallelo, è possibile sincronizzare le proprie chiavi?
No. Al momento, in Thunderbird viene utilizzata la sua copia delle chiavi e non viene supportata la sincronizzazione delle chiavi con GnuPG. L'eccezione è il meccanismo offerto per le smartcard, che potrebbe essere utilizzato per utilizzare le chiavi personali gestite da GnuPG.
Come viene protetta la propria chiave personale?
Nel momento in cui l'utente importa la sua chiave personale in Thunderbird, la chiave viene sbloccata e viene protetta con una password diversa che viene generata automaticamente (in maniera casuale). La stessa password automatica verrà utilizzata per tutte le chiavi segrete OpenPGP gestite da Thunderbird. È necessario utilizzare la funzione di Thunderbird per impostare una password principale. Senza l'utilizzo di una password principale, le proprie chiavi OpenPGP nella directory del proprio profilo non sono protette.
In Thunderbird viene supportato il protocollo crittografico Autocrypt?
In Thunderbird non viene supportata la filosofia Autocrypt secondo cui la crittografia dovrebbe essere completamente automatica. Tuttavia, in Thunderbird viene fornita una compatibilità limitata con i client di posta elettronica che supportano la crittografia automatica.
- Quando si invia un'email e si utilizza l'opzione per allegare la propria chiave pubblica OpenPGP e quella chiave è sufficientemente semplice per essere compatibile con Autocrypt, tramite Thunderbird verrà aggiunta l'intestazione appropriata nell'e-mail in uscita e ciò potrà consentire al proprio corrispondente di conoscere la chiave pubblica.
- Quando si riceve un'email che contiene la chiave pubblica di un corrispondente in un'intestazione Autocrypt, con Thunderbird è possibile importare la chiave.
- Al momento, in Thunderbird non viene supportata la funzione "Gossip".
In precedenza si è utilizzata la Modalità Junior di Enigmail (simboli verdi, rossi, gialli), quali sono le opzioni disponibili?
In Enigmail per Thunderbird 68 venivano offerte due modalità di funzionamento molto diverse. Una modalità classica, descritta nelle impostazioni come "Forza l'utilizzo di S/MIME e Enigmail", e una "modalità junior" (Modalità Junior di Enigmail) che è stata implementata dal programma della società di software pEp. Tenere presente che Thunderbird non è affiliato con la società pEp.
In Thunderbird 78 non viene fornita la modalità junior, la funzionalità OpenPGP integrata fornita da Thunderbird 78 è più simile alla modalità operativa classica di Enigmail.
Quando si avvia Thunderbird 78, dopo che Enigmail è stato aggiornato alla versione 2.2.x (la versione che fornisce assistenza per la migrazione), tramite Enigmail verrà aperta una pagina web fornita dalla società pEp, che offre all'utente la possibilità di scaricare una versione più recente del loro programma.
Se non si desidera installare il programma pEp, si può tentare una migrazione manuale alla nuova funzionalità OpenPGP incorporata di Thunderbird. Per fare ciò, è necessario impostare la configurazione che ha disabilitato la precedente modalità Junior. Dalla barra dei menu, fare clic sul menu e selezionare oppure, nella Barra dei messaggi fare clic sul pulsante dei menu e selezionare .Fare clic sul pulsante dei menu e scegliere Fare clic a sinistra sul pannello . (se non è già selezionato), scorrere la parte destra della pagina fino in fondo, fare clic sul pulsante , fare clic sul pulsante per proseguire e tramite il campo "Cerca:" individuare la preferenza extensions.enigmail.juniorMode. Fare doppio clic su di essa per modificarla e impostare il valore su zero. Questa modifica alla configurazione farà credere allo strumento di migrazione di Enigmail che in precedenza si stava utilizzando la modalità classica di Enigmail.
Riavviare Thunderbird 78. Dopo il riavvio, l'assistente alla migrazione di Enigmail 2.2.x offrirà all'utente di eseguire una migrazione delle sue chiavi. Poiché lo strumento Enigmail migra solo le chiavi e le impostazioni gestite utilizzando GnuPG, non può migrare le impostazioni di fiducia gestite dal programma pEp. Ciò nonostante, Enigmail dovrebbe essere in grado di migrare le proprie chiavi personali, permettendo di decrittare i messaggi crittografati con quella chiave. Enigmail dovrebbe anche essere in grado di migrare le chiavi pubbliche dei propri corrispondenti. Tuttavia, la maggior parte o tutte le chiavi corrispondenti avranno probabilmente lo stato "non accettata" in Thunderbird 78, quindi si dovrà accettarle o verificarle almeno una volta quando si proverà a utilizzarle.
Dopo aver riavviato Thunderbird 78, se non viene visualizzata alcuna offerta di migrazione, è necessario accedere a un comando dalla barra dei menu in alto. Se si sta utilizzando Windows o Linux e la barra dei menu in alto non è visibile, fare clic con il tasto destro del mouse nell'area superiore della finestra principale di Thunderbird e attivare la barra dei menu. Quindi aprire il menu Strumenti, che contiene il comando "Migra le impostazioni Enigmail".
Si sta utilizzando Enigmail 2.2.x per eseguire una migrazione, ma l'importazione sembra bloccata
È probabile che il programma abbia riscontrato un problema. Fare riferimento alla sezione su come ottenere ulteriori informazioni in caso di errore.
Dove si possono porre domande o segnalare problemi relativi alla funzione OpenPGP?
Se il problema riscontrato non è trattato in questa pagina o nei documenti collegati a questa pagina tramite link, per conoscere i modi per contattare chi si occupa di OpenPGP, fare riferimento al paragrafo "Discussion" nella pagina seguente: https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion
Come si può verificare se il problema riscontrato è già stato segnalato?
Fare riferimento al paragrafo "Open issues and TODO list" in questa pagina del Wiki di Mozilla: https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list
Si sta riscontrando un problema e si vuole provare ad analizzarlo per conto propio
È possibile trovare maggiori informazioni (in inglese) nel paragrafo "Debugging / Tracing" della pagina del Wiki di Mozilla : https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing
Thunderbird si è aggiornato automaticamente alla versione 78, ma si desidera riutilizzare Thunderbird 68 ed Enigmail
Dal momento in cui si è avviato Thunderbird 78 con un profilo, non è possibile tornare facilmente alla versione 68 perché il profilo è stato migrato alla nuova versione e, tentando di avviare Thunderbird 68 con quel profilo, il programma non si avvierà. Verrà visualizzato un messaggio di Thunderbird in cui sono disponibili solamente le opzioni per uscire dal programma o creare un nuovo profilo.
- Se si dispone di una copia di sicurezza ("backup") del proprio profilo, si può provare a ripristinarlo e si dovrebbe essere in grado di riavviare Thunderbird 68.
- Se non si dispone di una copia di sicurezza, è possibile creare Thunderbird 68 con un nuovo profilo e configurare nuovamente Thunderbird.
- L'utilizzo del parametro di avvio di Thunderbird --allow-downgrade non è consigliato, perché si perderanno alcune impostazioni di configurazione e si potrebbero riscontrare comportamenti anomali del programma.
Per ulteriori informazioni su questo argomento, leggere gli articoli Impossibile utilizzare il profilo avviando una versione precedente di Thunderbird e Utilizzare profili dedicati per l'installazione di Thunderbird.
Si è ricevuta un'email crittografata con un destinatario nascosto (ID chiave 0x00000000) ma tramite Thunderbird il messaggio non può essere decrittato
Questa funzione non è ancora supportata in Thunderbird. L'aggiunta della funzione viene monitorata a questo link: https://github.com/rnpgp/rnp/issues/1275