Vývojáři e-mailového klienta Thunderbird se soustředí hlavně na běžného uživatele a méně vyžadované funkce nejsou jejich specialitou. GnuPG je podobný případ, protože to není zrovna něco co by běžný uživatel hledal, takže si musíme pomoci nějak jinak. Tou pomocí bude tzv. Enigmail.
Na rozdíl od Evolution, přistupuje Enigmail ke klíčům mnohem důkladněji. Krom větších konfiguračních i uživatelských možností tu máme nástroj pro správu klíčů. Abychom to shrnuli, všechno co jsem popisoval v minulých dvou dílech (Seahorse a Evolution) zvládnete udělat s Thunderbirdem a Enigmail.
Jedinou podmínkou pro použití Enigmail je nainstalované gpg. Při konfiguraci budeme mít možnost zvolit k němu cestu. Jinak jde o multiplatformní rozšíření, které můžete používat všude tam, kde je na systému gpg a Thunderbird. Pro anglicky nehovořící uživatele je k dispozici překlad do češtiny a necelou dvacítkou dalších jazyků.
Instalace
Na Debianu/Ubuntu stačí nainstalovat balíčky:
- thunderbird
- enigmail
- enigmail-locale-cs
Na Gentoo jsou to balíčky:
- mozilla-thunderbird (mozilla-thunderbird-bin)
- enigmail
Dále budete potřebovat program gpg, nejlépe i vytvořený pár klíčů (nicméně si ukážeme jak vytvořit klíče v Enigmail) a funkční e-mailový účet v Thunderbirdu. Ostatní distribuce jsou na tom podobně. Kdybyste náhodou správné balíčky nenalezli, můžete si stáhnout vše potřebné z enigmail.spi.cz. Dostupná je verze nejen pro Thunderbird, ale i pro Seamonkey.
Po spuštění
Pokud se vše povedlo nainstalovat, tak po spuštění Thunderbirdu se vám objeví nahoře v menu položka OpenPGP. Tam najdete prakticky všechno, co Enigmail nabízí.
Nejdříve se ale vydáme do nastavení účtu, kde se musíme poprat s několika volbami, které nám pomohou si Enigmailu při používání nevšímat. Začneme tedy tím, že klikneme na „Úpravy->Nastavení účtu“ a v našem účtu si otevřeme položku „OpenPGP/Enigmail“.
Zde máme možnost nastavit základní chování Enigmail. V prvé řadě se musíme rozhodnout, jestli bude použit soukromý klíč na základě naší identity (e-mailové adresy) nebo uvedeme ID klíče. Dalšími volbami řekneme Enigmail, aby vždy podepisoval odchozí poštu případně jen šifrovanou či nešifrovanou. Můžeme také vnutit volbu automatické šifrování zpráv, ať se děje cokoli, nicméně to není moc doporučované, protože ne vždy jsou informace tajné a mohlo by to zkomplikovat otevření zprávy u lidí, kteří o OpenPGP nic nevědí. Na druhou stranu podpisem nic nezkazíte. Nezapomeňte zaškrtnout také volbu PGP/MIME. Pak se bude Thunderbird chovat stejně jako Evolution a podpis bude ke zprávě připojen jako příloha a ne jako ASCII text v těle zprávy. Tím zase umožníte pohodlné čtení v klientech (včetně snad všech webových rozhraní), které s OpenPGP nepracují. Nakonec můžete do hlavičky přidat i adresu, ze které lze stáhnout veřejný klíč. Někteří klienti s ním pak třeba dokáží dále pracovat a pro uživatele to je ještě více pohodlné. Otázkou pak je ale bezpečnost takovéhoto řešení.
Konfigurace účtu
Máme-li náš účet nastaven, tak už pravděpodobně nic nepotřebujeme a pokud nám zůstaly klíče z minulých dílů, tak jsme připraveni vesele podepisovat a šifrovat. Na začátku jsme si ale řekli něco o pokročilých možnostech konfigurace, a to si rozhodně nemůžeme nechat ujít.
Základní nastavení
Podíváme se tedy, jak vypadá základní menu při čisté instalaci Enigmail. To můžete vidět na prvním obrázku v našem článku. Po kliknutí na „Předvolby“ se nám objeví okno se základním nastavením:
Zde nemáme moc možností, ale můžeme nastavit cestu k programu gpg, čas po který si má Enigmail pamatovat heslo pro otevření soukromého klíče a hlavně volbu expertního nastavení. Po jeho odkliknutí a potvrzení tlačítkem „OK“ se nám menu OpenPGP rozšíří o nové volby stejně jako konfigurační dialog na předchozím obrázku.
Pokročilé nastavení
Tady už vidíme trochu více svobody než dříve. Důležitou vlastností je možnost vypnutí automatického dešifrování. Může se vám stát, že přijde životně důležitá informace, která obrátí jednání naruby. Samozřejmě si ji na projektoru před klienty nemůžete přečíst, ale když tato volba je zapnutá, tak jediný klik informaci odhalí. Když volbu „Automaticky dešifrovat/ověřit zprávu“ odškrtneme, tak jsme páni toho, kdy se zpráva objeví případně ověří pomocí volby „Dešifrovat/Ověřit“. Navíc tu je možnost uložit šifrovanou zprávu nešifrovaně.
Dále se může stát, že odcházíte od počítače a z nějakého důvodu nemáte k dispozici xlock. Nebylo by příjemné, kdyby se někdo hrabal v tajných dokumentech, takže po kliknutí na „Smazat uložené heslo“ se i proti vůli nastavitelného limitu heslo smaže. Další dvě volby jsou důležité pro aktuálně načtenou zprávu a povíme si o nich později.
Krom rozšíření nabídky menu jsme si expertním režimem otevřeli i detailnější konfiguraci v dialogu „Předvolby“.
Záložka „Základní“ zůstává, ale ostatní jsou nové. V záložce „Odesílání“ můžeme zapnout přidání vlastního klíče do odesílaných zpráv, abychom je později mohli sami rozšifrovat, zalamování HTML textu před odesláním, ověřování důvěryhodnosti klíčů, upozornění na prázdný předmět a nakonec potvrzení před odesláním zprávy.
Záložka „Výběr klíče“ umožňuje nastavit, podle čeho se bude vybírat klíč příjemce zprávy. Může jít o výběr identity příjemce, našich vlastních pravidel nebo se nám vždy zobrazí okno s nabídkou klíčů. V záložce „Rozšířené“ najdeme volby týkající se šifrování odpovědí na zprávy, oddělovat podpisu, použití gpg-agenta a další detaily. Můžeme zde přidat i doplňkové parametry pro gpg. Předposlední záložka obsahuje jen informace o dostupných keyserverech a poslední se týká logování činnosti Enigmail.
Enigmail na rozdíl od Evolution nabízí preciznější výběr klíčů pro jednotlivé identity. Krom toho, že při odeslání zprávy může vybrat pravidla podle identity, tak si můžete nastavit i pravidla vlastní. Dělá se to v „OpenPGP->Upravit pravidlo dle adresáta“. Po otevření dialogu vidíte již vytvořená pravidla s možností vytvořit nová a úpravy priorit těch existujících. U pravidel se jako podmínka používá části nebo celé e-mailové adresy.
Spravujeme klíče
Jelikož je Enigmail multiplatformní, počítá se s tím, že práce s klíči na různých platformách může být na nejrůznější úrovni, takže přichází s vlastním editorem klíčů, který umí prakticky to samé, co Seahorse. Všechno potřebné si ukážeme. Začneme tím, že spustíme „OpenPGP->Správa OpenPGP klíčů“.
Pokud ještě klíč nemáte, je jednoduché si ho vytvořit a to kliknutím na „Vytvořit->Nový pár klíčů“. Na rozdíl od Seahorse vám Enigmail nabídne rovnou i vytvoření revokačního certifikátu, kdyby se s klíčem něco stalo.
V Enigmail není potřeba vyplňovat jméno ani e-mailová adresa, protože se generuje klíč pro již existující účet v Thunderbirdu. Stačí tedy nastavit platnost, případně i heslo a kliknout na „Generovat“. V záložce „Rozšířené“ si můžete vybrat velikost klíče a jeho typ.
Přidat klíč ostatních můžeme třemi způsoby.
- Importovat ze souboru.
- Importovat ze schránky.
- Najít na keyserveru a stáhnout ho.
Import ze souboru najdeme v „Soubor->Importovat klíče ze souboru“. Zobrazí se dialog pro výběr souboru a po odklepnutí je klíč importován. V menu „Upravit“ najdeme volbu „Importovat klíče ze schránky“. Pokud jste někde na webu našli klíč v ASCII formě, stačí ho jen pomocí Ctrl+C uložit do schránky a touto položkou ho importovat do gpg.
Třetí možnost je trochu složitější. Použijeme k tomu menu „Keyserver->Hledat klíče“. Objeví se dialog, kde stejně jako u Seahorse zadáme e-mail nebo jméno. Pod políčkem pro hledání si můžeme vybrat jeden z keyserverů, které jsou nastaveny.
Pak už stačí klíč jen označit a kliknout na „OK“. Vyběhne na vás výstup z gpg. V menu „Keyserver“ můžeme obnovit informace i o již importovaných klíčích, jako třeba že někdo svůj klíč revokoval, přidat fotku apod. Fotku majitele klíče si zobrazíte v menu „Zobrazit->Foto ID“ po vybrání některého z klíčů.
Stejně jako v Seahorse je tu možné i vyjadřovat důvěru klíčům a podepisovat je, čímž ulehčíme ověření ostatním. Všechno se to dělá v menu „Upravit“, kde se po kliknutí na klíč uvolní volby „Podepsat“ a „Nastavit důvěryhodnost vlastníka“. Princip je podobný jako u Seahorse, pokud seriál sledujete, neměli byste se ztratit.
Debugování
Enigmail není nic jiného než frontend pro gpg. Všechno co dělá, dělá spouštěním gpg se správnými parametry. Se zapnutým rozšiřujícím nastavením se vám objeví v menu možnost se na všechno, co Enigmail spouští, kouknout. Tím se můžete něco o gpg přiučit nebo identifikovat problémy, když už na nějaký přijdete.
Šifrujeme/podepisujeme zprávy
A nakonec to nejdůležitější. Po otevření dialogu pro psaní nové zprávy máme v menubaru novou položku „OpenPGP“. Tady najdeme zaškrtávací políčka pro šifrování, podepisování, pro ignorování ručně nastavených pravidel a položky pro přidávání dalších veřejných klíčů.
Závěr
Vývojáři Enigmail přinesli do Thunderbirdu prvotřídní podporu OpenPGP. Díky expertnímu a základnímu režimu si na své přijdou běžní i pokročilí uživatelé a dělá to s Enigmail flexibilní nástroj. Instalaci v Linuxu zvládne každý a je to tedy vhodné řešení pro každého.
Příště se podíváme na šifrování souborů.