Enigmail i OpenPGP Thunderbird (Linux) – Correu electrònic segur
1. Enviar i rebre missatges encriptats
Si necessites enviar missatges de correu electrònic segurs, t’expliquem a continuació com fer-ho amb unes eines de programari lliure que et permetran xifrar els teus correus electrònics usant el gestor de correu Thunderbird. Es tracta de les aplicacions Enigmail i GPG per Thunderbird.
Enigmail és un complement del Thunderbird que et permet accedir a les funcions d’encriptació de GnuPG des de dins del Thunderbird.
GNU Privacy Guard (GnuPG or GPG) és un programari d’encriptació lliure i de codi obert elaborat pel Projecte GNU. Compleix amb l’estàndard OpenPGP i va ser dissenyat per interoperar amb Pretty Good Privacy (PGP, o privacitat bastant bona), un equivalent comercial elaborat per Phil Zimmermann i que està a càrrec de Symantec.
GnuPG depèn d’una forma de criptografia de clau pública que requereix que cada usuari generi el seu propi parell de claus . Aquest parell de claus es pot usar per xifrar, desxifrar i signar contingut digital com per exemple els missatges de correu electrònic.
Aquest parell de claus consisteixen en una clau privada i una clau pública:
La clau privada és extremadament sensible. Qualsevol que hagi aconseguit una còpia d’aquesta clau podrà llegir contingut encriptat que estava dirigit només a tu. També podria signar missatges per a que sembli que vénen de tu. La teva clau privada està encriptada en si mateixa amb una contrasenya que escolliràs quan generis el teu parell de claus. Has d’escollir una contrasenya forta i tenir cura que ningú tingui accés a la clau privada. Faràs servir la teva clau privada per desxifrar missatges que t’enviïn els que tinguin una còpia de la teva clau pública.
La clau pública està dissenyada per a què la comparteixis amb altres i no es pot usar per a llegir un missatge encriptat ni per falsificar un signat. Un cop tinguis la clau pública d’una persona, pots començar a enviar-li missatges encriptats. Aquesta persona és l’única que pot desencriptar i llegir aquests missatges perquè ningú més té accés a la clau privada que encaixa amb la clau pública que estàs fent servir per encriptar. De manera similar, per a que algú t’enviï correu encriptat, ha d’obtenir una còpia de la teva clau pública. És important verificar que la clau pública que estàs fent servir per xifrar correu electrònic realment pertany a la persona amb qui estàs tractant de comunicar-te. Si tu o la persona amb qui et comuniques sou enganyats per xifrar correu electrònic amb la clau pública equivocada, la conversa no serà segura.
GnuPG i Enigmail també et permeten adjuntar signatures digitals als teus missatges. Si signes un missatge utilitzant la teva clau privada, qualsevol destinatari amb una còpia de la teva clau pública pot verificar que va ser enviat per tu i que el seu contingut no ha estat adulterat. De manera similar, si tens una clau pública de la persona amb qui et comuniques, pots verificar les seves signatures digitals.
1.1 Instal·lar Enigmail
La majoria de distribucions Linux s’instal·len amb GnuPG per defecte, No obstant això, hauràs d’instal·lar el complement Enigmail de Thunderbird per a poder començar a utilitzar GnuPG per a encriptació de correu electrònic. Pots fer això seguint els passos a continuació:
Pas 1. Fes clic a per mostrar el menú del Thunderbird
Pas 2: Tria Eines > Complements per mostrar l’Administrador de complements del Thunderbird
Pas 3: Escriu “Enigmail” a la part superior dreta i prem la tecla Enter
Pas 4: Fes clic a “Instal·lar” per descarregar Enigmail
Pas 5: Feu clic a l’enllaç Reiniciar ara per reiniciar Thunderbird i acabar d’instal·lar Enigmail
Ara que has reiniciat Thunderbird, hauries de veure “Enigmail” inclòs en la barra de menú.
1.2 Generar claus d’encriptació i configurar Enigmail
Ara pots configurar un o més comptes de correo electrònic per usar Enigmail i generar un o més parells de claus d’encriptació.
1.2.1 Generar claus d’encriptació
Pots configurar Enigmail i generar un parell de claus d’encriptació seguint els passos a continuació:
Pas 1. Fes clic a per mostrar el menú del Thunderbird
Pas 2. Tria Enigmail > Assistent de configuració
Pas 3. Fes clic a [Següent] per continuar amb la configuració estàndard (com principiant)
Pas 4. Escull una contrasenya forta i escriu-la en els camps apropiats per generar un parell de claus
Nota: Aquesta contrasenya protegirà la teva clau privada. Sense això, no podràs signar ni desxifrar correus electrònics. Així, és important que escullis una contrasenya forta i que la recordis o la registris de manera segura.
Pas 5. Fes clic a [Següent] per generar el teu parell de claus.
Enigmail t’avisarà quan hagi acabat de crear el teu parell de claus.
Has de generar un certificat de revocació per a que puguis avisar els altres quan una clau en particular ja no sigui vàlida. Això pot passar si:
- Deixes de fer servir un parell de claus
- Perds una clau privada
- Oblides la contrasenya d’una clau privada
- Sospites que una clau privada ha deixat de ser segura o si s’ha compartit amb altres
És particularment important que generis un certificat de revocació si penses carregar la teva clau pública a un servidor de claus. No hi ha una altra manera d'”esborrar” la clau una vegada que l’hagis carregat, i no és convenient tenir claus que hagin deixat de ser segures donant voltes en un servidor de claus generant confusió entre les persones.
Pas 6. Fes clic a [Crear Certificat de revocació]
Pas 7. Navega a la ubicació on vulguis guardar el teu certificat de revocació.
Aquest certificat no conté informació sensible i no es pot fer servir per saber la teva clau privada, però algú podria carregar-lo a un servidor de claus i invalidar el teu parell de claus actual, així que has de posar-lo en un lloc segur.
Pas 8. Fes clic a [Desar] per escriure la contrasenya de la teva clau privada
Pas 9. Escriu la contrasenya
Pas 10. Fes clic a [Obrir] per generar el teu certificat de revocació
Pas 11. Fes clic a [D’acord] per tornar a l’auxiliar de configuració de l’Enigmail.
Pas 12. Fes clic a [Següent] per continuar.
Pas 13. Fes clic a [Acabar] per començar a utilitzar l’Enigmail.
1.2.2 Veure i administrar les propietats de les claus
Un cop hagis generat el teu parell de claus, pots veure i administrar les seves propietats seguint els passos a continuació:
Pas 1. Fes clic a per mostrar el menú del Thunderbird
Pas 2. Tria Enigmail > Administració de claus
Pas 3. Fes doble clic al parell de claus que correspongui al teu compte de correu electrònic
Aquestes finestres mostren, entre altres coses, la identificació de la teva clau pública i la seva empremta digital. Per exemple, la identificació de la clau pública per ekaterina@riseup.net és F915ED5A, mentre que l’empremta digital completa és 8103 2E72 75C9 6279 59DF 3D5F E893 D8E0 F915 ED5A. Aquesta finestra també mostra la data d’expiració del teu parell de claus (17 d’octubre de 2021 a aquest cas).
Has de compartir la teva clau pública amb altres per a que t’enviïn correu electrònic encriptat. També has de compartir la teva empremta digital completa, a través d’un canal diferent, per a que les persones amb qui t’escrius puguin verificar que la clau pública que els vas enviar realment et pertany. No has de compartir mai la teva clau privada, ja que qualsevol que tingui una còpia pot desencriptar missatges enviats a tu i signar missatges per a que sembli que tu els envies.
Si vols canviar la contrasenya que protegeix la teva clau privada, fes clic a [Triar acció …] i triar Canviar contrasenya. Se’t consultarà la contrasenya actual i se’t demanarà que escullis una de nova. Per revocar la teva clau, fes clic a [Triar acció …] i tria Revocar clau.
1.2.3 Configura Enigmail perquè funcioni amb el teu compte de correu electrònic
Per habilitar Enigmail per fer servir un compte de correu electrònic específic, segueix els passos a continuació:
Pas 1. Fes clic a per activar el menú del Thunderbird
Pas 2. Tria Preferències > Configuracions de compte
Pas 3. Fes clic a Seguretat de OpenPGP sota el teu compte de correu electrònic a l’esquerra de la finestra de Configuracions de compte.
Pas 4. Assegura’t que el requadre Habilitar que OpenPGP operi amb (Engimail) per a aquesta identitat estigui marcat
Pas 5. Assegura’t que el requadre Utilitza Identificació de clau OpenPGP específica estigui marcat i que estigui seleccionada la identificació de clau adequada
Pas 6. Assegura’t que el requadre Utilitza PGP/MIME per defecte estigui marcat
Pas 7. Marca el requadre de Firmar missatges encriptats
Nota: Si vols configurar Enigmail per a que tracti d’enviar correu electrònic encriptat per defecte encara que no tinguis una clau pública vàlida per al destinatari- pots fer-ho marcant el requadre Xifrar missatges per defecte.
Pas 8. Marca [D’acord] per tornar a la finestra principal del Thunderbird
1.2.4 Generar claus d’encriptació addicionals
És una pràctica comuna afegir més d’una adreça de correu electrònic a un parell de claus de GnuPG determinat. No obstant això, en alguns casos pots voler crear diferents parells de claus per a comptes diferents. Això és particularment important si no vols que altres sàpiguen que els dos comptes pertanyen a la mateixa persona.
Pots generar una parella de claus seguint els passos a continuació. Aquests passos assumeixen que ja has configurat Thunderbird per a que funcioni amb un segon compte de correu electrònic (en aquest cas, elenakaterina60@gmail.com).
Pas 1. Fes clic a per activar el menú del Thunderbird
Pas 2. Tria Enigmail > Administrador de claus
Pas 3. Tria Generar > Nou parell de claus del menú de l’Enigmail
Nota: Aquest menú de l’Enigmail inclou diferents opcions mentre la pantalla d’Administrador de claus estigui activa
Pas 4. Fes clic a la línia seleccionada al costat de Compte / Identificació d’usuari per escollir un compte diferent
Pas 5. Tria el compte per al que vols generar un parell de claus de GnuPG
Pas 6. Escull una contrasenya forta pel teu nou parell de claus i escriu-la en els requadres Contrasenya i contrasenya (repetir).
Pas 7. Fes clic a [Generar clau]
Pas 8. Fes clic a [Generar clau] Quan estigui fet. Enigmail t’avisarà que generis un certificat de revocació.
Pas 9. Fes clic a [Generar certificat]
Pas 10. Navega a la ubicació on vols guardar el teu certificat de revocació
Pas 11. Fes clic a [Desar]
Pas 12. Escriu la contrasenya per a la clau privada que acabes de crear
Pas 13. Fes clic a [Obrir]
Pas 14. Fes clic a [D’acord] per tornar a la pantalla d’Administrador de claus
Enigmail configurarà automàticament el teu compte de correu electrònic per usar aquest parell de claus. Veure la secció anterior per a més informació sobre com canviar configuracions específiques del compte. (Recomanem que configuris Enigmail per a signar el teu correu electrònic per defecte a no ser que tinguis una raó específica per no fer-ho).
1.3 Intercanviar claus públiques
Abans que puguis començar a enviar correu electrònic encriptat, tu i les persones amb qui t’escrius heu d’intercanviar les claus públiques. També has de confirmar la validesa de qualsevol clau que rebis confirmant que realment pertany a qui creus que te la va enviar.
4.3.1 Enviar la clau pública com a adjunt d’un correu electrònic
Per enviar una clau pública usant Enigmail, segueix els passos a continuació. Les persones que t’escriuen poden enviar-te les seves claus públiques de la mateixa manera.
Pas 1. Al Thunderbird, fes clic a [Escriure] per escriure un correu electrònic.
Pas 2. Redacta el teu missatge
Pas 3: Fes clic a [Adjunta la meva clau pública]
El botó (i la icona del clip de paper) ha de canviar de color per indicar que la teva clau pública s’adjuntarà a aquest missatge abans que s’enviï.
Pas 4. Fes clic a [Enviar]
Thunderbird ha de demanar-te la contrasenya del teu compte de correu electrònic. No et demanarà la contrasenya de GnuPG llevat que escullis signar aquest correu electrònic (adjuntar simplement la teva clau pública no requereix que “obris el forrellat” de la teva clau privada).
Pas 5. Escriu la contrasenya del correu electrònic i prem la tecla Enter
1.3.2 Importa una clau pública adjunta a un correu electrònic
Tu i la persona amb qui t’escrius heu de seguir els passos següents per importar les claus públiques de l’altre.
Una clau pública adjunta ha de ser visible a la cantonada inferior esquerra del correu electrònic en el qual es va enviar:
Pas 1. Fes clic dret en l’adjunt
Pas 2. Tria Importa clau de OpenPGP
Pas 3. Fes clic a [Sí] per importar la clau pública
Pas 4. Fes clic a [D’acord]
La pantalla d’Administració de claus de l’Enigmail ha mostrar ara la clau pública de la persona amb qui t’escrius:
Pas 5. Fes clic a per activar el menú del Thunderbird
Pas 6. Escull Enigmail > Administració de claus.
1.4 Validar i signar claus públiques
Ara has de verificar que la clau que has importat en realitat pertanyi a la persona que creus que te la va enviar. Tu i les persones amb qui t’escrius heu de portar a terme aquest procés per a cada clau pública que rebeu. Una vegada que hagis verificat la clau, has de signar-la. Així és com li dius a GnuPG i Enigmail que la consideres vàlida.
1.4.1 Validar la clau pública d’algú
Per validar la clau pública de la persona amb qui t’escrius, contacta amb ella usant un mitjà comunicació que et permeti estar absolutament segur que estàs parlant amb la persona correcta. Les reunions en persona són millors, però les converses de veu i vídeo són acceptables si confies que puguis reconèixer la seva veu o el seu aspecte. Intercanviareu les empremtes digitals de les clau públiques, que no necessiten mantenir-se en secret, així que aquesta conversa no ha de ser confidencial en la mesura que us abstingueu de discutir assumptes delicats.
Tu i la persona amb qui t’escrius heu verificar les empremtes digitals de les claus públiques que heu intercanviat. Una empremta digital és una sèrie única de números i lletres que identifica un parell de claus de GnuPG. Pots fer servir la pantalla d’Administració de claus de l’Enigmail per determinar:
- L’empremta digital del parell de claus que has generat
- L’empremta digital de les claus públiques d’altres persones que hagis importat
Per veure l’empremta digital d’un parell de claus en particular, segueix els passos a continuació.
Pas 1. Fes clic a per activar el menú del Thunderbird
Pas 2. Tria Enigmail > Administració de claus
Pas 3. Fes doble clic en un parell de claus per obrir la finestra de Propietats de claus de l’Enigmail.
A la finestra de Propietats de les claus, podràs veure l’empremta digital de la clau seleccionada. Per exemple, l’empremta digital d’ekaterina@riseup.net és 3B9F 54DD 571A 6F77 251D 92E7 E8B1 F5E6 FBB4 Effe
La persona amb qui t’escrius també ha de dur a terme aquests passos. Per verificar empremtes digitals:
- Llegeix l’empremta digital del teu parell de claus a la persona amb qui t’escrius
- Fes que verifiqui que les empremtes digitals que té per a la teva clau pública coincideixin amb les que acabes de donar-li
- Fes que la persona amb qui t’escrius et llegeixi l’empremta digital pel seu parell de claus
- Verifica que l’empremta digital que tu tens per a la seva clau pública coincideixi amb la que t’acaba de donar
- Si les empremtes digitals no coincideixen, intercanvieu claus públiques de nou i repetiu el procés.
Nota: Com les pròpies empremtes digitals de la claus no són sensibles, fàcilment pots escriure l’empremta digital que et llegeixi la persona amb qui t’escrius. Després, quan tinguis més temps, pots verificar que coincideixi amb l’empremta digital que tu tens per a la seva clau pública utilitzant la pantalla d’Administració de claus de l’Enigmail (també és per això que algunes persones imprimeixen les seves empremtes digitals GnuPG en les seves targetes de presentació).
1.4.2 Signar la clau pública d’algú
Una vegada que hagis verificat la clau d’algú amb qui t’escrius, has de signar-la. Això li dirà a l’Enigmail que recordi que consideres vàlida aquesta clau.
Important: Si signes la clau pública d’algú, fas que la còpia signada de la seva clau estigui disponible públicament, això dóna a conèixer el fet que aquesta persona i tu probablement intercanvieu informació delicada. Per evitar que això passi per accident, marca sempre el requadre de Signatura local en signar la clau pública de la persona amb qui t’escrius.
Pots signar una clau pública validada seguint els passos a continuació.
Pas 1. Fes clic a per activar el menú del Thunderbird
Pas 2. Tria Enigmail > Administració de claus
Pas 3. Fes clic dret a la clau pública que vols signar
Pas 4. Tria Signar clau
Pas 5. Assegura’t que el parell de claus estigui seleccionat al costat de Clau per signar. Si tens dos parells de claus i vols enviar-li a aquesta persona correu electrònic encriptat usant les dues claus, hauràs de signar la seva clau pública dues vegades, una per a cada “identitat.”
Pas 6. Fes clic a He fet una revisió molt acurada
Nota: Altres opcions (com No he revisat per a res) poden no permetre’t enviar correu electrónic encriptat al propietari d’aquesta clau. A més, pot ser difícil canviar aquesta configuració després. Com a resultat, recomanem que sempre triïs He fet una revisió molt acurada quan signis la clau pública d’alguna persona amb qui t’escriguis.
Pas 7. Marca el requadre de Signatura local (no es pot exportar)
Important: Llevat que confiïs molt en GnuPG – i sàpigues amb certesa que el propietari d’aquesta clau pública vol que la seva signatura sigui pública – has de marcar el requadre Signatura local.
Pas 8. Fes clic a [D’acord]
Pas 9. Escriu la contrasenya pel teu clau privada quan te la demanin
Pas 10. Fes clic a [Obrir] per signar aquesta clau pública. Fer això li dirà a l’Enigmail que has verificat la identitat del propietari de la clau, el que et permetrà enviar correu electrònic encriptat.
1.5 Xifrar i desxifrar missatges de correu electrònic
GnuPG només protegeix el contingut de correu electrònic i adjunts que encriptes. La següent informació mai està encriptada:
- La línia de Assumpte
- L’adreça de correu electrònic del remitent
- Les adreces de correu electrònic dels destinataris
- Tot nom real que es pugui associar amb remitents i destinataris (Elena S. Katerina <ekaterina@riseup.net>, per exemple)
- A més, si configures Enigmail per utilitzar Inline PGP enlloc de PGP/MIME, els noms d’arxius dels adjunts que enviïs quedaran sense xifrar. Així que tria amb cura les línies del teu assumpte, avalua crear una clau d’GnuPG almenys per un compte de correu electrònic que no inclogui el teu nom real, i queda’t amb PGP/MIME (que està habilitat per defecte).
Finalment, quan envieu correu electrònic encriptat, una còpia – encriptada de la teva clau pública – es col·locarà a la teva carpeta de Correu enviat.
1.5.1 Enviar correu electrònic encriptat
Una vegada que tu i la persona amb qui t’escrius hagueu importat, validat i signat satisfactòriament les claus públiques de l’altre, podeu començar a intercanviar missatges encriptats. Pots encriptar el contingut del teu missatge de correu electrònic seguint els passos a continuació:
Pas 1. En Thunderbird, fes clic a [Escriure] i comença a escriure un correu electrònic a un destinatari per qui hagis signat una clau pública
Important: Tant el botó del cadenat (que indica que el teu missatge estarà encriptat) com el botó del llapis (que indica que el teu missatge estarà signat) s’han d’il·luminar quan escriguis una adreça de correu electrònic per a la qual tinguis una clau pública vàlida i signada . També has de veure “Aquest missatge se signarà i encriptarà” a la cantonada superior dreta de la finestra. Això és perquè:
- Per defecte, l’Enigmail encripta automàticament el correu electrònic per a persones amb qui t’escriguis per als que tinguis una clau pública vàlida
- Hem activat signar missatges encriptats, sota Configuracions de compte > Seguretat de OpenPGP en una secció anterior.
- Pots escollir no xifrar ni signar un missatge inhabilitant els botons del cadenat o el llapis abans de fer clic a [Enviar] (també pots configurar Thunderbird per enviar correu electrònic no encriptat per defecte. Aquesta opció està sota de les Configuracions manuals de encriptació manual a la pestanya de Enviar el menú de preferències de l’Enigmail).
Pas 2. Acabar d’escriure el teu missatge
Pas 3. Fes clic a [Enviar]
Pas 4. Escriu la contrasenya de GnuPG si te la demanen
Pas 5. Fes clic a [Obrir]
Pas 6. Escriu la contrasenya del teu compte de correu electrònic si te la demanen
Pas 7. Fes clic a [D’acord] per enviar el missatge encriptat i signat
1.5.2 Desencriptar un correu electrònic d’una altra persona
Quan fas clic a un missatge encriptat, Enigmail et demanarà la contrasenya del clau privada perquè pot desencriptar el missatge.
Pas 1. Escriu la contrasenya
Pas 2. Fes clic a [Obrir]
Enigmail mostrarà informació a la part superior del missatge. A la figura de dalt, per exemple, “Missatge desencriptat; Signatura bona de Mansour” et diu que:
- El missatge va ser xifrat utilitzant la teva clau pública (el que pot fer qualsevol)
- L’has desencriptat satisfactòriament
- El va firmar algú amb la clau privada que correspon a la clau pública de mansour@riseup.net que has importat
- Has signat aquesta clau pública de mansour@riseup.net, tant de bo després d’haver verificat que pertany al veritable Mansour.
PREGUNTES FREQÜENTS
P: Quants comptes de correu electrònic puc configurar en Thunderbird?
R: Tantes com vulguis! Thunderbird és un administrador de correu electrònic, ¡i pot administrar fàcilment 20 o més comptes de correu electrònic!
P: Recorda’m altra vegada, quines parts d’un missatge de correu electrònic encripta Enigmail?
R: Enigmail només encripta el contingut dels missatges. Les línies de l’Assumpte no estaran encriptades, ni les adreces de correu electrònic de remitent i destinatari (ni els noms associats amb aquestes direccions). Així que tria les teves línies de Assumpte amb cura i avalua crear una clau GnuPG pára a mínim un compte de correu electrònic que no inclogui el teu nom real.
P: Segueixo sense entendre l’objectiu de signar digitalment els meus missatges.
R: Una signatura digital prova que ets el veritable remitent d’un missatge particular i que el missatge no ha estat adulterat en el seu camí al destinatari previst. Considera-ho com l’equivalent electrònic del segell d’un sobre que conté una carta molt important.
*** Aquest text és una adaptació del treball de “Security in a Box” “Thunderbird, Enigmail i OpenPGP per a Linux – Correu electrònic segur” publicat sota llicència Creative Commons Attribution-Share Alike 3.0 Unported License i es distribueix sota la mateixa llicència [Pangea.org].
Security-in-a-Box és un projecte de Tactical Technology Collective i Front Line Defenders (https://securityinabox.org/en/) ***