Mailvelope: шифрование электронной почты — Проект SAFE
Инструменты
Mailvelope: шифрование электронной почты

Дополнение к браузерам Mozilla Firefox и Google Chrome для шифрования e-mail

I. Общие данные

В основе работы Mailvelope лежит принцип шифрования с открытым ключом. Он упрощает защищенную переписку между удаленными друг от друга собеседниками. Подробнее об открытых ключах рассказано далее в этом руководстве.

Mailvelope использует тот же алгоритм шифрования, что и популярные программы PGP и GnuPG. Это значит, что для расшифровки ваших посланий адресат может пользоваться Mailvelope, а может выбрать другую программу по своему вкусу.

Mailvelope интегрируется в системы веб-почты так, что шифрование и расшифровка происходят “на лету”.

Версия программы, использованная в этом руководстве: 1.5.2

Последняя редакция этого текста: сентябрь 2016 г.

II. Знакомство с Mailvelope

Mailvelope – дополнение к браузеру. Вам не понадобится загружать из интернета и устанавливать на компьютер что-либо еще. Любители веб-почты наверняка сочтут это дополнение самым быстрым и удобным способом шифрования e-mail. Если вы – приверженец офлайновых клиентов электронной почты (таких, например, как Mozilla Thunderbird), вам лучше поискать другие решения, поскольку Mailvelope предназначен для веб-почты. Важно, что Mailvelope, в принципе, работает с любой веб-почтой и не зависит от провайдера услуг. Вам не придется открывать новый аккаунт e-mail – вы сможете продолжать использовать ту почту, к которой привыкли.

Mailvelope позволяет шифровать содержание письма и (если есть) вложенные файлы. При желании с помощью Mailvelope можно шифровать файлы на компьютере без отправки их по e-mail.

Будучи дополнением к браузеру, Mailvelope способен работать на всех платформах, где работает сам браузер: Windows, MacOS или Linux.

III. Шифрование с открытым ключом

Аня и Борис решили переписываться по e-mail в защищенном, зашифрованном формате. Чтобы зашифровать письмо, Аня использует специальный код – шифровальный ключ. Зашифрованное письмо может быть прочитано лишь тем, у кого есть этот ключ. Поэтому перед тем, как начинать переписку, Ане нужно передать ключ Борису. Эта схема называется “симметричным шифрованием”.

Проблема в том, что Аня и Борис живут в разных городах. Отправить ключ по e-mail?

Представим, что планам друзей намерен помешать злодей Захар. У него есть технические возможности перехватывать любые данные, которые Аня и Борис посылают друг другу. Специалисты по информационной безопасности называют такой вид атаки “человек-в-середине” (man-in-the-middle). Если Аня отправит Борису шифровальный ключ по e-mail, Захар его скопирует и сможет читать всю зашифрованную переписку.

Чтобы оставить Захара с носом, Аня (с помощью специальной программы – в данном примере это Mailvelope) создает не один, а два ключа. Эти ключи уникальные, парные и обладают особенностью: то, что зашифровано одним ключом, может быть расшифровано только парным ему ключом. Назовем один из ключей секретным, а другой открытым. Секретный ключ Аня защитит надежным паролем и будет держать при себе. Открытый ключ она, наоборот, отправит Борису, а может быть, даже разместит на сервере в интернете (специальные серверы ключей). Аналогично поступит Борис: создаст пару собственных ключей, один (секретный) оставит при себе, а вторым (открытым) поделится с Аней.

Аня шифрует письмо открытым ключом Бориса и отправляет ему. Борис расшифровывает письмо своим секретным ключом. Расшифровать письмо, таким образом, может только Борис, ведь ни у кого больше нет нужного секретного ключа. И наоборот: свой ответ Борис шифрует открытым ключом Ани. Получив зашифрованное письмо, Аня расшифровывает его своим секретным ключом.

Захар может перехватывать все шифрованные письма, а также открытые ключи Ани и Бориса, но извлечь из этого пользу ему не удастся: открытые ключи не годятся для расшифровки.

Эта простая схема позволяет не только легко устанавливать обмен зашифрованными сообщениями между удаленными собеседниками, но и в любой момент создать новую пару ключей, если прежняя потеряна или скомпрометирована.

IV. Аналоги Mailvelope

Существует довольно много программ, которые поддерживают шифрование PGP/GnuPG для разных платформ. Вот некоторые из них.

  • Enigmail. Дополнение к Mozilla Thunderbird, интегрирует бесплатную шифровальную программу GnuPG (с открытым кодом) в этот популярный офлайновый почтовый клиент. Работает на всех платформах, где способен работать Thunderbird.
  • gpg4usb. Портативная бесплатная программа с открытым кодом для Windows и Linux.
  • Mailpile. Бесплатная программа с открытым кодом для Windows.
  • GPGMail. Бесплатная программа с открытым кодом для Mac OS X, расширение почтового клиента Apple Mail, установленного по умолчанию.
  • APG и K9 Mail. Пара приложений для Android, которые действуют совместно: APG (Android Privacy Guard) “отвечает” собственно за шифрование, а K-9 является почтовой программой, которая интегрируется с APG. Оба приложения бесплатные и с открытым кодом.

V. Установка Mailvelope

1. Запустите браузер.

2. Зайдите на сайт разработчика Mailvelope (https://www.mailvelope.com/).

Если у вас Google Chrome (если у вас Firefox, см. ниже):

3. Найдите на странице ссылку “Chrome Extension” и нажмите на нее.

Скачать расширение Chrome

4. Появится всплывающее окно с запросом. Нажмите на кнопку “Установить расширение”.

Mailvelope: установить дополнение

5. Расширение установлено.

Mailvelope - расширение установлено

В правом верхнем углу браузера Chrome вы увидите маленький замочек – значок Mailvelope.

Mailvelope - значок на панели браузера

Если у вас Mozilla Firefox:

3. Найдите на странице ссылку “Firefox Addon” и нажмите на нее.

Mailvelope - скачать Firefox

4. Вы можете увидеть предупреждение браузера, который заблокировал автоматическую установку с незнакомого ему сайта. Нажмите кнопку “Разрешить”.

Mailvelope - разрешить установку

5. Дополнение Firefox будет скачано, и появится eще один запрос от браузера. Нажмите кнопку "Установить".

Mailvelope - установка дополнения для Firefox

6. Расширение установлено. В правом верхнем углу браузера Firefox вы увидите маленький замочек – значок Mailvelope.

Mailvelope - значок на панели браузера

VI. Интеграция Mailvelope в систему веб-почты

Mailvelope по умолчанию интегрируется с некоторыми почтовыми сервисами, включая популярный Gmail. Вы можете использовать Mailvelope и в другой веб-почте.

1. Откройте свою привычную страницу веб-почты для написания нового сообщения и обратите внимание на правый верхний угол окна редактора (поле, в котором вы обычно пишете текст своего письма). Видите кнопку Mailvelope  вот такую?

Mailvelope - кнопка шифрования

Если кнопка видна, Mailvelope интегрирован в вашу веб-почту по умолчанию.

Если кнопки нет:

2. Нажмите кнопку Mailvelope в панели браузера. В меню “Активная вкладка” выберите кнопку Добавить”.

Mailvelope: главное меню

3. Ваш провайдер веб-почты отобразится нижней строкой в списке провайдеров по умолчанию. Это окно можно закрыть.

Теперь кнопка Mailvelope должна появиться в вашем редакторе сообщений.

Mailvelope - почтовая система Horde с интегрированным Mailvelope

VII. Создание пары шифровальных ключей

Чтобы пользоваться шифрованием, сначала нужно создать собственную пару ключей.

1. Нажмите кнопку Mailvelope в панели браузера.

Mailvelope - значок на панели браузера

2. Нажмите синюю кнопку “Настройки”. Откроется главное окно настроек Mailvelope.

3. В меню слева выберите “Создать ключ”.

Mailvelope - меню

4. Заполните и отправьте форму.

Mailvelope - создание пары ключей

  • Имя. Указывая настоящее имя, вы помогаете адресатам определить, чей это ключ. Так им легче будет выбирать нужный ключ для связи с вами. Если вы не хотите указывать свое настоящее имя, можете придумать псевдоним, но помните: вашему собеседнику придется держать в памяти, что “Baba Yaga” – это вы. Не всякая память справится с этой задачей. Какой бы вариант вы ни выбрали, вводите текст на английском языке, поскольку до сих пор существуют программы, не вполне точно отображающие кириллицу, и не исключено, что кто-нибудь из адресатов пользуется именно такой программой.
  • Адрес e-mail. Лучше вводить реальный адрес e-mail, поскольку многие шифровальные программы (включая Mailvelope) используют его для "опознания" ключей.
  • Кнопку “Дополнительно” можно пропустить.
  • Введите пароль. Это должен быть хороший пароль. Он будет защищать ваш секретный ключ и понадобится при расшифровке сообщений. Запомните этот пароль (или сохраните в надежном месте, например, в программном менеджере паролей KeePassX).
  • Повторите пароль. Введенные пароли должны совпадать.
  • Уберите галочку из поля “Загрузить открытый ключ на сервер ключей Mailvelope…”
  • Нажмите кнопку “Generate”.

5. По окончании создания ключей вы увидите окно “Удачно!” (на светло-зеленом фоне).

Mailvelope - ключ создан

Чтобы увидеть только что созданный ключ в списке (связке) ключей, нажмите в левом меню “Показать ключи”. Откроется окно “Управление ключами”. В объявлении на светло-зеленом фоне Mailvelope предлагает сохранить ключ на сервер. Нажмите кнопку “No thanks”.

(img mailvelope-keymanagement.png)

VIII. Экспорт открытого ключа

Нужно экспортировать открытый ключ и поделиться им с друзьями, чтобы они смогли отправлять вам зашифрованные письма.

1. Нажмите на значок Mailvelope в панели браузера.

Mailvelope - значок на панели браузера

2. Нажмите кнопку “Настройки” в выпадающем меню.

Mailvelope: главное меню

3. Выберите в списке (связке ключей) нужный ключ (в нашем примере ключ пока всего один). Вы увидите окно с подробной информацией о ключе.

Mailvelope - свойства ключа

4. Нажмите вкладку “Экспорт”.

Mailvelope - к

Убедитесь, что выбрана (синяя) вкладка “Открытый” (то есть, вы экспортируете только открытый ключ).

5. Нажмите кнопку “Сохранить” и сохраните файл на диске. Нажмите кнопку “Закрыть”.

Этот файл содержит ваш открытый шифровальный ключ. Отправьте его (например, обычным вложением e-mail) тому, с кем собираетесь переписываться.

IX. Импорт открытого ключа собеседника

Перед началом переписки необходимо получить и импортировать открытые ключи ваших друзей и коллег. Тогда вы сможете посылать им зашифрованные письма.

1. Попросите собеседника прислать вам открытый ключ. Если он затрудняется, пришлите ему ссылку на это руководство (создание и экспорт ключа рассмотрены выше).

2. Нажмите на значок Mailvelope в панели браузера.

Mailvelope - значок на панели браузера

3. Нажмите кнопку “Настройки” в выпадающем меню.

Mailvelope: главное меню

4. Выберите в столбце слева пункт “Импортировать ключи”.

Mailvelope - импортировать ключи

Появится окно импорта.

Mailvelope - окно импорта ключей

5. Нажмите длинную кнопку “Выберите файл с текстом ключа, который вы хотите импортировать”, и выберите на диске присланный вам файл. Если с ключом все в порядке, вы должны увидеть сообщение:

Mailvelope: ключ импортирован

Теперь нажмите в левом столбце “Показать ключи”. Убедитесь, что присланный вам ключ находится в списке (связке).

Mailvelope - управление ключами

Обратите внимание на разницу между ключами: созданный вами ключ имеет значок с двумя ключиками. Действительно, это пара ключей, открытый и секретный. На значке присланного ключа – лишь один ключик. Этот ключ – открытый.

X. Шифрование электронных писем

Попробуем зашифровать электронное письмо.

1. Откройте веб-почту, чтобы написать новое сообщение.

2. Заполните поля “Кому”, “Копия” (если необходимо) и “Тема”, как обычно.

3. Нажмите кнопку Mailvelope в правом верхнем углу редактора.

Mailvelope - кнопка шифрования

4. Откроется окно редактора Mailvelope. Наберите адрес вашего собеседника в верхнем поле. (В данном примере это westminster@gmail.com). Как только вы начнете это делать, Mailvelope предложит варианты частичных совпадений, так что вы сможете выбрать адрес из списка, не придется набирать его полностью. Помните: Mailvelope может предложить шифрование только тем получателям, чьи ключи были ранее импортированы и находятся в вашей связке ключей.

Mailvelope - пишем сообщение

При необходимости можете указать сразу нескольких адресатов. Ваше сообщение будет зашифровано несколькими ключами.

5. Когда закончите писать сообщение, нажмите кнопку “Зашифровать”. В окне редактора вашей веб-почты появится зашифрованное сообщение.

Mailvelope - зашифрованное сообщение

6. Нажмите кнопку отправки сообщения.

XI. Расшифровка электронных писем

Зашифрованное письмо, пришедшее к вам на почту, будет выглядеть таким же нечитаемым, как на картинке выше.

1. Откройте это письмо в своей веб-почте. При просмотре в редакторе вы увидите поверх абракадабры значок расшифровки Mailvelope:

Mailvelope - расшифровка сообщения

2. Нажмите на значок. В открывшемся окне введите пароль к своему секретному ключу и нажмите кнопку “ОК”.

Mailvelope - ввод пароля для секретного ключа

3. Расшифрованное сообщение будет показано в окне редактора.

Обратите внимание: сама по себе расшифровка не создает новых копий сообщения. Если вы перейдете к другому письму или закроете интерфейс веб-почты, зашифрованное сообщение так и останется зашифрованным. Чтобы снова увидеть его содержание, нужно повторить расшифровку.

Mailvelope запоминает пароль к вашему секретному ключу на короткое время (по умолчанию 30 минут, но можно изменить в настройках Mailvelope). Это удобно, если вам приходится просматривать подряд несколько зашифрованных писем. Но если вы сохраняете эту возможность, не оставляйте свой компьютер без присмотра и без защиты, пока Mailvelope держит ключ в своей памяти, иначе случайный человек сможет прочесть вашу зашифрованную переписку.

XII. Шифрование файлов

Нередко возникает задача отправить конфиденциальный документ, который не является простым текстом – например, документ Open Office (Libre Office) или электронную таблицу. Mailvelope умеет шифровать файлы-вложения (и просто файлы, если вам захочется).

1. Нажмите на значок Mailvelope в панели браузера.

Mailvelope - значок на панели браузера

2. Нажмите кнопку “Настройки” в выпадающем меню.

Mailvelope: главное меню

3. В верхнем горизонтальном меню нажмите “File Encryption”.

Mailvelope - меню работы с файлами

Откроется окно для работы с файлами.

Mailvelope - окно работы с файлами

4. Нажмите зеленую кнопку “Добавить”. При необходимости можете добавить несколько файлов.

Mailvelope - окно работы с файлами

5. Нажмите кнопку “Next”.

6. Выберите ключ адресата, кому собираетесь отправить зашифрованные файлы. Как и для текстовых сообщений, вы можете выбрать несколько ключей.

Mailvelope - шифрование файлов, выбор ключа адресата

7. Нажмите кнопку “Зашифровать”.

Mailvelope - зашифровали файлы

8. Нажмите кнопку “Сохранить все”, чтобы сохранить зашифрованные файлы на диске. Имена файлов останутся прежними, но добавится расширение .asc.

9. После сохранения можно закрыть вкладку Mailvelope.

10. Прикрепите зашифрованные файлы к вашему письму в качестве вложений (как вы это делаете обычно) и отправьте получателю.

XIII. Расшифровка файлов

1. Сохраните полученный вами зашифрованный файл (по умолчанию он имеет расширение .asc) в папку на диске.

2. Нажмите на значок Mailvelope в панели браузера.

Mailvelope - значок на панели браузера

3. Нажмите кнопку “Настройки” в выпадающем меню.

Mailvelope: главное меню

4. В верхнем горизонтальном меню нажмите “File Encryption”.

Mailvelope - меню работы с файлами

5. В левом столбце выберите “Decryption”.

Mailvelope - меню расшифровки файлов

6. Нажмите зеленую кнопку “Добавить” и выберите файл, который нужно расшифровать. Нажмите кнопку “Next”.

Mailvelope - расшифровка файла

7. В открывшемся окне введите пароль к своему секретному ключу и нажмите кнопку “ОК”.

Mailvelope - расшифровка файла

8. Расшифрованный файл помещен в окно Mailvelope. Нажмите кнопку “Сохранить все” и сохраните файл на диск.

XIV. Создание резервной копии связки ключей

Одна из самых распространенных ошибок – утрата ключей. Причиной может быть непоправимый выход из строя жесткого диска компьютера, случайное форматирование, кража или изъятие ноутбука. Бывает, что человек отправляется в поездку и забывает свои ключи на рабочем компьютере. Потеря ключей сравнима с потерей адресной книги. Утрата собственного секретного ключа приведет к тому, что вы не сможете прочесть все ранее полученные вами зашифрованные сообщения. Кроме того, ваш секретный ключ окажется скомпрометирован, его понадобится срочно заменить новым.

Ключи можно экспортировать поодиночке, как описано выше, но Mailvelope позволяет выполнить экспорт всей связки ключей. Мы рекомендуем делать резервные копии вашей связки ключей периодически, чтобы учитывать обновления.

1. Нажмите на значок Mailvelope в панели браузера.

Mailvelope - значок на панели браузера

2. Нажмите кнопку “Настройки” в выпадающем меню.

Mailvelope: главное меню

3. Нажмите кнопку “Экспорт” (над списком ключей). Откроется окно, в котором все готово для экспорта. Обратите внимание: вы экспортируете все ключи в вашей связке, включая свой секретный ключ.

Mailvelope - экспорт всей связки ключей

4. Нажмите кнопку “Сохранить” и сохраните файл с ключами на диске.

XV. Верификация (проверка) ключа

Вернемся к Ане и Борису. Представьте, что злодей Захар создал пару ключей и, перехватив открытый ключ Бориса, подсунул вместо него свой собственный открытый ключ. Есть риск, что Аня, не заметив подвоха, начнет шифровать письма открытым ключом Захара, думая, что это ключ Бориса. Таким образом Захар получит доступ к зашифрованной переписке.

Чтобы этого избежать, используется верификация (проверка подлинности) ключей.

Каждый шифровальный ключ имеет “отпечаток” – уникальный код, последовательность знаков. Отпечатки используют при верификации.

1. Свяжитесь со своим адресатом по другому каналу (например, в защищенном чате Jitsi Meet). Важно, чтобы этот канал был качественно иным, а вы могли быть уверены, что разговариваете именно с вашим респондентом. (Например, по голосу или видео).

2. Нажмите на значок Mailvelope в панели браузера.

Mailvelope - значок на панели браузера

3. Нажмите кнопку “Настройки” в выпадающем меню.

Mailvelope: главное меню

4. В строчке, соответствующей ключу вашего адресата, щелкните кнопку со значком “i”:

Mailvelope - кнопка для свойств ключа

5. Появится окно свойств ключа.

Mailvelope - свойства ключа

6. Попросите своего собеседника сделать то же самое.

7. Найдите в свойствах ключа поле “Отпечаток" и продиктуйте его содержимое (длинную последовательность знаков) собеседнику. Если значения совпадут, ключ настоящий.

XVI. Вопросы и ответы

ВОПРОС. Если я удалю Mailvelope с компьютера, что станет с зашифрованными письмами и файлами?

ОТВЕТ. С ними ничего не произойдет. И письма, и файлы останутся зашифрованными. Вы сможете их расшифровать (при наличии соответствующего секретного ключа), если снова установите Mailvelope или другую программу, которая поддерживает тот же стандарт шифрования.

ВОПРОС. Все ли типы файлов можно шифровать?

ОТВЕТ. Да. Вы можете зашифровать любой файл: и текстовый документ, и электронную таблицу, и архив, и фотографию, и звуковой файл.

ВОПРОС. Я забыл пароль к своему секретному ключу. Могу ли я как-нибудь восстановить пароль?

ОТВЕТ. Нет. Соответственно, вы не сможете расшифровывать полученные письма, которые были зашифрованы парным открытым ключом.

ВОПРОС. У меня вышел из строя жесткий диск, погибли все данные, в том числе шифровальные ключи. Можно ли как-нибудь получить доступ к зашифрованным текстам и файлам?

ОТВЕТ. Нет. Это еще один наглядный урок на тему “почему необходимо регулярно делать резервные копии”.

ВОПРОС. Я хотел отправить другу свой открытый ключ, но случайно отправил также и секретный ключ. Что делать?

ОТВЕТ: Считать эту пару ключей скомпрометированной и создать новую.

ВОПРОС. Я создал пару ключей, но теперь хочу поменять пароль. Можно ли это сделать?

ОТВЕТ: Это возможно в принципе, но не в Mailvelope.

ВОПРОС. Я хочу зашифровать письмо, но Mailvelope не предлагает ключ адресата. В чем дело?

ОТВЕТ. Возможны разные причины. Самая простая – неверно набранный адрес. Самая распространенная – открытый ключ адресата отсутствует в вашей связке ключей (не был импортирован). Mailvelope ищет в связке ключей нужный, ориентируясь на адрес e-mail. Бывали случаи, когда адресат при создании ключа указывал фальшивый адрес e-mail, либо указывал дополнительный адрес e-mail (которым вы обычно не пользуетесь для связи с этим человеком), либо делал ошибку в адресе. Наконец, возможна ситуация, когда у ключа оказывался ограниченный срок действия. Если вы верно набрали адрес, но проблема остается, убедитесь, что актуального открытого ключа адресата в вашей связке нет, и попросите вашего собеседника прислать свой открытый ключ.

ВОПРОС. Мне прислали зашифрованное письмо. Я пытаюсь его расшифровать, но Mailvelope говорит, что на моем компьютере нет нужного ключа для расшифровки. В чем дело?

ОТВЕТ. Возможны две причины. Менее вероятно, что ваши ключи каким-то образом оказались удалены из вашей связки ключей. Убедитесь, что ваша актуальная пара ключей находится в связке. Но чаще всего оказывается, что ошибку допустил отправитель: зашифровал письмо НЕ вашим открытым ключом (а, например, своим собственным). Попросите его отправить письмо снова, напомнив, что ему следует воспользоваться вашим открытым ключом.

ВОПРОС. Может ли Mailvelope работать на других браузерах, помимо Firefox и Chrome? Например, Opera или Safari?

ОТВЕТ. Нет. Только Firefox и Chrome.

ВОПРОС. Где Mailvelope хранит мои ключи?

ОТВЕТ. На вашем компьютере, в папке профиля. Mailvelope автоматически не загружает ключи на сервер, в облако и т.д.

ВОПРОС. Можно ли скрыть сам факт установки/наличия Mailvelope на компьютере?

ОТВЕТ: Поскольку Mailvelope – дополнение к браузеру, он присутствует в панели браузера и в списке установленных дополнений. Вы не сможете “просто” скрыть Mailvelope в браузере, если тот установлен обычным способом. Однако, вы можете загрузить портативную версию браузера, установить Mailvelope для этой версии, а сам браузер (вместе с Mailvelope) спрятать в защищенном от злодеев месте, например, в зашифрованом контейнере Veracrypt.

Версия для печати