#1 Сбор частей

Это руководство построено на программах со свободными лицензиями; они полностью прозрачны, и каждый может копировать их или создать свою собственную версию. Это делает их безопаснее с точки зрения слежки по сравнению с несвободными программами (такими как Windows). Подробнее о свободных программах можно узнать на сайте fsf.org.

Большинство операционных систем GNU/Linux уже содержат в своем составе GnuPG, таким образом, вам не нужно его получать отдельно. Однако перед настройкой GnuPG вам нужна будет установленная на вашем компьютере почтовая программа. Большинство дистрибутивов GNU/Linux предлагают к установке свободную версию почтовой программы Thunderbird. Это руководство подойдет как для этих версий, так и для самой программы Thunderbird. Почтовые программы — это другой способ работать с теми же учетными записями электронной почты (например, Gmail), к которым вы можете подключиться через браузер; только этот способ предоставляет дополнительные возможности.

Это руководство построено на программах со свободными лицензиями; они полностью прозрачны, и каждый может копировать их или создать свою собственную версию. Это делает их безопаснее с точки зрения слежки по сравнению с несвободными программами (такими как Mac OS). Мы рекомендуем вам перейти на свободную операционную систему, такую как GNU/Linux. Подробнее о свободных программах можно узнать на сайте fsf.org.

Для начала вам понадобится почтовая программа, установленная на вашем компьютере. Это руководство подойдет как для свободных версий почтовой программы Thunderbird, так и для самой программы Thunderbird. Почтовые программы — это другой способ работать с теми же учетными записями электронной почты (например, Gmail), к которым вы можете подключиться через браузер; только этот способ предоставляет дополнительные возможности.

Если почтовая программа у вас уже есть, можно переходить к Шагу 1.б.

Шаг 1.а Настройте почтовую программу для работы с вашей учетной записью

Откройте почтовую программу и следуйте подробным инструкциям мастера добавления учетной записи.

Неполадки

Мастер не запускается
Вы можете запустить мастера установки сами, но соответствующий раздел меню в разных программах называется по-разному. Кнопка для запуска мастера должна находиться в главном меню в разделе «Новый» (или подобном этому) и называться «Добавить учетную запись» или «Новая/существующая учетная запись».
Мастер установки не может найти мою учетную запись или не загружает мою почту
Перед поиском в Сети мы рекомендуем поспрашивать других людей, которые пользуются вашей почтовой системой, чтобы выяснить правильные настройки.

Шаг 1.б Установите GnuPG в составе GPGTools

GPGTools — это пакет программ, который содержит GnuPG. Скачайте и установите его, выбирая варианты по умолчанию каждый раз, когда программа задает вопрос. После завершения установки можно закрыть все открытые в процессе этого окна.

Шаг 1.б Установите GnuPG в виде GPG4Win

GPG4Win — это пакет программ, который содержит GnuPG. Скачайте и установите его, выбирая варианты по умолчанию каждый раз, когда программа задает вопрос. После завершения установки можно закрыть все открытые в процессе этого окна.

Шаг 1.б Установите плагин Enigmail

Шаг 1.в Установите плагин Enigmail

В меню почтовой программы выберите «Дополнения» (этот пункт может быть в разделе «Инструменты»). Убедитесь, что в левой части окна выбран пункт «Расширения». Видите Enigmail? Если да, то пропустите этот шаг.

Если нет, поищите «Enigmail» при помощи поисковой строки в правой верхней части окна. Отсюда его можно взять. Перезапустите программу, когда сделаете это.

Неполадки

Я не могу найти меню.
Во многих новых почтовых программах главное меню представлено изображением трех горизонтальных панелей друг над другом.

#2 Создание ключей

Для пользования системой GnuPG вам понадобится открытый и закрытый ключи (или так называемая пара ключей). Каждый из них представляет длинную последовательность случайных цифр и букв, которая уникальна. Ваш открытый и закрытый ключи связаны друг с другом особой математической функцией.

Ваш открытый ключ не похож на физический ключ, потому что он хранится в открытом каталоге в сети, называемом сервером ключей. Каждый может скачать ваш открытый ключ и пользоваться им при помощи GnuPG, чтобы шифровать отправляемые вам сообщения. Сервер ключей иначе можно представить себе как телефонную книгу, в которой люди, желающие отправить вам зашифрованное сообщение, ищут ваш открытый ключ.

Ваш закрытый ключ больше похож на физический ключ, потому что вы храните его у себя (на своем компьютере). Вы используете GnuPG со своим закрытым ключом для расшифровки присланных вам зашифрованных сообщений.

Шаг 2.а Создание пары ключей

Мастер настройки Enigmail может запуститься автоматически. Если этого не произошло, выберите «Enigmail → Мастер настройки» в меню своей почтовой программы. Если не хотите, можете не читать текст в появившемся окне, однако мы рекомендуем читать текст последующих окон мастера. Нажимайте «Далее», не изменяя выбранных по умолчанию настроек, за исключением следующих:

  • Во втором окне («Шифрование») выберите «Encrypt all my messages by default, because privacy is critical to me» («Шифровать все мои сообщения по умолчанию, потому что конфиденциальность для меня крайне важна»).
  • В третьем окне («Подпись») выберите «Don't sign my messages by default» («Не подписывать мои сообщения по умолчанию»).
  • В четвертом окне («Выбор ключа») выберите «Я хочу создать новую ключевую пару для подписи и шифрования своей почты».
  • В окне «Создать ключ» подберите сильный пароль! Ваш пароль должен состоять по меньшей мере из 12 символов и содержать хотя бы одну строчную и прописную буквы, а также хотя бы одну цифру или знак препинания. Не забывайте пароль, иначе вся эта работа пой��ет насмарку!

Программе понадобится некоторое время, чтобы завершить процесс «Создание ключа». Пока ждете, займите компьютер чем-нибудь другим, например, включите фильм или полистайте Интернет. Чем интенсивнее вы в это время используете компьютер, тем быстрее проходит создание ключа.

Когда появится окно «Создание ключа завершено», выберите «Создать сертификат» и сохраните его в безопасном месте на своем компьютере (мы рекомендуем вам создать каталог под названием «revocation-certificate» в своем домашнем каталоге и хранить сертификат там). Подробнее о сертификате отзыва вы узнаете в Разделе 5.

Неполадки

Я не могу найти меню Enigmail.
Во многих новых почтовых программах главное меню представлено изображением трех горизонтальных панелей друг над другом. Enigmail может находиться в разделе под названием «Инструменты».
Мастер сообщает, что не может найти GnuPG.
Откройте программу, которой обычно пользуетесь для установки программ, и поищите GnuPG, затем установите его. После этого перезапустите мастер настройки Enigmail, перейдя в раздел «Enigmail → Мастер настройки».

Шаг 2.б Отправьте свой открытый ключ на сервер

В меню вашей почтовой программы выберите «Enigmail → Управление ключами».

Щелкните правой кнопкой мыши по своему ключу и выберите «Отправить открытые ключи на сервер». Воспользуйтесь сервером ключей, указанным по умолчанию в появившемся окне.

Теперь тот, кто захочет отправить вам зашифрованное сообщение, сможет получить ваш открытый ключ из Интернета. Есть множество серверов ключей, которые можно выбрать в меню при выполнении этого действия, но все они являются копиями друг друга, поэтому неважно, какой из них вы используете. Однако иногда пересылка новых ключей между ними может занимать несколько часов.

Неполадки

Процесс не завершается
Закройте окно, убедитесь, что вы подключены к Интернету и попробуйте снова. Если это не помогло, повторите снова, выбрав другой сервер ключей.
Мой ключ не появляется в списке
Попробуйте включить настройку «Отображать все ключи по умолчанию».

GnuPG или OpenPGP?

Как правило, термины GnuPG, GPG, GNU Privacy Guard (англ. «охрана конфиденциальности GNU»), OpenPGP и PGP используются, как взаимозаменяемые. Строго говоря, Open PGP (Pretty Good Privacy — англ. «довольно хорошая конфиденциальность»)) — стандарт шифрования, а GNU Privacy Guard (часто сокращаемое до GPG или GnuPG) — программа, которая реализует этот стандарт. Enigmail — это плагин для почтовой программы, который обеспечивает ее связь с GnuPG.

#3 Проведите тест!

Сейчас вы попробуете провести тестовую переписку с компьютерной программой под названием Эдвард, которая умеет пользоваться шифрованием. За исключением нескольких отмеченных моментов, эта переписка будет включать те же шаги, которые вы предприняли бы при переписке с настоящим, живым человеком.

Шаг 3.а Отправьте Эдварду свой открытый ключ

Это особый шаг, который вам не придется выполнять при общении с настоящими людьми. Из меню вашей почтовой программы перейдите в «Enigmail → Управление ключами». В открывшемся списке вы должны увидеть свой ключ. Нажмите на него правой кнопкой мыши и выберите «Отправить открытые ключи по эл. почте». Будет создан черновик письма, как если бы вы просто нажали на кнопку «Создать».

В адресной строке укажите edward-ru@fsf.org. В теме и теле письма укажите хотя бы одно слово (какое хотите), затем нажмите «Отправить».

В нижнем правом углу окна составления письма должно появиться изображение желтого ключа. Это означает, что шифрование включено, но мы хотим, чтобы первое сообщение Эдварду было незашифрованным. Щелкните по изображению, чтобы выключить шифрование. Ключ должен стать серым с синей точкой (в знак того, что это не обычные настройки). Отключив шифрование, нажмите «Отправить».

Пока Эдвард ответит, может пройти две или три минуты. Тем временем вы могли бы перейти к разделу Пользуйтесь с умом данного руководства. После того, как он ответил, переходите к следующему шагу. С этого момента вы будете делать то же самое, что и при общении с настоящим человеком.

Когда откроете ответ Эдварда, Enigmail может запросить ваш пароль перед тем, как воспользоваться вашим закрытым ключом для расшифровки сообщения.

Шаг 3.б Отправьте зашифрованное письмо

Напишите новое письмо в своей почтовой программе, в поле «Кому» укажите edward-ru@fsf.org. В теме письма напишите «Тест шифрования» или еще что-нибудь и напишите что-нибудь в теле письма.

Изображение ключа, расположенное в нижнем правом углу экрана, должно быть желтым. Это означает, что шифрование включено. Теперь шифрование будет включено по умолчанию.

Рядом с ключом вы заметите изображение карандаша. Нажав на него, вы сообщите Enigmail, что к вашему сообщению необходимо добавить особую уникальную подпись, полученную при помощи вашего закрытого ключа. Это отдельная от шифрования функция, и вам не обязательно использовать ее в рамках этого руководства.

Нажмите «Отправить». Появится окно Enigmail с сообщением «Адресаты неверны, не найдены или к ним нет доверия».

Чтобы отправить зашифрованное сообщение Эдварду, вам понадобится его открытый ключ, так что сейчас вы с помощью программы Enigmail получите его с сервера ключей. Нажмите «Загрузить отсутствующие ключи», не меняя указанного по умолчанию сервера в следующем окне. После того как программа найдет ключи, выберите первый (ключ с идентификатором C09A61E8), а затем нажмите «OK». Нажмите «OK» в следующем всплывающем окне.

Теперь вы вернулись к окну «Адресаты неверны, не найдены или к ним нет доверия». Поставьте галочку напротив ключа Эдварда и нажмите «Send» («Отправить»).

Так как вы зашифровали сообщение при помощи открытого ключа Эдварда, для его расшифровки требуется его закрытый ключ. Закрытый ключ Эдварда есть только у него, так что никто, кроме него,— даже вы — не может расшифровать это сообщение.

Неполадки

Программа Enigmail не может найти ключ Эдварда
Закройте все появившиеся с момента отправки сообщения окна. Убедитесь, что вы подключены к Интернету и попробуйте снова. Если это не помогло, повторите процесс, выбрав другой сервер ключей.

Важно: Советы по безопасности

Даже если вы зашифровали свое письмо, строка с темой остается не зашифрованной, поэтому не пишите в ней ничего конфиденциального. Адреса отправителя и получателя также не зашифрованы, так что они могут читаться системами слежки. При отправке вложений программа Enigmail спросит вас, хотите ли вы их зашифровать.

Шаг 3.в Получите ответ

Когда Эдвард получит ваше письмо, он воспользуется своим закрытым ключом, чтобы его расшифровать, затем использует ваш открытый ключ (который вы отправили ему на шаге 3.а) для шифрования ответного сообщения.

Пока Эдвард ответит, может пройти две или три минуты. Тем временем вы могли бы перейти к разделу Пользуйтесь с умом данного руководства.

Когда вы получите ответ Эдварда и откроете его, программа Enigmail автоматически определит, что сообщение зашифровано вашим открытым ключом, и использует ваш закрытый ключ для его расшифровки.

Обратите внимание на панель с информацией о статусе ключа Эдварда, которую Enigmail показывает над сообщением.

#4 Добро пожаловать в Сеть доверия

Шифрование почты — техника мощная, но у нее есть слабая сторона: необходимо проверять, что открытый ключ действительно принадлежит данному человеку. В противном случае невозможно помешать злоумышленнику создать адрес с именем вашего знакомого и ключи для него, а потом выдавать себя за него. Именно поэтому программистами, которые разработали шифрование электронной почты, созданы подписи ключей и Сеть доверия.

Когда вы подписываете чей-то ключ, вы публично сообщаете, что верите, что он и принадлежит этому человеку, а не самозванцу. Тот, кто захочет воспользоваться вашим открытым ключом, увидит, сколько раз он был подписан. Когда вы пользуетесь GnuPG продолжительное время, у вас могут набраться сотни подписей. Сеть доверия — это созвездие всех пользователей GnuPG, связанных друг с другом в огромную сеть цепями доверия, выраженными в виде подписей. Чем больше у ключа подписей и чем больше подписей у подписавших его ключей, тем надежнее этот ключ.

Открытые ключи обычно идентифицируются при помощи отпечатка, который является последовательностью символов, например, F357 AA1A 5B1F A42C FD9F E52A 9FF2 194C C09A 61E8 (отпечаток ключа Эдварда). Вы можете проверить отпечаток своего открытого ключа и других открытых ключей, сохраненных на вашем компьютере. Для этого необходимо через меню вашей почтовой программы открыть пункт «Enigmail → Управление ключами», затем щелкнуть правой кнопкой мыши на ключе и выбрать «Свойства ключа». Мы рекомендуем вместе с адресом электронной почты сообщать отпечаток своего ключа, чтобы люди могли проверить, что получили с сервера ключей правильный открытый ключ.

Иногда на открытые ключи ссылаются также через их идентификаторы (ID), которые просто представляют собой последние 8 цифр отпечатка, например, C09A61E8 в случае Эдварда. Идентификатор ключа отображается сразу в окне «Управление ключами». Идентификатор ключа похож на имя человека (это удобное сокращение, но оно не уникально), тогда как отпечаток полностью уникален и безошибочно идентифицирует ключ. Если у вас есть только идентификатор, вы все равно сможете найти ключ (а также его отпечаток), как вы это делали на шаге 3. но если будет отображено несколько вариантов, вам понадобится отпечаток ключа человека, с которым вы хотите связаться, чтобы проверить, какой из них вам нужен.

Шаг 4.а Подпишите ключ

В меню почтовой программы откройте «Enigmail → Управление ключами».

Щелкните правой кнопкой мыши на открытом ключе Эдварда и выберите в контекстном меню пункт «Подписать ключ».

В появившемся окне выберите «Я не хочу отвечать» и нажмите «OK».

Сейчас вы должны вернуться в меню «Управление ключами». Выберите «Сервер ключей → Отправить открытые ключи» и нажмите «OK».

Только что вы фактически сообщили: «Я верю, что открытый ключ Эдварда действительно принадлежит ему». Это мало что означает, так как Эдвард не является настоящим человеком, но практика хорошая.

Важно: перед тем, как подписать чьи-либо ключи, обязательно установите их подлинность

Перед тем как подписать ключ человека, обязательно убедитесь, что ключ действительно принадлежит ему и что он является тем, за кого себя выдает. Попросите его показать документ (если только вы не доверяете ему полностью) и отпечаток открытого ключа, а не только короткий идентификатор, который также может относиться к другому ключу. Честно отвечайте на вопрос всплывающего окна Enigmail «Насколько тщательно вы проверили, что ключ, который вы собираетесь подписать, действительно принадлежит лицу(ам) указанному(ым) выше?»

#5 Используйте с умом

Каждый пользуется GnuPG немного по-своему, но чтобы обеспечить безопасность вашей электронной почты, важно следовать некоторым простым правилам. Если не соблюдать их, вы подвергаете риску конфиденциальность людей, с которыми общаетесь, как и свою собственную, а также повреждаете Сеть доверия.

Когда шифровать?

Чем чаще вы можете шифровать свои сообщения, тем лучше. Если вы будете шифровать сообщения только время от времени, каждое зашифрованное письмо, возможно, будет привлекать внимание систем слежки. Если все или большинство ваших писем зашифрованы, те, кто ведет слежку, не будут знать, с чего им начать.

Но это не значит, что шифровать лишь часть своих сообщений малоэффективно: для начала это неплохо, и это усложняет массовую слежку.

Важно: Остерегайтесь недействительных ключей

GnuPG делает почту безопаснее, тем не менее важно остерегаться недействительных ключей, которые, возможно, находятся в чужих руках. Если письмо зашифровано при помощи недействительных ключей, то не исключено, что его смогут прочесть программы слежки.

Запустите вашу почтовую программу и откройте второе письмо, которое вам отправил Эдвард. Так как Эдвард зашифровал его при помощи вашего открытого ключа, в верхней части сообщения будет уведомление от Enigmail, которое, скорее всего, гласит: «Enigmail: Часть этого сообщения зашифрована».

При пользовании GnuPG возьмите за правило просматривать такие уведомления. Программа предупредит вас, если вы получите сообщение, зашифрованное ключом, которому нельзя доверять.

Скопируйте свой сертификат отзыва в безопасное место

Помните, как вы создали себе ключи и сохранили сертификат отзыва, записанный программой GnuPG? Пришло время скопировать этот сертификат на самый безопасный внешний носитель, который у вас есть. Идеальным вариантом является флешка, компакт-диск или жесткий диск, который вы храните в своем доме в безопасном месте.

Если вы потеряете свой закрытый ключ или его украдут, вам понадобится файл с этим сертификатом, чтобы оповестить людей о том, что вы больше не пользуетесь этой парой ключей.

Важно: Если кто-то получит ваш закрытый ключ, действуйте без промедления

Если вы потеряете свой закрытый ключ или он попадет в чужие руки (например, в результате кражи или взлома вашего компьютера), важно сразу отозвать его, пока им не воспользовался кто-нибудь для чтения ваших зашифрованных сообщений. Процесс отзыва ключа не освещается данным руководством, мы рекомендуем вам следовать инструкциям с сайта GnuPG. После того как вы отозвали ключ, отправьте уведомление всем, с кем вы обычно ведете зашифрованную переписку при помощи данного ключа, чтобы они узнали об этом наверняка.