实现端到端电子邮件加密,促进个人信息安全
实现端到端电子邮件加密,促进个人信息安全
电子邮件安全是个人和企业信息安全的重要组成部分。本文将详细介绍如何使用Thunderbird这款跨平台开源电子邮件客户端实现端到端加密,保护邮件内容在传输过程中的安全性。
电子邮件中的个人隐私信息等内容安全不能保证,极容易造成个人或企业权益受到损害,端到端电子邮件加密是一种有效的防护手段,可以保证邮件内容在传输过程中不被非法读取。本文从安装Thunderbird这一跨平台开源电子邮件客户端开始,介绍如何配置Thunderbird代理163等在线邮件,并实现端到端邮件加密,提高日常生活、科研与办公安全水平。
安装Thunderbird
打开Thunderbird官方网站https://www.thunderbird.net/zh-CN,点击页面中央的下载按钮。
在弹出的下载页面中选择好软件界面的默认语言、版本以及操作系统,点击下载按钮下载到本地。
接下来双击本地的安装包,一路点击确定,完成Thunderbird邮件客户端的安装。
配置邮件服务器
为了在网络上有一个公开可用的接收电子邮件和发送电子邮件的地址,需要首先注册一个网易163邮箱、腾讯QQ邮箱,或者Windows Live邮箱之类的电子邮件服务。并从网页进入到自己的电子邮件配置界面,在电子邮件配置界面中开启POP3/SMTP等服务,使得可以在Thunderbird中添加在线电子邮件账户,作为你在线网易163邮箱、腾讯QQ邮箱,或者Windows Live邮箱的本地代理。
以腾迅QQ邮件为例,需要在邮件服务器上开启POP3/IMAP/SMTP协议,才能使用Thunderbird之类的邮件客户端收取网站上的邮件。
首先,从网页访问你的在线QQ邮箱,登录进去之后,点击配置,在配置界面中找到POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务这一节,在这个界面中选择开启服务。如下图所示。
在开启服务过程中可能会有短信码验证等环节。这些环节过后,最终会给出来一个验证码,这个验证码就是你后面从Thunderbird登录QQ邮箱时的密码,需要记录下来。如下图所示。
对于QQ邮箱来说是配置一个授权码,即为登录的密码
此部分因各大在线电子邮件的配置界面而已。关于各大在线电子邮件服务商的电子邮件服务开启POP3/SMTP服务的方法,在网络上已普遍存在,读者可自行搜索教程并循例配置。
Thunderbird中关联现有的邮件账户
打开前面安装好的Thunderbird,在右下角设置按钮(即那个齿轮形的图标),进入账户设置。在账户操作界面中选择添加账户,进入到设置现有的电子邮件地址页面。页面内容如下。
在这里可以输入你已经拥有的一个网易163邮箱、腾讯QQ邮箱,或者Windows Live邮箱的邮箱地址和邮箱密码,点击继续,完成账户的创建。
点击完成,即完成电子邮件账户的配置,并进入到刚才创建的电子邮箱的主页,在这里可以完成收信、发信等操作。
启用端到端加密
本节参考官方教程https://support.mozilla.org/zh-CN/kb/thunderbird-openpgp,使用GnuPG对邮件进行使用端到端加密和解密处理。
关于端到端加密的原理,可详见https://support.mozilla.org/zh-CN/kb/introduction-to-e2e-encryption。
首先,点击Thunderbird界面右下角的设置(齿轮形图标),并进入到隐私与安全标签页。划到最后面的电子邮件端到端加密选项,配置端到端加密。界面如下:
然后点击账户设置,进入账户设置,在设置界面中从左侧选中期望启用端到端加密的邮件账户,然后在账户下找到端到端加密选项,进入端到端加密配置页。在这里可以为端到端加密配置加密密钥。
在这个界面中,可以点击添加密钥,在右边使用密钥管理器添加密钥,可以选择添加密钥或者导入一个系统中已经存在的密钥。
创建OpenPGP密钥
如果没有密钥,则需要我们自行添加一个系统密钥。OpenPGP密钥不仅可以用于加密邮件,也可以用于加密本地文件或者文件夹。这里直接选择添加新密钥。关于复用已有的密钥,请读者自行搜索“安装配置GnuPG”相关教程。
在上面的端到端加密配置页中点击添加密钥...,进入到新建密钥界面。
在界面中选择新建OpenPGP密钥,然后点击继续按钮,进入到生成OpenPGP密钥界面。
在弹出的界面中,可以选择密钥类型为RSA,密钥大小为4096(密钥长度越长,安全强度越高),然后过期时间保持默认(可以设置为3年或者1年都可以)。但需要注意,密钥只能在过期之前使用,过期之后需要重新注册新的密钥或者重新签署密钥,读者可自行搜索“OpenPGP配置”相关教程。
然后点击生成,进入到确认界面,如下图所示:
点击确认按钮,开始生成密钥。注意,生成密钥可能需要比较长的时间,在这期间需要增加移动鼠标的次数,以便让系统收集到足够多的熵,使生成的密码足够随机。
稍微等待一会,接下来会回到端到端加密标签页,在这个标签页里面可以看到一个新的公钥,会显示该公钥的公钥名,以及到期时间。需要我们选中此密钥,表示该电子邮件已启用端到端加密,如下图所示。
发布公钥
- 别人在向你发送加密电子邮件的时候,需要使用你的公钥进行加密,然后你使用本地的私钥进行解密。而你通过Thunderbird向别人发送加密电子邮件的时候,需要知道对方的公钥才能加密电子邮件。
所以,密钥创建完成之后,一般可以点击发布按钮,将你的公钥公开发布,以便别人可以通过互联网下载你的公钥。Thunderbird默认会将会钥发布到vks://keys.openpgp.org,所以网络条件良好的情况下,成功发布公钥,会弹出如下对话框。
- 在网络情况不好或者离线的情况下,用户可以自行访问OpenPGP,从OpenPGP密钥管理器中手动导出公钥,将公钥发送给需要向你发送邮件的人。对方导入公钥之后,就可以向你发送加密邮件了。OpenPGP的界面参见下图。
配置加密方式
- 接下来可以在端到端加密中继续配置使用加密的方式,配置界面内容如下:
一般可以将各项设置都打勾。比如,选中签名未加密消息,这样即使是未加密的邮件也可以添加数字签名,表明消息经过本人确认,确实是本人发送的,并且内容没有被窜改。也可以选中添加OpenPGP数字签名时也附加我的公钥,以便没有你公钥的人员也可以随时接收加密电子邮件。
收发加密信件
为了收发信件,需要首先进入Thunderbird的写信界面。可以在用户电子邮件账户中选中写信,进入撰写邮件界面。
在界面中正常填入标题、附件以及邮件正文。写完之后,点击工具栏中的加密图标,就可以以加密的方式发送邮件了。(标题、正文还有附件都是加密的)。
需要注意的是,端到端加密需要知道对方的公钥。这个时候就会显示端到端的加密已经生效,就可以向对方发送加密的公钥。
如果使用Thunderbird客户端收到加密的信件,则Thunderbird会根据公钥自动解密邮件,收信人可以根据本地私钥进行透明的解密,并不需要手动操作。因此Thunderbird是一个很贴心的邮件客户端,可以无缝处理加密的邮件。
如果我们是从网页端访问邮件,则因为不知道解密的方法,看到的就是没有标题,只有两个附件,这两个附件都是加密的文件。
此外,我们还可以使用智能卡之类的设备进行更复杂的加密管理。