Mailvelope — расширение для браузеров Mozilla Firefox, Google Chrome, а также любых браузеров на основе Chromium. Mailvelope предназначен для веб-почты. Он позволяет надежно шифровать и расшифровывать email, включая вложения. Новый адрес email заводить не нужно. Ваш собеседник может пользоваться Mailvelope или любой другой совместимой шифровальной программой. Кроме того, с помощью Mailvelope можно шифровать отдельные файлы и добавлять к email цифровую подпись.
Перед тем, как использовать Mailvelope, советуем прочесть короткий иллюстрированный текст о шифровании с открытым ключом. Вы получите общее представление, как это работает.
Данное руководство состоит из двух частей. Первая часть — быстрый старт. Рассказываем, как установить Mailvelope, создать ключи, обменяться ими и начать зашифрованную переписку в Gmail. Вторая часть — дополнительная. Объясняем, как шифровать и расшифровывать отдельные файлы, экспортировать связку ключей, верифицировать ключи, использовать цифровую подпись, интегрировать Mailvelope в другие почтовые сервисы.
Часть 1. Быстрый старт
Установка Mailvelope
1. Запустите браузер.
2. Если у вас Google Chrome, Chromium или браузер на основе Chromium (Brave, Edge, Opera, Vivaldi и т.д.), зайдите на страницу Mailvelope для Chrome и нажмите кнопку «Установить». Появится дополнительное окно с информацией о разрешениях для Mailvelope. Нажмите кнопку «Добавить». Выберите в правом верхнем углу на панели инструментов браузера кнопку «Расширения» и нажмите значок булавки, чтобы добавить Mailvelope на панель инструментов.
3. Если у вас Firefox, зайдите на страницу Mailvelope для Firefox и нажмите кнопку «Добавить в Firefox». Появится дополнительное окно с информацией о разрешениях для Mailvelope. Нажмите кнопку «Добавить» (может быть «Установить расширение» в зависимости от браузера). Выберите в правом верхнем углу на панели инструментов браузера кнопку «Расширения» — «Закрепить на панели инструментов».
4. В правом верхнем углу браузера вы увидите маленький логотип Mailvelope.
Создание собственной пары ключей
Прежде, чем пользоваться шифрованием, нужно создать собственную пару шифровальных ключей.
1. Нажмите кнопку Mailvelope в панели браузера. Если вы уже работали c Mailvelope, появится рабочее меню, где нужно выбрать пункт «Ключи». Если вы делаете это впервые, появится приветственное окошко. Нажмите кнопку «Начнем!».
2. Откроется главное окно настроек Mailvelope, пункт «Управление ключами». Нажмите кнопку «Создать ключ».
3. Откроется окно создания ключей.
- Имя. Указывая настоящее имя, вы помогаете адресатам определить, чей это ключ. Так им легче будет выбирать нужный ключ для связи с вами. Если вы не хотите указывать свое настоящее имя (например, не желаете, чтобы посторонние люди, взглянув на ключ, узнали об использовании вами шифрования), можете придумать псевдоним. Но помните: вашему собеседнику придется держать в памяти, что «Baba Yaga» — это вы. Не всякая память справится с этой задачей, особенно когда ключей много. Имя (псевдоним) лучше писать на английском языке.
- Email. Лучше вводить реальный адрес — тот, который вы планируете использовать для зашифрованной переписки. Многие шифровальные программы, включая Mailvelope, используют email для «опознания» ключей. Если вы укажете фейковый адрес, ваши собеседники будут испытывать проблемы, шифруя для вас письма.
- Кнопка «Дополнительно» скрывает три опции не первой необходимости. Оставьте как есть (ниже мы о них расскажем).
- Придумайте и введите хороший пароль. Он будет защищать ваш секретный ключ и понадобится при расшифровке сообщений. Запомните этот пароль или сохраните в надежном месте, например, в менеджере паролей. Забытый или потерянный пароль восстановить нельзя.
- Повторите пароль. Введенные пароли должны совпадать.
- Галочку из поля «Загрузить открытый ключ на сервер ключей Mailvelope…» можно убрать. Ничего плохого в том, чтобы хранить открытый ключ на сервере ключей, конечно, нет. Но поскольку мы экспериментируем, возможно, не стоит торопиться загружать новый ключ на сервер.
- Нажмите кнопку «Создать».
4. Пара ключей успешно создана.
Значок пары ключиков слева от имени означает, что это пара: открытый ключ и парный ему секретный ключ. В будущем тут появятся и открытые ключи ваших собеседников. Всю совокупность ключей на устройстве часто называют «связкой ключей».
Экспорт собственного открытого ключа
Теперь нужно экспортировать открытый ключ и поделиться им с друзьями, чтобы они смогли отправлять вам зашифрованные письма. Экспортировать ключи можно по-разному. Мы рассмотрим экспорт ключа в файл.
1. Нажмите на значок Mailvelope в панели браузера.
2. В выпадающем меню выберите «Ключи».
3. Выберите в связке нашу пару ключей (пока ничего другого и не выберешь).
4. Нажмите кнопку «Экспорт».
По умолчанию выбрано «Открытый». Вы экспортируете только открытый ключ. Так и должно быть.
5. Нажмите кнопку «Сохранить» и сохраните файл на диске. Нажмите кнопку «Закрыть».
Сохраненный файл содержит ваш открытый шифровальный ключ. В названии файла должно быть ваше имя и суффикс «pub» (от «public» — напоминание, что ключ открытый). Отправьте ключ (например, обычным вложением email или в мессенджере) тому, с кем собираетесь переписываться.
Импорт открытого ключа собеседника
Перед началом переписки нужно получить и импортировать открытые ключи друзей и коллег. Тогда вы сможете посылать им зашифрованные письма.
1. Попросите собеседника прислать вам открытый ключ.
2. Нажмите на значок Mailvelope в панели браузера.
3. В главном меню Mailvelope выберите «Ключи».
4. Нажмите кнопку «Импорт». Появится вот такое окно:
5. Если ключ прислали вам в виде файла, нажмите кнопку «Выбрать файл», выберите на диске присланный вам файл и нажмите кнопку «Импорт ключей». Если ключ прислали в обычном тексте (в электронном письме, в мессенджере), скопируйте его полностью в буфер памяти и нажмите «Импорт ключа из буфера».
6. Во всплывающем окне нажмите «Подтвердить».
Теперь в списке (связке) ключей можно видеть как вашу пару ключей (William Wallace), так и импортированный ключ собеседника (Edward I).
Сделайте так со всеми имеющимися открытыми ключами ваших адресатов.
Интеграция Mailvelope с Gmail
Mailvelope легко интегрируется с некоторыми почтовыми веб-сервисами, включая Gmail. (Бесплатно лишь для обычных аккаунтов Gmail; пользователям Google Workspace придется заплатить за бизнес-версию Mailvelope). Эта функция позволяет буквально «внедрить» Mailvelope в интерфейс Gmail. Если вы только осваиваете Mailvelope, советуем именно этот вариант.
1. Нажмите на значок Mailvelope в панели браузера.
2. В верхней части выпадающего меню нажмите на значок шестеренки.
3. В открывшемся окне обратите внимание на левый столбец. Выберите в нем пункт «Gmail API» и убедитесь, что селектор «Интеграция Gmail API» включен.
4. Попробуйте зайти в редактор почты Gmail. Рядом с кнопкой создания нового письма появился знакомый значок Mailvelope:
5. Когда вы щелкнете по значку Mailvelope в первый раз, Google попросит подтвердить ваше решение интегрировать Mailvelope с почтой Google (несколько окошек). Возможно, придется перезагрузить страницу.
Отправка зашифрованного письма
1. Откройте Gmail и нажмите на круглый розовый значок рядом с кнопкой «Написать».
2. Откроется окно редактора Mailvelope. Можно написать сообщение и, если нужно, прикрепить файл(ы).
Вы можете отправить письмо одному или сразу нескольким адресатам. Просто начните вводить их email в поле «Получатель». Mailvelope будет по первым же символам искать и предлагать адреса в связке ключей (см. выше). Программа как бы говорит вам: «Да, для этого email у нас в связке есть открытый ключ». Такие адреса подсвечиваются зеленым. Если вы укажете email, для которого в связке нет ключа, Mailvelope подсветит ошибку красным. Исправьте ошибочный email или свяжитесь отдельно с адресатом и попросите прислать его открытый ключ.
3. Напишите название письма и содержание. При необходимости можете прикрепить файл(ы).
4. Нажмите кнопку «Отправить». Появится запрос на пароль к секретному ключу. Это необходимо для электронной подписи (см. ниже). Введите пароль и подтвердите отправку. Письмо будет отправлено адресату (или адресатам) в зашифрованном виде вместе с файлами-вложениями, тоже зашифрованными.
Вы могли обратить внимание на любопытный фон, которым обрамлен интерфейс составления письма. Это неспроста. Фон напоминает, что вы используете шифрование, а не просто пишете сообщение. Никто, включая Google, не видит содержание вашей переписки. Письма, которые хранятся на почтовом сервере, остаются зашифрованными и недоступными ни провайдеру, ни посторонним. Для всех, кроме вас и получателя, письмо будет выглядеть примерно так:
Расшифровка полученного письма
Зашифрованное письмо, пришедшее к вам на почту, будет выглядеть такой же абракадаброй, как на предыдущей картинке. Как его прочесть?
1. Откройте письмо в своей веб-почте. Вы увидите фон и логотип Mailvelope со словами «Показать сообщение».
2. Нажмите на значок. В открывшемся окне введите пароль к своему секретному ключу и нажмите кнопку «ОК».
3. Вы увидите расшифрованное сообщение.
Показ расшифрованного письма происходит «внутри» защищенного редактора Mailvelope, о чем напоминает фон. На сервере почтового провайдера письмо по-прежнему хранится зашифрованным.
Mailvelope может временно запомнить пароль к вашему секретному ключу на короткое время (вы видите соответствующую галочку в окне ввода пароля). По умолчанию это время — 30 минут, но его можно изменить в настройках Mailvelope. Опция удобная, если вам приходится просматривать подряд несколько зашифрованных писем. Но не оставляйте свой компьютер без присмотра и без защиты, пока Mailvelope держит ключ в своей памяти. Если к вашему компьютеру получит доступ посторонний, он сможет прочесть вашу зашифрованную переписку.
Часть 2. Дополнительная
Шифрование файлов
С помощью Mailvelope легко шифровать и расшифровывать отдельные файлы. Это может пригодиться в двух ситуациях:
- вы используете веб-почту, в которую Mailvelope не встраивается, и вам нужно отправить письмо с файлом-вложением;
- вы хотите использовать Mailvelopе для шифрования именно файлов (скажем, зашифровать важные архивы и отправить их на хранение в облако).
1. Нажмите на значок Mailvelope в панели браузера. В главном меню Mailvelope выберите пункт «Шифрование файлов».
2. Откроется окно «Шифрование данных».
- В строке «Получатель» выберите одного или нескольких людей, чьими ключами будет зашифрован файл. Вы можете выбрать свой собственный ключ, чтобы зашифровать файл для себя (например, для архивного хранения).
- В поле «Вложения» выберите нужный файл. Можно зашифровать сразу несколько файлов.
- Когда все будет готово, нажмите яркую кнопку «Зашифровать».
4. Появится окно с сообщением об успешном шифровании файла.
Щелкните по названию файла и сохраните его на диск. В зашифрованном файле будут сохранены имя и расширение оригинала, но сверх того добавлено собственное расширение .gpg.
Расшифровка файла
1. Нажмите значок Mailvelope в панели браузера.
2. В главном меню Mailvelope выберите пункт «Шифрование файлов».
3. В верхнем горизонтальном меню выберите «Расшифровать».
4. В окне расшифровки файла нажмите кнопку «Выбрать файл». Выберите файл, который нужно расшифровать. Если зашифрованных файлов несколько, можете добавить все.
Нажмите кнопку «Расшифровать».
5. Введите пароль к секретному ключу.
Нажмите кнопку «ОК».
6. В открывшемся окне вы увидите расшифрованный файл. Осталось нажать кнопку и сохранить файл на диск.
Создание резервной копии связки ключей
Одна из самых распространенных проблем — утрата ключей. Причиной может быть выход из строя жесткого диска компьютера, случайное форматирование, кража, изъятие ноутбука. Потеря ключей хуже потери адресной книги. Утрата собственного секретного ключа приведет к тому, что вы не сможете прочесть все ранее полученные вами зашифрованные сообщения. Вдобавок ваш секретный ключ окажется скомпрометирован, его понадобится срочно заменить новым.
Ключи можно экспортировать поодиночке, как описано выше. Однако Mailvelope позволяет экспортировать всю связку ключей.
1. Нажмите на значок Mailvelope в панели браузера.
2. В главном меню Mailvelope выберите «Ключи».
3. В окне управления ключами нажмите кнопку «Экспорт» (над списком ключей).
Откроется окно, в котором все готово для экспорта. Обратите внимание: на иллюстрации ниже вы экспортируете все ключи в вашей связке, включая свой секретный ключ. Слово «keyring» в названии файла лишний раз подчеркивает, что речь идет не об одном ключе, а о связке ключей.
4. Нажмите кнопку «Сохранить» и сохраните файл с ключами на диске. Советуем делать такие резервные копии время от времени.
Верификация (проверка) ключа
Предположим, собеседник отправил вам свой открытый ключ, но коварный злодей перехватил его и подменил своим собственным. Ничего не подозревая, вы будете отправлять приятелю зашифрованные письма, думая, что переписка защищена. Увы, эти письма будет перехватывать и читать злодей. Чтобы избежать такой беды, используется верификация (проверка подлинности) ключей.
Каждый шифровальный ключ имеет «отпечаток» – уникальный код, последовательность знаков. Отпечатки используют при верификации.
1. Свяжитесь со своим адресатом по надежному каналу (например, в защищенном мессенджере). Важно, чтобы этот канал был принципиально иным, а вы могли быть уверены, что разговариваете именно с вашим респондентом. Например, вы можете опознать его по видео.
2. Нажмите на значок Mailvelope в панели браузера.
3. Выберите в меню «Ключи».
4. В списке ключей щелкните по ключу вашего приятеля — тому, который нужно верифицировать. Появится окно со всеми свойствами ключа.
Самая нижняя строчка — отпечаток. Передайте его вашему собеседнику. Попросите его посмотреть у себя отпечаток его собственного ключа и сравнить с вашей версией. Если отпечатки совпадут, значит, ключ настоящий. Подобным образом вы можете проверить все остальные ключи.
Цифровая подпись
Цифровая подпись позволяет аутентифицировать письма и файлы. Получатель может быть уверен, что содержимое не было изменено «по дороге», и что автор действительно тот человек, за которого себя выдает. Для цифровой подписи нужен секретный ключ (соответственно, придется вводить пароль). Всякий, у кого есть парный открытый ключ, включая ваших адресатов, получив подписанное письмо, сможет убедиться, что оно подлинное.
Цифровая подпись включена в Mailvelope по умолчанию. Чтобы в этом убедиться, щелкните по значку Mailvelope, а в выпадающем меню — по значку шестеренки. Откроется окно настроек. В «Общих настройках» вы увидите пункт «Подписывать все исходящие сообщения». Если в этом пункте стоит галочка, значит, все исходящие зашифрованные письма будут дополнительно подписаны вашим секретным ключом.
Включать/отключать цифровую подпись можно также индивидуально — для отдельных писем. Когда будете составлять в Gmail зашифрованное письмо, нажмите кнопку «Настройки» в левом нижнем углу. Обратите внимание на пункт «Подписать сообщение как». Вы можете выбрать между вашим ключом и «Не подписано».
Если хотите лишь подписать сообщение, воспользуйтесь кнопкой «Только подпись». Нажав ее, вы отправите незашифрованное, но подписанное сообщение. Так его увидит получатель, у которого установлен Mailvelope:
Проверка подписи на стороне получателя происходит автоматически. Для этого не нужны никакие дополнительные действия. Зеленая точка говорит, что с подписью все в порядке.
Если предположить, что злоумышленник перехватил сообщение и внес какие-то изменения, то получатель непременно заметит обман. Зашифрованное письмо просто не расшифруется. А обычное письмо, но с цифровой подписью, придет в таком виде:
Получатель видит красную кнопку и сообщение о некорректной подписи. Значит, целостность письма нарушена. Как и где именно — неизвестно, однако сам факт такого нарушения говорит о перехвате почты. Отправитель и получатель должны обратить на это самое серьезное внимание.
Отдельные файлы при шифровании тоже можно подписывать цифровой подписью. (По умолчанию эта опция включена).
Интеграция Mailvelope с другими сервисами веб-почты
А если не Gmail?
Откройте в браузере редактор своей веб-почты для создания нового сообщения. Обратите внимание на правый верхний угол окна редактора (там, где вы обычно пишете текст письма). Видите кнопку Mailvelope — вот такую?
Если кнопка видна, отлично: Mailvelope интегрирован в вашу веб-почту по умолчанию. Можно отправлять зашифрованные письма. Но если кнопки нет, ее придется добавить вручную.
1. Нажмите значок Mailvelope в панели браузера.
2. В выпадающем меню нажмите значок шестеренки для доступа к настройкам. Выберите «Домены».
3. Нажмите кнопку «Добавить». Откроется окно с формой добавления сайта.
Введите в поле «Сайт» название вашего почтового провайдера (формат не имеет значения), а в поле «Домен» — ваш почтовый домен с маской «*.», как на картинке. Нажмите кнопку «ОК». Ваш почтовый провайдер будет добавлен в Mailvelope, а в редакторе веб-почты появится нужная кнопка Mailvelope. При наведении курсора она развернется:
Отправка и расшифровка письма выглядят так же, как описано выше, кроме вложений. К сожалению, чтобы отправить по email зашифрованный файл-вложение, придется его зашифровать отдельно и прикрепить к письму в качестве вложения.
Смена «фона безопасности»
Работа с шифрованными письмами и файлами происходит не в привычном (незащищенном) редакторе почтового интерфейса, а в собственном редакторе Mailvelope. Он отличается особым фоном. Глядя на экран, вы всегда знаете, что перед вами редактор Mailvelope, что данные внутри защищены. Вы всегда можете изменить этот фон.
1. Нажмите значок Mailvelope в панели браузера. В открывшемся выпадающем меню нажмите значок шестеренки, выберите «Фон безопасности».
2. Выберите изображение и цвет по вкусу. Нажмите кнопку «Сохранить».
Изменение свойств ключа
Некоторые свойства ключа можно изменить при создании новой пары ключей. Для этого в окне «Создать ключ» нужно нажать кнопку «Дополнительно».
Что здесь можно изменить?
- Алгоритм шифрования. Выбор между RSA и Curve25519. Последний лучше по всем параметрам (размер ключа, скорость расчетов и пр.), кроме совместимости. Если уверены, что собеседники используют современные шифровальные программы, можно выбрать Curve25519. Если такой уверенности нет (или вы не имеете представления, что они используют), лучше остановиться на значении по умолчанию: RSA.
- Длина ключа. Здесь можно всего лишь выбрать из двух значений: 2048 бит и (по умолчанию) 4096 бит. На наш взгляд, нет причины менять значение по умолчанию.
- Срок годности ключа. По умолчанию ключи бессрочны, но вы можете установить ограничение, скажем, 1 год или 2 года. После этого придется создавать новую пару ключей и рассылать собеседникам новый открытый ключ. Логика в этих действиях напоминает превентивную заботу о паролях. Представьте, что секретный ключ попадает в руки злоумышленника. Тот сможет расшифровать все сообщения, зашифрованные ранее парным открытым ключом. Воспрепятствовать этому нельзя. Но можно помешать тем, кто почему-либо не знает об инциденте, вечно пользоваться вашим старым открытым ключом, если установить срок годности. По истечении этого срока собеседники не смогут использовать этот ключ. (А вы, кстати, сможете использовать соответствующий секретный ключ для всех написанных ранее сообщений).
Пару настроек можно изменить у существующих секретных ключей. Откройте свою связку ключей (значок Mailvelope на панели браузера — пункт «Ключи») и нажмите на нужный ключ.
Здесь можно изменить срок годности и пароль.
Вопросы и ответы
| Шифрует ли Mailvelope тему сообщения email? |
Нет. Как и все подобные ему PGP-приложения, Mailvelope шифрует лишь содержание письма, но не тему. Помните об этом, пожалуйста, и не пишите в теме письма ничего важного/секретного.
| Что делать, если я хочу написать зашифрованное письмо, но в редакторе Mailvelope адрес получателя отображается не зеленым, а красным цветом? |
Открытого ключа этого адресата (с этим email) нет в вашей связке ключей. Попросите адресата прислать свой актуальный открытый ключ.
| Как быть, если мне пришло зашифрованное письмо, но я не могу его прочесть? Вижу сообщение о том, что отсутствует ключ для расшифровки. |
Ваш собеседник прислал вам письмо, зашифрованное чужим (не вашим) открытым ключом. Попросите собеседника зашифровать письмо вашим ключом.
| Если я удалю Mailvelope с компьютера, что станет с зашифрованными письмами и файлами? |
С ними ничего не произойдет. И письма, и файлы останутся зашифрованными — что на компьютере, что на почтовом сервере. Вы сможете их расшифровать (при наличии соответствующего секретного ключа), если снова установите Mailvelope или другую совместимую программу.
| Все ли типы файлов можно шифровать? |
Да.
| Я забыл пароль к своему секретному ключу. Могу ли я как-нибудь восстановить пароль? |
Нет.
| Я хотел отправить другу свой открытый ключ, но случайно отправил также и секретный ключ. Что делать? |
Считать эту пару ключей скомпрометированной, создать новую, экспортировать открытый ключ и отправить его другу (и всем, кому вы успели отправить прежний ключ).
| Где Mailvelope хранит мои ключи? В частности, мой секретный ключ? |
На вашем компьютере в зашифрованном файловом хранилище соответствующего браузера. Просто так «вытащить» ключи и посмотреть их содержимое в файловом менеджере не получится.
| Можно ли скрыть сам факт установки/наличия Mailvelope на компьютере? |
По умолчанию нет. Mailvelope — расширение браузера, он присутствует в панели браузера и в списке установленных расширений. Однако, вы можете использовать портативную версию браузера и запускать ее внутри зашифрованного контейнера Veracrypt. Тогда расширение, установленное в этом браузере, не будет видно посторонним.
| Работает ли Mailvelope на смартфонах? |
Нет, но на смартфон можно установить совместимое приложение и импортировать ключи с компьютера. Примеры таких приложений: OpenKeychain и «сопутствующий» почтовый клиент K-9 Mail (Android), iPGMail и Canary Mail (iOS).