Во-первых, письмо по пути к вам может быть прочитано кем-то ещё. Скажем, вы в социальной сети приняли участие в каком-то обсуждении (возможно, с ограниченным доступом), а сегодня в нём появилось новое высказывание. Или кто-то сообщил вам через социальную сеть конфиденциальную информацию. Или ещё что-то. А социальная сеть прислала вам по электронной почте письмо, процитировав в нём текст сообщения. Письмо по пути к вам пройдёт через разные узлы сети, и его сможет прочитать любой, у кого есть доступ к какому-либо из этих узлов.
Во-вторых, злоумышленник может прислать вам письмо, имитирующее письмо социальной сети. Да, присмотревшись к письму повнимательнее, вы можете понять, что оно ненастоящее; но всякое ли полученное электронное письмо вы внимательно исследуете?
А теперь представьте, что социальная сеть посылает вам свои письма зашифрованными, а на вашем компьютере эти письма автоматически расшифровываются: вы читаете эти письма, как и прежде, а больше никто прочитать их не может. Представьте также, что социальная сеть подписывает свои письма вам, и вы, открыв подписанное письмо, видите над его текстом краткое уведомление, настоящая подпись или поддельная. Не правда ли, было бы здо?рово? Что касается наличия такой функциональности у разных социальных сетей, у меня для вас три новости. Плохая новость: у Хабра такой функциональности нет. Ещё одна плохая новость: у большинства социальных сетей такой функциональности тоже нет. И, наконец, хорошая новость: у одной из социальных сетей такая функциональность есть; эта социальная сеть — Фейсбук.
Далее я объясняю, как воспользоваться этими замечательными возможностями. Текст написан так, чтобы быть понятным даже для совсем неопытных пользователей; не потребуется и знание иностранных языков. Да, я знаю, что аудитория Хабра не такова; статья адресована не столько хабровчанам, сколько их друзьям и знакомым.
Предпочитаемая мной почтовая программа — Thunderbird. Далее я основываюсь на предположении, что и вы его используете. Вам нужно установить дополнение к Thunderbird'у, называющееся Enigmail. Не тревожьтесь: ничего сложного.
Зайдите на сайт Enigmail'а (не обращайте внимания на англоязычность сайта — если Thunderbird у вас на русском языке, то Enigmail тоже будет на русском).
На странице вы увидите хорошо заметную ссылку «Download Enigmail Now». Нажмите на неё правой кнопкой мыши; в открывшемся меню нажмите левой кнопкой мыши на команду «Сохранить объект как…» (или, в зависимости от используемого вами броузера, «Сохранить ссылку как…» или похоже; в обоих случаях без кавычек) и скачайте файл, не меняя его название (запомните, куда вы его скачали).
Переключи?тесь на Thunderbird.
(Примечание. Далее я привожу действия, использующие строку меню. Те же самые функции доступны через нажатие кпопки с тремя чёрточками, находящейся чуть ниже правого верхнего угла окна. Опытные пользователи легко разберутся. Но если вы неопытный пользователь, а строка меню у вас выключена, то я советую вам её включить. Для этого нажмите упомянутую кнопку, далее «Настройки», далее «Строка меню».)
Откройте меню «Инструменты», а в нём «Дополнения».
В открывшейся вкладке нажмите на кнопку с колёсиком, в открывшемся меню выберите пункт «Установить дополнение из файла…». Укажите на скачанный вами файл (на всякий случай напомню, что название файла начинается с enigmail-, расширение .xpi). Будет выведен запрос; в окне запроса нажмите на кнопку «Установить сейчас». (Если вы подозреваете, что это вирус, то проверьте пятнадцатью антивирусами; если понимаете по-английски, то для полной уверенности можете проверить пятьюдесятью девятью антивирусами.)
В списке установленных дополнений появится ещё одно, а в строке меню появится заголовок ещё одного меню. Вкладку «Управление дополнениями» можно закрыть.
Откройте меню «Правка», а в нём «Настройки». В открывшемся окне «Настройки Thunderbird» перейдите на вкладку «Приватность».
Удостоверьтесь, что в разделе «Содержимое электронной почты» выключен пункт «Разрешить в сообщениях показ содержимого из Интернета»: если в соответствующем квадратике нет галочки, то так и оставьте, а если есть, то уберите её. В разделе «Enigmail Junior Mode» выберите пункт «Force using S/MIME and Enigmail» (при этом название меню «Enigmail/p?p» изменится на «Enigmail»).
Нажмите на кнопку «Закрыть» внизу окна «Настройки Thunderbird». Закройте Thunderbird, подождите несколько секунд и запустите его снова.
Откройте меню «Enigmail», а в нём «Менеджер ключей».
Откроется окно «Управление ключами Enigmail». Откройте меню «Вид» и удостоверьтесь, что пункт «Показать ключи от других людей» не отмечен (а если отмечен, нажмите на него, чтобы сбросить галочку). Возможно, ваши ключи созданы автоматически при установке Enigmail'а; если вы видите в графе «Имя» свои имя и адрес электронной почты, пропусти?те следующий абзац (до слов «Итак, у вас есть»).
Чтобы создать ключи, откройте меню «Создать», далее «Новую пару ключей». Откроется окно «Создание ключа OpenPGP».
Поставьте галку перед словами «Без пароля», а после слов «Срок действия ключа истекает через» исправьте «5» на «1». Внимательно прочитайте текст внизу окна и нажмите на кнопку «Создать ключ». Займитесь другими делами; после завершения создания ключа вернитесь в окно «Управление ключами Enigmail» (окно «Создание ключа OpenPGP» к тому времени закроется).
Итак, у вас есть пара ключей. Да, их два: приватный ключ (англ. private key) и публичный ключ (англ. public key). Полагаю, вам понятен смысл слов «приватный разговор» и «публичное заявление»: содержание приватного разговора не должно стать известно посторонним, содержание же публичного заявления должно стать известно широкому кругу людей. Разница между приватным ключом и публичным ключом такая же: приватный ключ следует спрятать и не показывать никому, а публичный ключ можно опубликовать (эти слова не случайно однокоренные). Приватный ключ также называют закрытым или секретным ключом, а публичный — открытым.
Нажмите правой кнопкой мыши свою пару ключей, в открывшемся меню нажмите левой кнопкой мыши команду «Создать и сохранить сертификат отзыва». Выберите место для сохранения (можете изменить и предлагаемое имя файла на более самоочевидное для вас; например, revoke-key.txt) и нажмите «Сохранить». Будет выведено сообщение на английском языке;
вот его перевод: «Сертификат отзыва успешно создан. Вы можете использовать его, чтобы сделать недействительным ваш публичный ключ; например, в случае, если бы вы потеряли ваш секретный ключ».
Снова нажмите правой кнопкой мыши свою пару ключей, в открывшемся меню нажмите левой кнопкой мыши команду «Экспортировать ключи в файл». Откроется небольшое окно с вопросом «Вы хотите включить закрытый ключ в сохраняемый файл ключа OpenPGP?» Нажмите в этом окне кнопку «Экспорт закрытых ключей»; выберите место для сохранения (здесь вы тоже можете изменить предлагаемое имя файла на более самоочевидное для вас; например, private-key.txt) и нажмите «Сохранить».
Будет выведено сообщение «Ключи были успешно сохранены»; нажмите в нём кнопку «Закрыть».
Спрячьте два только что сохранённых файла куда-нибудь, где вы легко их найдёте, а кто-то ещё — вряд ли. Например, если в глубине стола или шкафа у вас лежит флешка, которую вы никуда не но?сите и на которой храните важные секретные файлы, то переместите эти два файла на эту флешку.
Снова нажмите правой кнопкой мыши свою пару ключей, в открывшемся меню снова нажмите левой кнопкой мыши команду «Экспортировать ключи в файл». Но на этот раз нажмите кнопку «Экспорт только открытых ключей»; выберите место для сохранения (здесь вы тоже можете изменить предлагаемое имя файла на более самоочевидное для вас; например, public-key.txt) и нажмите «Сохранить». Будет выведено сообщение «Ключи были успешно сохранены»; нажмите в нём кнопку «Закрыть». В отличие от двух предыдущих, этот файл прятать не требуется.
Итак, кульминационный момент. Переключи?тесь в броузер и идите в Фейсбук. У верхнего края страницы справа вы видите несколько значков. Нажмите на крайний правый из них, имеющий вид указывающего вниз маленького треугольничка. Переведите указатель вниз и нажмите строку со словом «Настройки».
На следующей странице слева находится оглавление; нажмите строку «Безопасность и вход». Следующую страницу прокрути?те до конца; в са?мом низу страницы находится группа «Расширенные настройки», в ней нажмите строку «Зашифрованные электронные письма с уведомлениями».
Появится поле ввода. Внизу страницы, над кнопкой «Сохранить изменения», находится фраза «Скачать открытый ключ Facebook можно здесь», в которой слово «здесь» является ссылкой; нажмите эту ссылку правой кнопкой мыши и выберите команду «Копировать ссылку».
Переключи?тесь в окно «Управление ключами Enigmail»; откройте меню «Правка» и в нём «Импорт ключей по URL».
В появившемся приглашении нажмите правой кнопкой в поле ввода, далее выберите «Вставить»; нажмите «OK», ещё раз «OK» и ещё раз «OK».
Снова нажмите правой кнопкой мыши свою пару ключей, в открывшемся меню нажмите левой кнопкой мыши команду «Скопировать открытые ключи в буфер обмена».
Переключи?тесь в броузер; нажмите правой кнопкой в поле ввода, далее выберите «Вставить». Прокрути?те страницу вниз; удостоверьтесь, что установлена галочка рядом со словами «Использовать этот открытый ключ для шифрования уведомлений, которые Facebook отправляет на ваш эл. адрес?» (если её нет, поставьте). Нажмите кнопку «Сохранить изменения».
Вскоре Фейсбук пришлёт вам письмо; над текстом письма вы увидите: «Расшифрованное сообщение; Хорошая подпись от Facebook, Inc.».
Письмо на английском языке. Вот перевод:
Перед вами письмо, чтобы помочь вам включить зашифрованные почтовые уведомления для вашей учётной записи в Фейсбуке.Строка «Yes, encrypt notification emails sent to me from Facebook» (Да, шифруйте почтовые уведомления, посылаемые мне Фейсбуком) является ссылкой; если вы не передумали, перейдите по этой ссылке. Теперь письма, посылаемые вам, Фейсбук будет подписывать своим приватным ключом и шифровать вашим публичным ключом.
Если вы предпочитаете не включать зашифрованные почтовые уведомления от Фейсбука, вы можете просто проигнорировать это сообщение.
Если вы вклю?чите зашифрованные почтовые уведомления, Фейсбук начнёт шифровать направляемые вам почтовые уведомления вашим публичным ключом. В их числе могут быть почтовые уведомления для восстановления учётной записи.
БУДЬТЕ ОСТОРОЖНЫ: Если однажды в будущем вы не сможете расшифровывать ваши почтовые уведомления для восстановления учётной записи и одновременно лишитесь доступа в Фейсбук, вы можете оказаться не в состоянии восстановить вашу учётную запись в Фейсбуке.
Чтобы продолжить включение шифрования почтовых уведомлений, пожалуйста, нажмите эту ссылку:
Да, шифруйте почтовые уведомления, посылаемые мне Фейсбуком.
У меня есть для вас ещё одна хорошая новость: подписывать и шифровать письма может не только Фейсбук. Любой из ваших знакомых может послать вам письмо, подписанное его приватным ключом и зашифрованное вашим публичным ключом — конечно, если у него есть Enigmail (или другая программа с такой функциональностью) и ваш публичный ключ; прочитать это письмо сможете только вы. Точно так же вы можете послать кому-нибудь письмо, подписанное вашим приватным ключом и зашифрованное его публичным ключом. Но об этом — в другой раз.
Комментарии (8)
aliprofi
20.03.2019 16:33Вчера удалился из Фейсбук. До этого из Твиттера, ВК и ОК. Так же из Tumbrl и Мой мир. Осталось снести Инстаграмм и пару соц сетей, о которых я и не помню.
Жить стало радостнее, жить стало веселее…Gamliel_Fishkin Автор
20.03.2019 16:39Разумно. Но у переписки, которую Вы ведёте по электронной почте, есть те же самые две проблемы: письма могут быть прочитаны посторонними; от имени человека может прийти то, что он не посылал.
Kanut
20.03.2019 16:39Извините, но мне кажется что большинство людей мало волнует насколько защищены от третьих лиц сообщения, которые присылает им фейсбук. Их скорее интересует насколько сообщения, которые они на фейсбуке посылют другим людям, защищены от самого фейсбука :)
Gamliel_Fishkin Автор
20.03.2019 16:45Что касается первого, они просто не осознаю?т проблему. Что до второго — совсем не защищены (поэтому переписку лучше вести не в социальных сетях).
Samver
А как в таком случае читать такие сообщения на мобильном, в различных браузерах и на других компьютерах?
Да и о какой приватности идёт речь в случае использования социальной сети (не подконтрольный ресурс торгующий данными пользователей)?
Gamliel_Fishkin Автор
Существуют разные программы, поддерживающие стандарт OpenPGP (описан в 1998 году в RFC 2440, в 2007 году в RFC 4880). Среди них есть и самостоятельные приложения для разных операционных систем, и расширения для почтовых программ, и расширения для броузеров. Использование одного и того же стандарта обеспечивает совместимость как по формату ключей (экспортировав ключ из одной программы, можно импортировать его в другую), так и по формату зашифрованных/подписанных писем.
Насчёт второго согласен, но отказ от использования социальных сетей — подвиг, на который способны немногие. Многие люди всерьёз уверены, что человек, не присутствующий в социальных сетях, опасен для общества; бывают случаи (подробностей не помню), когда человека не берут на работу по причине его отсутствия в социальных сетях. Часто человеку приходится выбирать не между добром и злом, а между бо?льшим и меньшим злом.
Samver
Постарался тонко намекнуть, что для обывателя все эти процедуры будут непростыми и не стоит так беспокоиться о письмах от фейсбука. В целях общего образования — да.
С ключами ведь надо обращаться бережно: хранить, бэкапить. Да и в целом все это накладывает ряд ограничений по жизни, на что многие не пойдут, либо со временем забросят.
Gamliel_Fishkin Автор
> для обывателя все эти процедуры будут непростыми
Я в общем-то и не надеюсь, что многие запомнят и научатся устанавливать Enigmail, создавать ключи и т.д. Но эта первоначальная настройка требуется достаточно редко, и её можно выполнить по пошаговой инструкции «для чайников» (как говорится, настроил и забыл). Возможно, подобные инструкции некоторые неопытные пользователи воспринимают как своего рода магический ритуал: они выполняют не вполне понятные для себя действия и непостижимым для себя образом получают результат, которые и предполагали. При этом моя инструкция, в отличие от многих других инструкций, не предлагает делать то, чего неопытные пользователи боятся: вводить команды в терминал, редактировать конфиги, использовать хоткеи — практически всё делается родной и знакомой для них мышью.
> не стоит так беспокоиться о письмах от фейсбука
Использование OpenPGP с письмами от Фейсбука в данном случае больше средство, чем цель. Если мы скажем Алисе, что, установив (например) Enigmail, она сможет обмениваться зашифрованными письмами с Бобом, когда он установит Enigmail, то Алиса, весьма вероятно, ответит, что, когда Боб установит Enigmail, она последует его примеру. Если же мы скажем Бобу, что, установив Enigmail, он сможет обмениваться зашифрованными письмами с Алисой, когда она установит Enigmail, то Боб, весьма вероятно, ответит, что, когда Алиса установит Enigmail, он последует её примеру. Если же они оба настроят получение от Фейсбука зашифрованных писем, тем самым они получат в своё распоряжение всё необходимое, чтобы в дальнейшем начать посылать зашифрованные письма друг другу.
> С ключами ведь надо обращаться бережно: хранить, бэкапить.
В моей инструкции об этом сказано, причём сказано так, чтобы не отпугнуть неопытных пользователей. В инструкции я не упоминаю подобные термины («бэкап», «резервное копирование»), а говорю про лежащую в глубине стола или шкафа флешку.
> все это накладывает ряд ограничений по жизни
А ещё существует такое: ограничение не перебегать дорогу перед мчащимся на огромной скорости автомобилем. Некоторые ограничения — не ограничения, а техника безопасности.