È necessario utilizzare una password principale in Thunderbird se si utilizza OpenPGP

Gli utenti del client di posta elettronica Thunderbird che utilizzano la funzionalità di crittografia della posta elettronica incorporata nel programma devono impostare una password principale in Thunderbird per proteggere adeguatamente le proprie chiavi di crittografia.

Thunderbird ha introdotto il supporto per la crittografia delle e-mail utilizzando OpenPGP nella versione principale 78 . In precedenza, gli utenti di Thunderbird facevano affidamento su estensioni come Enigmail per utilizzare la crittografia durante la lettura e l’invio di e-mail nel client.

L’introduzione del supporto nativo ha reso le cose molto più semplici, in quanto significava che gli utenti potevano iniziare subito a crittografare le e-mail senza dover installare e configurare estensioni di terze parti, anche una volta buone come Enigmail.

Thunderbird 78.x supporta l’importazione di chiavi e anche la generazione di nuove chiavi. Gli utenti che hanno utilizzato la crittografia in precedenza per proteggere le e-mail potrebbero notare che Thunderbird non richiede una password di sblocco quando hanno bisogno di crittografare o decrittare i messaggi di posta elettronica nel client.

Kai Engert ha fornito un’analisi tecnica del funzionamento interno del sito di tracciamento dei bug di Mozilla tre mesi fa. Secondo lui, le chiavi segrete sono archiviate crittografate sul disco. Thunderbird genera automaticamente una password per tutte le chiavi e la memorizza anche crittografata sul disco.

Il problema è: la chiave non protetta è archiviata nel file key4.db nella directory di Thunderbird. In altre parole: chiunque abbia accesso al file può utilizzare le informazioni per decrittare i dati e alla fine ottenere l’accesso alle email crittografate.

Una pagina di supporto lo conferma :

Nel momento in cui importi la tua chiave personale in Thunderbird, la sblocciamo e la proteggiamo con una password diversa, che viene creata automaticamente (in modo casuale). La stessa password automatica verrà utilizzata per tutte le chiavi segrete OpenPGP gestite da Thunderbird. È necessario utilizzare la funzionalità Thunderbird per impostare una password principale. Senza una password principale, le tue chiavi OpenPGP nella directory del tuo profilo non sono protette.

L’unica protezione che Thunderbird offre contro questo tipo di minaccia è la password principale.

Solo impostando una password principale le informazioni in key4.db saranno protette e l’uso delle chiavi segrete di OpenPGP richiederà quindi di sbloccare una volta inserendo la password principale (per sbloccare key4.db, che ha le informazioni che possono quindi essere utilizzato per sbloccare la password automatica e le chiavi.)

Come impostare una password principale in Thunderbird

thunderbird imposta la password principale

Puoi impostare una password principale in Thunderbird nel modo seguente:

  1. Seleziona Strumenti> Opzioni in Thunderbird.
  2. Seleziona Privacy e sicurezza se non è già selezionato.
  3. Scorri verso il basso fino alla sezione delle password nella pagina che si apre.
  4. Seleziona “usa una password principale”.
  5. È possibile che venga richiesto di inserire la password / il pin del sistema operativo per procedere.
  6. Digita la password e ripetila per impostarla.

Tieni presente che è essenziale ricordare la password poiché sblocca l’accesso alle tue e-mail e ad altri dati archiviati in Thunderbird. Potresti prendere in considerazione l’utilizzo di un gestore di password come KeePass per salvare la password principale.

Altre opzioni

Esistono altri mezzi di protezione, ad esempio utilizzando la crittografia completa del disco per impedire l’accesso locale al file key4.db. Per questo può essere utilizzato un programma open source come VeraCrypt . È facile da configurare e può essere utilizzato per crittografare il disco di sistema e / o altre unità o partizioni.

Parole di chiusura

Il team di sviluppo può introdurre il supporto per la protezione delle chiavi OpenPGP utilizzando password definite dall’utente invece della singola password generata casualmente. Un bug è già disponibile ma non è chiaro se la modifica verrà introdotta o se non verrà implementata.

Gli utenti di Thunderbird che utilizzano la funzionalità OpenPGP incorporata potrebbero voler abilitare la funzionalità della password principale per proteggere i dati di Thunderbird da accessi non autorizzati. Mozilla dovrebbe considerare di informare gli utenti del fatto durante la configurazione o l’importazione iniziale.