Существует ли универсальный ключевой сервер для пользователей Microsoft Outlook и Thunderbird?
Шифрование электронной почты с помощью OpenPGP становится всё более популярным способом защитить переписку. Однако, практическое применение шифрования часто осложняется непониманием, как обмениваться публичными ключами между пользователями различных почтовых клиентов, особенно между Thunderbird и Microsoft Outlook. В этой статье мы разберёмся, есть ли универсальный ключевой сервер для поиска публичных ключей, и как работает поддержка шифрования в популярных почтовых клиентах.
Проблема: обмен публичными ключами между почтовыми клиентами
Для того, чтобы отправить зашифрованное письмо по схеме OpenPGP, необходимо получить публичный ключ получателя, чтобы зашифровать сообщение. Получатель в свою очередь использует свой приватный ключ, чтобы расшифровать письмо. Идея ключевых серверов (keyservers) состоит в том, чтобы централизованно хранить и раздавать публичные ключи, облегчая их поиск.
Пользователям Thunderbird такой процесс относительно удобен: клиент интегрирован с OpenPGP и умеет взаимодействовать с ключевыми серверами. Возникает вопрос — есть ли аналогичный механизм для пользователей Microsoft Outlook, учитывая, что большинство из них может не знать про шифрование и не использовать специально настроенные ключи?
Реальность поддержки OpenPGP и ключевых серверов в Outlook и Thunderbird
Вариант 1. Нет универсального ключевого сервера для Outlook-пользователей.
Важно понимать, что ключевые серверы не зависят от конкретного почтового клиента — это независимые сервисы сети, которые могут использовать разные приложения. Thunderbird самостоятельно интегрируется с такими серверами, поддерживает OpenPGP и даже реализует дополнительные механизмы (например, Autocrypt), чтобы упростить обмен публичными ключами.
Однако Outlook из коробки не поддерживает OpenPGP и не умеет напрямую обращаться к ключевым серверам. Для работы с OpenPGP в Outlook нужны дополнительные плагины, такие как те, что поставляются с проектом Gpg4Win. Без них Outlook не сможет ни найти публичные ключи на ключевых серверах, ни использовать их для шифрования письма.
Outlook поддерживает другой стандарт шифрования — S/MIME, он же основанный на сертификатах X.509. Этот стандарт никак не связан с PGP/OpenPGP, а ключевые серверы для него в привычном виде не существуют. Вместо этого используются корпоративные каталоги сертификатов (например, Microsoft Exchange Global Address List — GAL), которые позволяют автоматически получать сертификаты коллег внутри компании.
Пример:
Клиент Thunderbird может автоматом подтягивать публичный ключ коллеги с ключевого сервера и зашифровать для него письмо.
Outlook в корпоративной сети с Exchange может получить S/MIME сертификат коллеги из GAL и зашифровать письмо.
Для шифрования OpenPGP в Outlook нужны сторонние расширения.Некоторые дополнительные нюансы и пояснения
- Термины «ключевой сервер GPG» или «gpg keyserver» — не совсем корректны. Ключевые серверы работают с OpenPGP-форматом ключей, который поддерживается множеством реализаций, включая GnuPG (GPG) и RNP, используемый в современном Thunderbird.
- Thunderbird с версии 78 и выше использует не GnuPG напрямую, а библиотеку RNP для поддержки OpenPGP.
- GnuPG («gpg») также поддерживает S/MIME через отдельную команду
gpgsm, что показывает, что обе технологии (PGP и S/MIME) могут сосуществовать, но отличаются по стандартам и инфраструктуре. - Использование S/MIME предполагает наличие сертификатов, которые обычно выдаются централизованным удостоверяющим центром (CA), будь то коммерческий поставщик или корпоративный сервер.
Выводы и рекомендации
- Нет единого универсального ключевого сервера, специально для Outlook-пользователей. Концепция ключевых серверов OpenPGP не завязана на почтовом клиенте и работает везде одинаково, где есть поддержка OpenPGP.
- Microsoft Outlook по умолчанию не поддерживает OpenPGP и ключевые серверы. Для шифрования OpenPGP в Outlook необходимо использовать дополнительные плагины, например Gpg4Win.
- Outlook использует собственный способ шифрования — S/MIME, опираясь на корпоративные каталоги сертификатов и не взаимодействуя с OpenPGP-ключевыми серверами.
- Для пользователей Thunderbird обмен ключами относительно прост благодаря интеграции с OpenPGP и ключевыми серверами, а функция Autocrypt упрощает настройку.
- Если необходимо организовать совместное шифрование между Outlook и Thunderbird, стоит рассмотреть использование S/MIME, но это требует более сложной инфраструктуры сертификатов.
Таким образом, если вы хотите безопасно обмениваться зашифрованными письмами с пользователями Outlook, вам нужно либо договориться об использовании S/MIME, либо убедить пользователей установить OpenPGP-плагины. Универсального «ключевого сервера для Outlook» просто не существует, так как поддержка шифрования в Outlook базируется на иных технологиях.
