PGP в Evolution: как шифровать почту на Linux

Почему ваши письма не такие приватные, как кажется

Даже при использовании защищённых соединений (TLS) содержимое писем обычно хранится на почтовом сервере в доступном виде для провайдера. Это означает, что почтовые службы могут сканировать и анализировать ваши письма, использовать их для таргетинга рекламы или передавать третьим лицам по запросу. Даже при доверии к провайдеру сохраняются риски злоупотреблений со стороны сотрудников и риски внешнего доступа.

Важно: шифрование защищает содержимое сообщений, но не всегда скрывает метаданные (например, кому и когда вы писали), а также заголовки и строку темы, если они не специально зашифрованы.

Кратко о PGP в одной строке

PGP (Pretty Good Privacy) — это схема асимметричного шифрования: у вас есть публичный ключ (его можно публиковать) и приватный ключ (хранится только у вас). Сообщения, зашифрованные публичным ключом, может расшифровать только соответствующий приватный ключ.

Включите IMAP в Gmail (если используете Gmail)

Если вы используете Gmail с Evolution, сначала включите IMAP:

1. Откройте Gmail в браузере.
2. Нажмите значок шестерёнки в правом верхнем углу и выберите «Все настройки».
3. Перейдите во вкладку «Пересылка и POP/IMAP».
4. В разделе IMAP отметьте «Включить IMAP». Нажмите «Сохранить изменения».

Примечание: у корпоративных или учебных аккаунтов администратор может запрещать доступ через IMAP.

Установка и настройка Evolution

Evolution — популярный почтовый клиент для Linux. Установите его из репозиториев вашей дистрибуции, если он не установлен по умолчанию:

• Debian/Ubuntu: sudo apt install evolution
• Fedora: sudo dnf install evolution
• Arch: sudo pacman -S evolution

Запустите мастера настройки, введите адрес электронной почты. Evolution обычно автоматически подставляет настройки IMAP/SMTP для популярных провайдеров. После добавления аккаунта войдите и предоставьте авторизацию, если потребуется.

Генерация PGP-ключей в Seahorse или GnuPG

Seahorse — графическая обёртка над GnuPG для GNOME. Если Seahorse отсутствует, установите его через менеджер пакетов или Flatpak. Команда для Flatpak (если вы используете Flatpak):

flatpak install flathub org.gnome.seahorse.Application

Если вы предпочитаете консоль, используйте GnuPG:

gpg --full-generate-key

Рекомендации при создании ключа:

• Используйте надёжную фразу-пароль (passphrase) и храните её отдельно от ключа.
• Выберите RSA 3072 или RSA 4096 для хорошего баланса безопасности.
• Установите срок действия ключа, например 1 или 2 года, и обновляйте при необходимости.

После создания ключа в Seahorse или gpg-list вы увидите идентификатор ключа (Key ID).

Настройка Evolution для использования OpenPGP

1. В Evolution откройте меню (иконка «гамбургер») → «Правка» → «Параметры».
2. Выберите аккаунт, затем нажмите «Редактировать».
3. Перейдите в раздел «Безопасность». В поле «OpenPGP Key ID» вставьте идентификатор вашего ключа.
4. Выберите опции: подписывать письма всегда/никогда, шифровать по умолчанию и т. д.

Если вы выберете автоматическую подпись, Evolution будет запрашивать ввод фразы-пароля при отправке подписанных писем.

Импорт публичного ключа получателя

Чтобы отправить зашифрованное письмо кому-то, вам нужен публичный ключ получателя. В Seahorse это делается так:

1. Откройте Seahorse.
2. Меню → «Найти удалённые ключи».
3. Введите имя или email получателя, нажмите Enter.
4. Выберите нужный ключ и импортируйте его.

Альтернатива — если у вас есть файл ключа (.asc), импортируйте его через Seahorse или командой:

gpg --import publickey.asc

Отправка и приём зашифрованных писем в Evolution

1. Создайте новое письмо в Evolution.
2. Добавьте адрес получателя (его публичный ключ должен быть импортирован).
3. В меню письма: «Параметры» → «PGP Encrypt» (включите шифрование). При необходимости включите «Sign» (подпись).
4. Нажмите «Отправить». Письмо будет зашифровано с использованием публичного ключа получателя.

Если публичного ключа для адреса нет, отправка зашифрованного письма не получится. Evolution автоматически расшифровывает входящие письма, если у вас есть соответствующий приватный ключ.

Когда PGP не спасёт от всех угроз

• Метаданные: PGP обычно не шифрует заголовки, пути доставки и строку темы (в зависимости от клиента). Серверы и провайдеры всё ещё видят адреса отправителя и получателя, время и размер сообщений.
• Уязвимость приватного ключа: компрометация приватного ключа делает защиту бессмысленной — следуйте процедурам немедленной отзыва ключа.
• Совместимость: некоторые почтовые клиенты или веб-интерфейсы не поддерживают OpenPGP корректно. Резервный план — обмен ключами вручную и использование Gnupg для шифрования файлов.

Альтернативы и дополнения к PGP

• S/MIME: основан на сертификатах X.509, часто используется в корпоративной почте. Прост в централизованной среде, но требует доверенного центра сертификации.
• Защищённые почтовые сервисы (ProtonMail, Tutanota): предлагают сквозное шифрование и простой UX, но требуют перехода на их платформу.
• End-to-end мессенджеры (Signal, Wire): для быстрых диалогов и файлов лучше подходят мессенджеры, а не электронная почта.

Практические советы и чек-лист перед массовым переходом

Чек-лист для пользователя:

• Сгенерировать ключ с надёжной фразой-паролем.
• Экспортировать публичный ключ и добавить в подпись электронной почты.
• Сделать резервную копию приватного ключа и хранить её в защищённом месте (например, зашифрованный контейнер или аппаратный носитель).
• Импортировать публичные ключи доверенных контактов.
• Настроить автоматическое шифрование для приватной переписки.

Чек-лист для администратора:

• Документировать политику сроков действия ключей и процедуру отзыва.
• Обеспечить обучение пользователей по безопасному хранению паролей и ключей.
• Настроить мониторинг и инвентаризацию публичных ключей в организации.

SOP: резервное копирование, отзыв и ротация ключей (короткий план)

1. Резервное копирование приватного ключа: экспорт в зашифрованный файл и хранение на внешнем носителе в сейфе.
2. Ротация ключей: за 30–60 дней до истечения срока генерировать новый ключ и оповестить контакты.
3. Отзыв скомпрометированного ключа: немедленно сгенерировать и распространить список отозванных ключей (revocation certificate). Публиковать сертификат отзыва в ключевых серверах и на личных ресурсах.

Команды для работы с GnuPG:

# Посмотреть ключи
gpg --list-keys

# Экспорт публичного ключа в ASCII
gpg --armor --export you@example.com > publickey.asc

# Экспорт приватного ключа (только для резервного копирования)
gpg --armor --export-secret-keys you@example.com > privatekey.asc

# Импорт ключа
gpg --import publickey.asc

# Создать сертификат отзыва
gpg --gen-revoke you@example.com > revoke.asc

Важно хранить revoke.asc в надёжном месте и генерировать его заранее на случай компрометации.

Сценарий инцидента: компрометация приватного ключа (короткая инструкция)

1. Немедленно перестать подписывать/расшифровывать скомпрометированным ключом.
2. Опубликовать сертификат отзыва на ключевых серверах (hkp) и в вашей открытой подписи/профиле.
3. Уведомить контакты о компрометации и попросить не доверять письмам, подписанным старым ключом.
4. Сгенерировать новый ключ и распространить публичный ключ среди контактов.

Тесты и критерии приёмки

Минимальные критерии приёмки настройки:

• Отправитель может зашифровать сообщение публичным ключом получателя и отправить через Evolution.
• Получатель с соответствующим приватным ключом расшифровывает сообщение в Evolution или другом совместимом клиенте.
• Если публичного ключа нет, попытка отправки зашифрованного письма должна быть заблокирована или выдать понятное предупреждение.

Тесты:

1. Отправка зашифрованного письма между двумя локальными аккаунтами.
2. Отправка письма подписанного и зашифрованного — проверка подписи и целостности.
3. Проверка обработки отозванного ключа.

Модель принятия решений (flowchart)

flowchart TD
  A[Нужно шифровать почту?] -->|Да| B{Удобство vs безопасность}
  B -->|Максимальная безопасность| C[Использовать PGP + аппаратный ключ]
  B -->|Умеренная безопасность| D[PGP через Evolution/Seahorse]
  B -->|Простота и миграция| E[ProtonMail / Tutanota]
  C --> F[Резервные копии и отзыв]
  D --> F
  E --> G[Переезд и обучение пользователей]

Совместимость и мобильные клиенты

• На Android популярные клиенты: K-9 Mail + OpenKeychain для OpenPGP.
• На iOS встроенного широкого клиентского OpenPGP мало; обычно используют внешние решения или веб-интерфейсы сервисов с E2E.
• Убедитесь, что используемые мобильные клиенты поддерживают PGP/MIME для корректной работы с вложениями.

Правовые и конфиденциальные замечания

Шифрование защищает содержимое, но в некоторых юрисдикциях доступ к метаданным может требоваться по закону. Если вы оперируете персональными данными граждан ЕС, учтите требования GDPR: шифрование — рекомендованная мера минимизации рисков утечки, но нужно документировать процессы и риски.

Быстрые шаблоны для подписи и подписи в письме

Пример подписи с публичным ключом:

--
Иван Петров
Email: ivan@example.com
PGP: 0x1234ABCD
Публичный ключ: https://example.com/ivan-pubkey.asc

Заключение

PGP в связке Seahorse + Evolution даёт надёжный уровень защиты содержимого писем и избавляет от массового сканирования со стороны провайдеров. Это требует небольшого первоначального усилия: сгенерировать ключ, сделать резервную копию, обменяться публичными ключами с контактами и настроить клиент. В качестве дополнения рассмотрите аппаратные ключи (например, YubiKey) для повышения безопасности приватного ключа.

Важно: шифрование — это часть общей стратегии безопасности. Не забывайте о резервных копиях, процедуре отзыва ключей и обучении контактов.

Краткие рекомендации:

• Начните с шифрования личных и конфиденциальных писем.
• Сохраняйте приватный ключ в защищённом месте.
• Обменивайтесь публичными ключами заранее и проверяйте их отпечатки.

Важно: PGP защищает содержание письма, но не метаданные: при необходимости защиты метаданных используйте дополнительные методы и сервисы.