Как использовать PGP в ProtonMail

TL;DR

PGP (Pretty Good Privacy) позволяет шифровать письма с помощью пары публичного и приватного ключей — только владелец приватного ключа может расшифровать сообщение. ProtonMail поддерживает OpenPGP нативно, поэтому можно обменяться публичными ключами внутри сервиса или прикрепить файл ключа к письму и доверить его для шифрования. Следуйте шагам ниже, чтобы настроить безопасную почту и проверить доверие к ключам.

Краткие ссылки

• Как работает PGP?
• Шаг 1: Поделиться публичным ключом
• Шаг 2: Доверить публичный ключ контакта
• Безопасное общение и рекомендации

Что такое PGP и как он работает

PGP — это схема шифрования с открытым ключом: одна пара ключей — публичный и приватный. Публичный ключ можно свободно распространять; приватный ключ хранится в секрете и используется для расшифровки и цифровой подписи.

• Простая дефиниция: PGP — метод защищённой передачи сообщений с помощью пары публичного/приватного ключей.
• Ключевая идея: отправитель шифрует сообщением с использованием публичного ключа получателя; расшифровать может только соответствующий приватный ключ.

Важно: никогда не разглашайте свой приватный ключ.

ProtonMail поддерживает OpenPGP встроенно, поэтому дополнительный плагин не обязателен для обмена PGP-совместимыми сообщениями внутри сервиса. В других почтовых клиентах обычно нужны расширения (например, FlowCrypt или Mailvelope).

Когда PGP нужен и когда не нужен

• Нужен: обмен конфиденциальной информацией с пользователями, не являющимися ProtonMail, если вы хотите, чтобы никто кроме получателя не имел доступа к содержимому.
• Не нужен: переписка между аккаунтами ProtonMail — такие сообщения уже защищены сквозным шифрованием ProtonMail.
• Ограничения: PGP защищает только содержимое письма и вложений, но не метаданные (заголовки, участники, время отправки), если это не реализовано отдельно.

Шаг 1: Поделиться вашим публичным ключом

1. Зарегистрируйтесь в ProtonMail и войдите в аккаунт.
2. Нажмите «Создать» (Compose) в левом верхнем углу, чтобы начать новое письмо.
3. Введите адрес получателя, с которым хотите установить зашифрованную связь.

4. Нажмите на выпадающее меню «Ещё» (More) и убедитесь, что отмечена опция «Прикрепить публичный ключ» (Attach Public Key).
5. Добавьте пояснение в тело письма — например, что вы прикрепляете публичный ключ и ожидаете ответ с ключом собеседника.
6. Чтобы не делать это вручную для каждого письма, включите автоматическое прикрепление ключа: Настройки → Безопасность → PGP → «Автоматически прикреплять публичный ключ».

Совет: прикрепляйте ключи как файлы в двух форматах (ASCII-armored и бинарный), если хотите быть совместимым с более старым ПО.

Шаг 2: Доверять публичному ключу контакта

1. Когда вам пришлют письмо с вложенным публичным ключом, ProtonMail уведомит об этом и предложит действие.
2. Нажмите «Доверять ключу» (Trust Key).
3. В появившемся окне убедитесь, что включена опция «Использовать для шифрования» (Use for Encryption). Это свяжет публичный ключ с адресом отправителя.
4. Если ключ прислан отдельно (не в письме), откройте «Контакты» (Contacts), создайте новый контакт с адресом отправителя и загрузите файл ключа вручную. Также выберите «Использовать для шифрования».

Примечание: проверка того, что публичный ключ действительно принадлежит указанному человеку (а не подменён третьей стороной), — это отдельная стадия доверия. Самый надёжный способ — подтвердить ключ другим каналом связи (лично, через звонок или через проверенный веб-ресурс контакта).

Теперь общайтесь безопасно

После обмена ключами ProtonMail автоматически шифрует и расшифровывает сообщения, когда ключи связаны с адресами в вашем адресном списке. Знак того, что сообщение зашифровано с помощью PGP — зелёный значок замка в поле «От»; почта от других пользователей ProtonMail помечается фиолетовым значком замка.

Мини-методология установки PGP в ProtonMail

1. Соберите список контактов, с которыми нужен PGP.
2. Отправьте/получите публичные ключи и попросите подтвердить владение ключом другим каналом.
3. В адресной книге сопоставьте ключи с адресами и пометьте «Использовать для шифрования».
4. Проверьте, что при отправке виден зелёный значок замка.
5. Периодически обновляйте ключи и отзывайте устаревшие.

Чек-листы по ролям

Отправитель:

• Прикрепил публичный ключ или включил автоприкрепление.
• В тексте письма указал, что это публичный ключ.
• Убедился, что у получателя добавлен и проверен его публичный ключ.

Получатель:

• Получил ключ, проверил источник и нажал «Доверять ключу».
• Установил опцию «Использовать для шифрования» для этого ключа.
• Ответил отправителю своим публичным ключом.

Администратор (если корпоративный ProtonMail):

• Настроил политику обмена ключами и хранение резервных копий ключей организации.
• Обеспечил процедуру отзыва ключа и обновления у пользователей.

Рекомендации по безопасности и усиление защиты

• Храните приватный ключ в зашифрованном виде и используйте надежную парольную фразу.
• Делайте резервные копии приватного ключа и храните их в офлайн-месте.
• Регулярно проверяйте отпечатки ключей (fingerprint) при подтверждении подлинности.
• Не отправляйте приватный ключ по электронной почте.
• Обновляйте и отзывайте ключи, если есть подозрение на компрометацию.

Важно: PGP обеспечивает защиту содержимого, но не гарантирует анонимность отправителя или полную защиту метаданных.

Совместимость и альтернативы

Альтернативные подходы:

• Использовать S/MIME (обычно в корпоративных средах) — требует инфраструктуры доверенных сертификатов.
• Обмен зашифрованными вложениями через зашифрованные контейнеры (например, VeraCrypt).

Когда PGP не работает или неудобен

• Когда получатель не желает/не умеет работать с ключами — добавочная сложность для большинства пользователей.
• Когда нужно хранить письма в облаке, где администратор может иметь доступ к метаданным.
• Когда требуется простая совместная работа над письмами или длительная история переписки в открытом виде.

Часто задаваемые вопросы

Нужно ли платить за PGP в ProtonMail?

Нет. PGP можно использовать как в бесплатных, так и в платных аккаунтах ProtonMail.

Защищены ли письма между ProtonMail-аккаунтами?

Да. Сообщения между ProtonMail-адресами уже защищены сквозным шифрованием ProtonMail.

Как проверить, что публичный ключ настоящий?

Лучший способ — подтвердить отпечаток ключа (fingerprint) через независимый канал: звонок, мессенджер или личная встреча.

Что означает зелёный и фиолетовый значки замка?

Зелёный значок: письмо зашифровано с помощью PGP. Фиолетовый значок: сообщение отправлено между аккаунтами ProtonMail и защищено внутренним механизмом сервиса.

Критерии приёмки

• Оба участника обменялись публичными ключами и отметили их «Использовать для шифрования».
• При отправке сообщения виден зелёный значок замка и получатель может расшифровать письмо.
• Приватные ключи защищены и есть резервные копии в доверенном месте.

Короткое объявление для команды (100–200 слов)

ProtonMail теперь можно использовать с OpenPGP без установки дополнительного ПО: прикрепляйте публичные ключи к письмам и принимайте ключи через «Контакты». Убедитесь, что вы и ваши партнёры подтвердили отпечатки ключей через другой канал. Это даёт дополнительный уровень защиты при обмене конфиденциальной информацией с внешними адресами. Для массовых развертываний централизуйте политику хранения ключей и процедуры отзыва.

Итог (резюме)

• PGP защищает содержимое письма с помощью публичного/приватного ключа.
• ProtonMail поддерживает OpenPGP нативно — достаточно обменяться публичными ключами и пометить их как «Использовать для шифрования».
• Всегда проверяйте отпечатки ключей и храните приватные ключи в безопасности.