Thunderbird 78 系で GnuPG を使う【ただし不完全】

以前に「Thunderbird 78 で OpenPGP 署名・暗号化を行うのは 78.2 まで待て」とアナウンスがあったので大人しく待ってたわけさ。んで，満を持して 78.2 がリリースされたので試してみたのだが GnuPG の鍵束を認識しないのよ。

「あれー？」と思っていたのだが，どうやら Thunderbird は既定で GnuPG をサポートしないことにしたらしい。

Thunderbird no longer uses the external GnuPG software. Previously, all your own keys and the keys of other people were managed by GnuPG, and Enigmail offered you to view, use and manage them. Now that Thunderbird uses a different technology, it’s necessary to perform a migration of your existing keys from GnuPG into Thunderbird’s own storage (inside the Thunderbird profile directory). Thunderbird will uses its own copy of the keys, sharing your keys between Thunderbird 78 and GnuPG currently isn’t supported.

via Thunderbird:OpenPGP:Migration-From-Enigmail - MozillaWiki

しかも Autocrypt も p≡p もサポートしないようだ。

まじすか orz

それなら Enigmail は残しておいてほしかった…

Thunderbird で GnuPG を有効にする

…気を取り直して。 Thunderbird でも GnuPG が使えるように一応の救済措置はある¹。

まずは「設定エディタ」で

mail.openpgp.allow_external_gnupg

項目を探す。

これを true に反転させれば GnuPG の鍵束も見てくれるようだ。ここまでは簡単。

アカウントに GnuPG 秘密鍵を登録する

ではメール・アカウント毎に GnuPG 秘密鍵を登録しよう。図中の個人情報部分はマスクしてるけど，あしからず。

まず「アカウントの設定」の「エンドツーエンド暗号」を開く。すると

てな感じになってるので，この状態で「鍵を追加…」ボタンを押す。すると

こんなダイアログが開くので「GnuPG 経由で外部の鍵を利用」をチェックして「続ける」ボタンを押す。すると

てな画面になる。ここでアカウントに対応する鍵の鍵 ID をセットして「鍵 ID を保存」ボタンを押す（ユーザ ID ではなく必ず鍵 ID をセットすること）。

これで

てな感じに GnuPG 秘密鍵を登録することができた。

Thunderbird からは GnuPG 鍵束の公開鍵は参照できない

上述の方法で登録できるのは秘密鍵機能（復号および電子署名）のみで，公開鍵機能（暗号化および署名検証）を使うには Thunderbird 側の鍵ストレージに登録するしかないようだ。しかも Thunderbird 側の鍵ストレージに同じ鍵 ID で公開鍵を登録しておかないと GnuPG 側の秘密鍵も使えないという頭の悪さ。

Thunderbird 側の鍵ストレージに公開鍵を登録するには「OpenPGP 鍵マネージャー」を開いて

「鍵サーバー」からインポートするか「ファイル」メニューから公開鍵ファイルをインポートすればよい。あるいは Web ページ上に直接公開鍵を置いてある場合は「編集」メニューの「URL から鍵をインポート」でもインポートできる。

DRY 原則

いやさ。 GnuPG を使えるように設定した場合は公開鍵も秘密鍵も GnuPG の鍵束から取るようにしてよ。同じ鍵なのにアプリケーションによって置き場所が異なるというのは DRY 原則² に反すると思うのだが…

GnuPG はメール暗号化の専用ツールじゃないんだよ。 Linux 系のパッケージ・マネージャでも使われてるし git や LibreOffice でも連携して使う。 Peer-to-peer でフリーな暗号基盤として広く使われてるものなのだから，もっとちゃんとしようよ。

それでもまだ使えない

以上で概ね OpenPGP 署名・暗号化機能が使えるようになったのだが，何故か私の Gmail アカウントだと上手く行かないんだよなぁ。具体的には Thunderbird の鍵ストレージに公開鍵を流し込んでも認識してくれず，暗号化や署名検証ができない。 Thunderbird 上で新規に鍵を作ってもダメ。

まぁ，最近は電子署名だけでメールの暗号化は滅多に使わないので，鼻の先は困らないのだが… 先は長い。 sigh…

ブックマーク

Thunderbird:OpenPGP:Migration-From-Enigmail - MozillaWiki
Thunderbird:OpenPGP:Smartcards - MozillaWiki
OpenPGP in Thunderbird 78 | The Thunderbird Blog
「OpenPGP」がデフォルトで有効化された「Thunderbird 78.2.1」がリリース - 窓の杜 : OpenPGP 鍵の生成から暗号メールの作成まで簡単に解説している。 GnuPG がなくても問題ない
OpenPGP の実装

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

Thunderbird で GnuPG が使えるように機能を残しておいたのは，暗号化機能をドライブする RNP ライブラリでは OpenPGP スマートカードを上手く扱えないからのようだ。 ↩︎
念のために説明すると DRY (Don’t Repeat Yourself) 原則というのは，同じ意味を持つ情報やデータを複数に散らばせないというシステム設計や開発環境の指針を指すものである。よくコーディングで同じ記述を繰り返すのを避ける意味で DRY 原則を持ち出す人がいるが，あちらには OAOO (Once And Only Once) 原則という名前が付いている。 ↩︎