List of Mua [text.Baldanders.info]

Thunderbird 78 系で GnuPG を使う【ただし不完全】

2020-09-01T12:16:51+00:00

以前に「Thunderbird 78 で OpenPGP 署名・暗号化を行うのは 78.2 まで待て」とアナウンスがあったので大人しく待ってたわけさ。んで，満を持して 78.2 がリリースされたので試してみたのだが GnuPG の鍵束を認識しないのよ。

「あれー？」と思っていたのだが，どうやら Thunderbird は既定で GnuPG をサポートしないことにしたらしい。

Thunderbird no longer uses the external GnuPG software. Previously, all your own keys and the keys of other people were managed by GnuPG, and Enigmail offered you to view, use and manage them. Now that Thunderbird uses a different technology, it’s necessary to perform a migration of your existing keys from GnuPG into Thunderbird’s own storage (inside the Thunderbird profile directory). Thunderbird will uses its own copy of the keys, sharing your keys between Thunderbird 78 and GnuPG currently isn’t supported.

via Thunderbird:OpenPGP:Migration-From-Enigmail - MozillaWiki

しかも Autocrypt も p≡p もサポートしないようだ。

まじすか orz

それなら Enigmail は残しておいてほしかった…

Thunderbird で GnuPG を有効にする

…気を取り直して。 Thunderbird でも GnuPG が使えるように一応の救済措置はある¹。

まずは「設定エディタ」で

mail.openpgp.allow_external_gnupg

項目を探す。

これを true に反転させれば GnuPG の鍵束も見てくれるようだ。ここまでは簡単。

アカウントに GnuPG 秘密鍵を登録する

ではメール・アカウント毎に GnuPG 秘密鍵を登録しよう。図中の個人情報部分はマスクしてるけど，あしからず。

まず「アカウントの設定」の「エンドツーエンド暗号」を開く。すると

てな感じになってるので，この状態で「鍵を追加…」ボタンを押す。すると

こんなダイアログが開くので「GnuPG 経由で外部の鍵を利用」をチェックして「続ける」ボタンを押す。すると

てな画面になる。ここでアカウントに対応する鍵の鍵 ID をセットして「鍵 ID を保存」ボタンを押す（ユーザ ID ではなく必ず鍵 ID をセットすること）。

これで

てな感じに GnuPG 秘密鍵を登録することができた。

Thunderbird からは GnuPG 鍵束の公開鍵は参照できない

上述の方法で登録できるのは秘密鍵機能（復号および電子署名）のみで，公開鍵機能（暗号化および署名検証）を使うには Thunderbird 側の鍵ストレージに登録するしかないようだ。しかも Thunderbird 側の鍵ストレージに同じ鍵 ID で公開鍵を登録しておかないと GnuPG 側の秘密鍵も使えないという頭の悪さ。

Thunderbird 側の鍵ストレージに公開鍵を登録するには「OpenPGP 鍵マネージャー」を開いて

「鍵サーバー」からインポートするか「ファイル」メニューから公開鍵ファイルをインポートすればよい。あるいは Web ページ上に直接公開鍵を置いてある場合は「編集」メニューの「URL から鍵をインポート」でもインポートできる。

DRY 原則

いやさ。 GnuPG を使えるように設定した場合は公開鍵も秘密鍵も GnuPG の鍵束から取るようにしてよ。同じ鍵なのにアプリケーションによって置き場所が異なるというのは DRY 原則² に反すると思うのだが…

GnuPG はメール暗号化の専用ツールじゃないんだよ。 Linux 系のパッケージ・マネージャでも使われてるし git や LibreOffice でも連携して使う。 Peer-to-peer でフリーな暗号基盤として広く使われてるものなのだから，もっとちゃんとしようよ。

それでもまだ使えない

以上で概ね OpenPGP 署名・暗号化機能が使えるようになったのだが，何故か私の Gmail アカウントだと上手く行かないんだよなぁ。具体的には Thunderbird の鍵ストレージに公開鍵を流し込んでも認識してくれず，暗号化や署名検証ができない。 Thunderbird 上で新規に鍵を作ってもダメ。

まぁ，最近は電子署名だけでメールの暗号化は滅多に使わないので，鼻の先は困らないのだが… 先は長い。 sigh…

ブックマーク

Thunderbird:OpenPGP:Migration-From-Enigmail - MozillaWiki
Thunderbird:OpenPGP:Smartcards - MozillaWiki
OpenPGP in Thunderbird 78 | The Thunderbird Blog
「OpenPGP」がデフォルトで有効化された「Thunderbird 78.2.1」がリリース - 窓の杜 : OpenPGP 鍵の生成から暗号メールの作成まで簡単に解説している。 GnuPG がなくても問題ない
OpenPGP の実装

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

Thunderbird で GnuPG が使えるように機能を残しておいたのは，暗号化機能をドライブする RNP ライブラリでは OpenPGP スマートカードを上手く扱えないからのようだ。 ↩︎
念のために説明すると DRY (Don’t Repeat Yourself) 原則というのは，同じ意味を持つ情報やデータを複数に散らばせないというシステム設計や開発環境の指針を指すものである。よくコーディングで同じ記述を繰り返すのを避ける意味で DRY 原則を持ち出す人がいるが，あちらには OAOO (Once And Only Once) 原則という名前が付いている。 ↩︎

Thunderbird 78 で署名・暗号化を行うのは少し待ったほうがいいらしい

2020-07-05T03:41:15+00:00

先日 Firefox 78 がリリースされ ESR 版も 78 ベースにアップグレードされた。

Firefox 78.0, See All New Features, Updates and Fixes

これに伴い Thunderbird も今後は 78 ベースになる予定だが，このアップグレードを前に Enigmail から以下の注意喚起が出た。

実は OpenPGP 暗号化機能を提供する拡張機能 Enigmail が Thunderbird 78 から標準機能として組み込まれることが（昨年時点で）決まっていた。

Thunderbird, Enigmail and OpenPGP | The Mozilla Thunderbird Blog

のだが，どうやら Thunderbird 78.0 リリース時点では安定した機能を提供というわけにはいかないようだ。ここは大人しく 78.2 が出るまで待つか。それともチャレンジするか（笑）

ブックマーク

Thunderbird でメール暗号化

参考図書

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

結局 Thunderbird もインストールし直すことにした

2019-11-10T07:43:28+00:00

Ubuntu が 19.10 にアップグレードされて Thunderbird が 68 ベースになったまではよかったが，そこから全くメンテされなくなってしまった。

APT 管理下の Thunderbird は2019年11月時点で

$ apt show thunderbird
Package: thunderbird
Version: 1:68.1.2+build1-0ubuntu1
Priority: optional
Section: mail
Origin: Ubuntu
...

となっているが，実際には既に 68.2.2 がリリースされている。

Thunderbird — Release Notes (68.2.2) — Mozilla

そういえば 60.9.0 がリリースされたときも APT で配信可能になるまで1ヶ月かかったんだよな。

ちうわけで，どうやら Ubuntu は Thunderbird をまともにメンテナンスする気がないらしいとの結論に至った。以前に「デフォルトのメールクライアントをGearyに変更する提案」とかあったようなので仕方がないのかもしれないが，（鍵管理を含めて）まともに OpenPGP 暗号化が使える MUA は殆どない¹ ので Thunderbird が「使えない」のは非常に困るわけですよ。

そこで APT による管理はすっぱり諦めて自前で導入・管理することにした。といってもダウンロードページでプラットフォームと言語に応じたバイナリをダウンロードしてローカルの適当な場所で展開するだけだけどね²。

設定およびメールデータは ~/thunderbird/ ディレクトリ以下に格納されているが，バックアップをとった上で，バッサリ削除して最初からやり直した。実際には，パソコンと携帯端末とでメールデータを共有するために，IMAP で管理しているので（だからこそ E2E 暗号化ができることが重要なんだけどね）特に問題はなかった。 Enigmail も問題なく動作することを確認済み。

よーし，うむうむ，よーし。

ブックマーク

Thunderbird — 68.0 System Requirements — Mozilla
How to Install and Setup Thunderbird Email Client in Ubuntu
GNOME3でアプリケーションメニューにランチャーを追加する (alacarteを使用しない方法) – Crow’s eye
Thunderbird, Enigmail and OpenPGP | The Mozilla Thunderbird Blog : 将来バージョンで Enigmail は Thunderbird に組み込まれるそうだ
Thunderbird でメール暗号化 : Windows 用に書いたが Linux でも同じように使えるので大丈夫

ブラウザ上で動作する Web メール用の暗号化ツールとしては Mailvelope が有名で，私も一応インストールしているが，鍵管理が独特で気持ち悪いので実際には使ってない。 ↩︎
Thunderbird はインストール先ディレクトリを変えると別のインスタンスとみなしてそれぞれ別のプロファイルを作成するので注意が必要だ。この辺をコントロールするには ~/thunderbird/ ディレクトリにある installs.ini および profiles.ini 各ファイルを弄る必要があるらしい。 ↩︎

メール・サービスを立てずにコマンドラインでメールを送信する

2019-06-01T14:45:58+00:00

cron で回したプロセスの実行結果をメールで送信することを考える。

Ubuntu はインストール直後の既定状態ではメール・サービスは入ってない。したがって cron の実行結果（標準出力等に吐き出されるもの）は何処にも通知されない。これはこれで合理的な設計なのだが（cron の実行結果でメールボックスが溢れたりすることもないし），やはり結果をメールで通知したいこともある。かといって，そのためにわざわざデスクトップ・パソコンにメール・サービスを入れるのはナンセンスであろう。

自前でメール・サービスを立てずに外部のメール・サーバにメールを流す送信専用の簡易 MUA があれば便利である。そこで調べてみたら msmtp なるツールが良さげである¹。今回は msmtp を構成してコマンドラインでメールを送信するところまでやってみよう。

msmtp のインストール

msmtp は APT で導入可能である。

$ apt show msmtp
Package: msmtp
Version: 1.8.3-1
Priority: extra
Section: universe/mail
Origin: Ubuntu
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Emmanuel Bouthenot <kolter@debian.org>
...

なので早速インストールする。

$ sudo apt install msmtp msmtp-mta

msmtp-mta パッケージは cron から msmtp を利用するのに必要なので併せてインストールしておく。一応，動作確認しておこう。

$ msmtp --version
msmtp version 1.8.3
Platform: x86_64-pc-linux-gnu
TLS/SSL library: GnuTLS
Authentication library: GNU SASL
Supported authentication methods:
plain scram-sha-1 external gssapi cram-md5 digest-md5 login ntlm 
IDN support: enabled
NLS: enabled, LOCALEDIR is /usr/share/locale
Keyring support: none
System configuration file name: /etc/msmtprc
User configuration file name: /home/username/.msmtprc

Copyright (C) 2019 Martin Lambers and others.
This is free software.  You may redistribute copies of it under the terms of
the GNU General Public License <http://www.gnu.org/licenses/gpl.html>.
There is NO WARRANTY, to the extent permitted by law.

よしよし。

msmtp の設定

まずは ~/.msmtprc ファイルを作成して外部のメール・サーバを定義する²。 ~/.msmtprc の雛形ファイルは以下にあるので参考になるだろう。

/usr/share/doc/msmtp/examples/msmtprc-user.example

このファイルを元にして Gmail のメール・サーバにアクセスする設定を記述してみる。こんな感じ³。

# Set default values for all following accounts.
defaults

# Use the mail submission port 587 instead of the SMTP port 25.
port 587

# Always use TLS.
tls on

# Gmail service
account gmail

# Host name of the SMTP server
host smtp.gmail.com

# Envelope-from address
from username@gmail.com

# Authentication. The password is given using one of five methods, see below.
auth on
user username@gmail.com

# Password method 2: Store the password in an encrypted file, and tell msmtp
# which command to use to decrypt it. This is usually used with GnuPG, as in
# this example. Usually gpg-agent will ask once for the decryption password.
#passwordeval gpg2 --no-tty -q -d ~/.msmtp-password.gpg

# Password method 3: Store the password directly in this file. Usually it is not
# a good idea to store passwords in plain text files. If you do it anyway, at
# least make sure that this file can only be read by yourself.
password password_string

# Set a default account
account default : gmail

~/.msmtprc ファイルの権限を変更するのも忘れずに。

$ chmod 0600 ~/.msmtprc

これで準備 OK。試しにコマンドラインでメールを送信してみよう。

$ echo "hello there." | msmtp -a gmail username@gmail.com

これで username@gmail.com 宛に “hello there.” という内容でメールが届けば成功である。ちなみに -a オプションは省略できる。この場合 account default で指定されたアカウント情報で送信される。

cron との連携

では cron との連携を試してみよう。 cron の設定方法については割愛する。ググればいくらでも出てくるし。

まずはパソコンのユーザ・アカウントとメールアドレスを連携させるために /etc/aliases ファイルを作成する（これがないと username@hostname 宛にメールを送ろうとする）。内容はこんな感じ。

username: username@gmail.com
root: username@gmail.com
default: username@gmail.com

さらに ~/.msmtprc ファイルに以下の記述を追加する。

# aliases file
aliases /etc/aliases

これで msmtp 側の準備は完了。

テスト用のプロセスを crontab で定義する。

$ crontab -e

内容は例えばこんな感じ。

*/5 * * * * MAILTO=username ls

これで username のメールアドレス宛に5分おきに ls コマンドの実行結果をメール送信する。かなりウザいので動作確認できたらソッコーで削除しないと（笑）

うまくいかない場合は /var/log/syslog を見てみるとヒントになるかもしれない。

$ cat /var/log/syslog | grep sendmail

パスワード情報の暗号化

外部メール・サーバへの送信で認証を行う場合は ~/.msmtprc ファイルに認証用のパスワードを設定する必要があるが，平文で保存されるため，いかにも不用心である。そこでパスワード情報を暗号化することを考える。

具体的には ~/.msmtprc ファイルの password 項目を以下の記述で置き換える。

passwordeval gpg --no-tty -q -d ~/.msmtp-password.gpg

~/.msmtp-password.gpg が暗号化されたパスワード情報を格納するファイルで GnuPG で暗号化されている。 ~/.msmtp-password.gpg ファイルを作成するには以下のコマンドラインを実行する。

gpg --encrypt -o ~/.msmtp-gmail.gpg -r username@gmail.com -

最後のハイフン（-）を忘れずに。これで標準入力からパスワードを入力し改行コードを入力した後 ctrl-d で処理を抜ければ完了である⁴。

メール送信時には復号のために GnuPG がパスフレーズを要求するのでご注意を⁵。

ブックマーク

ググってみると sSMTP に関する記事が頻出したが，残念なことに sSMTP はもはやメンテナンスされていないようである。 ↩︎
マシン全体で設定する場合は /etc/msmtprc ファイルに設定を記述する。 ↩︎
password の項目にはパスワードを記述するが， Google サインイン用のパスワードではなく「アプリ・パスワード」をセットする（Googleへのサインインに2要素認証を使っていることが前提）。アプリ・パスワードは「Google アカウント」のページで設定できる。アプリやプラットフォームごとに異なるアプリ・パスワードを設定するのがコツである。 ↩︎
もちろんパイプを使ってパスワードを入力することも可能だが，コマンドラインに履歴が残ってしまうので絶対にやらないこと。 ↩︎
GnuPG の鍵を作成する際にパスフレーズの入力を省略すれば復号処理を自動化できるが秘密鍵の中身が丸見えになってしまうので取り扱いには注意が必要である。パスワード暗号化用の専用鍵を作って運用するのが無難だろう。 ↩︎

Thunderbird でメール暗号化

2018-06-25T12:32:25+00:00

【2020-09-01 追記】 Thunderbird 78 から OpenPGP 署名・暗号化機能は本体に取り込まれました。この記事は既に obsolete になりましたが，一応残しておきます。 Thunderbird 78 による暗号化メールの作成方法は以下の記事が参考になります。

「OpenPGP」がデフォルトで有効化された「Thunderbird 78.2.1」がリリース - 窓の杜 : OpenPGP 鍵の生成から暗号メールの作成まで簡単に開設している

フィードバックで少しやり取りして分かったのだが JPCERT/CC の記事は古いまま更新されていないようだ。

はじめての暗号化メール (Thunderbird編)

なので今回は Thunderbird で OpenPGP 暗号化メールをやり取りする手順について簡単に紹介する。なお GnuPG の導入と鍵の生成は完了しているものとする。

Enigmail の導入

Thunderbird で OpenPGP 暗号化メールをやり取りするには Enigmail アドオンを導入する。

Search Enigmail

この状態で [インストール] ボタンを押してインストールを完了させる。

Enigmail の設定

インストールが完了したらメニューから Enigmail の「セットアップウィザード」を開く。

Enigmail menu

Enigmail setup-wizard (1)

ここでは初心者向けの設定を紹介する。

Enigmail setup-wizard (2)

メールアカウントに対応する鍵を既に作成している場合はその鍵を選択する（Enigmail はメールアカウントと OpenPGP 鍵との関連をメールアドレスで行っている）。対応する鍵がない場合には「メッセージ署名/暗号に使用する鍵ペアを新規に作成する」を選択して OpenPGP 鍵を作成する¹。

Enigmail setup-wizard (3)

Enigmail setup-wizard (4)

Enigmail setup-wizard (5)

ここで失効証明書を作っておく²。 [失効証明書の生成] ボタンを押して失効証明書を保存すると [次へ] ボタンが有効になる。

Enigmail setup-wizard (6)

これでセットアップ完了。なお，アカウント設定ではもう少し詳細な設定が可能である。

Enigmail settings

暗号化メールの作成と表示

では自分自身宛にメールを作成して動作確認してみよう。

Make mail

矢印で示した部分で暗号化および電子署名の有無を指定する。左側が暗号化ボタン，右側が電子署名ボタンである。 2つのボタンはトグルになっていて，押す度にオン・オフを切り替えることができる。上の図では暗号化と電子署名の両方を有効にしている。

暗号化または電子署名はメール送信時に行われる。送信時に件名を保護するか問い合わせがある。

Encrypt title

[件名を保護する] を選択すると件名を “Encrypted Message” に置き換えて送信する。本来の件名は復号時に表示される。

では実際に受信したメールを復号して表示してみよう。

Receive message

メールの復号と署名検証が正しく行われていることが確認できた。

OpenPGP 鍵の管理

メニューから Enigmail の「鍵の管理」を開く。

key management

enigmail-key-management

鍵の管理で公開鍵のインポート・エクスポートや電子署名等の操作ができる。

ブックマーク

p≡p Security : Enigmail は p≡p にも対応しているらしいが試してない

参考図書

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

セットアップウィザードでは RSA 4096ビット長の OpenPGP 鍵を生成する。 ↩︎
失効証明書は鍵を失効させる際に必要となる。失効した公開鍵を配布するのを忘れずに。詳しくは「GnuPG チートシート（鍵作成から失効まで）」を参照のこと。 ↩︎

OpenPGP および S/MIME メールクライアントの脆弱性について

2018-05-15T12:15:42+00:00

昨日くらいから GnuPG のメーリングリストが騒がしかったが，これのせいか。

JVNDB-2017-012995 が発行されたので以下に書き出しておく（早速 jvnman を使うことになるとはw）。

脆弱性の概要

平文メッセージが漏えいする可能性があります。 OpenPGP および S/MIME をサポートする電子メールクライアントには、攻撃者が細工したコンテンツを挿入した暗号化メールをユーザのメールクライアントで復号させることにより、平文を送信するためのチャネルを確立することが可能です。発見者はこの脆弱性を用いた攻撃を “CBC/CFB gadget attack” と呼んでいます。例えば HTML image タグを挿入させることにより、復号されたメッセージが HTTP リクエストの一部として送信されてしまう可能性があります。

CVE-2017-17688: OpenPGP CFB Attacks

CVE-2017-17689: S/MIME CBC Attacks

また、一部のメールクライアントでは、マルチパートの MIME メッセージを正しく分離して処理しないため、攻撃者は暗号化されたメールを平文の MIME パートに含めることが可能になります。この場合、CBC/CFB gadget attack を実行することなく平文メッセージが送信されてしまう可能性があります。詳細は、発見者が提供する論文を参照して下さい。

想定される影響

遠隔の第三者により、復号に必要な鍵情報なしに暗号化メールから平文を取得される可能性があります。

影響を受ける製品

（複数のベンダ） / （複数の製品）

深刻度

CVSSv3 評価なし

対策

[ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

メールクライアントとは別のアプリケーションを使って復号する

メールクライアントの HTML レンダリングを無効化する

メールクライアントのリモートコンテンツの読み込みを無効化する

関連情報

Common Vulnerabilities and Exposures (CVE) CVE-2017-17688

Common Vulnerabilities and Exposures (CVE) CVE-2017-17689

JVN JVNVU#95575473

US-CERT Vulnerability Note VU#122919

関連文書 EFAIL

関連文書 Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels (draft 0.9.0)

(Powerd by JVN & jvnman)

JVNDB-2017-012995より

影響を受ける製品については以下を参照のこと。

Vulnerability Note VU#122919 - OpenPGP and S/MIME mail client vulnerabilities

つか，暗号化メッセージングに電子メールはもはや適切とは言えないので，この機会に他の手段も併せて考えておくべきだろう。

List of Mua [text.Baldanders.info]

Thunderbird 78 系で GnuPG を使う【ただし不完全】

Thunderbird で GnuPG を有効にする

アカウントに GnuPG 秘密鍵を登録する

Thunderbird からは GnuPG 鍵束の公開鍵は参照できない

DRY 原則

それでもまだ使えない

ブックマーク

参考図書

Thunderbird 78 で署名・暗号化を行うのは少し待ったほうがいいらしい

ブックマーク

参考図書

結局 Thunderbird もインストールし直すことにした

ブックマーク

メール・サービスを立てずにコマンドラインでメールを送信する

msmtp のインストール

msmtp の設定

cron との連携

パスワード情報の暗号化

ブックマーク

Thunderbird でメール暗号化

Enigmail の導入

Enigmail の設定

暗号化メールの作成と表示

OpenPGP 鍵の管理

ブックマーク

参考図書

OpenPGP および S/MIME メールクライアントの脆弱性について

脆弱性の概要

想定される影響

影響を受ける製品

深刻度

対策

関連情報

その他ブックマーク