MozillaZine.jp フォーラム
https://forums.mozillazine.jp/

Thunderbird 78 での OpenPGP 実装について
https://forums.mozillazine.jp/viewtopic.php?f=3&t=18105
ページ 11

作成者:  Cai [ 2020年8月10日(月) 11:14 ]
記事の件名:  Thunderbird 78 での OpenPGP 実装について

リリース記事などで既にご案内した通り、Thunderbird 78 系列では OpenPGP が自前で実装されます。
これに伴い、GnuPG + Enigmail は不要となります (鍵管理も含めてすべて Thunderbird が行います)。

現状のおさらいです。

1. OpenPGP に関する実装は Tb 78.1 で既に完了 (既定では無効化)
2. OpenPGP に関する日本語リソースは、Enigmail のものをベースとして、日本語ローカライズコミュニティでのレビューを受けたうえで Mozilla の本家レポジトリに反映されています
3. Tb 78.2 で OpenPGP 機能を既定で有効化 (の予定)

Tb 78.2 で OpenPGP 機能が有効化されると、既存の Tb 68 + Enigmail ユーザーの環境では次のような流れになります。

1. Tb 78.2 にアップグレード
2. Tb を起動すると Enigmail が 2.1.x から 2.2.x (Tb 78 での移行機能のみの特別なバージョン) にアップデートされる
3. Enigmail 2.2.x が移行作業をサポート (GnuPG の鍵リングにある秘密鍵・公開鍵を Tb 側にインポート、信用度・アカウントごとの鍵などを設定)
4. 移行作業が完了すると、それ以降 GnuPG の鍵リングなどは使われなくなる (新しい鍵の作成、公開鍵のインポートなどはすべて Tb 上にのみ反映される)

※ GnuPG の鍵リング内の秘密鍵を Tb から参照させることも可能ですが、参照できる秘密鍵は現状では 1 つだけのうえ、公開鍵の管理は結局 Tb 側となるので管理が面倒になると思われます。秘密鍵を Tb 側にインポートすれば、複数の秘密鍵を運用できます。

これまで MozillaZine.jp では、Enigmail のサポートは「拡張機能・テーマ」相互サポートフォーラムで行っていましたが、Tb 78 以降では OpenPGP 機能は本体の一部となることから「Thunderbird」相互サポートフォーラムに移行したいと思います。

作成者:  Cai [ 2020年8月28日(金) 08:49 ]
記事の件名:  Re: Thunderbird 78 での OpenPGP 実装について

Thunderbird 78.2.0 での自動更新は延期されています。OpenPGP 実装も既定では無効化されたままです。

テスト目的がない限りは、自動更新が開始されるまではそのまま 68 系列の使用を継続してください。

# 78.2 では OpenPGP 実装に関する各言語リソース
(日本語も含む) が追加されています。

作成者:  Cai [ 2020年8月31日(月) 20:22 ]
記事の件名:  Re: Thunderbird 78 での OpenPGP 実装について

バージョン 78.2.1 で OpenPGP が既定で有効化されました。
バージョン 68 系からの自動アップグレードはまだ開始されていません。
Enigmail の既存ユーザーは次バージョンで予定されている自動アップグレードをお待ちください。

作成者:  Cai [ 2020年9月17日(木) 15:25 ]
記事の件名:  Re: Thunderbird 78 での OpenPGP 実装について

Thunderbird 68.12.0 から 78.2.2 への自動アップグレードが開始されました。
さっそくプロファイルのバックアップを取ったうえでアップグレードを行い、Enigmail による移行作業も完了させました。

ローカルで試してみましたが、署名/検証・暗号化/復号は問題なく行えています。

鍵管理も、Enigmail のものを基本的には踏襲しています (鍵への署名、信用度の設定に関しては大きく変わっていますが、移行ウィザードに任せていれば既にGnuPG の鍵束にあるものに関してはそのまま Thunderbird のほうに状態も含めてコピーされています)。

ただ、一つ問題がありました。副鍵を追加している秘密鍵の扱いについてです。
以下のような秘密鍵を想定します。

sec rsa4096/XXXXXXXX11111111
作成: 2010-01-01 有効期限: 無期限 利用法: SC
ssb rsa4096/XXXXXXXX22222222
作成: 2010-01-01 有効期限: 無期限 利用法: E
ssb ed25519/XXXXXXXX33333333
作成: 2020-01-01 有効期限: 無期限 利用法: S
ssb cv25519/XXXXXXXX44444444
作成: 2020-01-01 有効期限: 無期限 利用法: E

Tb 68 以前 + Enigmail + GnuPG の環境であれば、この鍵での署名、この鍵への暗号化にはそれぞれ 33333333、44444444 が使われます (利用法 S、E について最新のものが使われる)。副鍵の追加は主鍵を変更せずに鍵の更新を意図したものですから、新しい副鍵が使われるのは当然の挙動です。
しかし、現在の Tb の OpenPGP 実装では、署名には主鍵である 11111111 が、暗号化には古い暗号化用副鍵である 22222222 が使われています。
これについては bugzilla に報告済みです。

Bug 1665281 - Tb-native OpenPGP implementation does not use newer subkeys
https://bugzilla.mozilla.org/show_bug.cgi?id=1665281

作成者:  Cai [ 2020年9月18日(金) 18:37 ]
記事の件名:  Re: Thunderbird 78 での OpenPGP 実装について

さらにあれこれ試して気づいたことをいくつか。

0. 移行作業
そもそも移行作業が自動で開始されません。
ハンバーガーメニュー→ツール→Enigmail の設定の移行
から手動で開始する必要があります。

1. 秘密鍵の保護
GnuPG ではパスフレーズによって秘密鍵が保護されていましたが、Thunderbird 実装ではパスフレーズは除去されます (既存の秘密鍵をインポートしても、インポート時に除去される)。
メールサーバーのログイン情報と同様、Thunderbird のマスターパスワードによる保護となります。
マスターパスワードを設定していないと、何も入力することなく署名・復号が行われます。

1. 署名
メッセージ作成ウインドウで OpenPGP での署名を選択すると、公開鍵の添付が自動的に有効になります。Enigmail のように既定で添付しない設定にはできません。OpenPGP 署名を選択してから、いちいち公開鍵添付を無効にする必要があります、毎回。

署名のハッシュは SHA-256 決め打ちのようです。これは特に問題なし。

2. オンラインでの鍵検索
Thunderbird の OpenPGP 実装では、鍵サーバーは keys.openpgp.org に決め打ちです。既存の HKP 鍵サーバー群 (sks-keyservers.net やいにしえの pgp.nic.ad.jp, pgp.mit.edu などなど) は使われません。
Web Key Directory (WKD) にも対応していますが、一般向けプロバイダーではまず提供されていません (GnuPG や Linux ディストリなどで開発者向けに提供されているものはいくつかあるようですが)。

作成者:  Cai [ 2020年9月29日(火) 14:26 ]
記事の件名:  Re: Thunderbird 78 での OpenPGP 実装について

Cai さんが書きました:
ただ、一つ問題がありました。副鍵を追加している秘密鍵の扱いについてです。

(中略)

Bug 1665281 - Tb-native OpenPGP implementation does not use newer subkeys
https://bugzilla.mozilla.org/show_bug.cgi?id=1665281

こちらについては GnuPG と同様の挙動となるよう nightly での修正が完了しました。ベータ版およびリリース版への適用も申請されています。

これと並行して、副鍵を明示的に指定できる機能を追加するバグも立てられています
Bug 1667232 - Allow the user to configure a strategy for encryption subkey selection
https://bugzilla.mozilla.org/show_bug.cgi?id=1667232

Cai さんが書きました:
2. オンラインでの鍵検索
Thunderbird の OpenPGP 実装では、鍵サーバーは keys.openpgp.org に決め打ちです。既存の HKP 鍵サーバー群 (sks-keyservers.net やいにしえの pgp.nic.ad.jp, pgp.mit.edu などなど) は使われません。

keys.openpgp.org への鍵の登録ですが、hkp プロトコルによってアップロードされた鍵はメールアドレスでの検索ではヒットしません
公開鍵をファイルとしてエクスポートし、それをアップロードページ (https://keys.openpgp.org/upload) からアップロード、その後に送られてくるメール内のリンクにアクセスすることでメールアドレスが実在することを検証したうえで初めて検索に出てくるようになります。ご注意を。

作成者:  Cai [ 2020年9月30日(水) 05:55 ]
記事の件名:  Re: Thunderbird 78 での OpenPGP 実装について

Cai さんが書きました:
Cai さんが書きました:
ただ、一つ問題がありました。副鍵を追加している秘密鍵の扱いについてです。

(中略)

Bug 1665281 - Tb-native OpenPGP implementation does not use newer subkeys
https://bugzilla.mozilla.org/show_bug.cgi?id=1665281

こちらについては GnuPG と同様の挙動となるよう nightly での修正が完了しました。ベータ版およびリリース版への適用も申請されています。

82.0beta2、78.3.2 での修正が確定しました。

作成者:  Cai [ 2020年10月07日(水) 10:13 ]
記事の件名:  Re: Thunderbird 78 での OpenPGP 実装について

Cai さんが書きました:
Cai さんが書きました:
Cai さんが書きました:
ただ、一つ問題がありました。副鍵を追加している秘密鍵の扱いについてです。

(中略)

Bug 1665281 - Tb-native OpenPGP implementation does not use newer subkeys
https://bugzilla.mozilla.org/show_bug.cgi?id=1665281

こちらについては GnuPG と同様の挙動となるよう nightly での修正が完了しました。ベータ版およびリリース版への適用も申請されています。

82.0beta2、78.3.2 での修正が確定しました。

今日自動更新が始まったバージョン 78.3.2 での修正を確認しま した。

ページ 11 All times are UTC + 9 hours
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/