Po co szyfrować wiadomości e-mail?

Standardowa wiadomość e-mail jest jak pocztówka — każdy, kto ma dostęp do serwerów pośredniczących, może ją odczytać. W praktyce Twoje e-maile mogą być widoczne dla dostawcy poczty, administratorów sieci, a w przypadku wycieku danych — dla osób niepowołanych.

Szyfrowanie wiadomości zapewnia, że treść e-maila jest czytelna wyłącznie dla odbiorcy, któremu ją przeznaczasz. Jest to szczególnie ważne, gdy:

• Przesyłasz wrażliwe dane biznesowe (umowy, dane klientów, informacje finansowe).
• Komunikujesz się z prawnikiem, lekarzem lub innym doradcą w sprawach prywatnych.
• Chcesz chronić swoją prywatność w korespondencji osobistej.
• Twoja firma wymaga szyfrowania ze względów compliance (RODO, HIPAA, GDPR).

eM Client obsługuje dwa najważniejsze standardy szyfrowania e-maili: PGP (Pretty Good Privacy) oraz S/MIME (Secure/Multipurpose Internet Mail Extensions).

PGP a S/MIME — czym się różnią?

Oba standardy służą do tego samego celu — szyfrowania i podpisywania wiadomości e-mail — ale różnią się podejściem do zarządzania zaufaniem.

PGP (OpenPGP)

• Model zaufania: Sieć zaufania (Web of Trust) — klucze podpisują się wzajemnie między użytkownikami.
• Urzędy certyfikacji: Brak — zaufanie budowane jest przez podpisy innych użytkowników lub weryfikację bezpośrednią.
• Koszt: Bezpłatny — klucze generujesz samodzielnie.
• Serwer kluczy: eM Keybook (dedykowany dla eM Client) lub publiczne serwery (keys.openpgp.org).
• Formaty: PGP/MIME i Inline PGP.
• Popularność: Powszechny wśród użytkowników technicznych, aktywistów, dziennikarzy.

S/MIME

• Model zaufania: Hierarchia zaufania — certyfikat wystawiany przez zaufany urząd certyfikacji (CA).
• Urzędy certyfikacji: Wymagane — np. Sectigo, DigiCert, GlobalSign, Certum (darmowe certyfikaty osobiste).
• Koszt: Certyfikaty osobiste często bezpłatne, firmowe — płatne.
• Integracja: Szeroko obsługiwany przez klientów korporacyjnych (Outlook, Apple Mail).
• Popularność: Standard korporacyjny, często wymagany przez działy IT w firmach.

Krótko mówiąc: PGP jest bardziej elastyczny i bezpłatny, S/MIME lepiej sprawdza się w środowiskach korporacyjnych z istniejącą infrastrukturą PKI.

Podpis cyfrowy a szyfrowanie — jaka różnica?

To dwie różne funkcje, które często są mylone lub stosowane zamiennie:

Podpis cyfrowy

Podpis cyfrowy nie ukrywa treści wiadomości. Każdy może ją przeczytać. Natomiast potwierdza:

• Że wiadomość naprawdę pochodzi od Ciebie (nie od kogoś podszywającego się pod Ciebie).
• Że treść wiadomości nie została zmodyfikowana po podpisaniu.

Podpis cyfrowy możesz stosować do wszystkich wiadomości — nawet publicznych — bo jego celem jest uwierzytelnianie, nie poufność. To jak pieczęć firmowa na liście — każdy widzi list, ale pieczęć potwierdza nadawcę.

Szyfrowanie

Szyfrowanie ukrywa treść wiadomości. Tylko odbiorca z odpowiednim kluczem prywatnym może ją odczytać. Możesz szyfrować bez podpisywania, podpisywać bez szyfrowania, albo robić jedno i drugie jednocześnie — to zalecane podejście dla maksymalnego bezpieczeństwa.

Kiedy używać czego?

• Tylko podpis: Gdy zależy Ci na uwierzytelnieniu tożsamości, ale treść nie jest poufna.
• Tylko szyfrowanie: Gdy treść jest poufna, ale tożsamość nadawcy jest drugorzędna (rzadkie).
• Podpis + szyfrowanie: Optymalny wybór dla wrażliwej korespondencji — treść jest chroniona, a tożsamość zweryfikowana.

Konfiguracja PGP w eM Client

Krok 1: Generowanie pary kluczy PGP

1. Otwórz eM Client i przejdź do Menu > Ustawienia.
2. Kliknij Podpisywanie i szyfrowanie w lewym panelu.
3. Kliknij Nowy certyfikat PGP lub Generuj klucz PGP.
4. Uzupełnij swoje imię i nazwisko oraz adres e-mail (musi być taki sam jak konto w eM Client).
5. Opcjonalnie ustaw hasło chroniące klucz prywatny (zalecane).
6. Kliknij Generuj — eM Client utworzy parę kluczy (publiczny i prywatny).
7. Zaakceptuj przesłanie klucza publicznego do eM Keybook.
8. Sprawdź skrzynkę — przyjdzie wiadomość weryfikacyjna z eM Keybook. Kliknij link, aby aktywować klucz.

Krok 2: Ustawienia domyślne szyfrowania

W sekcji Podpisywanie i szyfrowanie możesz ustawić domyślne zachowanie eM Client:

• Domyślnie podpisuj — każda wychodząca wiadomość będzie automatycznie podpisana cyfrowo.
• Szyfruj gdy możliwe — wiadomość zostanie zaszyfrowana, gdy eM Client znajdzie klucz publiczny odbiorcy.
• Zawsze pytaj — eM Client będzie pytał o szyfrowanie przy każdej wiadomości.

Konfiguracja S/MIME w eM Client

Krok 1: Uzyskanie certyfikatu S/MIME

Certyfikat S/MIME możesz uzyskać od zaufanego urzędu certyfikacji. Darmowe certyfikaty osobiste oferują m.in.:

• Certum — darmowe certyfikaty dla osób prywatnych.
• Sectigo — certyfikaty osobiste S/MIME.
• DigiCert — certyfikaty korporacyjne.

Krok 2: Importowanie certyfikatu

1. Pobierz certyfikat od urzędu certyfikacji (zazwyczaj plik .p12 lub .pfx).
2. W eM Client przejdź do Menu > Ustawienia > Podpisywanie i szyfrowanie.
3. Kliknij Importuj certyfikat S/MIME.
4. Wskaż pobrany plik i podaj hasło (jeśli certyfikat jest zabezpieczony hasłem).
5. Przypisz certyfikat do odpowiedniego konta e-mail.

Krok 3: Wymiana certyfikatów z rozmówcami

Aby wysyłać zaszyfrowane wiadomości S/MIME do rozmówcy, potrzebujesz jego certyfikatu publicznego. Możesz go uzyskać, gdy:

• Rozmówca wyśle Ci podpisaną cyfrowo wiadomość S/MIME — eM Client automatycznie zapisze jego certyfikat.
• Rozmówca prześle plik z certyfikatem (.cer lub .crt), który możesz zaimportować do kontaktu.

Jak wysłać zaszyfrowaną wiadomość w eM Client?

Gdy masz skonfigurowane klucze/certyfikaty i znasz klucz publiczny odbiorcy, wysłanie zaszyfrowanej wiadomości jest proste:

1. Kliknij Nowa wiadomość lub odpowiedz na wiadomość.
2. W oknie kompozytora znajdź pasek narzędzi szyfrowania (górna część okna lub sekcja Bezpieczeństwo).
3. Kliknij ikonę kłódki, aby zaszyfrować wiadomość.
4. Kliknij ikonę pióra/pieczęci, aby dodać podpis cyfrowy.
5. eM Client automatycznie sprawdzi, czy ma klucz publiczny odbiorcy. Jeśli tak — ikona będzie aktywna.
6. Napisz wiadomość i kliknij Wyślij.

Jeśli eM Client nie znajdzie klucza publicznego odbiorcy, pojawi się informacja, że szyfrowanie nie jest możliwe. W takim przypadku poproś rozmówcę o przesłanie klucza lub poszukaj go w eM Keybook ręcznie.

Jak odczytać zaszyfrowaną wiadomość?

Gdy ktoś wyśle Ci zaszyfrowaną wiadomość PGP lub S/MIME, eM Client automatycznie ją odszyfruje, jeśli:

• Masz skonfigurowany klucz prywatny/certyfikat w eM Client.
• Klucz prywatny odpowiada kluczowi publicznemu użytemu do szyfrowania.

Jeśli klucz prywatny jest zabezpieczony hasłem, eM Client poprosi o jego podanie przy pierwszym odczycie zaszyfrowanej wiadomości w danej sesji.

Ważne: Jeśli utracisz klucz prywatny lub jego hasło, nie będziesz w stanie odczytać zaszyfrowanych wiadomości. Dlatego zawsze twórz kopię zapasową klucza prywatnego w bezpiecznym miejscu.

Weryfikacja podpisu cyfrowego

Przy wiadomościach z podpisem cyfrowym eM Client wyświetla informację o wyniku weryfikacji:

• Podpis prawidłowy — tożsamość nadawcy potwierdzona, treść niezmieniona.
• Podpis niezaufany — klucz nie jest zweryfikowany przez eM Keybook lub CA.
• Podpis nieprawidłowy — treść wiadomości mogła być zmodyfikowana po podpisaniu!

Najczęstsze pytania

Jak włączyć szyfrowanie PGP w eM Client?

Przejdź do Menu > Ustawienia > Podpisywanie i szyfrowanie, a następnie wygeneruj parę kluczy PGP. Klucz publiczny trafi do eM Keybook. Podczas pisania wiadomości do rozmówcy z kluczem publicznym kliknij ikonę kłódki, aby zaszyfrować wiadomość.

Jaka jest różnica między podpisem cyfrowym a szyfrowaniem?

Podpis cyfrowy potwierdza tożsamość nadawcy — odbiorca może zweryfikować, że wiadomość naprawdę pochodzi od Ciebie i nie była modyfikowana. Szyfrowanie natomiast ukrywa treść wiadomości — tylko odbiorca z kluczem prywatnym może ją odczytać. Można stosować jedno lub oba jednocześnie.

Czy eM Client obsługuje S/MIME?

Tak. eM Client w pełni obsługuje S/MIME. Potrzebujesz certyfikatu S/MIME od zaufanego urzędu certyfikacji (np. Sectigo, DigiCert, Certum). Po zaimportowaniu certyfikatu możesz podpisywać i szyfrować wiadomości zgodnie ze standardem S/MIME.

Czy zaszyfrowaną wiadomość mogę odczytać w webmailu?

Nie — zaszyfrowana wiadomość PGP lub S/MIME wymaga odpowiedniego klucza prywatnego do odszyfrowania. Większość interfejsów webmail (Gmail, Outlook.com) nie obsługuje PGP/S/MIME, więc wiadomość będzie nieczytelna bez dedykowanej aplikacji pocztowej.

Czy muszę płacić za certyfikat S/MIME?

Nie zawsze. Certum i Sectigo oferują darmowe certyfikaty osobiste S/MIME. Certyfikaty dla organizacji (zawierające nazwę firmy) są zazwyczaj płatne.

Co się stanie z zaszyfrowanymi wiadomościami, gdy utracę klucz prywatny?

Zaszyfrowane wiadomości staną się nieodczytalne — bez klucza prywatnego nie ma możliwości ich odszyfrowania. Dlatego zawsze twórz i bezpiecznie przechowuj kopię zapasową klucza prywatnego (eksport do pliku w bezpiecznej lokalizacji).