No Thunderbird, como usar o ID da chave pública do chaveiro GPG do sistema?

Em teoria, não pode ser feito

Atualmente (ou pelo menos a partir de 2020-12-20), o Thunderbird não tem planos de integração com chaveiros GPG externos/de sistema:

Chaves públicas precisam ser importadas para o Thunderbird OpenPGP. Não há como evitar isso. Esta é uma escolha de design.

O FAQ oficial também indica o mesmo:

Preciso usar o GnuPG e o Thunderbird em paralelo. Posso sincronizar minhas chaves?

Não. No momento, o Thunderbird usa sua própria cópia de chaves e não suporta sincronização de chaves com o GnuPG . A exceção é o mecanismo oferecido para smartcards, que pode ser usado para usar as chaves pessoais gerenciadas pelo GnuPG.

Você pode importar a versão mais recente da sua chave pública por meio do OpenPGP Key Manager em Tools > OpenPGP Key Manager. Se você carregou a chave pública mais recente para um servidor de chaves, você pode tentar Keyserver > Discover Keys Onlinever se o Thunderbird pode importá-la automaticamente. Se você tiver a chave pública atualizada em um arquivo, então você pode importá-la com File > Import Public Key(s) From File.

No entanto...

Agora, descobri algumas indicações mais recentemente (2024-04-12) de que pode haver uma maneira de fazer com que o Thunderbird extraia automaticamente chaves públicas do seu chaveiro GPG externo/do sistema para seu próprio armazenamento de chaves enquanto você compõe e-mails para esses destinatários com a opção de criptografia habilitada :

Para que o Thunderbird use meu anel de chave pública GnuPG, tive que habilitar duas opções no editor de configuração ( Settings -> General -> Config editor):

mail.openpgp.allow_external_gnupg

mail.openpgp.fetch_pubkeys_do_gnupg

Agora o Thunderbird oferecerá a importação de chaves públicas do meu chaveiro gpg quando necessário.

Se essas duas opções estiverem definidas, uma das maneiras de "resolver" a chave pública ausente é extraindo-a do chaveiro GPG externo/do sistema, o que às vezes parece funcionar, às vezes não:

Afinal, eu tenho a opção de importar do chaveiro gpg em "Resolver…". Parece que funciona para algumas chaves e não para outras. Ele não oferece a importação de chaves expiradas, o que é ok. Mas também deixa passar algumas outras chaves que não estão expiradas. Parece que o fator comum são caracteres não ASCII no nome/endereço de e-mail, mas ainda não consegui identificá-lo. De qualquer forma, ele importa todas as chaves públicas para o próprio chaveiro do Thunderbird antes de usá-las. Acabamos com um banco de dados duplicado que precisa de sincronização. Que bagunça…

Eu tentei isso no meu próprio sistema, atualmente executando o Thunderbird Beta 131.0b5. Parece funcionar, pelo menos. Quando eu componho um e-mail para um endereço com uma chave pública que eu tenho no meu chaveiro GPG externo/do sistema, mas não no armazenamento de chaves do Thunderbird, sou solicitado a "Resolver" isso e recebo vários outros prompts para eventualmente importar a chave pública (não é a IU mais amigável, mas funcional, pelo menos):

Nesse ponto, posso continuar escrevendo o e-mail e enviá-lo, criptografado, ao destinatário.

Importante

Se o endereço de e-mail não estiver no seu chaveiro GPG externo/do sistema, não haverá opção presente na caixa de diálogo sobre como procurá-lo; somente para verificar on-line ou importar via arquivo:

Acho que seria legal, se as opções mail.openpgp.allow_external_gnupge mail.openpgp.fetch_pubkeys_from_gnupgestiverem habilitadas, dizer na interface do usuário que "já verificamos seu chaveiro GPG externo/do sistema e não encontramos nada".

Esta não é uma solução de sincronização perfeita, mas há pelo menos alguma tentativa no código-fonte de manter seu chaveiro GPG externo/do sistema e o armazenamento de chaves do Thunderbird sincronizados ( /mail/extensions/openpgp/content/modules/keyRing.jsm):

if (
  Services.prefs.getBoolPref("mail.openpgp.allow_external_gnupg") &&
  Services.prefs.getBoolPref("mail.openpgp.fetch_pubkeys_from_gnupg") &&
  !this.alreadyCheckedGnuPG.has(email)
) {
  this.alreadyCheckedGnuPG.add(email);
  let keysFromGnuPGMap = lazy.GPGME.getPublicKeysForEmail(email);
  for (let aFpr of keysFromGnuPGMap.keys()) {
    let oldKey = this.getKeyById(aFpr);
    let gpgKeyData = keysFromGnuPGMap.get(aFpr);
    if (oldKey) {
      await this.importKeyDataSilent(null, gpgKeyData, false);
    } else {
      let k = await lazy.RNP.getKeyListFromKeyBlockImpl(gpgKeyData);
      if (!k) {
        continue;
      }
      if (k.length != 1) {
        continue;
      }
      let db = await lazy.CollectedKeysDB.getInstance();
      // If key is known in the db: merge + update.
      let key = await db.mergeExisting(k[0], gpgKeyData, {
        uri: "",
        type: "gnupg",
      });
      await db.storeKey(key);
    }
  }
}