Depuis sa version 78, Thunderbird intègre nativement la prise en charge d'OpenPGP. Il utilise la bibliothèque de fonctions RNP, plus des appels à GnuPG (par exemple) comme le faisait l'extension Enigmail. Ainsi, Thunderbird importe la clé OpenPGP en en faisant une copie et en protégeant sa phrase de passe avec une chaîne de caractères générée automatiquement et stockée en clair dans le profil Thunderbird de l'utilisateur. Pour protéger la phrase de passe OpenPGP, il faut définir un mot de passe principal pour le gestionnaire de mots de passe interne.
Notons que, puisque la clé OpenPGP est copiée dans Thunderbird, il n'y a pas de synchronisation automatique entre Thunderbird et GnuPG. Un changement de date d'expiration, accorder sa confiance à une clé, signer une clé, importer une signature de sa clé, etc., toutes ces actions restent cantonnées à l'un ou à l'autre des logiciels.
Comme le note un observateur, la protection par un mot de passe principal n'offre pas les mêmes garanties qu'une utilisation d'Enigmail.
Sans agent GnuPG, Enigmail demandait la phrase de passe à chaque email à déchiffrer / signer. Avec un agent GnuPG, la phrase de passe restait quelques temps en RAM (sans protection) et les emails étaient lisibles sans protection durant cet intervalle.
Avec Thunderbird 78 (et suivants), si l'on ne défini pas de mot de passe principal, les emails sont lisibles en permanence. Si l'on en défini un, il est demandé à l'ouverture de Thunderbird et il est stocké en RAM jusqu'à ce que Thunderbird soit fermé, donc les emails sont lisibles dans cet intervalle, qui est plus long que ce qu'il était avec l'agent GnuPG.
À ce jour, Thunderbird ne permet pas de configurer un délai maximal de conservation du mot de passe principal en RAM.
On notera que la bibliothèque RNP comportait un bug qui lui faisait importer une clé sans la protéger, même si un mot de passe principal existait.
ÉDIT DU 24/09/2022 : j'avais écrit qu'il est possible de configurer Thunderbird pour utiliser GnuPG afin de pallier les déconvenues sus-exposées. Or, la doc' officielle que je pointais expose précisément qu'en ce faisant, GnuPG serait alors utilisé exclusivement pour les opérations de déchiffrement et de signature, et que l'implémentation interne continuerait d'être utilisée pour les opérations de chiffrement et de vérification d'une signature. Donc, il faut quand même synchroniser les trousseaux Thunderbird et GnuPG (Thunderbird a besoin de ta clé publique pour déchiffrer la copie des emails envoyés), surtout si tu utilises ta paire de clés OpenPGP pour d'autres usages que l'email avec Thunderbird (besoin des clés publiques de tes correspondants des deux côtés). En revanche, en utilisant GnuPG, ta clé privée sera alors protégée par celui-ci (et éventuellement son agent) plutôt que par Thunderbird, ce qui contrecarre bien deux des trois points énoncés ci-dessus. FIN DE L'ÉDIT.