E-mails versleutelen met PGP; hoe werkt dat?

E-mails versleutelen met PGP

De risico’s van e-mailverkeer

Hoewel tegenwoordig een groot deel van de online communicatie via tekstberichten in sociale media en instant messengers plaatsvindt, spelen e-mails nog altijd een belangrijke rol. Vooral vertrouwelijke inhoud, zoals contracten en bankgegevens, verstuurt men liever via e-mail dan via een chatbericht en in veel bedrijven hoort het regelmatig uitwisselen van e-mails bij de dagelijkse praktijk. Aan dit e-mailverkeer is echter ook een risico verbonden; het gevaar bestaat dat de inhoud door derden wordt gelezen. Voornamelijk criminelen die vertrouwelijke gebruikersgegevens willen achterhalen, maar ook inlichtingendiensten die op zoek zijn naar bruikbare informatie, profiteren van onversleutelde berichten. Om veilig te e-mailen en ervoor te zorgen dat onbevoegden geen toegang tot je mails krijgen, is het noodzakelijk om je e-mails te versleutelen.


PGP-versleuteling: een sleutelpaar om je privacy beschermen

De zogenoemde PGP-versleuteling biedt een uitstekende mogelijkheid om je e-mails te versleutelen en zo informatie te beschermen. Oorspronkelijk werd het begrip PGP – een afkorting van ‘Pretty Good Privacy’ (Engels voor: ‘behoorlijk goede privacy’) – gebruikt voor een reeds in 1992 door Phil Zimmermann ontwikkelde software om e-mails te versleutelen. In de loop van de jaren werd de naam steeds vaker gebruikt voor de versleutelingsmethode die door deze software wordt ingezet.

De versleuteling met PGP is gebaseerd op publieke sleutel-cryptografie. Er wordt een sleutelpaar gebruikt, dat uit een publieke sleutel en een privésleutel bestaat. De publieke sleutel wordt beschikbaar gemaakt voor potentiële e-mailcontacten, wanneer je deze direct doorgeeft of uploadt op een externe sleutelserver. Met deze sleutel kunnen je contacten de e-mails die ze naar jou toe sturen versleutelen. De privésleutel is alleen voor jou toegankelijk en meestal aanvullend beveiligd met een wachtwoord. Met behulp hiervan ontsleutel je ontvangen e-mails, die eerder door de afzender met jouw publieke sleutel zijn gecodeerd. Om op deze manier beveiligd te communiceren, moet ook degene met wie je contact hebt PGP gebruiken en jou toegang geven tot zijn of haar publieke sleutel. Publieke sleutel-cpgp-teksryptografie wordt ook wel asymmetrische cryptografie genoemd, omdat de twee partijen verschillende sleutels gebruiken. Het gebruik van een digitale handtekening is tevens een methode om de authenticiteit van je berichten te garanderen, al staat dit los van het versleutelen van e-mails. PGP versleuteling gaat namelijk nog een stap verder in de beveiliging van het bericht.


E-mails met PGP versleutelen; alleen voor experts?

Het versleutelen van de eigen e-mailcommunicatie met PGP lijkt in eerste instantie een complexe opgave te zijn. Eerst moet je een open of voordelige PGP-software downloaden en installeren. Tijdens de installatie wordt het sleutelpaar weliswaar automatisch aangemaakt; voor de rest is de gebruiker zelf verantwoordelijk. De privésleutel wordt op het eigen systeem gearchiveerd, terwijl de publieke sleutel op een externe server (bijvoorbeeld op de eigen webserver) wordt geüpload of direct via mail naar de gewenste contactpersonen wordt gestuurd. Dit is echter nog niet genoeg, omdat deze contacten zelf ook gebruik moeten maken van PGP-versleuteling en jou hun publieke sleutel moeten geven. Het is bovendien jouw eigen taak om de betrouwbaarheid van de verkregen sleutels te controleren en de eigen sleutels te beheren. Wie deze moeite doet, kan er echter wel zeker van zijn dat de e-mails daadwerkelijk beveiligd zijn.

De stappen die nodig zijn om de versleuteling in te stellen, hebben minder ervaren gebruikers er vaak van weerhouden om voor PPG-versleuteling te kiezen. Om een breder publiek toegang te geven tot beveiligde mails, zijn de afgelopen jaren plug-ins als OutlookPrivacyPlugin en Mailvelope ontwikkeld. Deze worden in gebruikelijke e-mailclients en browsers geïmplementeerd en ondersteunen gebruikers bij de configuratie. Ook talrijke gevestigde e-mailaanbieders hechten tegenwoordig veel waarde aan dit thema en bieden plug-ins aan voor een PGP-versleuteling, samen met configuratie-assistenten. Daardoor is het nu veel eenvoudiger dan vroeger om je eigen e-mailaccount van een PGP-versleuteling te voorzien. Ook het opslaan van publieke sleutels in een databank van de aanbieder is een gebruikelijke service.


PGP-tutorial: zo kun je je e-mails versleutelen met PGP

Veel e-mailaanbieders hebben tegenwoordig pakketten waarmee je een PGP-versleuteling kunt realiseren. Meestal hoort daar ook een begrijpelijke handleiding bij. Als dit niet het geval is, moet je de bovengenoemde handelingen zelfstandig uitvoeren. De onderstaande PGP-tutorial helpt je, door middel van een gedetailleerd stappenplan, om het versleutelingssysteem te implementeren.


E-mails versleutelen met PGP: PGP-Software

Stap 1: kies en installeer de passende PGP-software

Als eerste moet je op zoek gaan naar geschikte PGP-software, die compatibel is met het gebruikte besturingssysteem en het gekozen e-mailprogramma. Voor Linux-gebruikers is de in 1997 gepubliceerde open source-oplossing GnuPG (Gnu Privacy Guard) een goede keuze. De software draait op bijna alle GNU/Linux-distributies en maakt versleuteling, volgens de OpenPGP-standaard, mogelijk met alle belangrijke mailprogramma's (zoals Evolution, Kmail en Thunderbird). De iets oudere versie 1.4 is op veel systemen standaard geïnstalleerd. De nieuwste versie kun je downloaden op de officiële website.

Gebruikers van Windows of OS X vinden hier ook binaire bestanden, waarmee ze de systeem-specifieke Gpg4win en Mac GPG, die op GnuPG gebaseerd zijn, kunnen installeren.


E-mails versleutelen met PGP: sleutelpaar

Stap 2: genereer een sleutelpaar

Als het PGP-programma is geïnstalleerd, kan een sleutelpaar worden gemaakt. In Linux open je hiervoor de commandoregel en gebruik je het commando dat in de handleiding van het gebruikte programma staat. Voor de reeds genoemde software GnuPG luidt het commando:

sudo gpg --gen-key

Vervolgens kies je de versleutelingssoort. Wijk alleen van de standaardinstellingen (‘RSA en RSA’) af, als je over de benodigde kennis beschikt. Vervolgens geef je de sleutellengte in bit aan. Hoe langer sleutels zijn, hoe beter de beveiliging, maar ook hoe trager de werking. Beveiligingsexperts raden bij RSA-sleutels een lengte van 4096 bit aan. Daarna moet je de geldigheidsduur van de sleutel aangeven en vervolgens de naam en het e-mailadres waarvoor het sleutelpaar moet gelden. Tot slot bevestig je de gegevens en kies je een wachtwoord voor je privésleutel. Dit heb je later nodig om je e-mails te versleutelen en ontsleutelen.

In Windows en Mac OS X kun je sleutels via grafische programma's laten genereren. Onafhankelijk van PGP-software en platform, wordt je vaak gevraagd het genereren van sleutels te ondersteunen door op willekeurige toetsen te drukken of muisbewegingen te maken.


E-mails versleutelen met PGP: contacten

Stap 3: deel de publieke sleutel met je contacten

De aangemaakte sleutel beheer je in Linux ofwel via de terminal, ofwel met een grafisch programma zoals Seahorse (voor Gnome/Unity) of KGpg (voor KDE). De commando's voor GnuPG zijn bijvoorbeeld

sudo gpg --list-secret-keys
sudo –K

voor de privésleutels en

sudo gpg --list-keys
sudo -K

voor een lijst van alle gegenereerde publieke sleutels. De sleutels die in de lijst staan kun je natuurlijk niet alleen raadplegen, maar ook direct exporteren. Bij het exporteren maak je een .asc-bestand aan, dat vervolgens direct per mail (als bijlage) naar de gewenste contacten kan worden gestuurd, op een certificaatserver kan worden geüpload of op een USB-stick kan worden opgeslagen. Als een contact je publieke sleutel heeft ontvangen en eveneens een programma heeft om sleutels te beheren, kan diegene jou voortaan versleutelde berichten sturen. Deze kun je dan ontsleutelen met de bijbehorende privésleutel, inclusief wachtwoord. Als je een versleutelde e-mail naar deze persoon wilt terugsturen, heb je zijn of haar publieke sleutel nodig.


Online tools voor PGP-versleuteling en -ontsleuteling

Naast de optie om programma's op het eigen systeem te installeren, bestaat de mogelijkheid om online PGP-tools te gebruiken voor het genereren van sleutelparen en het versleutelen en ontsleutelen van e-mails. Voorbeelden hiervan zijn de webdienst PGP Key Generator en de online versleutelingstool sela.


E-mails versleutelen met PGP: Key Generator

PGP Key Generator: webtool voor het genereren van sleutelparen

De webtool PGP Key Generator is een programma op basis van JavaScript, dat via de gebruikelijke webbrowser kan worden gebruikt om sleutelparen te genereren. De open source-dienst is gratis en je hoeft geen account aan te maken. Om te beginnen vul je op de website in het ‘Options’-formulier de gewenste specificaties voor de sleutel in: je naam, het e-mailadres, het gewenste versleutelingsalgoritme (RSA/ECC), de sleutellengte (tot 4096 bit), de geldigheidsduur (maximaal 8 jaar) en een wachtwoord. Door op ‘Generate Keys’ te klikken, worden de sleutels gegenereerd. Dit kan enkele ogenblikken duren. Zodra het proces is afgesloten, worden de publieke sleutel en je privésleutel in gelijknamige vensters weergegeven. Via de download-button download je de sleutels als .asc-bestand.

E-mails versleutelen met PGP
PGP Key Generator: webtool om PGP-sleutels mee te genereren, bron: https://PGPkeygen.com/

Deze stappen doorloop je allemaal via de browser, op de met TLS beveiligde website van de aanbieder. De tool gebruikt een TLS-certificaat dat door Amazon is geverifieerd. De beheerders van de webdienst slaan persoonlijke gegevens, e-mailadressen en gegenereerde sleutels niet op op hun eigen servers (Amazon S3 en CloudFront). Alleen Google Analytics bewaart gegevens voor webanalyse. Net zoals bij alle andere JavaScript-applicaties, kan het echter zijn dat criminelen beveiligingslekken vinden. Via deze lekken kunnen ze aanvallen op je systeem starten en toegang verkrijgen tot gegenereerde sleutels, wachtwoorden of andere vertrouwelijke gegevens.


E-mails PGP-versleuteling

Sela: eenvoudige online PGP-versleuteling

De webdienst sela geeft je de mogelijkheid om e-mails online te versleutelen en ontsleutelen. Daarvoor heb je alleen de bijbehorende sleutel en het wachtwoord (voor het ontsleutelen) nodig. Als je een bericht wilt versleutelen, voer je de publieke sleutel van je contact en de inhoud van je mail in op de website en klik je op ‘encrypt PGP message’. Vervolgens krijg je de fingerprint van de publieke sleutel en de versleutelde mail, die je met kopiëren en plakken kunt overnemen.

E-mails versleutelen met PGP
Sela: webapplicatie voor het versleutelen en ontsleutelen van e-mails, bron: https://sela.io/PGP/

Als je een ontvangen bericht wilt ontsleutelen, kopieer je je privésleutel, het bijbehorende wachtwoord en het te ontsleutelen bericht naar het formulier en klik je vervolgens op ‘decrypt PGP message’. sela geeft dan de inhoud van de e-mail niet-gecodeerd weer. De ontwerper Stefan Dosdal is verantwoordelijk voor de dienst. Hij geeft echter niet aan of hij gebruikmaakt van analysetools zoals Google Analytics. De verbinding met de website is beveiligd met een TLS-certificaat, dat door GeoTrust Inc. is geverifieerd. De genoemde risico's van JavaScript-applicaties bestaan alsnog. Bovendien wordt de geheime sleutel bij het ontsleutelen naar de server gestuurd, wat ingaat tegen de eigenlijke principes van PGP.


PGP-versleuteling voor webmaildiensten: browserextensie Mailvelope

De browserextensie Mailvelope is zeer geschikt wanneer je voornamelijk via webmaildiensten als Gmail, Yahoo of Outlook.com communiceert. De add-on is gebaseerd op OpenPGP.js, een JavaScript-implementatie van de OpenPGP-standaard, en is beschikbaar voor Google Chrome en Mozilla Firefox. De links voor het downloaden van de extensie zijn te vinden op de website van Mailvelope. Zodra je de extensie hebt geïnstalleerd, verschijnt in de symboollijst van je browser het icoontje van Mailvelope, waarmee je de gebruikersinterface kunt openen. Hier kun je je eigen sleutels genereren en kun je alle sleutels – ook de publieke sleutels van je contacten – importeren en beheren. Bovendien is het mogelijk om aangemaakte publieke sleutels op een publieke sleutelserver te uploaden.

E-mails versleutelen met PGP: Mailvelope
Interface van browserextensie Mailvelope, bron: Mailvelope

Zodra je Mailvelope hebt geïnstalleerd en je postvak opent, zoekt de add-on in het postvak naar met PGP versleutelde berichten. Op deze manier kan de extensie specifieke elementen weergeven die versleuteld of ontsleuteld moeten worden, als er een PGP-mail is binnengekomen. Onder instellingen kun je de PGP-versleuteling voor Gmail, Outlook etc. activeren en deactiveren. Je klikt in de lijst met ondersteunde webmaildiensten gewoon de gewenste aanbieder aan en reguleert de status met behulp van de on/off-button. Mailvelope is standaard geactiveerd voor alle genoemde aanbieders.


Zo gebruik je PGP-sleutels op je Android-toestel

Om PGP-versleuteling op Android-toestellen te kunnen gebruiken, heb je een e-mailclient die deze versleuteling ondersteunt en software voor sleutelbeheer nodig. Twee apps zijn hierbij erg nuttig: het gratis e-mailprogramma Squeaky Mail en de betaalde applicatie PGP KeyRing, die ook beschikbaar is als testversie (beperkt tot één privésleutel en twee publieke sleutels).

E-mails versleutelen met PGP: Google Play Store
E-mailclient Squeaky Mail, bron: Google Play Store

E-mails versleutelen met PGP: Sleuteltool PGP KeyRing
Sleuteltool PGP KeyRing, bron: Google Play Store

Eerst installeer je Squeaky Mail en richt je met behulp van de assistent een postvak met je e-mailadres in. Vervolgens kun je met PGP KeyRing je sleutelpaar importeren en de publieke sleutel met je contacten delen. Als zij jou nu een versleutelde e-mail sturen, vraagt Squeaky Mail naar je wachtwoord en wordt de inhoud van de e-mail pas weergegeven als je je wachtwoord juist hebt ingevuld. Om zelf ook versleutelde berichten te kunnen versturen, importeer je vervolgens de publieke sleutels van je contacten. Je kunt dan voordat je een e-mail verstuurt aangeven dat je deze wilt versleutelen, en de bijbehorende sleutel kiezen.


Versleutelde inhoud vs. versleutelde verbindingen

Veel gebruikers denken dat ze al met SSL- of TLS-certificaten versleutelde e-mails met hun contacten kunnen uitwisselen, maar dit klopt niet helemaal. Het inzetten van zo’n certificaat betekent alleen dat de overdrachtsroute die e-mails afleggen is gecodeerd. Het nadeel is dat de berichten tijdens het uploaden naar de server door derden kunnen worden onderschept en gelezen. Aan de andere kant is het met SSL/TLS mogelijk om onderdelen van een e-mail te versleutelen die PGP onversleuteld laat; bijvoorbeeld informatie over afzender, ontvanger en onderwerp. Een combinatie van PGP-versleuteling en SSL/TLS is in de praktijk dan ook de optimale oplossing voor het beveiligen van je e-mails.

  • Gecertificeerde veiligheid

    Gecertificeerde veiligheid
  • Beste hostingbedrijf

    Beste hostingbedrijf
  • MKB Best Choice

    MKB Best Choice
  • Professionele support

    Professionele support
  • Hosted in Germany

    Hosted in Germany