Gebruikerstip 41 (juli 2005)


Mail gecodeerd verzenden en ontvangen

In een tijd waarin afluisteren steeds gewoner wordt, is het toch prettig om te weten dat het nog steeds mogelijk is om onafgeluisterd met iemand te communiceren, zonder dat u elkaar daarvoor hoeft op te zoeken. Het is mogelijk om e-mail zodanig te versleutelen dat alleen degene voor wie het bedoeld is, de mail ook daadwerkelijk kan lezen.

De methode om dit te bereiken is de volgende: Er bestaan (wiskundige) algoritmes die meerdere uitkomsten hebben (velen herinneren zich vast wel de kwadratische vergelijking die al 2 mogelijke uitkomsten had).
Als uitbereiding hierop, bestaan er ook antwoorden die maar via een algoritme te vinden zijn. Koppel deze 2 feiten, en je hebt het concept achter gecodeerd e-mail versturen.
De truc is simpel: Wanneer u begint, maakt u een coderingssleutel aan, die bestaat uit 2 sleutels; een sleutel waarmee u kunt coderen (de publieke sleutel) en een sleutel waarmee u dat wat u gecodeerd hebt met de publieke sleutel kunt decoderen (de private sleutel).

De publieke sleutel is, zoals de naam al zegt, de sleutel die u verspreidt. De bedoeling is nu dat anderen die u mail willen sturen, deze e-mail coderen met de publieke sleutel. Vanaf dat moment kan niemand (dus ook de verzender niet) de mail nog lezen. De enige die dat kan, is de geadresseerde (wiens publieke sleutel u heeft gebruikt).
De private sleutel geeft u nooit uit. Deze is alleen voor u, en is tevens de enige manier om berichten aan u, die gecodeerd zijn met uw publieke sleutel, te decoderen.

Hoe kunt u dit alles nu gebruiken? Allereerst heeft u een programma nodig om de sleutel te genereren, en de publieke sleutels te beheren en bewaren. Het pakket dat hiervoor geschikt is, is GPG.
Voor Linux vindt u dit bij de pakketten van uw distributie, onder de naam "GnuPG", maar u vindt het voor Linux en Windows ook hier.
Voor de Mac, vindt u het pakket hier.

Daarnaast heeft u een e-mail pakket nodig dat om kan gaan met codering.
Als e-mail pakket is in dit artikel gekozen voor Mozilla Thunderbird, omdat het beschikbaar is voor alle platformen, en dit verhaal dan dus ook voor alle platformen ongeveer hetzelfde werkt.

Daarnaast heeft u een plugin nodig om Thunderbird te laten werken met sleutels: Enigmail.

En tenslotte een grafische frontend voor het sleutel-beheer pakket om het werken met GnuPG te vereenvoudigen.
Voor Linux heeft u keuze uit meerdere pakketten; KGpg is een goede keus; het is onderdeel van KDE. Kiest u het pakket dat u bij uw installatie het beste/eenvoudigste kunt gebruiken.
Voor Windows is bijvoorbeeld WinPT een zeer bruikbare frontend.
En voor Mac is er MacGPG.
Maar er zijn er veel meer: http://www.gnupg.org/(en)/related_software/frontends.html heeft een klein overzicht van verschillende GnuPG frontends.

In dit artikel wordt een uitleg in hoofdlijnen gegeven. Alle stappen gelden voor alle bovenstaande configuraties, de naam van de stap kan echter iets anders zijn dan in het specifieke programma/systeem dat u gebruikt dan in het voorbeeld.



Installatie en instellen

Allereerst dient u alle bovenstaande programma's voor uw besturingssysteem te installeren.
Alle programma's zijn eenvoudig te downloaden en te installeren, maar voor Enigmail is het iets anders: open uw internet browser, ga naar http://enigmail.mozdev.org, kies download, en BEWAAR op schijf het bestand "enigmail....xpi".
Open Thunderbird, kies extensions, kies install, selecteer enigmail, en druk op "install".
Let wel!!! Wanneer u onder Linux werkt, dient Thunderbird als root gestart te zijn om enigmail te installeren!
Nu bent u klaar om uw eigen sleutels aan te maken.

Open uw grafische GPG frontend.
Kies de wizard om een nieuwe sleutelset aan te maken; dit heet meestal iets van "generate new keypair".

  • Geef uw naam op
  • Geef het e-mail adres waarvoor u de sleutel wilt gebruiken op
  • Geef eventueel commentaar mee
  • Kies een verloop datum, of kies een 0 wanneer u uw sleutel nooit wil laten verlopen
  • Kies een sleutelformaat 1024bits is standaard, maar een "zwaardere" sleutel van 2048 of zelfs 4096 bits is aan te raden.
  • Kies het te gebruiken algoritme. De standaard instelling voldoet.

Uw sleutelset is nu klaar.

 Generate keypair

Genereer een sleutelset

Om uw publieke sleutel nu ook makkelijk beschikbaar te hebben voor anderen, is het handig om de sleutel op een publieke sleutelserver te zetten. Enigmail kan zelfstandig publieke sleutels die u nog niet bezit, ophalen van een publieke sleutelserver. Exporteer daarvoor uw publieke sleutel naar een bestand.
Wanneer u de publieke sleutel wilt overzetten, doe dat dan altijd door de inhoud van dat bestand te copieren (inclusief de "----- -----" die het begin en einde van uw publieke sleutel markeren).

export_key

Exporteer de sleutel
Public_keyserver

Publieke sleutelserver

Om versleuteld met iemand te kunnen mailen, dient u elkaar eerst een ondertekende ("signed") e-mail te sturen. Wanneer Thunderbird deze ondertekende mail ontvangt, zal hij u vragen of u de ondertekening wilt verifiëren via een publieke sleutelserver. Wanneer u dit laat doen, ontvangt u de publieke sleutel van de afzender. Deze sleutel dient u te ondertekenen en vervolgens geeft u, via de optie "edit key"(1), aan in hoeverre u de afzender vertrouwt(2). Vanaf dat moment kunt u de afzender gecodeerde e-mail versturen.
De afzender dient dezelfde stappen te doorlopen om u een gecodeerde e-mail te versturen.

send_signed_message

Stuur een ondertekende e-mail
sign_key

Signeer de sleutel
signing

Het ondertekeningsproces
Edit_key

Edit de sleutel (1)
edit_trust

Kies hoeveel u de sleutel vertrouwt (2)

Tenslotte nog enkele opmerkingen:

Er zijn ook andere e-mail pakketten die het ondertekenen en coderen van e-mail via GPG ondersteunen. In dit voorbeeld is gebruik gemaakt van Thunderbird, maar wanneer u een ander e-mail pakket gebruikt, dan kunt u, analoog aan dit verhaal ook voor uw e-mail pakket de versleuteling inschakelen.

Wanneer u gebruik maakt van GPG in uw mail, en degene naar wie u mailt niet, dan wordt de mail uiteraard niet versleuteld (u heeft immers geen publieke sleutel van die persoon). U kunt de mail dan nog wel ondertekenen ("signing").
Door een e-mail te ondertekenen kan de ontvanger in ieder geval verifiëren of de mail echt van u afkomstig is, en of er onderweg niet mee gerommeld is.
Kiest u bij versturen van e-mail ALTIJD voor versturen met de "PGP/MIME"-optie. Er zijn e-mail programma's die zonder deze extensie niet met GPG om kunnen gaan, stel dit dus in als standaard in uw Thunderbird.

Enigmail heeft vanaf versie 0.92 ook intern een, rudimentair, sleutelbeheer aan boord.
Dat betekent dat een grafische GPG interface als KGPG, WinPT of MacGPG minder noodzakelijk wordt. Waarschijnlijk heeft u die vanaf versie 1.0 van enigmail geheel niet meer nodig. Echter voor algemeen sleutelbeheer zijn deze programma's wel aan te raden.

Onderweg kunt u ook gebruik maken van versleutelde e-mail:
Voor het webmail pakket "Squirrelmail" bestaat een GPG-extensie. Met deze extensie kunt u ook in uw webmail gebruik maken van versleutelde e-mail. Gebruikt u Squirrelmail?
Vraag uw systeembeheerder dan om de GPG extensie, en importeer uw sleutelset in Squirrelmail. (Let wel: Vertrouwen is hier van belang!!! Vertrouwt u uw systeembeheerder niet, doe dit dan niet; uw private sleutel staat bij Squirrelmail namelijk ook op de webmail server, en daar kan de systeembeheerder bij. Let u er bij het ingeven van uw sleutel op dat u dat doet door de inhoud van het geëxporteerde sleutelbestand te copieren, en NIET door het bestand in z'n geheel in Squirrelmail te importeren, dat werkt namelijk niet.)

Heeft u nog vragen of opmerkingen, dan kunt u terecht op ons e-mail adres.



home