GnuPG, een surveillance zelfverdediging voor e-mail

image

Via de handleiding Email Self Defense geeft de Freedom Software Foundation (FSF) een stap-voor-stap uitleg over hoe je e-mail kunt versturen met versleuteling.

Edit: voor de volledigheid: de link naar de officiële website van GnuPG

3 likes

Dank je wel voor deze info.
Volgens mij best wel veel werk om te doen. Even snel doorgelezen, misschien dat ik het ook eens ga uitproberen. Kijken of het lukt :slight_smile:

Zijn er ook apps of misschien wel providers die dit doen? (zoals ProtonMail)

wat opzich interessant is in deze context is autocrypt (Mutt kan dit bijvoorbeeld), wat een poging is om zoveel mogelijk berichten te kunnen ondertekenen: Autocrypt 1.1.0 documentation

1 like

Voor mail.app op de Mac is er gpgsuite van gpgtools. Makkelijk op te zetten, en daarna heb je twee vinkjes in je mail-compose window: sign en encrypt. (die laatste uiteraard alleen als je de public key van de ontvanger hebt)

Geen gratis oplossing, maar zo makkelijk dat ik het er al jaren voor over heb

1 like

En dat van iemand die bij Freedom werkt, dan moet het wel goed en veilig zijn :slight_smile: - Bedankt voor de info, ga er zeker naar kijken.

PGP en GPG is al een jaar of 25 eigenlijk de enige standaard manier om veilig te mailen. GPGtools is programmatuur eromheen om het makkelijker te maken.

1 like

De bescherming van GnuPG is maar beperkt, omdat GnuPG geen forward secrecy biedt. Dat wil zeggen dat als iemand je private key steelt, alle ciphertext die naar jou gestuurd zijn kan decrypten. Tenzij je je keypairs heel erg frequent roteert, begeef je je op lange termijn op vrij dun ijs.

https://alexgaynor.net/2017/apr/26/forward-secrecy-is-the-most-important-thing/

Dan zeg je wellicht dat dit je niet overkomt, omdat je je private key netjes op een secure element op je Yubikey hebt, etc. Maar als degene waarmee je correspondeert de boel niet op orde heeft, dan kan een aanvaller alsnog zijn/haar key stelen en jouw berichten lezen.

Je zou je verbazen hoeveel mensen gewoon hun GPG keys in ~/.gnupg hebben staan, hun SSH keys in ~/.ssh en allerhande software draaien die niet sandboxed is en zonder problemen private keys kunnen ex-filtreren. Voor ontwikkelaars die duizenden Node.js of PyPI packages binnenhalen (onmogelijk allemaal te controleren) is de aanvalsvector nog groter.

Kortom, gebruik een messenger met (perfect) forward secrecy. Heeft op veel andere vlakken ook nog voordelen boven e-mail.