Ja, heb ik gezien en ik zou graag de onderste optie aanvinken. Maar ik zou niet weten hoe ik dan die fingerprint moet checken.
De persoon in kwestie bellen?
Graag zou ik opties van het HOE voorgelegd krijgen. Zoiets als een ckecksum verifiëren in Linux door met de rechtermuisknop op het .iso bestand te klikken en de checksum controle aanvinken en die vergelijken met het tekst bestand .txt dat ik kon downloaden met daarin dechecksum.
Officieel zou je dat wel moeten doen.
De fingerprint is gewoon te zien bij de sleuteleigenschappen.
Zoiets als 27DE B156 44C7 B3CF 3BD7 D292 300F 846C A25B AE00
Het zou er niet om moeten gaan dat ik dat zou moeten doen. Mij gaat het er om dat ik wel wil, maar niet weet HOE. Ik zie in de geopende versleutelde mail als ik op OPEN PGP klik dat ik de sleuteleigenschappen kan bekijken, daar zie ik inderdaad zo iets als wat jij aangeeft. Maar met wat vergelijk ik dat?
Het gaat mij erom dat de stappen duidelijk worden voorgelegd. Wil zo 'n systeem als betrouwbaar bestempeld kunnen worden dan vind ik dat er meer gestroomlijnd dient te worden. Ik kom te veel momenten tegen waar ik mij afvraag “en hoe nu verder? Wat moet ik dan doen?” En dan denk ik dat ik nog van goede wil ben maar de doelgroep die ik in mijn hoofd heb (zie begin draadje) haakt dan zeker af. En dat vind ik geen goede zaak.
\Maar goed, misschien draaf ik nu wat door.
In Thunderbird zit een sleutelbeheerder.
Je vraagt daar van de sleutel, de sleuteleigenschappen op.
Daar zie je de Fingerprint.
Zie je die?
Ja, dat is dezelfde als wat ik hier aangeef.
Met wat vergelijk ik dat? Wat doe ik met die fingerprint? Dat zou allemaal duidelijk dienen te zijn als ik zo’n mailtje krijg, ik zou er niet naar hoeven moeten te zoeken.
Maar ik ga stoppen voor vandaag, morgen weer verder. Bedankt tot zo ver!
Je moet die fingerprint van een ontvangen public key vergelijken met de fingerprint die je via een ander communicatiekanaal van de verzender krijgt.
Heb je de public key per email ontvangen dan kan het dus niet via email. Want het email kanaal kan zijn gecompromiteerd. Je wilt graag voorkomen dat je via een gecompromiteerd kanaal informatie uitwisselt en een man-in-the-middle een en ander alsnog kan lezen.
Je zou de verzender kunnen vragen de fingerprint van zijn public key jou toe te sturen via bijvoorbeeld WhatsApp, Telegram, Signal, SMS, of hem vragen jou persoonlijk en fysiek een papier met een afdruk van de fingerprint te overhandigen. Of vragen om een papier met daarop naast de afdruk van de fingerprint een kopie van (delen) van de verzender zijn paspoort. Dan bijvoorbeeld toegestuurd via send.tresorit.com.
Of een fingerprint van de verzender gepubiceerd op een website waarvan je zeker weet dat die persoon de eigenaar is en waarvan je de SSH sleutel checked.
Er zijn dus heel veel manieren, als het maar via een ander communicatiekanaal gaat, liefst een zo betrouwbaar mogelijk kanaal. Er zijn puristen die een public key van een ander alleen accepteren als betrouwbaar als daarvan een fingerprint persoonlijk en fysiek is overhandigd door de verzender.
@PeterB Dank, helder.
Nu de vraag hoe dit in de workflow binnen Thunderbird (en natuurlijk in de webmail functie die Freedom aanbiedt) te krijgen zodat mijn kennissen dit ook kunnen gaan uitvoeren zonder tegen de zelfde dingen aan te lopen waar ik nu tegen aan loop.
Zo vraag ik me nu af:
Vraag: Hoe vind ik de fingerprint van de e-mailaccounts waarvan ik een keyset heb aangemaakt? Ik weet dat ik dat een keer gezien heb, maar kan het niet terughalen.
Antwoord: Ga in Thunderbird naar > ‘Extra’ > ‘OpenPGP-sleutelbeheerder’ > Klik met rechtermuisknop op het betreffende account > Kies ‘Sleuteleigenschappen’ en daar staat de ‘Vingerafdruk’.
Nogmaals, het gaat mij erom dat dit soort dingen de gebruiker worden voorgelegd als hij / zij met GPG/PGP aan de slag wil, dat het in de workflow wordt opgenomen. Alleen dan gaat het voor een grotere groep werken. Dat kan inhouden dat er soms gekozen wordt voor een iets minder strenge uitvoering. Kijk maar eens hoe Gmail dit doet. Daar zou ik verleden jaar mee tevreden zijn, nu niet meer. Maar een heel grote groep zou daar nu heel erg tevreden mee zijn. Denk ik.
Maak het duidelijk voor deze groep.
Het systeem is veel te ingewikkeld voor de meeste gebruikers.
Dat is ook de reden dat ik een paar jaar geleden met S/MIME getest heb.
Dat werkte heel erg goed, totdat het aanbod van gratis certificaten minder werd.
En met de certificaten van Actalis deed Thunderbird het niet goed.
Ik ben er nooit achter gekomen wat de reden was.
Bij sommige mensen is een zip met een wachtwoord via de telefoon ook al te veel.
En mensen met een Gmail adres zeggen vaak, ik heb niets te verbergen, Waarom doe je zo moeilijk.
En met het uitwisselen van Fingerprints, heb je bij Signal ook.
Ik ken maar weinig mensen, die de moeite doen om dit even te doen.
Sterker nog… de meeste gaan drammen dat je op Whatsaap moet gaan zitten.
Wil je nog veiliger, lopen ze lachend weg.
Heel herkenbaar. Maar onder het thema “Internet en mijn eigen verantwoordelijkheid” praat ik met mensen uit die groep over wat ze zelf kunnen doen aan hun eigen PC-veiligheid, minder cloudopslag en het minder afhankelijk zijn van de Big Tech bedrijven. Het zijn er niet veel, maar ze zijn er.
Ontwikkelaar van Thunderbird schrijft:
I also understand that many users would prefer a timeout based behavior, where a secret key can remain unlocked and usable for a (user-defined) period of time, e.g. a view minutes. This has not yet been implemented, but I hope it will be added in the very near future.
Uit de rest van de berichten trek ik de conclusie dat PGP vanaf versie 78(2020)
een experimentele functie is.
Daarvoor was het ook mogelijk met een andere routine.
Ik zie wel een verborgen functie, die je aan moet zetten om het zichtbaar te krijgen. (mail.openpgp.passphrases.enabled)
Er zijn nog wel meer settings.
Die heb ik nog niet opgezocht, wat ze doen.
Het exporteren van sleutels naar Thunderbird.
Volgende stap, we gaan de aangemaakte sleutelset, ‘keypair’, van freedommail1 exporteren vanuit webmail.freedom. Om daarna te kunnen importeren in het betreffende mailaccount in Thunderbird op een andere computer.
We kijken meteen of we het daar geïmporteerde keypair van naam1@mijnnaam.nl ook kunnen exporteren om ook in Thunderbird bij dat e-mailaccount op de andere computer te importeren.
Ga daartoe naar de webmail van Freedom van het freedomaccount > Instellingen > PGP-sleutels en selecteer de twee accounts middels het vinkje. > Klik rechtsboven op Exporteren. Tja en dan, wat dien ik te kiezen? Ik kies dus voor optie twee: Geheime sleutels exporteren. Ik lees daarin dat zowel de publieke als de geheime sleutel geëxporteerd zal worden.
Er wordt dan om een sleutelwachtwoord gevraagd van het freedom1 account. En dus niet van het andere account!
En ik kan het bestand opslaan.
Ik ga daarna in Thunderbird naar > Extra > OpenPGP-sleutelbeheerder
en ik kies voor het importeren van de sleutels in stapjes. Omdat ik geen keuzemogelijkheid zie om de publieke en de geheime sleutel van één account in één stap te importeren. Ik kies dus voor ‘Publieke sleutels importeren uit bestand’.
Zelfde doen voor de geheime sleutel. Let wel, als het goed is bevat naam1@mijnnaam.nl geen geheime sleutel, die zal ik op een andere manier dienen te importeren, direct van uit een Thunderbird programma waar hij als eigen sleutel is aangemaakt.
Zelfde bestand weer geselecteerd en nu kan de geheime sleutel geïmporteerd worden van freedommail1:
Uiteraard wordt de sleutelzin gevraagd:
Het schijnt gelukt te zijn.
Als het goed is is nu in Thunderbird geïmporteerd: Publieke- en geheime sleutel van freedommail1 en de publieke sleutel van naam1@mijnnaam.nl
Dat gaan we controleren.
Testen het hebben van de publieke sleutel van freedommail1:
Opstellen en verzenden: Ik hoef hier geen pass phrase te gebruiken voor de mail waarmee wordt verzonden en ik hoef geen pass phrase in te voeren voor de freedommail1. Thunderbird vraagt daar niet om.
Ontvangen en openen van de mail op het account freedommail1 in Thunderbird: Ook hier geen pass phrase gevraagd.
Dat werkt dus.
Maar ik zou graag wel de pass phrase steeds willen gebruiken. >>> Uitzoeken of dat aangezet kan worden.
Testen of de geheime sleutel van Freedommail1 is overgekomen en de publieke sleutel van naam1@mijnnaam.nl.
Om een versleuteld bericht te kunnen versturen met freedommail1 in Thunderbird dient eerst bij Instellingen > Accountinstellingen > End-to-end-versleuteling aangevinkt te worden dat de sleutel gebruikt dient te worden:
Dan kan de mail in account freedommail1 opgesteld worden en verstuurd. Let wel, wel aanvinken dat er versleuteld dient te worden: Ook nu wordt er weer geen pass phrase gevraagd.
En de ontvangen mail in naam1@mijnnaam.nl: Ook hier wordt niet om de pass phrase gevraagd.
Merk op dat standaard dus de publieke sleutel meegezonden wordt, zie de bijlage links onder.
Testen of de geheime sleutel van naam1@mijnnaam.nl is overgekomen.
en daarachteraan voor de zekerheid naam1@mijnnaam.nl > freedommail1
Eerst controleren bij Accountinstellingen of er een sleutel is geïimporteerd en dat is niet het geval.
Als ik de sleutel ook uit het exportbestand dat ik aangemaakt had in webmail.Freedom wil halen, lukt dat niet.
Dan kijken of ik het kan exporteren uit Thunderbird op de andere laptop. Daar open ik de OpenPGP-sleutelbeheerder, selecteer het betreffende sleutel met rechtermuisknop en kies Sleutels naar bestand exporteren. Ik lees hier dat de publieke en de geheime sleutel nu geëxporteerd gaan worden.
Het lijkt erop dat de sleutels, de publieke en de geheime, met succes zijn opgeslagen.
Dan nu kijken of ik de publieke en geheime sleutel van naam1@mijnnaam.nl kan importeren in Thunderbird via OpenPGP-sleutelbeheerder.
Bij het betreffende account klikken op ‘Sleutel Toevoegen’
Een bestaande openPGP-sleutel importeren.
Selecteren:
En er dan achter komen dat het bestand niet geïmporteerd kan worden.
Alles nog een keer doornemende zie ik dat ik bij het exporteren in Thunderbird van de geheime en publieke sleutel niet had moeten kiezen: rechtermuisknop > Sleutels naar bestand exporteren.
Maar kiezen voor: Selecteer het account > Bestand > Reservekopiebestand van geheime sleutel(s) maken.
Dan wordt er bij het opslaan een nieuw wachtwoord gevraagd voor deze reservekopie.
En kan het met succes worden opgeslagen.
Dan nu de sleutels importeren. > Sleutel toevoegen
Een bestaande OpenPGP-sleutel importeren.
Bestand selecteren aanvinken:
En ja, de secret key staat er! Die selecteren.
Gaat goed zou ik zeggen:
Bij het importeren van het reservekopiebestand wordt de pass phrase gevraagd. Zoals ik het lees is dat de pass phrase die ik bij het aanmaken van de sleutelset heb aangemaakt en niet de wachtwoordzin die ik zojuist heb moeten invoeren. Maar ik voel nattigheid. Goed, de eerste pass phrase ingevoerd, maar het wordt niet geaccepteerd. Ook niet als ik via OpenPGP-Sleutelbeheer > Bestand > Geheime sleute(s) uit bestand importeren gebruik.
Nou breekt mijn klomp. Deze sleutelset is in december in Thunderbird op de andere laptop aangemaakt.
Mislukt.
En een dag later lukt het wel, maar wel met de pass phrase die ik gisteren bij het opslaan van de reservekopie heb aangemaakt en niet met de pass phrase die gemaakt was op 10 december 2023. Dat is ook wel logisch. Maar toch werd ik op het verkeerde been gezet door de formulering die gebruikt wordt.
Dan volgt binnenkort:
Het versturen van een versleutelde e-mail vanuit Thunderbird waar zojuist de sleutels in zijn geïmporteerd:
Als eerste:
En daarna:
Edit een paar uur later.
Dat volgt hier dan:
Het versleuteld versturen van mail van naam@mijnnaam.nl > freedommail1 werkt. Merk op dat er geen pass phrase wordt gevraagd. Wel eerst bij Instellingemn > Accountinstellingen aanvinken dat de OpenPGP sleutel voor dit account gebruikt moet worden.
Het openen van de freedommail1 mail in Thunderbird. Ook geen pass phrase gevraagd.
Het in Thunderbird versleuteld versturen van mail van freedommail1 > naam@mijnnaam.nl werkt ook. Merk op dat er geen pass phrase wordt gevraagd.
Het openen van de naam1@mijnnaam.nl mail in Thunderbird. Ook geen pass phrase gevraagd.
Volgende beschrijving is het gebruik van Kleopatra bij het versleutelen. Dat zal ik doen in een schone Thunderbird zonder daarin de sleutels.
Mooi geïllustreerd verhaal.
Ms een tipje met je plaatjes op die op 50 of 75% van de grootte te plaatsen. Dit maakt het wat leesbaarder.
Eenmaal wetend hoe het mechanisme werkt (de verzender versleuteld met de openbaar gemaakte sleutel van de geadresseerde, die een daarmee ontvangen mail decodeert met de in eigen bezit zijnde privésleutel) en vooral de terminologie (her)kennen, is het niet zo moeilijk om PgP te gebruiken.
Waar de uitdaging vooral zit is waar het wordt toegepast. In dit laatste schort het nog wat aan de software/integratie omdat elke toepassing (bv Thunderbird vs Webmail) er weer een eigen implementatie toepast.
Wellicht dat op enig moment, Freedom samen met jouw uitleg kan komen tot een handleiding.
Het van belang of, hoe en waar de private sleutel veilig wordt opgeborgen en beheerd om inkomende mail te decoderen. Los daarvan is verificatie (soms) nodig om (ter)echtheid van een sleutel combinatie te controleren. Niet zo gek is om naast een niet verlopende, bv soms een kortdurende sleutel te gebruiken voor uitwisseling van data).
Toepassen van een wachtwoord op sleutels, is imo alleen nuttig daar waar de private sleutel als “medium” in ander handen kan komen zoals met diefstal of inbraak.
Je hebt het over de geheime sleutel.
In de praktijk is dat een paartje sleutels.
Je hoeft de publieke niet apart te importeren.
Je importeert de publieke sleutel van de tegenpartij.
En de sleutelbos met de geheime van jezelf.
Sleutels zonder einddatum, doe ik nooit meer.
Sleutels RSA altijd lengte 4096
Sleutels DSA, niet gebruiken.
ECC gebruiken bij voorkeur.
Daar heb je ook veel varianten van.
Dit is wat ik tegenkom. Het valt mij pas op dat ik inderdaad de publieke sleutel van naam1@ mijnnaam dot nl niet apart geïmporteerd heb. Ik zal morgen uitvogelen waar en hoe ik dat in de beschrijving hierboven aanpas.
En misschien nog een toevoeging maken over RSA DSA en ECC. Dara heb ikzelf nog helemaal niet naar gekeken. Wat is het, wat doet het en waarom op die manier gebruiken. Die ECC wordt in Thunderbird niet aangeboden dacht ik.
Ja hoor, ECC is een optie in TB.
Er staat alleen niet bij, welke het is.
Uitleg over de systemen staat wel in Wikipedia.
De ed25519 heb ik laatst gebruikt.
Die is ook kleiner als een RSA sleutel.
RSA is ook alweer, meer als 40 jaar oud.
En heeft inmiddels de status van een geplakte fietsband.
Kleopatra
Kleopatra kan gebruikt worden om je sleutels aan te maken en te im- en exporteren. Ook kan het gebruikt worden om met de sleutels een document te versleutelen. Ik zie het als een hulpmiddel om mijn sleutels te beheren, een tussenstation om de sleutels te kunnen importeren in Thunderbird.
Ik gebruik het versleutelen in deze handleiding ook alleen met betrekking tot versleuteld e-mailen.
Installeer het via Programmabeheer en kies voor het systeempakket.
Bij het opstarten van Kleopatra loop ik meteen tegen een missend pakket aan: scdaemon.
Dit zoek ik op in Synaptic pakketbeheer en installeer dat aldaar.
Na het opnieuw uitvoeren van de test, (links onderaan) zie ik dat het geslaagd is. Kleopatra start dan probleemloos op.
Het eerste scherm na opstarten:
Aangezien ik alle sleutels nu al heb, maar in Thunderbird op een andere PC, ga ik ze op deze PC importeren, zodat alles ook hier paraat staat.
Ik klik op Importeren en zoek de map op waar de sleutel van account naam3@mijnnaam.nl staat en importeer die.
Het resultaat:
Uiteindelijk heb ik drie sleutel sets geïmporteerd. Als je namelijk een geheime sleutel importeert, dan krijg je de public key er gratis bij.
Nu open ik een lege Thunderbird en voeg mijn drie e-mail accounts toe, ga naar “Instellingen” > Accountinstellingen” naar het eerste account en kies dan de regel “End-to-end-versleuteling” om de key’s toe te voegen.
Maar nu: Ik klik op “Geheime sleutels importeren uit bestand” en
ik krijg niet de mogelijkheid om ze uit Kleopatra te importeren. Dus waarom dan Kleopatra gebruiken?
Ik kan dan beter gewoon vanuit Thunderbird vanuit mijn bestanden op de andere PC importeren. Of zie ik iets over het hoofd? Let wel, ik behandel hier alleen versleutelen voor e-mail.
Graag weer uw reacties.
Ik begrijp niet wat je gedaan hebt?
Ik exporteer de sleutelbos met de geheime sleutel in kleopatra. (1 setje per keer)
Ik importeer deze in het TB account, waar de email adressen van de sleutel zich bevinden.
De online hulp voor PGP en Thunderbird, is vaak nog voor de oude versie!!
Niet ieder sleutel formaat wordt geaccepteerd.
Bij de laatste test gebruikte je een RSA4096 sleutel, minder moet je ook niet doen.
Bij mijn test heb ik op deze manier de sleutelset aangemaakt.
Dat geeft een bestand als: Kees_0xA123456_SECRET.asc
De meerwaarde van Kleopatra zit ook in het versleutelen van bestanden.
Ik gebruik het eigenlijk nooit direct in de mail.
Maar pas het toe op bestanden.
Ook zie ik dat webmail soms RSA3072 sleutels maakt.
Dit is in mijn beleving niet toekomst bestendig.
Oké, dank weer voor het antwoord.
Ik probeerde rechtstreeks te importeren vanuit Kleopatra, maar ik begrijp dat ik eerst vanuit Kleopatra moet exporteren.
In mijn geval, waarin ik alleen het versleutelen van e-mail gebruik, is Kleopatra dan niet zo van toegevoegde waarde.
Want nu zou ik op PC-1 de key’s vanuit Thunderbird dienen te exporteren naar een bestand, dat importeren in Kleopatra op PC-2, deze dan weer exporteren naar een bestand op PC-2 om het dan weer te importeren in Thunderbird op PC-2. Kleopatra kan er dan tussenuit. Tenzij je dus de extra functies van Kleopatra van toegevoegde waarde vind.
De grootste waarde is, het type sleutel dat je gebruikt.
Kleopatra is een goede basis om de sleutels in te beheren.
Het hoeft ook niet continu aan te staan.
Mijn oudste bewaarde sleutel is nu 22 jaar oud.
Ook kun je de sleutels wijzigen en intrekken met deze software.
Of een alias aan de sleutel toevoegen.
In de oorspronkelijke PGP was nog veel meer mogelijk.
Zoals een geheime sleutel in tweeën delen. Dan heb je 2 geheime sleutels nodig voor het decoderen. Bijvoorbeeld voor een testament.
Of een alleen lezen bestand aan maken, die liet je de tekst even kort zien op het scherm.
Ik maak 1 keer een setje sleutels aan in Kleopatra.
Met dat bestand, kan ik alle andere plekken voorzien van de juiste sleutels.
Dat Thunderbird het wachtwoord in slikt vindt ik knudde.
Nou, ik vind nog meer punten knudde.
Wilde vandaag de handleiding rond Kleopatra afhandelen, maar is niet gelukt.
Omdat.
De bedoeling was de keyparen per e-mail adres te exporteren / opslaan in een bestand om vandaar uit te kunnen importeren in Thunderbird. Ik selecteer de gewenste sleutel en de mogelijkheid: “Geheime reservesleutels opslaan”
Dan dien ik de passphrase in te voeren. Dat doe ik maar die wordt niet herkend en er wordt dus niets opgeslagen. Een aantal keren herhaald, de passphrase dubbel gecontroleerd, maar geen resultaat. Wat doe ik niet goed?
Toen heb ik op de andere PC waar de sleutels reeds in Thundebird zijn opgenomen de geheime sleutel proberen op te slaan vanuit Thunderbird naar een bestand, maar dan slaat hij alleen de public key op.
Ik snap zo onderhand wel waarom dat PGP geen echt succes is geworden!
Wie kan mij advies geven?
