PgP
Op dit moment ben ik mij aan het verdiepen in “end 2 end” versleuteling voor mijn drie e-mailadressen. Ik begrijp dat PGP daarvoor geschikt is.
Nu gebruik ik heel vaak de webmail functie van de aanbieders en thuis begin ik ook meer en meer gebruik te maken van Thunderbird. Als ik het goed begrijp dien ik het volgende doen:
Voor het Freedom e-mailadres en dan in de webmail denk ik dat ik bij “Instellingen > PGP sleutels > Nieuw aanmaken” het kan aanmaken en instellen.
In Thunderbird voor dat freedom e-mailadres kan ik dan die sleutel importeren.
Klopt dat?
Ook heb ik een e-mailadres op het domein “mijnnaam.nl”. Daar gebruik ik de webmail van Roundcube heel vaak. In de webmail van Roundcube zie ik bij: “Instellingen > (en ja, nog een keer) Instellingen > Versleuteling” de optie om een keyring aan te maken in Mailvelope. De extentie daarvan heb ik in Firefox geladen, maar nog niet geactiveerd. Ik begrijp het nog niet helemaal. Maar als ik hier de versleuteling heb aangemakt, kan ik dan die ring ook importeren in Thunderbird bij dat e-mailadres?
Wie kan mij hierbij verder helpen?
Mijn derde e-mailadres zit bij /e/OS. Mailvelope zit ook in de webmailfunctie van /e/OS, daar zal ik dan hetzelfde moeten doen als bij Roundcube neem ik aan. Wie kan mij hier ook bij helpen?
Oké, stel dat ik het uiteindelijk ingesteld krijg, maar dan begrijp ik nog niet wat ik dan moet doen om er mee te gaan werken en hoe de andere persoon waar ik mee wil mailen de sleutel krijgt die hij / zij dient te gebruiken bij mijn versleutelde e-mails. Wie kan mij in begrijpelijk taal dit uitleggen? Ik heb daarop gezocht en heb de pagina’s van Thunderbird gelezen, maar het duizelt mij nog. En ik ga het pas instellen als ik het begrijp.
Bij voorbaat dank.
Een pass phrase
(er is maar één goede plaats om die op te slaan, in je hersenen en nergens anders)
Een public key
De public key publiceer je.
Daarmee kunnen anderen jou dan encrypted files of berichten sturen die jij dan kan decrypten omdat jij, en aleen jij, de bijbbhorende secret key en passphrase hebt.
Wil je iets voor een ander encrypten dan heb je dus zijn public key nodig.
Van de public key die je van een ander krijgt moet je wel heel zeker weten dat die van hem komt en niet van ene man in de middle. Daarvoor kan je de fingerprint van de ontvangen public key opvrahen aan je key beheersprogramma.
Die check je dan met de fingerprint die je van de eigenaar van de public key krijgt. Dan natuurlijk wel via een ander communicatiemiddel dan gebruikt om jou de public key te geven.
Er zijn mensen die daar heel puristisch in zijn en die fingerprint van in persoon willen ontvangen.
Je kan een bericht/file van jezelf ook tekenen gebruik maken van je secret key en passphrase. Iemand die de bijbehorende public key van jou heeft kan dan ook verifieren of het getekende bericht/bestand ook ongewijzigd bij hem terecht is gekomen en van jou afkomstig.
Voor PGP moeten beide partijen elkaars (public) sleutelparen uitwisselen. Hiervoor kan je die opsturen naar de geadresseerde of die via aparte PGP servers openbaar maken.
Degene die mail verstuurt codeert te verzenden mail die met die gekende openbare public sleutel en degene die de zo gecodeerd mail ontvangt; decodeert die met de eigen private sleutel (die dus nooit het “pand” verlaat).
Othou dat de PGP van Freedom webmail een andere zal zijn dan die van de eigen offline Thunderbird.
Probleem van PGP op/in webmail - bij Freedom - is dat de private key - gebruikt om mail in webmail te lezen - daarvoor in de server moet zijn opgeslagen. Omdat de gebruiker niet de eigenaar van de server is, ontstaat er een privacy/veiligheids risico. dat iemandf van Freedom (als of niet in opdracht) de sleutel uit handen geeft.
This op je de eigen PC bepaal je zelf of en hoe(rre) die private sleutel om te decoderen, toegankelijk is voor anderen.
NB: Natuurlijk kan iemand voor het gemak van mail - zowel webmail of thunderbird - de private-keys van webmail met Thunderbird, vice versa importeren.
Maar let op wat ik schreef. Controleer de PGP fingerprint via een ander vertrouwd communicatiekanaal met de originele verzender van de public key.
In principe hoef je niet elkaars publc key te hebben.
Je hebt de public key van de ander nodig als:
je hem een encrypted bericht/bestand wilt sturen,.
een bericht van de ander dat door hem getekend is wilt verifieren op handtekening en ongewijzigd zijn van het bericht/bestand dat getekend is.
Als je bij freedom webmail een keypaar maakt, kan je zowel de private key als de public key downloaden naar je PC. De public key zoinder meer omdat je die aan anderen moet geven.
De private key kan je importeren in een maillprogramma dat PGP ondersteunt. Dan kan je zowel op webmail als met dat programma met dezlefd ekeys werken
Voor zeer vertrouwelijke communicatie zou ik mijn secret key niet op een server van welke provider dan ook wllen hebben, maar altijd op iets dat ik volledig zelf beheer en kan beveiligen.
Vergeet niet dat er twee stappen zijn in de beveiliging, de secret key en de passphrase, die zijn beide nodig. Zorg er dus voor dat de pass phrase nooit in handen van een ander kan vallen (dus alleen opgeslagen in je eigen hersenen) en zo lang mogelijk is, niet te raden is, maar nog steeds goed te onthouden
Yep om PgP mail te versturen moet die met de public van de ander worden gecodeerd. Om PgP mail (van een ander aan jou verzonden) te ontvangen, gebeurd dat decoderen met de (eigen) private key.
Ik zou mijn confidentiële keypaar juist NIET op welke server van wie & waar dan ook, willen aanmaken.
Actieve sleutelparen maak ik alleen aan op mijn eigen apparatuur. Hiermee zeker weten dat daar geen achterdeurtjes van anderen in gaan zitten wroeten.
Om ontvangen, gecodeerde, mail online in te zien (dat ik sws nauwelijks doe met vertrouwde zaken) zal daarvoor wel de bijbehorende private (van de public) key naar Freedom moeten worden geïmporteerd.
Net wat mooier zou zijn, wanneer die PgP decryptfunctie als extentie in de browser zelf zou zitten (die dan lokaal de private key toegang heeft). Lastig is dan weer zorgen dat allerlei browsers, mail/pgp aware moeten worden.
@voorstad@PeterB@anon0224 Dank voor de reacties. Ik laat het even bezinken en bestudeer Postguard. Daarna zal ik vast een poging gaan ondernemen om het werkend te krijgen en ik denk dat ik daarmee dan maar in Thunderbird ga starten. Webmail voor deze functie niet. U hoort van mij.
Nee, ik bedoel dat de browser middels bv een javascript, LOKAAL de privatkey op het device zelf uitleest om daarmee lokaal de content te decrypten.
Dat de gebruiker dan de eigen browser(extentie) moet vertrouwen is dan weer het volgende dingetje, net als trouwens met Thunderbird of een andere commandline tool om de inhoud te ontcijferen.
Ik geef toe dat het maar weinig mensen is gegeven om zelf te kunnen controleren of hun tooling, op orde is. Doorgaans vertrouwen zij - blindelings - de “maker” of “uitgever” van programma’s
Bestudeer het eerst eens.
Ik had jaren terug PGP op mijn computer.
Inmiddels staat GPG er voor in de plaats.
In module Cleopatra kun je sleutels aanmaken en beheren.
Ga dan eens bestanden ondertekenen en versleutelen.
Als je dat begrijpt, dan pas met mail gaan rommelen.
Je sleutelbos moet je goed beschermen.
Een probleem wat ik nog wel heb, dat Cleopatra wat traag op gang komt.
Ja, goed advies. Ik vroeg me vanmiddag ook af: Waar wil ik het eigenlijk voor gebruiken? Voor gewone mailtjes zal ik PGP denk ik niet gebruiken, dus alleen als er iets belangrijks verzonden dient te worden.
Zo werk ik op drie computers, ik zal ze dan niet alle drie met PGP hoeven te gebruiken.
Wanneer wordt PGP eigenlijk door jullie gebruikt?
Ik gebruik het steeds minder.
Bijvoorbeeld opslag gevoelige data elders.
Bijvoorbeeld.
Je slaat je werk op, op een stick met de openbare sleutel op het werk.
Alleen thuis heb je de privé sleutel.
Dan zijn de gegevens onderweg goed beveiligd.
Het systeem valt, als je de sleutels niet veilig hebt.
Als ik mailtjes verstuur die in geen geval (per ongeluk) bij een ander terecht zou kunnen komen.
Zakelijk als ik gevoelige gegevens of bestanden naar een ander bedrijf moet sturen. Dat wordt dan op de volgende manieren beveiligd (het gaat om de combinatie):
Het bestand is door mij getekend en geencrypt voor de ontvanger
De publc key van de andere partij is gechecked met de fingerprint via een ander vertrouwd communicatiekanaal.
De encrypted bestanden kunnen alleen van een https beveiligde website van het eigen bedrijf wordne opgehaald met een inlog.
Bij het versturen van vertrouwelijke afstudeer verslagen
En we zijn al weer een bijna twee weken verder. Ik heb ondertussen wat uitgeprobeerd en nagedacht en ik denk nu als volgt:
Een versleuteld bericht versturen zal ik alleen gebruiken als ik een belangrijk bestand ga versturen. (Dat doe ik meest vanaf mijn desktop.)
Gewone mailtjes versleutelen heeft niet zo veel zin begrijp ik uit mijn zoektocht en zal ik inderdaad ook niet zo snel gaan doen.
En toen kwam ik Cryptify.nl weer tegen en ik denk dat dat voor mij een goede oplossing is. Als ik dus een bestand versleuteld wil versturen gaat het via Cryptify (PostGuard).
Of maak ik nu een denkfout?
Voor normaal D2D prima want het zal onbedoeld functie elders voorkomen.
Versleuteling moet autonoom worden toegepast en bvk waar dit (ook qua desktop) geheel onder jouw controle staat. Bv zenden.ontvangen op de één en dan op een ander( fysiek gescheiden) station, (de)coderen. Daarnaast natuurlijk periodiek van ‘sleutels’ wisselen door de publieke sleutel(s) te verversen. Zelf gebruik(te) ik daarvoor mijn simpele homepagina op Freedom website, wier mogelijkheid per 1/1/24 dus vervalt.
De authenticatie daarvan verloopt weer via de publieke PgP servers.
Tussen verkozen partners moet je altijd (de)coderen, iets dat met o.a. Thunderbird - eenmaal ingericht - geheel automatisch gaat.
Alleen versleutelen voor “belangrijke” berichten is voor een ‘analist’ - naast o.a. grootte en tijdstip - een interessante indicatie dat het de moeite waard is.
Analyse van het ongecodeerde verkeer tussen partners kan behulpzaam zijn om wat ineens gecodeerd wordt, een zetje in de zoekrichting te geven.
Wat lastig blijft met (mail)encryptie dat bekend blijt wie een bericht (wanneer) verstuurd en ontvangt. Het blote feit dat iemand (de)codeert, maakt verdacht.
Ik heb voor mail ook wel eens S/MIME gebruikt.
Toen gebeurde er allemaal rare dingen in Thunderbird.(2020)
Er zijn wel aanbieders van een gratis certificaat.
Dit is ook leuk om te ondertekenen, ontvanger hoeft niets te doen.
Gebruik wel eens een gesloten map gehad op mijn website bij Antagonist.
Daar kom je alleen in met een wachtwoord.
Dan er een versleuteld ingepakt bestand inzetten.
Versturen vanaf de Fritzbox, heb ik ook al lang niet meer gedaan.
Heb nu de 5490 voor een 5590 vervangen, zal me er eens in verdiepen of het nu wel veilig kan.
Bij dit systeem is het URL het wachtwoord en aantal download is beperkt.
AVM gebruikt dit systeem ook voor de helpdesk, met ingezonden bestanden.
Heb heel lang geleden ook eens zo’n link gedeeld in FB in een PM.
Dan zie je dat het ook elders gedownload wordt, als je de log bekijkt.
Niet verdacht in de zin dat iets illegaal is maar in de z n dat iets erg vertrouwelijk is en dus mogelijk waarde heeft voor een ander.
Ik heb ene zeer legitime reden om PGP encryptie te gebruiken, een reden die ook door overheidsinstanties en anderen van ons verwacht wordt.
Er is een tijd geweest dat ze geprobeerd hebben het te verbieden.
Toen heb ik ook voor het eerst PGP gebruikt.
Het origineel is jaren terug verkwanselt.
Daar zaten wat extra’s in, die verdwenen zijn.
Met Gpg4win Kleopatra heb ik wel eens problemen met traagheid.
@anon0224 Iedereen die iets anders dan de andere, is verdacht. Het feit dat je klant bent bij Freedom, maakt je al verdacht. Stuur je dan ook nog mails vanaf een Linux systeem, ben je nog meer verdacht.
Iedereen is anders. Wat opvalt dat behoorlijk wat mensen graag willen weten wat die ander voor ogen heeft en zich aanpassen op wat ze zichzelf daarbij willen inbeelden.
Het maakt dat je als individu bewust moet omgaan of -en met welke identiteit iemand zich ergens presenteert of verenigt. Omgekeerd idem bij ontvangst van een bericht waar een afzender een bijkomend doel heeft (no/dress to impress).
Na nogmaals jullie reactie gelezen te hebben denk ik dat ik niet voor kies mijn e-mails te versleutelen. Het zijn er weinig naar een paar mensen en af en toe een organisatie.
De echte reden is eigenlijk dat ik het nog steeds niet echt door heb hoe ik dat dien in te stellen en ik er geen verdere moeite voor wil doen. (Op dit moment). Eigenlijk diep triest
Voor bestanden kies ik PostGuard. Appen doe ik via Signal.
