Berichten digitaal ondertekenen en versleutelen

Noot: dit artikel is van toepassing op Thunderbird-versies 68 en lager. Vanaf versie 78 bevat Thunderbird ingebouwde OpenPGP-technologie, dus de add-on Enigmail wordt niet meer onderhouden. Lees OpenPGP in Thunderbird – HOWTO en FAQ voor meer informatie.

Deze handleiding legt uit hoe u Thunderbird kunt instellen voor het digitaal ondertekenen, versleutelen en ontcijferen van berichten om deze te beveiligen.

Introductie

De e-mail-infrastructuur die iedereen gebruikt, is van nature niet veilig. Hoewel de meeste mensen verbinding met hun e-mailservers maken via een beveiligde (‘SSL’-)verbinding, staan sommige servers onbeveiligde toegang toe. Daarnaast zijn, daar waar het bericht het pad van de overdracht van verzender naar ontvanger volgt, de verbindingen tussen elke server niet altijd beveiligd. Het is mogelijk dat derden tijdens de overdracht e-mailberichten onderscheppen, lezen en aanpassen.

Wanneer u een bericht digitaal ondertekent, sluit u informatie in het bericht in die uw identiteit valideert. Wanneer u een bericht versleutelt, lijkt dit te zijn ‘vervormd’ en kan het alleen worden gelezen door een persoon die de sleutel heeft om het bericht te ontcijferen. Digitaal ondertekenen van een bericht verzekert dat het bericht afkomstig is van de vermelde afzender. Versleutelen verzekert dat het bericht tijdens de overdracht niet is gelezen of aangepast.

Om berichten te versleutelen, kunt u het cryptografische systeem met openbare sleutel (en) gebruiken. In dit systeem heeft elke deelnemer twee aparte sleutels: een publieke encryptiesleutel en een private ontcijferingssleutel. Wanneer iemand u een versleuteld bericht wil sturen, gebruikt hij of zij uw publieke sleutel om het versleutelingsalgoritme te genereren. Wanneer u het bericht ontvangt, moet u uw privésleutel gebruiken om het te ontcijferen.

Noot: deel nooit uw privésleutel met iemand.

Het protocol dat voor het versleutelen van e-mailberichten wordt gebruikt, heet PGP (Pretty Good Privacy). Om PGP binnen Thunderbird te gebruiken, moet u eerst het volgende installeren:

  • GnuPG: (GNU Privacy Guard): een gratis software-implementatie van PGP
  • Enigmail: een add-on voor Thunderbird

Deze twee toepassingen kunnen berichten ook digitaal ondertekenen.

GPG en Enigmail installeren

Om GnuPG te installeren, dient u het juiste pakket te installeren vanaf de GnuPG binaries-pagina. Volg de installatie-instructies die voor uw pakket in kwestie van toepassing zijn. Wend u voor meer informatie over het installeren van PGP op specifieke besturingssystemen tot:

Om Enigmail te installeren:

  1. Selecteer Extra > Add-ons in Thunderbird.
  2. Gebruik de zoekbalk in de rechterbovenhoek om naar Enigmail te zoeken.
  3. Selecteer Enigmail in de zoekresultaten en volg de instructies om de add-on te installeren.

PGP-sleutels maken

U kunt uw publieke/private sleutels als volgt maken:

  1. Klik in de menubalk van Thunderbird op OpenPGP en selecteer Instellingenwizard.
  2. Selecteer Ja, ik wil dat de wizard me op weg helpt, zoals weergegeven in de onderstaande afbeelding. Klik op Volgende om verder te gaan.
    OpenPGP-1
  3. De wizard vraagt of u al uw uitgaande berichten wilt ondertekenen of dat u verschillende regels voor verschillende ontvangers wilt configureren. Doorgaans is het een goed idee om alle e-mailberichten te ondertekenen, zodat mensen kunnen bevestigen dat het e-mailbericht inderdaad van u afkomstig is. Berichtontvangers hoeven geen digitale ondertekeningen of PGP te gebruiken om een digitaal ondertekend bericht te lezen. Selecteer Ja, ik wil al mijn e-mail ondertekenen en klik op Volgende om verder te gaan.
  4. Vervolgens vraagt de wizard of u al uw e-mailberichten wilt versleutelen. U kunt deze optie beter niet selecteren, tenzij u de publieke sleutels hebt van alle mensen waarnaar u berichten verwacht te versturen. Selecteer Nee, ik maak regels aan per ontvanger voor diegenen die me hun publieke sleutels hebben gestuurd en klik op Volgende om verder te gaan.
  5. De wizard vraagt of deze een aantal instellingen voor uw e-mailopmaak mag wijzigen, zodat een betere werking met PGP ontstaat. Het is een goede keuze om dit met Ja te beantwoorden. Klik op Volgende om verder te gaan.
  6. Selecteer de e-mailaccount waarvoor u de sleutels wilt aanmaken. U dient een wachtwoord in het tekstveld ‘Wachtwoord’ in te voeren, dat wordt gebruikt om uw privésleutels te beschermen. Dit wachtwoord wordt ook gebruikt om berichten te ontcijferen, dus vergeet het niet. Het wachtwoord dient minstens 8 tekens lang te zijn en geen woorden uit woordenboeken te bevatten. (Zie dit Wikipedia-artikel (en) voor informatie over het maken van sterke wachtwoorden.) Voer dit wachtwoord tweemaal in en klik op Volgende om verder te gaan.
  7. Het volgende scherm geeft de geconfigureerde voorkeuren weer. Als u tevreden bent, klik dan op Volgende om verder te gaan.
  8. Klik zodra het proces van aanmaken van uw sleutels is voltooid op Volgende om verder te gaan.
  9. De wizard zal vragen of u een ‘Intrekkingscertificaat’ wilt aanmaken dat u zou gebruiken als er inbreuk op de beveiliging van uw sleutelpaar is gepleegd en u anderen dient te informeren dat het niet meer geldig is. Als u het bestand wilt aanmaken, klikt u op de knop Certificaat genereren en volgt u de stappen in de daaropvolgende schermen. Klik anders op Overslaan.
  10. De wizard informeert u tot slot dat het proces is voltooid. Klik op Voltooien om de wizard af te sluiten.

Publieke sleutels verzenden en ontvangen

Uw publieke sleutel verzenden via e-mail

Als u versleutelde berichten van anderen wilt ontvangen, moet u hen eerst uw publieke sleutel toesturen:

  1. Stel het bericht op.
  2. Selecteer OpenPGP in de menubalk van Thunderbird en selecteer Mijn publieke sleutel bijvoegen.
    AttachPublicKey
  3. Verzend het bericht zoals normaal.

Een publieke sleutel ontvangen via e-mail

Als u versleutelde berichten naar anderen wilt verzenden, moet u eerst hun publieke sleutel ontvangen en opslaan:

  1. Open het bericht dat de publieke sleutel bevat.
  2. Dubbelklik onder in het venster op de bijlage die op ‘.asc’ eindigt. (Dit bestand bevat de publieke sleutel.)
  3. Thunderbird herkent automatisch dat dit een PGP-sleutel is. Er verschijnt een dialoogvenster waarin wordt gevraagd de sleutel te ‘Importeren’ of te ‘Bekijken’. Klik op Importeren om de sleutel te importeren.
    ImportPublicKey
  4. U ziet een bevestiging dat de sleutel met succes is geïmporteerd. Klik op OK om het proces te voltooien.

Een digitaal ondertekend en/of versleuteld e-mailbericht verzenden

  1. Stel het bericht op zoals normaal.
  2. Om een bericht digitaal te ondertekenen, selecteert u OpenPGP in het Thunderbird-menu en schakelt u de optie Bericht ondertekenen in. Om een bericht te ontcijferen, schakelt u de optie Bericht versleutelen in. Het systeem kan vragen uw wachtwoord in te voeren voordat het bericht wordt versleuteld.
    SignEncryptedEmail
  3. Als uw e-mailadres met een PGP-sleutel is verbonden, zal het bericht met die sleutel worden versleuteld. Als het e-mailadres niet met een PGP-sleutel is verbonden, zal worden gevraagd een sleutel uit een lijst te selecteren.
  4. Verzend het bericht zoals normaal.
Noot: de onderwerpregel van het bericht zal niet worden versleuteld.

Een digitaal ondertekend en/of versleuteld e-mailbericht lezen

Wanneer u een versleuteld bericht ontvangt, zal Thunderbird u vragen uw geheime wachtwoord in te voeren om het bericht te ontcijferen. Om vast te stellen of het inkomende bericht wel of niet digitaal is ondertekend of is versleuteld, dient u naar de informatiebalk boven de hoofdtekst van het bericht te kijken.

Als Thunderbird de ondertekening herkent, verschijnt een groene balk boven het bericht (zoals hieronder weergegeven).

GoodSignature

Als het bericht is versleuteld en ondertekend, geeft de groene balk ook de tekst ‘Ontcijferd bericht’ weer.

Signature&Encrypted

Als het bericht is versleuteld maar niet ondertekend, ziet de balk eruit zoals hieronder weergegeven.

EncryptedNotSigned
Noot: een bericht dat niet is ondertekend, kan afkomstig zijn van iemand die zich als een andere persoon probeert voor te doen.

Uw sleutel intrekken

Als u denkt dat er misbruik van uw privésleutel is gemaakt (d.w.z. iemand anders heeft toegang verkregen tot het bestand dat uw privésleutel bevat), dient u uw huidige sleutelpaar zo snel mogelijk in te trekken en een nieuw paar aan te maken. Doe het volgende om uw huidige sleutelpaar in te trekken:

  1. Klik in het Thunderbird-menu op OpenPGP en selecteer Sleutelbeheer.
    RevokeKey
  2. Er verschijnt een dialoogvenster dat eruitziet zoals hieronder weergegeven. Plaats een vinkje bij Standaard alle sleutels tonen om alle sleutels te tonen.
  3. Klik met de rechtermuisknop op de sleutel die u wilt intrekken en selecteer Sleutel intrekken.
  4. Er verschijnt een dialoogvenster waarin wordt gevraagd of u de sleutel echt wilt intrekken. Klik op Sleutel intrekken om verder te gaan.
  5. Er verschijnt nog een dialoogvenster waarin wordt gevraagd uw geheime wachtwoord in te voeren. Voer het wachtwoord in en klik op OK om de sleutel in te trekken.

Stuur het intrekkingscertificaat naar de mensen waarmee u correspondeert, zodat ze weten dat uw huidige sleutel niet meer geldig is. Dit verzekert dat als iemand uw huidige sleutel probeert te gebruiken om zich als u voor te doen, de ontvangers zullen weten dat het sleutelpaar ongeldig is.

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info