Als u probeert een e-mailbericht te verzenden waarbij end-to-end-versleuteling (e2ee) is ingeschakeld, kan Thunderbird melden dat het niet kan versleutelen. Dit artikel legt de vereisten uit van een versleuteld e-mailbericht.
Inhoudsopgave
Lijst met vereisten
Aan alle items moet worden voldaan:
- U dient te beschikken over een persoonlijke OpenPGP-sleutel of een persoonlijk S/MIME-certificaat, en u dient Thunderbird te configureren om dit te gebruiken. Hoe u dat moet doen wordt uitgelegd in een apart artikel: Uw e-mailaccount instellen voor gebruik van end-to-end-versleuteling.
- Als u eerder uw eigen sleutel of certificaat had geconfigureerd, controleer dan dat dit niet is verlopen, niet is ingetrokken en dat u het niet hebt verwijderd.
- Elke ontvanger die u hebt toegevoegd aan de velden Aan, Cc of Bcc moeten ook in het bezit zijn van een persoonlijke OpenPGP-sleutel of een persoonlijk S/MIME-certificaat, en ze moeten de respectievelijke openbare sleutel of certificaat beschikbaar hebben gesteld. Hoe deze kunt verkrijgen en gebruiken wordt in de volgende secties in dit artikel uitgelegd.
- Als groepsversleuteling met de OpenPGP-ontvangersaliasfunctie wordt gebruikt, dienen de publieke sleutels voor alle ontvangers die als een alias-e-mailadres zijn gedefinieerd beschikbaar te zijn.
- U dient sleutels of certificaten van dezelfde technologie te hebben voor alle ontvangers, inclusief uzelf, omdat OpenPGP en S/MIME aparte versleutelingstechnologieën zijn en niet kunnen worden gemengd in één e-mailbericht. Controleer dat u de juiste technologie hebt geselecteerd als u een versleuteld e-mailbericht opstelt.
Als u een meer gedetailleerde uitleg van de termen die in dit artikel worden gebruikt nodig hebt, en wilt leren hoe e-mailversleutelingstechnologie in het algemeen werkt, lees dan het artikel Kennismaking met end-to-end-versleuteling in Thunderbird.
Publieke OpenPGP-sleutels van contacten verkrijgen
De volgende mechanismen kunnen worden gebruikt om een publieke OpenPGP-sleutel te verkrijgen:
- Uw contact verstuurt u een e-mailbericht en ze voegen hun publieke sleutel als bijlage toe aan dat bericht. Als u een dergelijk e-mailbericht leest, biedt Thunderbird u aan de sleutel te importeren als u op de OpenPGP-knop in het koptekstgebied klikt.
- Uw contact verstuurt u een e-mailbericht, dat eenn Autocrypt-koptekst bevat met daarin hun publieke sleutel. Als u een dergelijk e-mailbericht leest, biedt Thunderbird u aan de sleutel te importeren als u op de OpenPGP-knop in het koptekstgebied klikt.
- Uw contact heeft de publieke sleutel op een webserver gepubliceerd. Uw contact kan u een koppeling naar de publieke sleutel geven, of u kunt een zoekopdracht op internet uitvoeren om de sleutel zelf te vinden. In beide gevallen downloadt u de publieke sleutel naar een lokaal bestand en gebruikt u vervolgens de OpenPGP-sleutelbeheerder van Thunderbird om het bestand met de publieke sleutel te importeren.
- Uw contact heeft de publieke sleutel op een server die het WKD-protocol gebruikt gepubliceerd. Wanneer geprobeerd wordt een versleuteld e-mailbericht te verzenden, maar u nog geen publieke sleutel voor het e-mailadres van een ontvanger hebt, kan Thunderbird aanbieden hier online naar te zoeken, waardoor publieke sleutels gevonden kunnen worden die met het WKD-protocol zijn gepubliceerd.
- Uw contact heeft de publieke sleutel op een door Thunderbird ondersteunde sleutelserver, zoals de keys.openpgp.org-server, gepubliceerd. Wanneer geprobeerd wordt een versleuteld e-mailbericht te verzenden, maar u nog geen publieke sleutel voor het e-mailadres van een ontvanger hebt, kan Thunderbird aanbieden hier online naar te zoeken, waardoor publieke sleutels gevonden kunnen worden die op die sleutelserver zijn gepubliceerd.
- Uw contact heeft de publieke sleutel op een sleutelserver gepubliceerd waarop Thunderbird nog niet automatisch kan zoeken. Als uw contact u vertelt op welke sleutelserver de sleutel staat, kunt u met een webbrowser die sleutelserver bezoeken, de publieke sleutel zoeken, deze als bestand downloaden en vervolgens het bestand importeren met de OpenPGP-sleutelbeheerder van Thunderbird.
Als Thunderbird de sleutel niet automatisch kan vinden, is het vaak het eenvoudigst om een simpel e-mailbericht (zonder versleuteling) aan uw contact te sturen en ze te vragen u een bericht te sturen dat de publieke sleutel bevat.
Met Thunderbird-versies 78 en 91 was het nodig om, als u een e-mailbericht ontving met de sleutel van het contact, interactie te hebben met dat bericht om de sleutel te importeren, door het contextmenu voor een bijlage te gebruiken en te vragen deze te importeren, of door op de OpenPGP-knop in het koptekstgebied te klikken, die kan melden dat het bericht een publieke sleutel bevat en kan aanbieden deze te importeren.
Met Thunderbird-versies 102 en hoger zal Thunderbird automatisch sleutels die worden aangetroffen voor later gebruik verzamelen in een buffer. Als u een e-mailbericht opstelt en de publieke sleutel van een contact niet is geïmporteerd, kan Thunderbird u automatisch die publieke sleutels aanbieden die het al heeft verzameld uit e-mailberichten.
Merk op dat het niet mogelijk is de buffer met alle sleutels die Thunderbird automatisch heeft verzameld te bekijken. Indien nodig zal Thunderbird u overeenkomende sleutels in de OpenPGP-sleutelassistent aanbieden, die u kunt benaderen vanuit het berichtopstelvenster in Thunderbird.
Om de lijst van al geïmporteerde OpenPGP-sleutels te bekijken, kunt u de OpenPGP-sleutelbeheerder van Thunderbird gebruiken.
S/MIME-certificaten verkrijgen van contacten
De standaardwijze om iemands certificaat te distribueren is het verzenden van een digitaal ondertekend e-mailbericht. Als u een ondertekend bericht van een contact hebt ontvangen, klik er dan op om het te bekijken. Als Thunderbird de ondertekening van het e-mailbericht en het certificaat van de afzender als geldig beschouwt, wordt dit automatisch geïmporteerd en is het beschikbaar wanneer u een e-mailbericht naar dat contact probeert te versleutelen met de S/MIME-technologie. Als u nog geen ondertekend e-mailbericht van uw contact hebt, kunt u ze vragen u er een te sturen.
Merk op dat certificaten die zijn uitgegeven door CA’s een korte geldigheidsperiode kunnen hebben. Certificaten zijn niet meer bruikbaar nadat de geldigheidspeiode is verstreken. In dat geval moet uw contact een nieuw certificaat verkrijgen. Als dat is gebeurd, kunnen ze u een nieuw digitaal ondertekend e-mailbericht met een geldig certificaat sturen.
Organisaties die gebruikmaken van een LDAP-server kunnen hun server configureren om S/MIME-certificaten op te slaan. Als een LDAP-server is geconfigureerd, kan Thunderbird automatisch een zoekopdracht op de LDAP-server uitvoeren als het een S/MIME-certificaat moet ophalen.
Om de lijst met S/MIME-certificaten die u al hebt te bekijken, kunt u de Certificaatbeheerder van Thunderbird gebruiken.
Technische geldigheid
Thunderbird gebruikt alleen sleutels en certificaten die het als technisch geldig beschouwt.
Thunderbird vereist dat een OpenPGP-sleutel ten minste één geldige primaire of ondergeschikte sleutel bevat, bruikbaar voor het aanmaken van digitale handtekeningen, en ten minste één sleutel die bruikbaar is voor versleuteling.
Thunderbird kan weigeren OpenPGP-sleutels te gebruiken die beschadigd zijn, of die zijn gebaseerd op cryptografische algoritmen die Thunderbird als onveilig beschouwt.
Een publieke OpenPGP-sleutel heeft een interne structuur, kan diverse ondergeschikte sleutels bevatten en bevat ook eigenschappen, zoals de geldigheidsperiode en de gerelateerde gebruikersnamen en e-mailadressen. Dergelijke eigenschappen kunnen worden toegevoegd, verwijderd of bijgewerkt. Om te controleren dat eigenschappen daadwerkelijk zijn aangepast door de legitieme eigenaar van de sleutel, worden de eigenschappen digitaal door de geheime sleutel van de eigenaar. Elke digitale handtekening gebruikt hiervoor een algoritme. Thunderbird kan eigenschappen negeren die zijn gebaseerd op onveilige handtekeningsalgoritmen.
Als u iemands publieke sleutel hebt verkregen en Thunderbird weigert om deze te importeren of te gebruiken, kunnen mogelijke redenen hiervoor zijn:
- Na importeren blijkt de sleutel bepaalde eigenschappen te missen.
- De sleutel heeft een onverwachte geldigheidsperiode.
- De sleutel kan onveilige eigenschappen bevatten, die Thunderbird besluit af te wijzen of te negeren.
Overeenkomend e-mailadres
Om een publieke OpenPGP-sleutel of S/MIME-certificaat te gebruiken voor het verzenden van versleutelde berichten naar een e-mailadres, vereist Thunderbird meestal dat de interne structuur van de sleutel of het certificaat het exact overeenkomende e-mailadres vermeldt. Hierdoor kan Thunderbird automatisch besluiten of een publieke sleutel of certificaat kan worden gebruikt voor een e-mailadres.
Met andere woorden, als Yvonne een versleuteld e-mailbericht wil verzenden naar rob@voorbeeld.com, heeft ze een publieke OpenPGP-sleutel of S/MIME-certificaat nodig dat claimt voor dat e-mailadres te zijn. Een sleutel of certificaat dat claimt voor robert@voorbeeld.com te zijn zou niet door Thunderbird worden gebruikt.
Als Yvonne echt de publieke sleutel of het certificaat dat robert@voorbeeld.com vermeldt wil gebruiken voor het verzenden van e-mail naar rob@voorbeeld.com, moet ze aanvullende kennis van de e-mailadressen van Rob hebben, die niet per se voor de hand liggen. Rob moet Yvonne vragen om die sleutel te gebruiken, ondanks het niet-overeenkomende e-mailadres. Yvonne moet Thunderbird vragen om de publieke sleutel of het certificaat te gebruiken, ondanks het gebrek aan overeenkomst.
Dit wordt als geavanceerd scenario beschouwd, dat sommige gebruikers mogelijk moeten gebruiken, maar dat de meeste gebruikers niet nodig hebben. Thunderbird biedt momenteel geen interactieve oplossing hiervoor.
Omdat sommige ervaren gebruikers echter ondersteuning hebben gevraagd voor het gebruik van niet-overeenkomende publieke OpenPGP-sleutels, biedt Thunderbird een geavanceerd configuratiemechanisme, dat is beschreven in het artikel Thunderbird en OpenPGP-aliassleutels.
Accepteren
Als u een publieke OpenPGP-sleutel hebt verkregen, deze claimt op naam van uw contact te zijn en deze het e-mailadres van uw contact bevat, bestaat er nog steeds een risico dat deze niet de juiste sleutel is. Het risico wordt in detail beschreven in het artikel OpenPGP-sleutels kunnen authentiek of vals zijn.
Vanwege dit risico gebruikt Thunderbird publieke OpenPGP-sleutels niet automatisch. U bent verplicht om, voor elke publieke sleutel die u wilt gebruiken, te bevestigen dat de sleutel acceptabel is voor u, zoals in bovenstaand artikel beschreven.
Met andere woorden, als Yvonne een publieke OpenPGP-sleutel heeft verkregen die het e-mailadres rob@voorbeeld.com vermeldt, en Yvonne probeert om een versleuteld bericht naar rob@voorbeeld.com te sturen, kan Thunderbird klagen dat er nog geen geaccepteerde sleutel voor Rob is. Yvonne moet de richtlijnen op het scherm volgen om de sleutel of de sleutels die beschikbaar zijn voor rob@voorbeeld.com te beoordelen, idealiter te verifiëren, en ze moet de sleutel als geaccepteerd markeren.
Voor S/MIME worden technisch geldige certificaten die zijn ondertekend door een CA en zijn opgenomen in Thunderbird op basis van het Mozilla Root Store-beleid automatisch geaccepteerd door Thunderbird voor het verzenden van versleutelde e-mailberichten naar het adres in het certificaat.
