PGP (Pretty Good Privacy) is één van de veel gebruikte encryptiemethodes op internet. De standaard die aan PGP ontsproten is wordt tegenwoordig OpenPGP genoemd en er zijn tegenwoordig vele programma's, commercieel en open-source, die deze standaard implementeren en ook grotendeels onderling compatibel zijn. OpenPGP-cryptografie is gebaseerd op asymmetrische cryptografie (zoals RSA), daarbij wordt gebruikgemaakt van twee aparte sleutels: één sleutel wordt gebruikt om de informatie te coderen (vercijferen) of te ondertekenen, en de tweede sleutel om de informatie weer te decoderen (ontcijferen) of de identiteit van de afzender te verifiëren.
In principe is dit best veilig, maar je moet er op kunnen vertrouwen dat de sleutel toebehoort aan de persoon aan wie wij die volgens de sleutel zou moeten toebehoren. Iedereen kan sleutels aanmaken op een willekeurige naam en zelfs de geheime privésleutels kunnen tenslotte via een hack door anderen gestolen zijn. Veel OpenPGP-implementaties kennen publieke sleutels een vertrouwenswaarde toe, die door de gebruiker gewijzigd kan worden nadat deze via een betrouwbaar kanaal (telefoon, ontmoeting) geverifieerd heeft dat de sleutel inderdaad van de vermoede persoon afkomstig is.
In Jip en Janneke taal: je hebt nu 2 sleutels. Eén publieke sleutel die je gewoon publiceert (bijvoorbeeld op een website of of onder een e-mail) en een tweede geheime sleutel, die je zorgvuldig voor jezelf houdt. Iedereen die jou een bericht wil sturen dat geheim moet blijven, kan nu je publieke sleutel gebruiken om de informatie te vercijferen. Vervolgens kan het vercijferde bericht worden verzonden. En alleen jij kan het bericht ontcijferen, met je geheime privé-sleutel. Berichten kunnen worden voorzien van een digitale handtekening om de juistheid van de inhoud te bevestigen.
Lekker in je uppie PGP-en heb je niks aan natuurlijk. De mensen met wie jij e-mailberichten uitwisselt moeten ook meedoen. En dat is eigenlijk het grote euvel waarom er zo weinig aan versleuteling van e-mailberichten wordt gedaan. Lekker zo laten zal de NSA wel denken.
Omdat velen, net als ikzelf, vandaag de dag hoofdzakelijk Gmail gebruiken om hun mail af te handelen, is de volgende beknopte handleiding wellicht handig. Via Mailvelope (een extensie voor Chrome), gemakkelijk met Gmail (maar ook andere webmaildiensten) gebruikmaken van OpenPGP.
PGP met Gmail en Mailvelope.
Installeer Mailvelope.
Klik op het nieuwe pictogram in de werkbalk van Chrome en daarna op [Options].
Als je nog niet beschikt over een sleutelpaar, moet je die eerst aanmaken.
Voer je naam in, je e-mailadres en bedenk een sterk wachtwoord.
Nu kun je bij [Settings] nog wat instellingen aanpassen, zoals het gebruiken van de platte tekst of rich text editor en kun je standaard je eigen publieke sleutel aan de ontvangerslijst laten toevoegen (nodig om later de verzonden berichten zelf ook te kunnen ontcijferen).
Om een versleuteld bericht aan te maken klik je op het slotje in het schrijfvenster,
waarna je in het venster van Mailvelope komt om je beveiligde bericht samen te stellen.
Bericht klaar, klik je weer op het slotje.
Hier kun je de geadresseerde opgeven, die overigens wel aan je sleutelbos moet hangen.
Klik op OK en daarna op [Transfer] om het versleutelde bericht weer door te sturen naar Gmail.
Nu kun je de mail gewoon als altijd versturen.
Dus eigenlijk is het zelfs met Gmail best wel gemakkelijk om redelijk veilig berichten via e-mail uit te wisselen.
Waarom heb je PGP nodig?
Phil Zimmermann (ontwikkelaar van PGP)
Lees zijn toelichting hier verder.
Vind je het nog te omslachtig, kun je de gratis encryptiedienst Virtru proberen. Voordeel van die dienst is dat de ontvanger in tegenstelling tot de hierboven beschreven methode niet een eigen sleutel hoeft te hebben.
Als afsluiting mijn publieke sleutel:
In Jip en Janneke taal: je hebt nu 2 sleutels. Eén publieke sleutel die je gewoon publiceert (bijvoorbeeld op een website of of onder een e-mail) en een tweede geheime sleutel, die je zorgvuldig voor jezelf houdt. Iedereen die jou een bericht wil sturen dat geheim moet blijven, kan nu je publieke sleutel gebruiken om de informatie te vercijferen. Vervolgens kan het vercijferde bericht worden verzonden. En alleen jij kan het bericht ontcijferen, met je geheime privé-sleutel. Berichten kunnen worden voorzien van een digitale handtekening om de juistheid van de inhoud te bevestigen.
Lekker in je uppie PGP-en heb je niks aan natuurlijk. De mensen met wie jij e-mailberichten uitwisselt moeten ook meedoen. En dat is eigenlijk het grote euvel waarom er zo weinig aan versleuteling van e-mailberichten wordt gedaan. Lekker zo laten zal de NSA wel denken.
Omdat velen, net als ikzelf, vandaag de dag hoofdzakelijk Gmail gebruiken om hun mail af te handelen, is de volgende beknopte handleiding wellicht handig. Via Mailvelope (een extensie voor Chrome), gemakkelijk met Gmail (maar ook andere webmaildiensten) gebruikmaken van OpenPGP.
PGP met Gmail en Mailvelope.
Voer je naam in, je e-mailadres en bedenk een sterk wachtwoord.
waarna je in het venster van Mailvelope komt om je beveiligde bericht samen te stellen.
Hier kun je de geadresseerde opgeven, die overigens wel aan je sleutelbos moet hangen.
Dus eigenlijk is het zelfs met Gmail best wel gemakkelijk om redelijk veilig berichten via e-mail uit te wisselen.
Waarom heb je PGP nodig?
Phil Zimmermann (ontwikkelaar van PGP)
Het is persoonlijk. Het is privé. En het gaat niemand iets aan behalve jou. Misschien ben je een politieke actie aan het plannen, je belastingen aan het bespreken of heb je een buitenechtelijke relatie. Of misschien ben je iets aan het doen waarvan je vindt dat het niet illegaal zou moeten zijn, maar het wel is. Wat het ook is, je wil niet dat je privé electronische post (E-mail) of vertrouwelijke stukken door iemand anders gelezen worden. Er is niets mis met het verdedigen van je privacy. Privacy is zo basaal als de grondwet.
Misschien denk je dat jouw E-mail legaal genoeg is zodat encrytie niet nodig is. Als je echt zo'n gezagsgetrouwe burger bent die niets te verbergen heeft, waarom stuur je dan niet al je papieren post per briefkaart? Waarom zou je niet een drugstest ondergaan op verzoek van de autoriteiten? Waarom zou je een huiszoekingsbevel nodig hebben als de politie je huis wil doorzoeken? Verberg je soms iets? Je moet haast wel een subversief element of een drugsdealer zijn als je je post verstuurt in enveloppen. Of misschien een paranoïde gek. Hebben gezagsgetrouwe burgers enige reden om hun E-mail te versleutelen?
Stel je voor dat iedereen vond dat gezagsgetrouwe burgers hun post zouden moeten versturen op postkaarten? Als een moedig persoon zou proberen zijn privacy te beschermen door een envelop te gebruiken, zou dat verdacht zijn. Misschien zouden de autoriteiten zijn post openen om te kijken wat hij te verbergen heeft. Gelukkig leven we niet in zo'n soort wereld, omdat iedereen de meeste post beschermt met een envelop, zodat het niet verdacht is als je een envelop gebruikt om je privacy te waarborgen. De veiligheid zit hem hier in de aantallen. Annaloog hiermee, zou het goed zijn als iedereen routinematig versleuteling zou gebruiken voor al hun E-mail, onschuldig of niet, zodat niemand verdenkingen op zich laadt door encrytie te gebruiken ter bescherming van hun E-mail privacy. Zie het als een vorm van solidariteit....
Lees zijn toelichting hier verder.
Vind je het nog te omslachtig, kun je de gratis encryptiedienst Virtru proberen. Voordeel van die dienst is dat de ontvanger in tegenstelling tot de hierboven beschreven methode niet een eigen sleutel hoeft te hebben.
Als afsluiting mijn publieke sleutel:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: Mailvelope v0.7.0
Comment: Email security by Mailvelope - http://www.mailvelope.com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=Lub+
-----END PGP PUBLIC KEY BLOCK-----