Bedrijven die e-mail als be­lang­rijk­ste com­mu­ni­ca­tie­ka­naal gebruiken, moeten ervoor zorgen dat de in­for­ma­tie in hun e-mails veilig is. Met PGP-encryptie kunt u de vei­lig­heid van uw e-mail­cor­res­pon­den­tie ver­be­te­ren.

Wat is PGP-encryptie en hoe werkt het?

PGP-encryptie biedt een uit­ste­ken­de manier om in­for­ma­tie te be­scher­men en uw e-mails te ver­sleu­te­len. PGP (pretty good privacy) werd oor­spron­ke­lijk in 1991 ont­wik­keld door Phil Zim­mer­mann als een soft­wa­re­pro­gram­ma voor het ver­sleu­te­len van e-mails. In de loop der jaren heeft PGP zich gevestigd als de naam voor deze ver­sleu­te­lings­me­tho­de.

PGP-ver­sleu­te­ling is gebaseerd op een openbaar sleu­tel­pro­to­col, waarbij een sleu­tel­paar (een openbare en een pri­vé­sleu­tel) wordt gebruikt om berichten te ver­sleu­te­len en te ont­sleu­te­len. De openbare sleutel is be­schik­baar voor po­ten­ti­ë­le e-mail­con­tac­ten en wordt recht­streeks over­ge­dra­gen of geüpload naar een externe sleutel­ser­ver. Met deze sleutel kunnen uw contacten de e-mails die ze naar u sturen ver­sleu­te­len. Alleen u hebt toegang tot de pri­vé­sleu­tel, die normaal gesproken met een wacht­woord is beveiligd. Hiermee kunt u e-mails ont­sleu­te­len die aan u zijn gericht en met een openbare sleutel zijn ver­sleu­teld.

De persoon met wie u com­mu­ni­ceert, moet ook PGP gebruiken. Op die manier kan hij u toegang geven tot zijn openbare sleutel, waardoor beide partijen veilig e-mails kunnen versturen en ontvangen. Het openbare sleu­tel­pro­to­col wordt om­schre­ven als een asym­me­tri­sche procedure, aangezien de twee betrokken partijen ver­schil­len­de sleutels gebruiken.

Het be­vei­li­gen van uw e-mails met PGP lijkt op het eerste gezicht misschien veel werk, maar er zijn plug-ins die u kunt gebruiken om het proces van PGP-ver­sleu­te­ling te ver­een­vou­di­gen. Twee van dit soort plug-ins zijn FlowCrypt en Mail­ve­lo­pe. Veel grote e-mail­pro­vi­ders bieden ook hun eigen PGP-plug-ins aan, die worden geleverd met in­stal­la­tie­as­sis­ten­ten.

Waarvoor kan PGP-encryptie worden gebruikt?

Asym­me­tri­sche encryptie zoals PGP wordt al geruime tijd gebruikt in de IT-wereld. Hieronder staan enkele van de meest populaire ge­bruiks­si­tu­a­ties.

  1. Ver­sleu­te­len van ver­trou­we­lij­ke berichten: het ver­sleu­te­len van e-mails en andere soorten berichten is een van de be­lang­rijk­ste toe­pas­sin­gen van PGP.
  2. Bestanden en be­stands­sys­te­men ver­sleu­te­len: naast het ver­sleu­te­len van berichten kan PGP ook worden gebruikt om bestanden te ver­sleu­te­len die zijn op­ge­sla­gen op lokale op­slag­ap­pa­ra­ten of op een server.
  3. Digitale hand­te­ke­nin­gen: PGP wordt ook vaak gebruikt om de au­then­ti­ci­teit van een bericht of bestand te con­tro­le­ren. Met een PGP-hand­te­ke­ning kunt u vast­stel­len of een bericht echt afkomstig is van de persoon die het heeft verzonden. Bovendien kunt u ook zien of het tijdens het verzenden is on­der­schept en mogelijk gewijzigd. PGP-hand­te­ke­nin­gen kunnen ook worden gebruikt om de au­then­ti­ci­teit van bestanden (bij­voor­beeld programma’s) te ve­ri­fi­ë­ren.

Hoe PGP-ver­sleu­te­ling instellen

Veel e-mail­pro­gram­ma’s worden te­gen­woor­dig geleverd met een PGP-ver­sleu­te­lings­pak­ket dat eenvoudig te volgen in­stal­la­tie-in­struc­ties bevat. Als uw e-mail­ser­vi­ce­pro­vi­der echter geen in­struc­ties voor het instellen van PGP heeft mee­ge­le­verd, kunt u de on­der­staan­de stappen volgen. De volgende PGP-hand­lei­ding is een algemene aanpak voor het instellen van PGP-ver­sleu­te­ling.

PGP-ver­sleu­te­ling met software

Stap 1: selecteer en in­stal­leer de juiste PGP-software

Eerst moet u PGP-software vinden die com­pa­ti­bel is met zowel uw be­stu­rings­sys­teem als uw e-mail­client. De open-sour­ce­op­los­sing GnuPG (GNU Privacy Guard), die in 1997 werd uit­ge­bracht, is een uit­ste­ken­de keuze voor Linux-ge­brui­kers. De oudere versie 1.4 is op veel systemen vooraf ge­ïn­stal­leerd. De nieuwste versie kan echter worden ge­down­load van de officiële website van GnuPG. Ge­brui­kers van Windows- of OS X-be­stu­rings­sys­te­men kunnen ook binaire bestanden vinden op de website van GnuPG. Deze bestanden kunnen worden gebruikt om de sys­teem­spe­ci­fie­ke Gpg4win en MAC GPG te in­stal­le­ren, die zijn gebaseerd op GnuPG.

Stap 2: genereer een sleu­tel­paar

Zodra het PGP-programma is ge­ïn­stal­leerd, kan een sleu­tel­paar worden aan­ge­maakt. Voor Linux opent u de op­dracht­re­gel en gebruikt u de opdracht voor het genereren van sleutels die in de hand­lei­ding van het programma wordt vermeld. Dit voorbeeld is voor GnuPG:

sudo gpg --gen-key
bash

Selecteer ver­vol­gens het type ver­sleu­te­ling dat u wilt gebruiken. U dient de stan­daard­in­stel­ling (RSA en RSA) alleen te wijzigen als u voldoende kennis hebt van ver­schil­len­de ver­sleu­te­lings­me­tho­den en hoe deze werken.

Voer nu de sleu­tel­leng­te in bits in. Hoe hoger de waarde, hoe veiliger de sleutels. Een hogere waarde leidt echter ook tot tragere pres­ta­ties. Be­vei­li­gings­ex­perts raden een lengte van 4096 bits aan voor RSA-sleutels.

Voer ver­vol­gens de gel­dig­heids­duur van de sleutels in, evenals de naam en het e-mailadres waarop het sleu­tel­paar moet worden toegepast. Ten slotte moet u be­ves­ti­gen dat de door u ver­strek­te in­for­ma­tie correct is en een wacht­woord­zin voor uw pri­vé­sleu­tel se­lec­te­ren. U hebt dit wacht­woord later nodig om uw e-mails te ont­sleu­te­len.

Als u Windows en mac OS X gebruikt, start u het proces voor het genereren van sleutels met GUI’s. Ongeacht welke PGP-software en welk platform u gebruikt, in de meeste gevallen wordt u gevraagd om wil­le­keu­ri­ge toets­aan­sla­gen of muis­be­we­gin­gen te gebruiken om de sleutel te genereren.

Stap 3: deel de openbare sleutel met uw contacten

U kunt de ge­ge­ne­reer­de sleutels onder Linux beheren via de terminal of met Seahorse (voor Gnome/Unity) of de grafische interface KGpg (voor KDE). Het op­dracht­re­gel­com­man­do voor de pri­vé­sleu­tel met GnuPG is:

sudo gpg --list-secret-keys
sudo -K
bash

en voor de openbare sleutel:

sudo gpg --list-keys
sudo -K
bash

Naast het bekijken van een lijst met sleutels, kunt u deze ook direct ex­por­te­ren. Het aan­ge­maak­te .asc-bestand kan als bijlage via e-mail naar uw con­tact­per­so­nen worden verzonden of naar een cer­ti­fi­caat­ser­ver worden geüpload. Als een con­tact­per­soon uw openbare sleutel heeft ontvangen en over een sleu­tel­be­heer­pro­gram­ma beschikt, kan hij of zij u ver­sleu­tel­de berichten sturen. Om ver­sleu­tel­de e-mails naar dezelfde con­tact­per­soon te sturen, hebt u diens openbare sleutel nodig.

Online PGP-ver­sleu­te­ling

In plaats van programma’s te gebruiken die u op uw eigen systeem in­stal­leert, kunt u ook online PGP-tools gebruiken om sleu­tel­pa­ren aan te maken, uw e-mails te ver­sleu­te­len of ontvangen e-mails te ont­sleu­te­len. Hieronder bekijken we de web­ser­vi­ce PGP Key Generator.

PGP Key Generator is een Ja­vaScript-programma waarmee sleu­tel­pa­ren kunnen worden ge­ge­ne­reerd en dat in de meeste web­brow­sers kan worden uit­ge­voerd. U kunt deze open-source service gratis gebruiken zonder dat u zich hoeft te re­gi­stre­ren.

Voer eerst de vereiste spe­ci­fi­ca­ties voor de sleutels in het formulier Opties in. Klik ver­vol­gens op Sleutels genereren om het proces voor het genereren van sleutels te starten. Wanneer het proces is voltooid, kunt u de openbare sleutel en uw pri­vé­sleu­tel bekijken.

Afbeelding: Web tool for PGP encryption generator
PGP Key Generator (Source: https://pgpkeygen.com/)

Aangezien deze web­ser­vi­ce open source is, kunnen experts de broncode op elk moment bekijken. Dit betekent dat ze continu kunnen be­oor­de­len hoe veilig en be­trouw­baar de generator is. Omdat het echter een Ja­vaScript-ap­pli­ca­tie is, bestaat er ook reden tot be­zorgd­heid over cy­ber­cri­mi­na­li­teit. Als cri­mi­ne­len be­vei­li­gings­lek­ken in de web­ser­vi­ce kunnen iden­ti­fi­ce­ren, kunnen deze lekken worden misbruikt om uw systeem aan te vallen en gevoelige in­for­ma­tie te ver­krij­gen.

PGP-ver­sleu­te­ling voor e-mail­clients

Als u liever com­mu­ni­ceert via e-mail­pro­vi­ders zoals Gmail, Yahoo en Outlook, is de brow­ser­ex­ten­sie Mail­ve­lo­pe een goede optie voor PGP-ver­sleu­te­ling. De add-on is gebaseerd op OpenPGP.js (een Ja­vaScript-im­ple­men­ta­tie van de OpenPGP-standaard) en is be­schik­baar voor Google Chrome, Microsoft Edge en Mozilla Firefox.

Zodra u de extensie hebt ge­ïn­stal­leerd, ver­schijnt het Mail­ve­lo­pe-pictogram in de werkbalk van uw browser. Via dit pictogram krijgt u toegang tot de ge­brui­kers­in­ter­fa­ce, waar u uw eigen sleutels en de openbare sleutels van uw za­ken­part­ners kunt aanmaken, im­por­te­ren en beheren. Het is ook mogelijk om openbare sleutels te uploaden naar een openbare sleutel­ser­ver.

Afbeelding: Mailvelope interface in Firefox browser
With Mail­ve­lo­pe, you can generate, import and export keys. (Source: Mail­ve­lo­pe extension for Firefox)

Zodra u Mail­ve­lo­pe hebt ge­ïn­stal­leerd, scant de add-on au­to­ma­tisch op PGP-berichten wanneer u uw account opent via uw browser. Het scan­pro­ces lo­ka­li­seert en toont spe­ci­fie­ke elementen voor het ver­sleu­te­len en ont­sleu­te­len van PGP-e-mails. In Opties kunt u PGP-ver­sleu­te­ling voor Gmail, Outlook en andere e-mail­pro­vi­ders in- of uit­scha­ke­len.

PGP-ver­sleu­te­ling op mobiele apparaten

Om PGP-ver­sleu­te­ling op iOS- en Android-apparaten te gebruiken, hebt u een e-mail­client nodig die sleu­tel­be­heer­soft­wa­re en PGP-ver­sleu­te­ling on­der­steunt. Hieronder bekijken we twee apps (één voor elk be­stu­rings­sys­teem) die u kunt gebruiken om de PGP-sleutels van uw contacten op te slaan en te beheren.

PGPro (iOS)

PGPro is een iOS-app waarmee je PGP-sleutels kunt maken, beheren en ex­por­te­ren. De app is open source en gebaseerd op de OpenPGP-standaard. Met deze app worden alle berichten en sleutels op je lokale apparaat op­ge­sla­gen.

Nadat u de app vanuit de App Store hebt ge­ïn­stal­leerd, kunt u onder hettabblad Keychain nieuwe PGP-sleu­tel­pa­ren genereren of im­por­te­ren. Onder En­cryp­ti­on kunt u een openbare sleutel gebruiken om berichten te ver­sleu­te­len en onder De­cryp­ti­on kunt u een pri­vé­sleu­tel gebruiken om berichten te ont­sleu­te­len.

Afbeelding: PGPro encryption menu
PGPro user interface (Source: Apple App Store product image)

Open­Key­chain (Android)

Open­Key­chain is een uit­ste­ken­de keuze voor Android-ge­brui­kers. Deze open-source app is ook gebaseerd op de Open PGP-standaard.

Nadat u de app hebt ge­ïn­stal­leerd, kunt u naar het gedeelte Sleutels gaan om al uw sleutels te bekijken, im­por­te­ren en beheren. Ga naar Ver­sleu­te­len/Ont­sleu­te­len om berichten en bestanden te ver­sleu­te­len of ont­sleu­te­len.

Afbeelding: OpenKeychain user interface
Open­Key­chain user interface (Source: Google Play product image)

Ver­sleu­tel­de berichten versus ver­sleu­tel­de ver­bin­din­gen

Veel ge­brui­kers denken datSSL/TLS-cer­ti­fi­ca­ten voldoende zijn voor e-mail­ver­sleu­te­ling. Met deze cer­ti­fi­ca­ten wordt echter alleen het trans­mis­sie­pad van de e-mail ver­sleu­teld. Dit betekent dat berichten door derden kunnen worden on­der­schept en in leesbare tekst kunnen worden gelezen.

Hoewel ze alleen het trans­mis­sie­pad ver­sleu­te­len, maken SSL/TSL-cer­ti­fi­ca­ten het mogelijk om elementen te ver­sleu­te­len die niet met PGP worden ver­sleu­teld. Deze elementen omvatten in­for­ma­tie over de afzender, de ontvanger en het onderwerp. Het gebruik van een com­bi­na­tie van PGP-ver­sleu­te­ling en SSL/TSL-ver­sleu­te­ling is de optimale oplossing voor het be­scher­men van de inhoud van uw e-mails. Meer in­for­ma­tie over ver­sleu­tel­de trans­mis­sie vindt u in ons artikel in de Digitale Gids over het ver­sleu­te­len van e-mails met SSL/TLS.

Ga naar hoofdmenu