Berichten versleutelen

Zo verstuur je versleutelde berichten met encryptie

Wil je iemand een bericht sturen dat écht vertrouwelijk is? In deze tip lees je hoe je e-mail en bestanden met encryptie kunt versturen, onder andere in Mail op de Mac.

Zelf berichten voorzien van encryptie

De makkelijkste manier om een versleuteld bericht te versturen is om gebruik te maken van apps die het al standaard voor je regelen. Gebruik je de Signal-app, dan worden al je berichten end-to-end versleuteld. Je hebt er zelf geen omkijken naar. Ook in WhatsApp zijn je berichten versleuteld en in Telegram kun je het optioneel inschakelen. E-mail is een heel ander verhaal. Je weet nooit hoe veilig een e-mailbericht is. Vertrouwelijke berichten die je geheim moeten blijven kun je beveiligen met encryptie. We bespreken hier twee mogelijkheden: GPG Tools voor het versleutelen van je e-mailberichten en age voor het encryptie van bestanden.

Voordat je hiermee bezig gaat is het echter goed om je af te vragen: is het niet handiger om via een beveiligde chatapp zoals Signal of WhatsApp te versturen? Want ook al is de ontvanger redelijk technisch, het feit dat je de e-mailberichten vaak niet meteen kunt lezen levert extra gedoe op. Heb je echter geen vertrouwen in de versleuteling die aanbieders leveren, dan is het zelf versleutelen van je berichten altijd mogelijk.

Hoe werkt encryptie?

Veel online communicatie gebeurt tegenwoordig via chatapps en sociale media, maar voor vertrouwelijke documenten zoals contracten wordt nog vaak e-mail gebruikt. Toch is dat helemaal niet zo veilig. De inhoud kan worden onderschept door derden en wordt niet altijd over een beveiligde verbinding verzonden. Sinds het PRISM-schandaal is de beveiliging in datacenters aanzienlijk aangescherpt, maar er zijn nog steeds punten in de overdracht waarin de verbinding niet veilig is. Encryptie kan dat oplossen, bijvoorbeeld met PGP (Pretty Good Privacy).

End-to-end encryptie
Bij end-to-end encryptie zijn de berichten ook onderweg versleuteld.

De versleuteling met PGP is maakt gebruik van een publieke sleutel en een privésleutel. Wil jij een vertrouwelijke e-mail naar Tim Cook zenden? Dan heb je Tim Cook’s publieke sleutel nodig, zodat je e-mail versleuteld wordt op een wijze die alleen Cook kan openen. Vervolgens stuur je het bericht naar Cook, die het bericht met zijn privésleutel kan ontcijferen.

De publieke sleutel is dus openbaar en kan gebruikt worden door anderen om de e-mails die ze naar jou willen sturen te versleutelen. De privésleutel is alleen bij jou bekend en wordt gebruikt om de ontvangen e-mails te ontsleutelen. Met een digitale handtekening kun je nog eens extra de authenticiteit van je bericht garanderen, maar dit staat los van het versleutelen van je berichten.

Is Mail versleuteld?
Over het versleutelen van de Mail-app zegt Apple zelf:
“All traffic between your devices and iCloud Mail is encrypted with TLS 1.2. Consistent with standard industry practice, iCloud does not encrypt data stored on IMAP mail servers. All Apple email clients support optional S/MIME encryption.”

De berichten zijn tijdens het versturen versleuteld, maar niet als ze op een online server bij Apple staan. Het is niet zo dat er met SSL of TLS al meteen sprake is van versleutelde e-mail. Het gebruik van zo’n certificaat betekent alleen dat de overdrachtsroute die berichten afleggen is versleuteld. Verderop lees je daar meer over bij het bespreken van de online tools.

E-mail met encryptie

Met de standaard Mail-app op de Mac kun je berichten digitaal ondertekenen en versleutelen, maar je hebt daar wel een certificaat voor nodig. Om versleutelde berichten te kunnen versturen, moet het certificaat van de geadresseerde in je sleutelhanger staan.

Voor het versleutelen van je e-mail heb je speciale software nodig. Voor e-mail heb je twee mogelijkheden: PGP/GnuPG (een gratis certificaat dat je zelf maakt) of S/MIME (een betaald certificaat dat je bij een certificate authority haalt). Als voorbeeld bespreken we hier de gratis software van GPG Tools. GPG Tools voegt een plugin toe aan Mail op de Mac, waardoor je encryptie kunt toevoegen aan de e-mail zelf. Andere opties zijn OutlookPrivacyPlugin (voor Outlook) en Mailvelope (een browser plug-in). Deze zijn te gebruiken in gangbare e-mailprogramma’s en browsers en helpen je bij de configuratie.

Mailvelope in de browser

Mailvelope is een browserextensie uit Duitsland. Het is vooral geschikt als je webmaildiensten van Gmail, Outlook en dergelijke gebruikt. De plugin is gebaseerd op OpenPGP.js, een JavaScript-implementatie van de OpenPGP-standaard. Je kunt het installeren in Google Chrome, Edge en Firefox.

Na het installeren van de extensie zie je in de menubalk van je browser het Mailvelope-icoon, waarmee je de tool kunt openen. Genereer vervolgens je eigen sleutels en importeer de publieke sleutels van je contacten Het is ook mogelijk om de aangemaakte publieke sleutels te uploaden op een publieke server.

Mailvelope sleutel maken

Zodra je je maildienst in de browser opent zoekt Mailvelope naar berichten die met PGP zijn versleuteld. Vervolgens kun je versleutelde e-mail bekijken die voorzien zijn van PGP-encryptie. Via de instellingen geef je aan welke diensten geactiveerd moeten worden, bijvoorbeeld alleen Gmail. Standaard zijn alle aanbieders in Mailvelope geactiveerd. Voor privégebruik is Mailvelope gratis, zakelijke klanten betalen vanaf €3 per persoon per maand. Een tutorial vind je hier.

GPG Tools in de Mail-app

Wil je liever de Mail-app van Apple gebruiken? Dan is er GPG Tools voor het versleutelen van je berichten. Je voert de volgende stappen uit:

  • Ga naar de website van GPG Tools en download GPG Suite. Installeer het programma op je Mac.
  • Open het programma GPG Keychain en maak een nieuwe sleutel aan door op ‘New’ te drukken. Je kunt voor ieder e-mailadres dat Mail gebruikt een sleutel aanmaken. Vul bij Passphrase een moeilijk te raden wachtwoord in.
  • Dubbelklik op het e-mailadres om een pubieke sleutel te maken. Klik in het venster dat verschijnt op ‘UserIDs’.
  • Druk op de Plus-knop, geef je publieke sleutel een naam en klik op ‘Generate User ID’.
  • Haal vervolgens de publieke sleutel op van de persoon die ook PGP-beveiliging gebruikt en die je een vertrouwelijke e-mail wilt sturen. Klik hiervoor op ‘Lookup Key’, zoek op het e-maildres van de persoon aan wie je het bericht wilt sturen en druk op ‘Retrieve key’ zodra je die hebt gevonden.
  • Open nu Apple’s Mail-app op de Mac.
  • Schrijf een nieuw bericht aan de persoon waarvan je de publieke sleutel hebt. Hierbij moet je uiteraard de mail verzenden via het account met PGP-sleutel.
  • In het Mail-venster zie je twee nieuwe knoppen: een tandwiel en een slotje. Het tandwiel geeft aan of de Mail ondertekend is met je public key (grijs indien dit nit het geval is, blauw indien dit wel het geval is). Het slotje geeft aan dat de mail verstuurd met encryptie en alleen met een private key leesbaar kan worden gemaakt.
  • Schrijf de mail die je wilt versturen en druk op het slotje als je klaar bent. Nu zie je dat ook het slotje blauw wordt; de mail zal met PGP-encryptie verstuurd worden.
  • Verstuur nu de mail. Omdat je een beveiligde mail wilt versturen naar een adres dat PGP-beveiliging heeft, moet je nu het wachtwoord van je eigen privésleutel gebruiken om het bericht te versleutelen.
  • Zodra de mail aankomt, moet de ontvanger het wachtwoord van zijn privé-sleutel gebruiken om de mail te kunnen lezen. Als iemand je mail onderschept is er alleen onleesbare code te zien.

PGP op de iPhone

Het nadeel van deze PGP-beveiliging is dat deze e-mail niet standaard te lezen is in Mail op de iPhone. Je moet namelijk altijd het bericht ontsleutelen (iedere keer opnieuw, waar je ook bent) om het te kunnen lezen. Gelukkig kun je de mogelijkheid om berichten te ontsleutelen toevoegen aan je iPhone via een aparte app. iPGMail kan berichten voor je ontsleutelen met het private-wachtwoord en werkt ook samen met Mail.

Bestanden versleutelen met age

Wil je zelf bestanden versleutelen dan is de relatief nieuwe tool age (Actually Good Encryption) een aanrader. Deze kan asymmetrisch bestanden versleutelen en is een alternatief voor GPG. Met age kun je bestanden voor één of meer ontvangers gelijktijdig versleutelen en daarbij allerlei parameters toepassen. Als gebruiker hoef je niets te configureren. De ontvanger kan een publieke sleutel met age genereren of een openbare SSH-sleutel binnenhalen. Optioneel kun je ook wachtwoorden gebruiken.

Age is ontwikkeld door Ben Cox en Filippo Valsorda. Laatstgenoemde is engineer in het Google Go-Team voor cryptografie en beveiliging (de software is dan ook geschreven in Go). De eerste stabiele versie verscheen in september 2021 en is gratis te gebruiken onder de BSD-licentie. Het is geschikt voor Windows, macOS, FreeBSD en diverse Linux-distributies. Op de Mac kun je het direct vanuit HomeBrew installeren, maar je kunt ook gebruik maken van MacPorts.

Je vindt age op GitHub.

Online tools voor versleuteling

Er zijn ook online tools voor het genereren van PGP-sleutels en het versleutelen/ontsleutelen van e-mailberichten. Voorbeelden zijn PGP Key Generator en sela.

Met de open source-dienst PGP Key Generator kun je sleutelparen aanmaken, zonder dat je een account nodig hebt. Je vult de gewenste sleutel in (RSA/ECC) en de lengte van de sleutel (tot 4096 bit), de geldigheidsduur (maximaal 8 jaar) en wat persoonlijke gegevens zoals je e-mailadres. Daarna klik je op Generate Keys om de sleutels te maken. Je ziet vervolgens je publieke sleutel en je privésleutel, die je als .asc-bestand kunt downloaden. Let op dat je dit online doet. Hoewel de website met TLS is beveiligd kunnen er toch in de toekomst lekken of aanvallen plaatsvinden. Ook gebruikt de website Google Analytics, waardoor er tracking plaatsvindt.

PGP Key Generator

Sela is een eenvoudige dienst om e-mailberichten online te versleutelen en te ontsleutelen. Wil je een bericht beveiligen, dan voer je de publieke sleutel van je contactpersoon in. Vervolgens typ je het e-mailbericht en klik je op Encrypt PGP message. Je ontvangt de fingerprint van de publieke sleutel en het versleutelde bericht, die je met kopiëren en plakken kunt overnemen. Ontvang je een versleuteld bericht, dan kopieer je de privésleutel, het wachtwoord en het bericht naar het formulier op de website waarna je op Decrypt PGP message klikt. Vervolgens kun je het niet-versleutelde bericht lezen. Deze website is met TLS-beveiligd maar maakt gebruik van JavaScript, met de nodige risico’s op aanvallen. Tools zoals sela bieden dan ook vooral gemak en wat minder veiligheid.

Sela versleuteling

Wil je gemak dan kun je beter een beveiligde chatdienst gebruiken.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!