Berichten digitaal ondertekenen of versleutelen met behulp van GnPG

Dit is een korte uitleg over het instellen van de ondersteuning van GnuPG (GNU Privacy Guard) binnen KMail. Er worden ook enkele tips gegeven over het gebruik van GnuPG. De uitleg is bedoeld voor beginners op dit gebied. Indien u bekend bent met het gebruikt van GnuPG, dan kunt u grote delen van de uitleg overslaan.

Bekijk ook de FAQ over GnuPG.

Waarschuwing

Wanneer u gebruik maakt van "OpenPGP Ingebed", zullen bijlagen niet versleuteld worden. Om bijlagen te versleutelen moet u GnuPG en de bijbehorende bibliotheken installeren. U kunt dan per bijlage beslissen of de bijlage ondertekend en/of versleuteld dient te worden.

Om ondersteuning van GnuPG in KMail te activeren is het noodzakelijk dat GnuPG geïnstalleerd en geconfigureerd is. Uiteraard is dit niet de aangewezen plek om een volledige uitleg over GnuPG te geven. Wel beschrijven we de noodzakelijke stappen om GnuPG te kunnen gebruiken. Voor details zou u een kijkje op de website The GNU Privacy Handbook kunnen nemen.

Het is een goed idee om de GnuPG documentatie door te lezen, net als een inleiding tot cryptografische publieke sleutels. Hierin staan de basisprincipes uitgelegd, zodat u beter begrijpt wat er daadwerkelijk gebeurt. Ook worden diverse veiligheidsaspecten nader onder de loep genomen.

Voorwaarden

KMail gaat er vanuit dat GnuPG met het commando pgp aan te roepen is. Als de toepassing niet onder die naam aangeroepen kan worden moet u een zogenaamde symbolische koppeling (symlink) aanmaken.

Als u dit nog niet eerder gedaan hebt, moet u een sleutelpaar (geheime en publieke sleutels) voor uzelf aanmaken. Doe dat met gebruik van KGpg of Kleopatra of met de commandoregel gpg --gen-key. Of u kunt KMail vragen een nieuw sleutelpaar aan te maken wanneer u een nieuw account aanmaakt. De identiteit (normaal uw naam gevolgd door uw e-mailadres tussen de tekens < en >, dus bijvoorbeeld Jan Jansen <jan.jansen@provider.nl>) en uw wachtwoordzin (passphrase) zijn belangrijk voor de samenwerking tussen KMail en GnuPG.

GnuPG-gerelateerde instellingen in KMail

Selecteer het tabblad Opstellen bij de instellingen voor de Beveiliging. Daar vindt u de volgende opties:

Bij het versleutelen van e-mail, altijd ook versleutelen naar het certificaat van mijn eigen identiteit

Als deze optie niet is geselecteerd, dan is het niet meer mogelijk om verzonden berichten nog te ontcijferen nadat u deze hebt versleuteld. Selecteer deze optie om het bericht ook te ondertekenen met uw eigen sleutel, zodat het mogelijk is om verzonden berichten weer te ontcijferen.

Verzonden berichten versleuteld opslaan

Wanneer dit vakje is geactiveerd worden verzonden berichten versleuteld opgeslagen zoals ze zijn verzonden. Dit is niet aanbevolen, omdat u de berichten niet meer kunt lezen als een noodzakelijk certificaat is verlopen. (Merk op dat GPG sleutels, in het algemeen niet verlopen; deze waarschuwing is primair relevant voor gebruikers van x.509 certificaten.)

Altijd de cryptografische sleutels voor goedkeuring tonen

Als deze optie geselecteerd is, wordt er altijd een dialoogvenster geopend waarin u kunt kiezen welke sleutel er van iedere ontvanger gebruikt moet worden voor het versleutelen van het e-mailbericht. Indien u deze optie niet selecteert zal KMail het dialoogvenster alleen tonen als er geen sleutel van een bepaalde ontvanger gevonden kan worden of als er meerdere sleutels beschikbaar zijn.

Bij opslaan als concept, zoals aangegeven ondertekenen/versleutelen

Als deze optie aan is zal KMail automatisch berichten (en / of ondertekenen), die u opslaat in de map concepten, versleutelen (wanneer u ondertekenen / versleutelen specificeert).

Indicator voor ondertekening/versleuteling in bewerker tonen

Als deze optie aan is zal KMail een indicator in het opstelvenster tonen om u te informeren dat dit bericht ondertekend / versleuteld zal worden wanneer dat het geval is.

Nu het versleutelingsgereedschap is ingesteld moet er nog worden aangegeven welke OpenPGP-sleutel KMail moet gebruiken voor het digitaal ondertekenen en versleutelen van de berichten. Dit doet u door naar uw Identiteit te gaan en daar op het tabblad Cryptografie uw sleutel te selecteren.

Nu kunt u uitgaande e-mailberichten digitaal ondertekenen. Om het voor andere mensen mogelijk te maken u versleutelde berichten te sturen of uw digitale handtekening te controleren op echtheid, is het noodzakelijk om uw publieke sleutel toe te voegen aan een openbare GnuPG-sleutelserver. Dit is een grote verzameling publieke sleutels die door iedereen kan worden geraadpleegd. Om iemand versleutelde berichten te kunnen versturen of de digitale ondertekening op echtheid te controleren moet u zijn of haar publieke sleutel hebben. U kunt uw publieke sleutel(s) bewaren op een openbare GnuPG-sleutelserver. Of u kunt uw relaties vragen om u een of meer van hun publieke sleutels te sturen.

Berichten digitaal ondertekenen

Stel uw e-mailbericht zoals gebruikelijk op in het opstelvenster. Voordat u het bericht verzendt klikt u op het pictogram Ondertekenen op de werkbalk van het opstelvenster of selecteer Opties Bericht ondertekenen. Vervolgens kunt u het bericht verzenden. Bij de identiteit die u gebruikt hebt tijdens het opstellen van de e-mail moet bij de instellingen een OpenPGP sleutel aangegeven zijn in de sectie Identity van de dialoog Configureren. Om berichten digitaal te ondertekenen moet KMail de GnuPG-wachtwoordzin (passphrase) weten. Er kan u gevraagd worden om het te leveren of, als u het eerder aan KMail hebt gegeven, zal het bericht automatisch worden ondertekend.

Berichten versleutelen

Om een versleuteld bericht aan iemand, van wie u de publieke sleutel in uw gpg-sleutelring hebt, te versturen, stelt u uw e-mailbericht in het opstelvenster op. Voordat u het bericht verstuurt, klikt u op de knop Versleutelen op de werkbalk van het opstelvenster (of selecteer Opties Bericht versleutelen). Vervolgens kunt u het bericht versturen.

Als u de knop Versleutelen geselecteerd hebt en KMail kan de sleutel van de beoogde ontvanger niet vinden, zal KMail u de mogelijkheid bieden uw sleutelring aan te passen alvorens opnieuw te proberen. Als KMail meerdere vertrouwde sleutels van de beoogde ontvanger vindt, zullen de verschillende sleutels van die ontvanger getoond worden. In beide gevallen kunt u de sleutel(s) kiezen waarmee het e-mailbericht voor deze ontvanger versleuteld moet gaan worden.

Wanneer u een sleutel voor de eerste keer gebruikt, wanneer er conflicterende instellingen zijn, of wanneer Altijd de cryptografische sleutels voor goedkeuring tonen is geselecteerd in het gedeelte Beveiliging van de instellingen van KMail, zal het dialoogvenster Goedkeuring van cryptografische sleutel getoond worden. U kunt de verschillende sleutels wijzigen en de Versleutelingsvoorkeur voor iedere ontvanger vastleggen. De optie Berichten automatisch versleutelen, wanneer mogelijk (op het tabblad Versleuteling van de dialoog InstellingenKMail configureren...) zorgt ervoor dat het bericht automatisch versleuteld wordt wanneer er voor iedere ontvanger een vertrouwde sleutel beschikbaar is.

Zoals hierboven reeds vermeld staat, is het niet mogelijk om door uzelf opgestelde, verzonden berichten terug te lezen als u Bij het versleutelen van e-mail, altijd ook versleutelen naar het certificaat van mijn eigen identiteit niet geselecteerd hebt in het gedeelte Beveiliging.

Publieke sleutel versturen

Stel een bericht op voor de persoon die u uw publieke sleutel wilt toesturen. Vervolgens kiest u in het menu BijlagePublieke sleutel bijvoegen. Dit zal uw publieke sleutel - diegene die bij u nu gebruikt - toegevoegd worden aan het e-mailbericht.

Bedenk dat het niet geheel veilig is om te denken dat de ontvanger van uw publieke sleutel aan de hand van uw digitale ondertekening de echtheid van de sleutel kan vaststellen. Er kan een zogenaamde 'man-in-the-middle-attack' uitgevoerd worden. Iemand die het bericht onderschept kan de publieke sleutel veranderen en vervolgens met die sleutel het bericht weer ondertekenen zodat het authentiek lijkt. Dit is de reden dat de authenticiteit van de sleutel op een andere manier (bijvoorbeeld post, telefoon of fax) geverifieerd moet worden of vraag hem de ontvangen sleutel te gebruiken om een versleuteld bericht op te stellen en aan u terug te zenden. Als uw geheime sleutel het bericht kan ontcijferen, dan heeft deze uw publieke sleutel. Bedenk dat dit de basis is van versleuteling en dat hier dus niet lichtvaardig mee omgesprongen moet worden. Bekijk de GnuPG-documentatie voor meer informatie hierover.

U ontvangt een versleuteld bericht

Alles wat u hoeft te doen is het bericht in KMail te selecteren. U zal gevraagd worden om uw wachtwoordzin (passphrase). KMail zal dan het bericht ontcijferen en u de tekst tonen indien het bericht met uw publieke sleutel is ondertekend. Zo niet, dan kunt u het bericht niet lezen. KMail bewaart de berichten versleuteld zodat niemand deze berichten kan lezen zonder uw wachtwoordzin te weten, of, minimaal, uw wachtwoord voor aanmelden.

U ontvangt een publieke sleutel

U kunt een publieke sleutel ontvangen als bijlage, via http, ftp of een USB-stick. Voordat u deze sleutel kunt gebruiken om een bericht te versleutelen moet u eerst de sleutel verifiëren (controleer de "fingerprint" of bekijk vertrouwde handtekeningen). Daarna kunt u deze sleutel toevoegen aan uw sleutelbos door middel van het volgende commando: gpg --import bestandsnaam. Indien de echtheid van de sleutel niet op basis van andere handtekeningen, die u al vertrouwd, achterhaald kan worden, kunnen er alleen berichten versleuteld worden met deze sleutel als u de sleutel met uw eigen sleutel ondertekent.