Sticky

Hoe kan je E-mail volledig versleuteld versturen.

  • 5 oktober 2018
  • 7 Reacties
  • 2194x Bekeken

Reputatie 6
Badge +7
Aan de vertrouwelijkheid van e-mail verkeer worden steeds hogere eisen gesteld, niet in de laatste plaats door de overheid. Met deze bijdrage wil ik laten zien hoe je op redelijk eenvoudige manier e-mail verkeer volledig kunt versleutelen tussen de zender en de ontvanger.

Als het goed is heb je op de ingaande en uitgaande e-mail verbindingen naar de Ziggo mail servers al SSL/TLS in gebruik. Hoe je dat moet instellen vind je bij het onderwerp “Ziggo Mail gebruik je zo” aan het begin van deze rubriek.

SSL/TLS versleuteld het verkeer tussen jouw computer en de Ziggo mail server. Stuur je een bericht op, dan is het onderweg versleuteld, maar het komt weer volledig leesbaar te voorschijn bij de Ziggo mail server. Die stuurt het met SSL/TLS versleuteld weer door naar de mail server van de ontvanger, en daar komt het ook weer leesbaar tevoorschijn. Als de ontvanger ook SSL/TLS heeft ingesteld voor zijn verbindingen, dan wordt het bericht ook versleuteld naar hem opgestuurd. Onderweg is het verkeer dus versleuteld, maar op alle computers zijn de e-mail berichten leesbaar terug te vinden. Logisch, want anders zou Ziggo Webmail niet werken.

Je kunt het e-mail verkeer echter ook volledig versleutelen tussen zender en ontvanger, dan is het op geen van de tussenliggende systemen te lezen. Het gevolg is dus dat Ziggo Webmail dan ook niet meer werkt! Je creëert daarmee een heel hoge mate van veiligheid.

De zender en de ontvanger voor deze beveiligde e-mails moeten daarvoor de volgende handelingen verrichten:

  1. Vraag een e-mail certificaat aan voor het e-mail account dat je voor dit beveiligde verkeer wilt gebruiken. Er zijn meerdere instanties die zo’n certificaat kunnen leveren, maar je kunt er gratis één krijgen bij Comodo.
  2. Je krijgt dan een e-mail terug met daarin een linkje waar je op moet klikken. Dat installeert het certificaat op je PC.
  3. Ga nu in je mail programma naar de account settings voor dit e-mail account. Als het goed is vind je daar een hoofdstukje ‘security’ of iets dergelijks. Als je daar op klikt, dan wordt er een window geopend. Je kunt daar het zojuist geïnstalleerde certificaat toevoegen bij ‘Digital Signing’ en ‘Encryption’. Althans, zo werkt het bij mijn Engelstalige mail programma. Als het goed is kun je daar ook opgeven dat je altijd digital signing en altijd encryption wilt gebruiken. Doe dat nu nog even niet.
  4. Maak nu een kleine e-mail voor degene met wie je beveiligd wil e-mailen. Voordat je het bericht verstuurd, moet je je bij het tabje ‘security’ boven in het window, aangeven dat het bericht met ‘digital signing’ verstuur moet worden.
  5. Het meegestuurde sign wordt bij de ontvanger automatisch opgeslagen.
  6. Zodra jullie die twee berichten uitgewisseld hebben, kun je e-mails gaan versturen waarbij je met de security tab aangeeft dat ze encrypted moeten zijn.
Normaal gesproken zou je altijd e-mails met digital signing moet kunnen versturen. Het is mij echter gebleken dat er (oude?) e-mail programma's zijn die daar niet zo goed tegen kunnen, en dan bijlages onbruikbaar maken.

Wil je dit e-mail account uitsluitend gebruiken voor encrypted e-mails, dan kun je dit in de account settings aangeven. Al je berichten worden dan encrypted verzonden, en als dat niet kan dan omdat je het sign nog niet hebt uitgewisseld, dan zal het mail prograama weigeren de e-mail te versturen. Je kunt dan in het security tabje boven in het window aangeven dat deze mail niet encrypted verstuurd moet worden.

Als er vragen zijn, dan zie ik ze wel voorbij komen.

7 Reacties

Ja, dat zou super zijn als we al onze mails encrypted versturen. Echter in de praktijk doet niemand dat, omdat het nogal omslachtig is voor de "gewone gebruiker".
Zelf heb ik al enige tijd draaiend met thunderbird en enigmail-extensie. Daarmee heb ik ook de keuze om de mail te ondertekenen en eventueel ook te encrypten. Echter om een encrypted mail te decrypten heeft de ontvanger je publieke sleutel nodig.
In de praktijk stuur ik mail alleen digitaal ondertekend, omdat niemand weet hoe je het moet ontcijferen......

Hoe gaat dat bij comodo?
Reputatie 6
Badge +7
lees het verhaal nog even goed door, dan wordt alles duidelijk. Als jij en de ontvanger één keer een signed bericht hebben uitgewisseld, dan kun je vanaf dat moment versleuteld versturen. Je hoeft niets te doen (behalve encrypted aanklikken of permanent instellen), alle mail wordt automatisch leesbaar gemaakt.

Ik gebruik Seamonkey, dat je misschien beter kent als Netscape van vroeger. Alles lijkt daar wat beter geïntegreerd te zijn als bij Thunderbird.
Ik heb het ook niet helemaal goed verwoord: Om te encrypten heb je de publieke sleutel van de ontvanger nodig. De ontvanger kan dan decrypten met zijn eigen private sleutel. Je kunt dus jouw publieke sleutel naar iemand sturen, of op een keyserver publiceren. Daarmee kan een verzender vervolgens encrypted mail naar je kan versturen. Maar ja, dat doet nog niemand.😁
Reputatie 4
Badge +2
Denk zelf dat als men een sleutel / signed gaat gebruiken, dat een mailadres gebonden aan je ISP zo ook Gmail en hotmail/outlook en co duidelijk geen goede keuze's zijn.

Zie ook hier:
https://community.ziggo.nl/e-mail-103/is-de-spamfilter-van-ziggo-is-lek-35109#post350093

Wel bij protonmail.ch en mailbox.org of eigen domein met mail enz

Overigens met versleuteld mailverkeer blijft het ook oppassen een mail die door juiste versleuteling in orde lijkt hoeft niet veilig te zijn! Sommige trappen daar dan juist extra hard in door domweg te klikken.

de O en 0, I en l lijken in veel tekensets op elkaar dus 0verheid.nl met de NUL is geen Overheid.nl met een O maar heeft/kan hebben wel een veilige goedgekeurde sleutel / signed!
Reputatie 1
Badge
Bitdefender aanschaffen helpt ook. Die heeft er mogelijkheden voor.
Reputatie 4
Badge +1
Geweldige thread. Super dat er aandacht is voor (eigen) veiligheid en privacy.

Mail encryptie:
Jammer dat beveiligingstechnieken nog niet 'gedemocratiseerd' zijn, het blijft een beetje rocket-science.

Protonmail
@Zpiep geeft een hele goede tip. Protonmail is een webmailservice waar digitale ondertekening en versleuteling van nature aanstaat. Hoef je niets voor te doen...
Sleutels zijn 'salted' dus ook de systeembeheerder kan niet bij je data.
Maar versleuteling werkt natuurlijk alleen als je je mail stuurt aan iemand op dezelfde dienst, OF die zelf ook GPG (aka GNUPG) gebruikt.
In het algemeen is het zo, dat als twee personen elk een Comodo mailcertificaat, of GPG integratie in hun mail hebben.. dan hoeven ze elkaar alleen maar een mailtje heen en weer te sturen, de mailtjes tussen beiden is vanaf dat moment versleuteld.

Helaas werkt dat niet tussen s/mime (Comodo) en GPG. Verschillende methoden.

PEP
Pretty Easy Privacy is een initiatief die beoogt het allemaal te versimpelen. Zoek het eens op in Wikipedia, of ga naar de site zelf. PEP (of P≡P) gebruikt GNUPG (de openbare versie van PGP (Pretty Good Privacy) als encryptie methode.
PEP heeft een plugin voor outlook en android. De ontwikkeling loopt verder niet zo vlot als gehoopt, ik denk dat het aan investeerders ontbreekt. Heeft enorme potentie, dat wel.

Enigmail
Enigmail is een plugin voor thunderbird. Ook op basis van GNUPG. Supergoed, en redelijk eenvoudig te installeren.

OpenPGP
Voor Apple gebruikers (zoals ik) biedt OpenGPG een prima methode, en levert een plugin voor Apple's mail app.
En.. ik gebruik gmail. Alle mail die ik opstel wordt versleuteld opgeslagen op de gmail server, dus het is niet zo'n gatenkaas als wordt verondersteld.

Boxcryptor
Nu we het toch over google hebben.. ik gebruik ook google drive. Alle gevoelige data in de cloud versleutel ik offline dmv Boxcryptor. Ook daar weer GNUPG, Boxcryptor's gratis versie staat je toe om 1 cloud drive te encrypten. Goeie shit. Ondersteunt google drive, iCloud en dropbox. Integreert in je filemanager/finder.

Synology
Als je een Synology NAS drive hebt kun je het ook anders aanpakken. Die gebruik je dan als Home-cloud (onversleuteld), en als je dat dan wilt repliceren naar je google drive, dan kan de synology dat voor je versleutelen. Ook handig.

Encrypted chat:
De meeste social media's willen je de fuzzies geven door te blijven hameren dat hun chat beveiligd is. Hm. Ja vast, het transport is via TLS (een https variant), maar verder geloof ik er geen ruk van.
Daarom ben ik gecharmeerd van WIRE. Ook hier weer GNUPG, met dezelfde filosofie als PEP. Ook als je via Wire een spraakverbinding opzet is dat encrypted.

Let's Encrypt
Beetje off topic..Mocht je webbeheerder zijn voor je vereniging, hobby etc. Let's encrypt is een initiatief om alle websites zonder certificaatkosten op https te krijgen. Je webhoster moet dit wel ondersteunen, meestal verdienen ze aan betaalde certificaten. Ik ken wel een paar hosters die het ondersteunen, laat me weten als je erom zit te springen.

Rekening houden met:
Als je je mail beveiligt door instellingen op je PC, dan kun je je mail alleen maar lezen vanaf je PC. Je eigen mail conversaties lezen vanaf je smartphone etc of een tweede pc, kan alleen maar als je die op dezelfde manier optuigt.

iPhones blijven hier behoorlijk achter. Een Comodo certificaat installeren is een uurtje vloeken. Gnupg ondersteuning in apps is ver onder de maat. meh.
Een ander nadeel van een Comodo "s/mime" certificaat is dat je het elk jaar moet vernieuwen.
GNUPG tools zijn meestal gratis te verkrijgen, kijk op openpgp.org. Je mag zelf bepalen hoe lang je een GPG certificaat blijft gebruiken.


Documenteer !!!
(langzaam lezen, het is van wezenlijk belang dat je dit tussen je oren hebt)
Documenteer je sleutels en passphrases off-site. Als je PC uitfikt en je kunt je eigen sleutels niet meer achterhalen ben je je encrypted data kwijt. Gewoon. Kwijt. Sayonara. Toedels.

Maatschappij
Encryptie is wat mij betreft een grondrecht, en zou bij default zonder nadenken aan moeten staan.
De media betrekt stelselmatig encryptie met misdaad. (Wat de krant aangaat is het hok te klein als blijkt dat daders gebruik hebben gemaakt van crypto blackberries).
Stemmingmakers zijn tegen encryptie 'omdat pedofilie' (maar ze zijn niet tegen https.. hoe vreemd..). Alle militaire, diplomatieke en financiële communicatie is versleuteld. Zijn dat dan ook boeven?
Ik vind dat de omgekeerde wereld. Ik heb ook een slot op mijn voordeur, en zal welke (overheids instantie) dan ook niet impliciet toegang willen verlenen tot alles wat me dierbaar is.
En voor diegene die zegt "ik heb niets te verbergen": Kan zijn. Maar je weet nu niet wat je morgen wel wilt verbergen, toch?
Dus die.
Reputatie 4
Ikzelf zie niet echt een diepere toegevoegde waarde in encryptie. Natuurlijk biedt dit garanties dat je mail niet onderweg gelezen kan worden maarruh... hoe groot is dat risico precies? Waarschijnlijk minder dan je denkt.

Mailservers kunnen onderling ook hun data encrypted versturen, zonder speciale aanpassingen. Logisch want als jij naar een beveiligde website gaat (https) dan heb je daar in principe ook geen speciale aanpassingen voor nodig. Als ik een mail van mijn hotmail adres naar een Ziggo adres stuur dat gaat dat in principle naar de Microsoft mailserver, die zal aan de hand van het ziggo.nl domein de mailserver van Ziggo opzoeken en de mail daar droppen. Natuurlijk gaat dat dataverkeer via meerdere routers en hubs, maar zoals al gezegd: ook tussen mailservers onderling wordt al heel erg vaak encryptie toegepast.

Waardoor voor mij de toegevoegde waarde een beetje vervalt.

Ikzelf ben niet zo'n fan van het gebruik van certificaten voor encryptie (temeer omdat je afhankelijk bent van 3en) en zoek mijn heil liever binnen GnuPG & Gpg4win. Dankzij programma's als Kleopatra is het beheer van je sleutels vrij eenvoudig en dankzij de GpgOl toepassing kan je dit zelfs heel eenvoudig in een programma als Outlook gebruiken.

Het voordeel wat dit biedt is dat je niet met certificaten hoeft te zooien maar je gewoon je publieke sleutel aan moet bieden. Hiermee kunnen anderen jou encrypted materiaal sturen. Naar mijn mening maakt dit e.e.a. een stuk toegankelijker.

Reageer