Pretty Good Privacy (PGP) is momenteel een van de beste methodes om tekst en bestanden te beveiligen. NUtech.nl legt uit hoe je een PGP-key aanmaakt en je zo veilig kunt communiceren.

PGP is in 1991 bedacht door de Amerikaan Phil Zimmerman. PGP combineert traditionele encryptie met asymmetrische cryptografie om berichten onleesbaar te maken.

Meer over het ontstaan van PGP lees je hier

Een PGP-key bestaat uit drie onderdelen: een publieke sleutel, een privésleutel en een wachtwoord. De publieke sleutel mag met iedereen worden gedeeld: deze wordt gebruikt om berichten of bestanden te verzenden. De privésleutel moet de eigenaar geheimhouden, want deze maakt het, in combinatie met het wachtwoord, mogelijk om berichten te ontsleutelen.

Het versleutelen van een bericht via PGP gaat op basis van publieke sleutels. Het bericht wordt als het ware speciaal versleuteld voor de ontvanger. Alleen hij of zij kan met zijn privésleutel en wachtwoord het versleutelde bericht ontsleutelen. Daarom is het belangrijk om zowel de privésleutel als het wachtwoord heel goed te bewaren.

Een PGP-key aanmaken kan op een aantal verschillende manieren. Wij behandelen er twee: via desktopsoftware voor Windows en Mac en met een browser-extensie. Laatstgenoemde biedt voor de meesten de gemakkelijkste manier om een PGP-key aan te maken en berichten te versleutelen en ontsleutelen.

PGP met browserextensie

De opensource-extensie Mailvelope is beschikbaar voor Chrome en Firefox en laat je heel simpel PGP-keys aanmaken en beheren. Daarnaast biedt Mailvelope de optie om direct vanuit de browser versleutelde e-mails te verzenden en openen.

Als de extensie is geïnstalleerd, kun je naar de opties gaan om een een PGP-key te generen. Dit gaat via Generate Key, waarbij je jouw naam, e-mail en een sterk wachtwoord in kunt voeren. Druk ook vooral even op het kopje Advanced, waar je de encryptiegrootte kunt verhogen naar 4096 bits. Hierdoor wordt de PGP-key sterker en moeilijker te kraken. Vervolgens kun je de PGP-key genereren. Dit kan met Mailvelope soms wel enkele minuten duren.

De PGP-key komt bij Display Keys te staan. Als je op de PGP-key drukt, heb je via de export-knop de mogelijkheid om de privé en publieke sleutel van jouw PGP-key op te slaan. Doe dit meteen. Dat kan via Display Key Pair, waarna je een .asc-bestand met zowel je publieke als privésleutel kunt creëren. Dit .asc-bestand kun je later gebruiken om jouw PGP-key in andere programma's te laden. Zie het als een bestandje met alle informatie om jouw PGP-key te activeren. Als je de privésleutel kwijt bent, kun je jouw PGP-key nooit meer gebruiken. Sla 'm dus goed en veilig op.

Via Import Keys kun je publieke of privésleutels importeren. Je kan zo je persoonlijke PGP-sleutels importeren, maar ook de publieke sleutel van contactpersonen importeren. Die is nodig om hen berichten te kunnen sturen.

Om een bericht te sturen, ga je naar de e-maildienst van jouw keuze. Mailvelope ondersteunt standaard onder andere Gmail, Yahoo en de e-maildiensten van Microsoft.

Het is ook mogelijk om een andere webmaildienst toe te voegen. Navigeer naar de betreffende website van de e-maildienst, druk op het icoon van Mailvelope en selecteer Add Page. Deze website wordt dan ook herkend als geldige e-maildienst waar Mailvelope scant naar versleutelde berichten en je de mogelijkheid geeft om een versleuteld bericht op te stellen.

Als je een e-mail opstelt, verschijnt er in het opstelvenster van de e-mail aan de rechterkant een icoontje. Als je hierop drukt, wordt een nieuw scherm geopend waarin je jouw bericht kunt schrijven. Als je klaar bent, kun je op twee knopjes drukken. De linkerknop met een pen als icoon zorgt ervoor dat je jouw bericht digitaal ondertekent. Hierdoor kan de afzender verifiëren dat het bericht daadwerkelijk van jou afkomstig is.

Met het slot-icoontje kun je de tekst versleutelen en één of meerdere ontvangers kiezen. Als je je eigen PGP-key aan de ontvangers toevoegt kun je ook nog je eigen versleutelde bericht openen.

Als je de ontvangers hebt gekozen, verschijnt er een lange code in het tekstvlak. Dit is het versleutelde bericht. Je drukt op de transfer-knop en het versleutelde bericht wordt naar de e-maildienst overgezet. Hier kun je het betreffende e-mailadres en onderwerp invoeren, en de e-mail versturen.

Degenen die jij als ontvanger hebt toegevoegd, kunnen het versleutelde bericht openen. Zij hebben de mogelijkheid om de code te kopiëren en in een apart programma te ontsleutelen, of via een extensie als Mailvelope het bericht direct in de browser te bekijken. Als jij een versleuteld bericht ontvangt, herkent Mailvelope het bericht en kun je middels het wachtwoord van je PGP-key het bericht ontsleutelen.

Aan de veiligheid van Mailvelope wordt door sommigen getwijfeld. Het grootste risico is het schrijven van berichten binnen Gmail. Omdat Gmail tijdens het schrijven de e-mailconcepten opslaat, staan er feitelijk verschillende kopieën van jouw onversleutelde bericht op de servers van Google. Daarom wordt er bij het opstellen van een bericht voortaan een nieuw venster geopend dat alleen door Mailvelope wordt beheerd. "De content wordt geïsoleerd van Gmail en dit concept is geverifieerd door beveiligingsonderzoekers die eerder kritisch waren op de beveiliging van Mailvelope", aldus hoofdontwikkelaar Thomas Oberndörfer tegenover NUtech.

"Hoewel Google wel graag geld wil verdienen, is er geen reden om aan te nemen dat Chrome alle data binnen de browser stiekem opslaat. Daarnaast is Chrome grotendeels opensource", zegt Oberndörfer. Ook meldt de ontwikkelaar dat je via de privacy-instellingen kunt instellen dat naast het versleutelen ook het ontsleutelen van berichten in een apart Mailvelope-venster wordt uitgevoerd. Dit betekent dat Gmail geen toegang heeft tot ontsleutelde berichten.

Ook toont Mailvelope een speciaal beveiligingstoken dat per computer wordt geconfigureerd, waarmee tabbladen van de extensie worden geïdentificieerd. Dit helpt volgens Oberndörfer bij het spotten van phishing-aanvallen, waarbij websites of programma's zich mogelijk kunnen voordoen als een Mailvelope-tabblad.

Volgens Oberndörfer blijft het echter zo dat Mailvelope niet de meest veilige manier is voor het versturen en ontvangen van PGP-berichten: "Het gaat echt om de situatie. Wat voor de één veilig is, blijkt voor de ander totaal niet veilig te zijn. We weten door de onthullingen van Snowden dat niet alleen Google massaal data verzamelt. Maar het is bewezen dat het voor overheden een stuk moeilijker wordt om massaal data te verzamelen als alle berichten versleuteld worden verstuurd."

Pgp voor Windows

Voor Windows-gebruikers is het opensource GPG4Win een goede optie om berichten buiten de browser te versleutelen. De software biedt encryptie voor zowel bestanden als tekstberichten. GPG4Win bestaat uit een reeks software, waaronder encryptietool GnuPG, Kleopatra en GPA. Met de laatste twee stukjes software kun je jouw PGP-keys en die van anderen beheren.

Het importeren van PGP-keys gaat met de import-knop, die in zowel GPA als Kleopatra te vinden is. Ook kun je met Kleopatra bestanden en tekstberichten versleutelen en ontsleutelen, maar daar is GPA een betere keuze voor.

GPA van GPG4Win laat je erg gemakkelijk versleutelde berichten ontsleutelen en vice versa. Dat komt door de ingebouwde clipboard-functie, waar je tekst in kunt kopieëren om deze vervolgens te ontgrendelen. Ook is het mogelijk om in de clipboard-functie een tekst te typen en deze vervolgens via een door jou ingeladen PGP-key te versleutelen.

Zo werken veel PGP-gebruikers: door een tekstbericht lokaal te versleutelen met dekstopsoftware, de versleutelde code in een e-mail te plakken en deze vervolgens te versturen via een e-maildienst. De ontvanger kan deze code kopiëren, in zijn desktopsoftware plakken en vervolgens lokaal ontsleutelen.

Als je bestanden wilt versleutelen, kun je de File Manager van GPA gebruiken. Hier open je een bestand en versleutel of ontsleutel je deze middens de encrypt- en decrypt-knop. Bij het versleutelen kies je de ontvanger en verzender waarna het bestand wordt versleuteld, bij het ontsleutelen open je het pgp-bestand dat voor jou is bestemd met jouw geïmporteerde privésleutel en wachtwoord.

Het bestand wordt na de encryptie omgezet in een PGP-bestand dat, net als bij een tekstbericht, alleen voor de ontvanger te openen is. Deze vorm van encryptie wordt onder andere gebruikt door klokkenluiders die gevoelige documenten lekken.

PGP voor Mac

Mac-gebruikers kunnen GPGTools gebruiken. Het opensource en gratis GPGTools is, net als GPG4Win voor Windows, een alles-in-één-programma. Als je de software installeert, krijg je een programma om je PGP-keys toe te voegen en te beheren, en bestanden en tekst te versleutelen en ontsleutelen.

Daarnaast voegt de software ook een plugin voor de mail-app van Mac toe, waardoor PGP ook te gebruiken is tijdens het opstellen en ontvangen van e-mails. Dit maakt het versturen en ontvangen van versleutelde berichten een stuk gemakkelijker, omdat je niet elke keer de PGP-versleuteling uit een e-mail in een extern programma hoeft te kopieëren.

PGP-keys importeer je middels de importeertknop in GPG Keychain. Hier kun je veranderingen bij je PGP-keys doorvoeren en de publieke sleutels van anderen toevoegen. Tijdens het installeren van GPGTools worden ook nieuwe acties aan het contextuele menu - het menu dat je bij de Mac krijgt door op de rechter muisknop of de linker muisknop en CTRL-knop te drukken - toegevoegd. Onder de tab 'Voorzieningen' vind je enkele PGP-acties, zoals het versteutelen of ontsleutelen van bestanden of het verifiëren en digitaal ondertekenen.

Een handige functie van GPGTools is de optie om tekst te selecteren en vervolgens via het contextuele menu de betreffende tekst te versleutelen of, indien het een versleutelde code is die naar jou is verstuurd, te ontsleutelen. 

Bij het opstellen van een e-mail in de Mail-app zie je door GPGTools twee icoontjes staan: één met een slotje en één met een vinkje. Laatstgenoemde voegt via jouw privésleutel een digitale handtekening aan het bericht toe. Zo weet de ontvanger dat het bericht écht van jou afkomstig is. Het sleuteltje versleutelt het bericht, waarbij je eerst een ontvanger kiest voordat de encryptie plaatsvindt. Bij het ontvangen van een versleuteld bericht zijn dezelfde twee iconen te zien, om het bericht te ontsleutelen en de afzender te verifiëren. Ook worden bijlagen automatisch via de plugin ontsleuteld.

PGP-key aanmaken met desktop-software

Het is ook mogelijk om een PGP-key aan te maken met desktop-software. Wij hebben eerst Mailvelope behandeld omdat dit voor velen een minder grote stap is dan software installeren, maar als je GPG4Win of PGPTools hebt geïnstalleerd, kun je natuurlijk ook daarmee een PGP-key aanmaken.

Een PGP-key aanmaken bij PGPTools doe je via Nieuw, waarna je de stappen doorloopt. Let er wel op dat je bij Geavanceerd de lengte op 4096 bits (de sterkste beveiliging) zet en geen vervaldatum instelt. Nu kun je de PGP-key genereren en een wachtwoord kiezen. Als de PGP-key is gegenereerd, verschijnt deze in de GPG Keychain. Exporteer jouw publieke en privékey en sla deze ergens veilig en het liefst versleuteld op.

Bij GPG4Win werkt het aanmaken van een PGP-key grotendeels hetzelfde. Start het programma Kleopatra op, navigeer naar File en vervolgens naar New Certificate. Hier kun je een PGP-key maken. Vul je naam en e-mailadres in en kies bij geavanceerd de 4096 bits-beveiliging. Hierna wordt de PGP-key gegenereerd en kies je een wachtwoord. Eenmaal gegenereerd, verschijnt de PGP-key in Kleopatra en GPA. Ook hier exporteer je de publieke en privésleutel om deze veilig te bewaren. Als je de privékey kwijtraakt, heb je geen toegang meer tot je PGP-key.

Om je PGP-key te verspreiden, kun je jouw publieke sleutel publiceren, zodat anderen jou een bericht kunnen sturen. Je publieke PGP-key kan je bijvoorbeeld op je persoonlijke website zetten, maar het is ook mogelijk om deze naar de MIT PGP-server te uploaden. Dan komt jouw publieke sleutel, samen met je ingevulde naam en e-mailadres, in een grote doorzoekbare database. Hierdoor kunnen anderen gemakkelijker jouw publieke sleutel vinden, en kun jij ook naar contactpersonen zoeken.

Lees meer over de geschiedenis en werking van PGP