Uw e-mailaccount instellen voor gebruik van end-to-end-versleuteling

Thunderbird Thunderbird Laatst bijgewerkt: 28% gebruikers vonden dit behulpzaam

Dit artikel geeft richtlijnen voor het configureren van de end-to-end-versleutelingsinstellingen in de accountinstellingen van Thunderbird. Lees voor een meer algemene introductie ook het artikel Kennismaking met end-to-end-versleuteling in Thunderbird.

Om end-to-end-versleuteling (end-to-end encryption, oftewel e2ee) met e-mail te gebruiken, moet u goede cryptografische sleutels voor uzelf hebben en deze configureren in de accountinstellingen van Thunderbird. Door deze configuratie uit te voeren, bevestigt u dat u deze functionaliteit wilt gebruiken.

De stappen om uw configuratie te voltooien hangen af van de e2ee-technologie die u wilt gebruiken. U kunt ervoor kiezen om er slechts één te configureren, of beide technologieën. De configuratie is apart per account en identiteit, aangezien deze rechtstreeks is gerelateerd aan een e-mailadres.

Uw eigen OpenPGP-configuratie

Als u versleutelde berichten wilt uitwisselen met contacten die OpenPGP al hebben ingesteld, dan hebt u een persoonlijke OpenPGP-sleutel voor uzelf nodig. Thunderbird definieert dit als een sleutelpaar, bestaande uit geheime en publieke sleutels, samen met een label dat uw eigen e-mailadres bevat.

Als u nog nooit een OpenPGP-sleutel hebt aangemaakt in Thunderbird, maar wel eens eerder andere OpenPGP-software hebt gebruikt, beschikt u wellicht al over een geheime sleutel. Gebruik een back-up-/exportfunctie van uw andere software om de geheime sleutel als bestand op te slaan en, als dat werkte, probeer vervolgens dit bestand in Thunderbird te importeren.

Noot: Thunderbird verwijdert de beveiliging van geheime sleutels als u ze in Thunderbird importeert. Om ervoor te zorgen dat uw geheime sleutels nog steeds veilig op uw computer worden opgeslagen, kunt u het beste een Hoofdwachtwoord in Thunderbird instellen, dat dan automatisch ook wordt gebruikt om uw geheime OpenPGP-sleutels te beschermen.

Als u hiervoor Thunderbird 68 (of oudere versies) met de Enigmail-add-on hebt gebruikt, hebt u mogelijk al geheime sleutels, omdat diverse versies van Enigmail automatisch geheime sleutels aanmaakten zonder dit aan u te vragen. Deze kunnen nog steeds op uw computer zijn opgeslagen. Als u deze opnieuw wilt gebruiken in de nieuwste Thunderbird-versie, kunt u de GnuPG-software proberen te gebruiken om ze op te halen. (Lees de desbetreffende passage in het document OpenPGP in Thunderbird – HOWTO en FAQ.)

Als u nooit andere software hebt gebruikt om OpenPGP-sleutels aan te maken, of als u deze niet wilt hergebruiken, dan kunt u met Thunderbird een dergelijke sleutel voor uzelf maken in de Accountinstellingen, in het tabblad End-to-end-versleuteling.

Klik op de knop Een sleutel toevoegen… en selecteer vervolgens Importeren of Aanmaken, afhankelijk van uw behoefte.

Als u een sleutel hebt geïmporteerd, zou Thunderbird moeten aanbieden om deze te gebruiken als de persoonlijke sleutel voor die account of identiteit, als deze bij het importeren aan de volgende vereisten voldoet:

  • de sleutel is niet verlopen
  • de sleutel is niet ingetrokken
  • de sleutel is geldig voor zowel digitaal ondertekenen als versleuteling
  • de sleutel bevat een gebruikers-ID met het e-mailadres van de account of identiteit die u configureert in Accountinstellingen

Na selectie hebt u uw eigen instelling voor e-mailbeveiliging met OpenPGP voltooid.

Uw eigen S/MIME-configuratie

Als u versleutelde berichten wilt uitwisselen met contacten die S/MIME al hebben ingesteld, dan hebt u een persoonlijk e-mailcertificaat voor uzelf nodig.

De versleutelingstechnologie S/MIME is afhankelijk van de service van vertrouwde externe partijen, zogenaamde Certificaatautoriteiten (CA), waar u een persoonlijk certificaat voor uzelf moet verkrijgen, dat u vervolgens in Thunderbird installeert en configureert.

Meestal is het niet praktisch om zelf een certificaat aan te maken, omdat uw contactpersonen meestal geen zelf ondertekende certificaten zullen accepteren.

De voorbereidende stappen voor het verkrijgen van een persoonlijk certificaat van een CA zijn normaliter:

  1. u maakt onbewerkte cryptografische sleutels aan, een paar van een geheime en een publieke sleutel
  2. u stuurt uw publieke sleutel naar een CA die door Thunderbird wordt ondersteund
  3. de CA ondertekent uw publieke sleutel in hun systemen en voegt er wat gegevens aan toe om uw certificaat aan te maken
  4. de CA stuurt u het certificaat terug
  5. u combineert het ontvangen certificaat met de geheime sleutel die u eerder aanmaakte, dit verandert het certificaat in uw persoonlijke certificaat
  6. u importeert uw persoonlijke certificaat met de Certificaatbeheerder van Thunderbird
  7. u opent de Thunderbird-accountinstellingen, tabblad End-to-end-versleuteling en selecteert het certificaat dat u met die e-mailaccount wilt gebruiken (alleen persoonlijke certificaten die door Thunderbird als geldig worden beschouwd worden als keuze aangeboden). Selecteer het certificaat voor zowel versleuteling als voor digitaal ondertekenen.

Recente versies van Thunderbird kunnen u niet helpen bij het aanmaken van uw onbewerkte sleutelpaar voor S/MIME. U dient hiervoor externe software te gebruiken. Sommige CA’s bieden u het gemak om automatisch een sleutelpaar voor u aan te maken. Dit is niet ideaal, omdat de geheime sleutel die wordt gebruikt voor uw persoonlijke certificaat mogelijk op de computers van de CA wordt aangemaakt. Het risico bestaat dat iemand een exemplaar van de geheime sleutel bemachtigt en behoudt, eat deze persoon in staat zou stellen om versleutelde e-mailberichten die naar u zijn verzonden te ontsleutelen.

Uw eigen instelling testen

Als u uw eigen instelling hebt voltooid, dient u deze te testen. Probeer een versleuteld en digitaal ondertekend e-mailbericht naar uzelf te versturen. Stel om dat te doen een nieuw bericht op. Als u meerdere accounts of identititen gebruikt, zorg er dan voor dat het ‘Van’-adres bovenaan het opstelvenster een identiteit toont waarvoor u de instelling van end-to-end-versleuteling al hebt voltooid.

Voer vervolgens hetzelfde e-mailadres in in het ‘Aan’-veld. Voer ook een testonderwerp in en testinhoud van het bericht. Schakel vervolgens versleuteling in. (In Thunderbird versie 102 kan dit eenvoudig worden gedaan met de werkbalkknop Versleutelen. Klik in eerdere versies op de pijl naast de werkbalkknop Beveiliging en selecteer Versleuteling vereisen.) Verzend vervolgens het bericht. Ga vervolgens naar uw Postvak IN, haal nieuwe berichten op en u zou het bericht dat u zojuist hebt verzonden moeten ontvangen. Er zou vermeld moeten worden dat het bericht is versleuteld en er zou verwezen moeten worden naar de toepasselijke S/MIME- of OpenPGP-labels in het koptekstgebied, die kunnen worden aangeklikt voor detailinformatie.

Uw eigen publieke sleutel of certificaat distribueren

Als u wilt dat andere versleutelde e-mailberichten naar u kunnen sturen, kan het nuttig zijn om niet te wachten tot ze u vragen hen uw publieke sleutel te sturen.

U kunt besluiten om proactief te zijn en ervoor te zorgen dat anderen uw publieke sleutel of certificaat kunnen verkrijgen als ze besluiten u een versleuteld bericht te sturen. Een eenvoudige manier om dat te doen is door ze een digitaal ondertekend bericht te sturen.

Als u een digitaal ondertekend e-mailbericht verzendt met de OpenPGP-technologie, neemt Thunderbird normaliter een exemplaar van uw publieke sleutel op als een kleine bijlage, die automatisch wordt toegevoegd, omdat de publieke sleutel nodig is om te verifiëren dat een digitale handtekening technisch geldig is.

Als u een digitaal ondertekend e-mailbericht verzendt met de S/MIME-technologie, is uw certificaat altijd opgenomen in het bericht.

U kunt besluiten te verzenden e-mailberichten altijd digitaal te ondertekenen; u kunt de instelling hiervoor vinden in Accountinstellingen. (Wees u ervan bewust dat u, als u een e-mailbericht digitaal ondertekent, u waarschijnlijk niet meer geloofwaardig kunt ontkennen dat u de afzender was van een bericht dat u hebt verzonden.)

Een andere manier om een publieke OpenPGP-sleutel te distribueren is door gebruik te maken van een sleutelserver. De sleutelserver die beschikbaar is op https://keys.openpgp.org/ (beheerd door de ontwikkelaarsgemeenschap van OpenPGP) is een goede keuze voor het publiceren van uw publieke sleutel. Thunderbird-versies 78, 91 en 102 kunnen een zoekopdracht op deze sleutelserver uitvoeren als ze online zoeken naar ontbrekende publieke sleutels.

Om uw sleutel te publiceren, moet u uw publieke sleutel exporteren naar een bestand, door bijvoorbeeld het menu naast uw geconfigureerde persoonlijke sleutel in de accountinstellingen van Thunderbird te gebruiken, of door de OpenPGP-sleutelbeheerder van Thunderbird te gebruiken. Wees voorzichtig en gebruik de juiste opdracht. Als u een exemplaar van uw sleutel wilt verkrijgen die u veilig met anderen kunt delen, gebruik dan altijd een opdracht die het heeft over het gebruik van een publieke sleutel. Deel nooit uw persoonlijke, geheime sleutel!

Als u eenmaal een bestand hebt dat uw publieke sleutel bevat, kunt u uw sleutel ook distribueren met een ander mechanisme waarmee u bestanden kunt delen, zoals het hosten van het bestand op uw eigen website.

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info