thunderbird/ gmail encryption

[kfboerne]

os = xubuntu 12.04

Ik wil  gmail emails encrypted versturen en ontvangen en ben daarvoor aan het worstelen geweest met de addon Enigmail. Zal allemaal prachtig werken ALS het werkt, maar ik vind het te complex. Na alle instructies gevolgd te hebben op een site om de zaak aan de gang te krijgen (en enkele uren verder te zijn) ........... kreeg ik foutmeldingen en ben het nu eigenlijk zat om nog verder te gaan werken met Enigmail. Tikkie koppijn inmiddels...

Mijn vraag is of er een SIMPELE manier is om via Thunderbird (gmail account) encrypted emails te versturen en te ontvangen?

Thx!

[Gamer]

Ik begrijp hem nog niet helemaal.
Je wil 1. je berichten versleuteld sturen van verzender naar ontvanger.
of 2. een versleutelde verbinden tussen jou computer en de gmail server

Geval 1. kijk daarvoor even in Thunderbird. Klik op het betreffende account. Dan view setting for this account.
En dan security.
Ik maak er zelf geen gebruik van. Maar ik vermoet dat je de ontvanger ook een sleutel moet geven om het weer te ontcijveren.

Geval 2. Even via de website inloggen bij gmail. En daar instellen dat je de verbinding wild beveiligen. En dan de instellingen overnemen in Tunderbrid.

[Frederik]

os = xubuntu 12.04
Mijn vraag is of er een SIMPELE manier is om via Thunderbird (gmail account) encrypted emails te versturen en te ontvangen?

Nee, er bestaat geen simpele manier om versleutelde berichten te versturen en ja, het is inderdaad ingewikkeld. Je moet met een code (sleutel) het bericht versleutelen en op slot doen en de ontvanger heeft weer een sleutel nodig om het bericht te kunnen openen en te kunnen lezen.

[Gamer]

Heb hier de officiële uitleg in het nederlands. Of had je deze al bekeken?
https://support.mozilla.org/nl/kb/berichten-digitaal-ondertekenen-en-versleutelen

[testcees]

Mijn vraag is of er een SIMPELE manier is om via Thunderbird (gmail account) encrypted emails te versturen en te ontvangen?

Een andere manier is persoonlijk certificaten gebruiken. Of dat simpeler is mag ieder voor zich bepalen, het heeft een “commercieel tintje”.

Werkt zonder add-ons. Verzender en ontvanger(s) moeten een certificaat hebben of aanschaffen: http://kb.mozillazine.org/Getting_an_SMIME_certificate (de lijst is niet compleet of niet actueel, zoek zelf je favoriete certificatenboer).

Het certificaat installeren: Thunderbird → Bewerken → Voorkeuren → Geavanceerd → Certificaten → Certificaten bekijken → Importeren

En gebruiken: Thunderbird → Bewerken → Accountinstellingen → Beveiliging

Nu kan Thunderbird een ondertekend e-mail bericht versturen. Als de ander ook een persoonlijk certificaat heeft kan Thunderbird (of ander e-mailprogramma) de ondertekening gebruiken om versleutelde bericht te sturen.

Let op: een certificaat is beperkt geldig (een jaar of langer maar hoe langer hoe duurder, een “free trail” is soms nog korter geldig).

Het gebruik van een zelf ondertekend certificaat is mogelijk maar maakt het weer lastiger en minder bruikbaar en niet aanbevolen.

Net als bij pgp is webmail niet te gebruiken (de webserver van Google kan de mail niet lezen en dus niet leesbaar tonen).

[kfboerne]

Allen bedankt voor de reacties. Ik kan hiermee voorlopig uit de voeten...

[valk]

Ik ben recentelijk overgestapt naar mailbox.org, een duitse mail provider. Zij bieden ook secure mail aan en geven tips over het instellen, misschien heb je er wat aan?

https://mailbox.org/en/help/

[kfboerne]

Ik ben toch aan de slag gegaan met Enigmail en heb een vraag omdat eea mij niet geheel duidelijk is. Misschien dat iemand mij wat duidelijkheid kan verschaffen.

Het gaat hierom. Ik gebruik in Gmail het IMAP-protocol (emails met bijlagen blijven op de Gmail servers staan). Wanneer ik Enigmail gebruik om versleutelde berichten te versturen en te ontvangen, klopt het dan dat op het moment dat ik een ontvangen email met mijn private key ontsleutel deze ontsleutelde email met bijlagen dan automatisch ook op de Gmail servers komt te staan? Ik wil dit graag zeker weten omdat in het geval dit zo is, de hele versleuteling in z'n huidige (IMAP) vorm natuurlijk zinloos is. Zo ja, is er dan een (simpele ) manier om  via IMAP ontvangen versleutelde email(s) met bijlagen op het moment van ontsleuteling LOKAAL op mijn pc te plaatsen, zodat deze nimmer op de Gmail servers komen te staan. Enkel de versleutelde emails met bijlagen staan dan op de servers.

Ik weet dat dit bij het POP-protocol niet speelt, maar het is voor mij belangrijk om makkelijk overal bij alle emails te kunnen. Ook die van oudere datum. Vandaar dat ik het IMAP-protocol wens te gebruiken ipv POP..

 

[vanadium]

Ik ben geen beveiligingsspecialist, maar het lijkt me dat de mails enkel gedecrypteerd worden op het moment dat je ze opent om te lezen. De op de server - en ook lokaal opgeslagen - kopie blijft versleuteld. m.a.w., je gedecrypteerde versie bestaat enkel in het RAM geheugen van je PC.

Je hebt gelijk: mocht het anders zijn, dan was gans het opzet zinloos.

[kfboerne]

Vanadium bedankt voor je meedenken. Ik hoop dat je gelijk hebt ! Het is niet de makkelijkste materie en aangezien ook ik geen expert ben op het gebied van beveiliging, maar louter m'n gezonde verstand gebruik, hoop ik dat er een echte beveiligingsexpert (of andere slimmerik die goed thuis is in deze materie ) deze thread ook leest en definitief uitsluitsel kan geven of je gelijk hebt of niet? Bij voorbaat dank zal ik maar zeggen...

Stuit op nog een ander issue terwijl ik een beetje aan het testen ben met het verzenden van een test-enigmail en dat is de melding 'Error Bad Passphrase'. Heb onderstaande gevonden maar snap er weinig van :
http://blog.ovalerio.net/archives/448
Ik heb via synaptic 'pinentry-gtk2' en 'pinentry-qt4' geinstalleerd en inmiddels ook weer verwijderd, want ik blijf dezelfde foutmelding krijgen. Dus wie de oplossing hier voor weet? Ik hoor het graag...

[Gamer]

Misschien een verkeerde gedachte. Maar heb je het al eens geprobeerd met een test bericht. Om deze via je mail programma encrypted te versturen. Dan inloggen via webmail en kijken of je dan het bericht nog kan lezen?

[ubuntunoob]

Ik weet alles van enigmail Je emails op webmail kan je niet lezen zonder de wachtwoord hoor. En het is waar wat Gamer zegt, als je even kijkt naar je webmail naar je test mails die versleuteld zijn kun je gewoon niet lezen. Je ziet dan gewoon allemaal tekens in rijen onder elkaar, want dat is de tekst die versleuteld is. Als je wel iets kunt lezen dan heb je iets fout gedaan.

Die  error: Error Bad Passphrase lijkt over je wachtwoord te gaan, heb je wel een wachtwoord ingesteld? Weet je je wachtwoord nog? Je moet telkens jouw eigen wachtwoord gebruiken om een versleutelde e-mail te lezen.
Jou publieke sleutel dient ook gedeeld te worden, zodat afzenders de mail kunnen versleutelen met jouw eigen wachtwoord die de afzender niet weet, want die staat namelijk in de publieke sleutel versleuteld.

Ik weet dat het in het begin niet zo makkelijk is te begrijpen, maar eens je het kent is het handig! Alleen 1 groot nadeel, niemand versleuteld zijn emails.

[kfboerne]

@Gamer : bedankt voor je tip!
@ ubuntunoob : jij ook bedankt voor je input! Het maakt me weer een en ander duidelijker, want het is inderdaad even doorbijten met deze materie .
Ik wist bv niet dat in de public key mijn wachtwoord versleuteld is opgeslagen. Ik zat steeds maar aan enkel een private en een public key te denken, maar het wachtwoord is er ook nog. Ik ga de hele handel nog eens compleet opnieuw instellen. ik heb een wachtwoord maar blijkbaar gaat daar iets niet goed mee.

Je slaat de spijker op z'n kop : niemand versleuteld z'n emails. In elk geval heel weinig mensen. Gelet op alle "NSA-achtige" digitale dreigingen zou het prettig zijn wanneer er 'iets' wordt uitgevonden. waardoor de hele versleuteling volautomatisch zou gebeuren. Begrijp me goed, dat 'iets' lijkt me zeer moeilijk om te realiseren en ik heb veel respect voor degenen die dat voor elkaar zouden weten te krijgen. Mij gaat het in elk geval niet lukkken . Alleen in de huidige vorm is het veel en veel te complex voor de doorsnee computergebruiker, waardoor dus vrijwel niemand z'n emails versleutelt.

Ik ga eens kijken of ik de zaak aan de praat krijg. To be continued...

=========================

...de zaak helemaal opnieuw ingesteld en nieuwe keys aangemaakt en nieuw wachwoord, maar het wil maar niet lukken. Ten eerste lukt het nu ook niet meer om een 'Revocation Certificate' te maken. Ik krijg de volgende melding : 'The revocation certificate could not be created.' Dit ging de eerste keer nog wel goed.
Ten tweede blijft ik de melding 'Error Bad passphrase' maar krijgen. Heb wat zitten googelen en kwam dit tegen :
'...If for any reason an incorrect passphrase is entered, or if the
passphrase cannot be entered because, e.g., the user's gpg system has
been set to 'use-agent' and use-agent is not running or enabled, the
process will fail..."

Zou het iets met 'use-agent' te maken hebben (wat dat dan ook moge zijn)? Moet er nog iets aan software geinstalleerd worden?

Ubuntunoob, ik hoop dat je het weet ;-)

Zoals ik al had aangegeven is m'n os  Xubuntu 12.04.

Alvast bedankt!
 
================================

Na alweer een tijdje worstelen heb ik de oplossing voor de problemen gevonden :

onder mijn os (Xubuntu 12.04) moest ik via Synaptic de volgende software installeren : GNUPG-agent (en vergeet daarna niet je pc te rebooten!)

Nu werkt alles voor zover ik kan bezien naar behoren. Geen 'Error bad passphrase' meldingen meer en ook is het gelukt om een 'revocation certificate' aan te maken.

Wat ik alleen nog graag wil weten is waar die GNUPG-agent software nou precies voor dient?  Het was wel prettig geweest wanneer men ergens had aangegeven dat deze ook geinstalleerd moet worden...

[ubuntunoob]

Die extra software wordt automatisch na het accepteren geïnstalleerd wanneer je de plugin enigmail in thunderbird van windows plaatst. In xubuntu zul je dat handmatig moeten doen. Die software zorgt gewoon voor de volledige functionaliteit van de addon. Enigmail zorgt voor een integratie van gnp in thunderbird.

Waarschijnlijk kan je zelfs al voldoende emails versleutelen als je alleen gnp hebt geinstalleerd, maar dan moet je vrijwel alles handmatig doen en heel veel omwege maken. Enigmail lost dat op.

[kfboerne]

Eea omtrent het versturen van bijlagen is me niet helemaal  duidelijk. Wanneer ik een bijlage (of meerdere) toevoeg aan een email wordt deze dan automatisch mee versleuteld door Enigmail. Ik las in de manual het volgende :
"When sending an encrypted or signed email message that has attachments,
you will be given the choice how to encrypt/sign the attachments"
Echter wanneer ik een bijlage toevoeg dan verschijnt er geen venster met keuzemogelijkheden. Doe ik iets fout?

[kfboerne]

Anybody?

[McVries]

Ik krijg die keuze ook niet, maar ik kan wel melden dat mijn attachments encrpted zijn.

Als je wilt wil ik wel wat testen met je doen.

Dan wisselen we email adressen even uit via PB.

[kfboerne]

@McVries : dank je, maar ik heb ontdekt dat je via adele-en@gnupp.de ook kunt testen.

Ik heb me  verdiept in StartMail (https://www.startmail.com/) en dat lijkt op zich een goed alternatief voor Gmail, echter ik kwam deze thread (https://forum.startmail.com/forum/main-category/q-a/1033-does-it-use-client-side-encryption) tegen waarin enkele zeer cruciale vragen/opmerkingen worden gemaakt voor wat betreft de locatie waar de encryptie plaatsvindt : server-side (op de servers van StartMail) of client-side(op de lokale pc via een mailclient zoals Thunderbird). Ik heb even de belangrijkste stukken eruit gevist :

Vraag : "February 27th, 2014, 05:55 PM
What I couldn't find in the FAQ is whether StartMail uses client-side
encryption, or whether the PGP/Q'n'A-based encryption is performed
server-side? If it's the latter, then the whole system is potentially flawed already.
Well, it's better than Gmal/Hotmail/etc. already, but not for strict
privacy ensuring and secure mail. Also, a PGP key pair has to be
considered compromised once it's been made accessible to third parties.

Reactie van een ander forumlid : "December 1st, 2014, 01:49 AM
guyster, I share your concern, and I am surprised your question has gone
unanswered for this long. This question is central to one of the main
reasons for Startmail's existence!. My feeling is that the webmail interface should be avoided for private
communications, and only a local email client with PGP capability is
really trustworthy."

Antwoord StartMail : "The short answer is that StartMail encryption is done server-side...."

Opmerkelijk is dat StartMail aanvankelijk niet reageerde op de thread die al in februari 2014 werd geplaatst, maar pas in december 2014, na de opmerking van het andere forum-lid. Voelde StartMail nattigheid?? Geen lekkere reclame lijkt me voor je product, wanneer het klopt natuurlijk.

Ik ben geen expert op dit gebied en wilde even checken of mijn gedachtengang  klopt : Wat ik begrijp is dat de feitelijke encryptie plaatsvindt op de servers van StartMail en dat dit volgens de forumleden veiliger is dan Gmail, Hotmail etc. maar geen waterdichte veiligheid biedt die uiteraard wel vereist is in geval van encryptie. Dat is enkel mogelijk wanneer de encryptie plaatvindt op de lokale pc van degene die wil encrypten en dat moet dan niet via een browser (webmail) gebeuren, maar via lokaal geinstalleerde software (bv GnuPG/Thunderbird/Enigmail). Klopt dit een beetje of overzie ik iets of begrijp ik iets verkeerd? Vind het al moeilijk genoeg namelijk