Veilig emailen

EncryptieDe wereld, en vooral het digitale deel daarvan, zit barstens vol met nieuwsgierige ogen. Alles wat wij doen op internet wordt nauwlettend gevolgd. Big data is big business en dat begint bij onze metadata: de sporen die websurfen, sociale media en emailen achterlaten. Gecombineerd met wat er nog meer van ons te volgen valt, zoals camerabeelden, mobiele communicatie, foto’s, betalingen enz., levert dat van iedereen een behoorlijk gedetailleerd profiel op. En dat is goud waard voor bedrijven en overheden.

Email is daarin maar een onderdeel. Maar wel een belangrijk onderdeel, want het is met grote zekerheid te herleiden naar een concreet persoon, met een naam en een adres, en vaak zelfs een gezicht. Wij dus. Het loont zeker om juist je email af te schermen voor nieuwsgierigen. Maar hoe doe je dat? Encryptie – het versleutelen van het bericht waardoor alleen zender en ontvanger het kunnen lezen – is een belangrijk hulpmiddel.

Encryptie is de beste methode om email te beveiligen, afgezien van je gezonde verstand gebruiken. Op een Linux systeem kunnen alle bekende emailprogramma’s met encryptie overweg. Wel moet je eerst zelf een encryptiesleutel – ‘pgp key’ of ‘gpg key’ genaamd – aanmaken en daarna nog wat configuratiewerk doen.

Wat de risico’s zijn en hoe je die kunt afdichten, hoe encryptie moet worden opgezet en hoe het emailprogramma daarbij aanhaakt, dat heb ik allemaal uitvoerig op een rij gezet. In het Nederlands, want in het Engels is hierover al meer dan genoeg te vinden op internet. Even ‘startpagen‘ op ‘howto setup email encryption on linux’.

Lees hier mijn hele verhaal.

Kort samengevat komt het op het volgende neer.

  • Encryptie is een zaak van PGP (‘Pretty Good Privacy’) een protocol dat vandaag in de vorm van OpenPGP wordt toegepast.
  • De standaardtoepassing om dit onder Linux op te zetten en te beheren is GnuPG (‘GNU Privacy Guard’ of kortweg ‘gpg’). Werkt helemaal vanaf de commandline en kan alles wat nodig is. (Het zij Microsoft-gevangenen tot troost: dit is keurig geport naar Windows als Gpg4win.)
  • Om het werken nog wat makkelijk te maken zijn er ook grafische toepassingen gebaseerd op GnuPG, bv. Seahorse voor GNOME desktops, KGpg voor KDE desktops en GPA voor algemeen gebruik. Daarnaast kan in een KDE-omgeving ook de certificaatbeheerder Kleopatra nuttig zijn ter aanvulling.
  • Als PGP/GPG eenmaal is opgezet laat het zich eenvoudig integreren in de bekende emailtoepassingen, zoals Evolution, KMail, Thunderbird of Claws Mail, en zelfs in de aloude terminal-applicatie Mutt.
  • Wat betreft webmail: alle ‘gratis’ diensten van het soort Gmail, Hotmail, Yahoo! Mail of Outlook.com leven van het dataminen en dus zijn je berichten en metadata niet veilig voor hen. Je geeft ze geen geld, maar je betaalt met je data. Een uitzondering is het Zwitserse ProtonMail dat alles standaard versleutelt, de PGP key bij de gebruikers laat en van hun activiteiten ook geen logs bijhoudt. Handig als je toch veilig mobiel wilt kunnen emailen.
  • Een alternatief zou kunnen zijn om je eigen mailserver te draaien vanaf je eigen VPS. Daar kun je ook veilig webmail voor opzetten, bv. met de encryptiemogelijkheden van de  SquirrelMail webinterface. Klinkt moeilijker dan het is.
  • Wil je het echt veilig, dan werk je uitsluitend vanaf een Tails Linux-installatie op een USB-stick. Zo ga je het internet alleen nog op via een Tor-netwerk, wordt er nog een hele rij extra beveiligingen toegepast en email je volledig versleuteld met Claws Mail. Ook de documenten of berichten die je op die USB-stick bewaart, kun je veilig versleutelen. Warm aanbevolen door Edward Snowden.

Een uitvoerige handleiding voor het opzetten van PGP en het configureren van je email is te vinden in de Ubuntu-documentatie. Die is overigens niet meer helemaal up-to-date wat betreft die emailtoepassingen, dus let daar even goed op.

En tot slot: wil je je eigen mailserver op je eigen VPS laten draaien, eventueel met je eigen webmail, dan heb je certificaten nodig. Die kun je sinds kort gratis en betrouwbaar afhalen bij Let’s Encrypt, een open-source ‘certificate authority’ (CA).

Oh, you’ve got mail…