OpenPGP in Thunderbird – HOWTO en FAQ

Thunderbird Thunderbird Laatst bijgewerkt: 33% gebruikers vonden dit behulpzaam

Dit artikel biedt gedetailleerde informatie voor gebruikers van Thunderbird die met de OpenPGP-standaard versleutelde en digitaal ondertekende e-mailberichten willen verzenden en ontvangen. Deze functie is algemeen bekend als end-to-end-versleuteling (e2ee), en beveiligt communicatie tegen bespionering door derden. Thunderbird 78 heeft ingebouwde ondersteuning voor twee versleutelingsstandaarden, OpenPGP en S/MIME.

Dit artikel biedt ook belangrijke informatie voor gebruikers van de voormalige add-on Enigmail als ze migreren van Thunderbird 68 naar Thunderbird 78.

Inhoudsopgave

Waar gaat end-to-end-versleuteling over, en hoe werkt het?

End-to-end-versleuteling (e2ee) beveiligt communicatie tegen bespionering door derden. Lees het artikel Kennismaking met end-to-end-versleuteling in Thunderbird, waarin we enkele basisbeginselen uitleggen.

Ondersteunt Thunderbird OpenPGP?

Ja. Thunderbird 78 heeft ingebouwde ondersteuning voor twee versleutelingsstandaarden, OpenPGP en S/MIME. OpenPGP is standaard ingeschakeld sinds versie 78.2.1.

Eerdere versies van Thunderbird (versie 68 en eerder) hadden ingebouwde ondersteuning voor S/MIME, en het was mogelijk om ondersteuning voor OpenPGP toe te voegen door gebruik te maken van de add-on Enigmail en GnuPG-software. De add-on Enigmail is niet meer beschikbaar voor Thunderbird 78, behalve om de voormalige gebruikers te ondersteunen bij de migratie naar de ingebouwde OpenPGP, of om richtlijnen te krijgen voor hoe ze hun gebruikerservaring “Junior Mode” van Enigmail terug kunnen krijgen.

Waarom is Enigmail vervangen en komt het nog terug?

De Enigmail-add-on is vervangen door ingebouwde ondersteuning voor OpenPGP in Thunderbird 78.

Deze wijziging was noodzakelijk, omdat Thunderbird verouderde add-ons, zoals Enigmail, niet meer ondersteunt vanaf Thunderbird 78. Dezelfde wijziging gebeurde in Firefox in 2017. Thunderbird is in 2020 gevolgd, omdat het Mozilla-platformcode met Firefox deelt.

Enigmail wordt niet verder ontwikkeld of gemigreerd naar andere add-ontechnologieën. Patrick Brunschwig, de schrijver van Enigmail, schreef over deze wijziging:

‘Het is altijd mijn doel geweest om ondersteuning voor OpenPGP opgenomen te krijgen in de centrale code van Thunderbird. Zelfs al markeert het het einde van een lang verhaal, ik ben na 17 jaar werken aan Enigmail heel erg blij met deze uitkomst.’

Ziet OpenPGP in Thunderbird 78 er hetzelfde uit als Enigmail en werkt het op dezelfde manier?

Nee, er zijn diverse verschillen in de gebruikersinterface en geboden functies. Thunderbird’s ingebouwde ondersteuning voor OpenPGP is geen exacte kopie van Thunderbird met Enigmail. Thunderbird wil een volledig geïntegreerde oplossing bieden en gebruikt GnuPG niet meer standaard, om licentieproblemen te voorkomen. Dit document legt de verschillen uit:
https://wiki.mozilla.org/Thunderbird:OpenPGP:Migration-From-Enigmail

Ik heb nog nooit OpenPGP met Thunderbird gebruikt: hoe stel ik OpenPGP in?

Om de OpenPGP-functionaliteit in Thunderbird te gebruiken, moet u een zogenaamd persoonlijk sleutelpaar voor uw e-mailadres instellen. U kunt dat doen in de subsectie End-to-end-versleuteling van uw accountinstellingen. Als u OpenPGP al met andere software hebt gebruikt, dan moet u een reservekopie van uw bestaande sleutel importeren. U kunt anders ook een nieuwe sleutel maken.

  • > Accountinstellingen > selecteer uw account > End-to-end-versleuteling > Sleutel toevoegen…
    • Als u al een persoonlijk OpenPGP-sleutelpaar uit andere software hebt, kies dan een bestaande PGP-sleutel importeren.
    • Als u nog geen sleutel hebt, kies dan Een nieuwe OpenPGP-sleutel maken.
  • Nadat u de sleutel hebt geïmporteerd of gemaakt, en terwijl u nog in de accountinstellingen bent, selecteer de sleutel die u actief wilt gebruiken bij uw e-mailaccount.

Merk op dat het gebruik van OpenPGP gevolgen heeft, zoals uitgelegd in de algemene inleiding. Het is belangrijk om een reservekopie van uw sleutel te maken en deze op een veilige locatie op te slaan, apart van uw reguliere computer.

Ik heb eerder Enigmail gebruikt, hoe moet ik migreren en configureren?

U kunt uw Thunderbird-instellingen bijwerken van een oudere versie (zoals 68.x) naar versie 78.x. Het wordt aanbevolen een reservekopie van uw oude Thunderbird-profiel te maken voordat u Thunderbird 78 voor het eerst gebruikt, omdat, als u eenmaal hebt bijgewerkt, uw profiel niet meer kan worden gebruikt met Thunderbird 68. Als u om wat voor reden dan ook besluit dat u Thunderbird 68 en Enigmail moet blijven gebruiken, dan kunt u met een reservekopie eenvoudig teruggaan.

Enigmail is momenteel beschikbaar in twee versies, 2.1.x en 2.2.x:

  • Enigmail 2.1.x werkt alleen met Thunderbird 68 en oudere versies, en biedt de klassieke functionaliteit.
  • Enigmail versie 2.2.x is een speciaal aangepaste versie, die alleen met Thunderbird 78 en latere versies werkt. Enigmail 2.2.x biedt niet de traditionele functionaliteit, maar bestaat om u te helpen uw sleutels en instellingen naar Thunderbird 78 te migreren.

Als u Thunderbird 78 met een bestaand profiel start, en het vorige profiel Enigmail had geïnstalleerd, dan zal Thunderbird 78 detecteren dat de eerdere versie van de add-on Enigmail, 2.1.x, niet compatibel is. Het zou automatisch op een nieuwere versie moeten controleren, zal Enigmail 2.2.x vinden en dit installeren. Vervolgens opent Enigmail automatisch een tabblad dat u begroet en uitlegt dat migratie mogelijk is, en aanbiedt deze te beginnen.

Enigmail gebruikte GnuPG om alle sleutels en vertrouwensinstellingen op te slaan en te beheren. Als u op de knop klikt om de migratie te beginnen, zal de Enigmail-migratiesoftware uw oude sleutels een voor een uit GnuPG inlezen. U dient wachtwoorden in te voeren om de export van uw sleutels uit GnuPG te bevestigen en om toe te staan dat ze ontgrendeld worden, zodat ze in de nieuwe interne sleutelopslag van Thunderbird kunnen worden geïmporteerd.

Thunderbird 78 gebruikt andere instellingen dan Enigmail. Met Enigmail was het mogelijk om OpenPGP voor een e-mailaccount in te schakelen, maar het automatisch te laten selecteren welke van uw sleutels moest worden gebruikt. Thunderbird 78 combineert deze instellingen. Om OpenPGP voor een e-mailaccount in te schakelen, is het nodig om expliciet op te geven welke persoonlijke sleutel moet worden gebruikt.

Als gevolg hiervan is het mogelijk dat migratie nog geen sleutel heeft geselecteerd, als u eerder de automatische selectie gebruikte. Na de migratie dient u handmatig de configuratie van al uw e-mailaccounts en identiteiten te controleren en zonodig handmatig de juiste sleutel te selecteren.

De Enigmail-migratie is met succes voltooid, maar ik kan OpenPGP nog steeds niet gebruiken.

Als u in Thunderbird 68 Enigmail voor een e-mailaccount had ingeschakeld en u de voorkeursinstelling ‘E-mailadres van deze identiteit gebruiken om OpenPGP-sleutel te identificeren’ had ingeschakeld, dan is OpenPGP in Thunderbird 78 mogelijk niet automatisch ingeschakeld. U dient uw accountinstellingen te gebruiken om handmatig een OpenPGP-sleutel voor elke account en identiteit die u met OpenPGP wilt gebruiken te selecteren. Helaas selecteert Enigmail-migratie deze niet automatisch voor u.

Kan ik de migratie herhalen?

Als er een probleem met de migratie optreedt, kunt u deze herhalen. De migratie kan bijvoorbeeld mislukken als u een bug in Thunderbird hebt, of als u niet alle wachtwoorden voor al uw persoonlijke sleutels meer wist en slechts een gedeeltelijke migratie hebt uitgevoerd. Om de migratie te herhalen, moet u een opdracht uit de bovenste menubalk aanroepen. Als u Windows of Linux gebruikt en de bovenste menubalk niet zichtbaar is, klik dan met uw rechtermuisknop bovenin het hoofdvenster van Thunderbird en schakel de menubalk in. Gebruik daarna het menu Extra, waarin de opdracht ‘Enigmail-instellingen migreren’ staat.

Ik heb geprobeerd een bestand met publieke sleutels te importeren, en ik krijg een foutmelding dat het bestand te groot is.

Lees het antwoord bij de volgende vraag.

Ik gebruikte voorheen OpenPGP met GnuPG, maar met andere e-mailsoftware. Hoe kan ik mijn sleutels naar Thunderbird 78 migreren?

U dient eerst de sleutels uit de andere software te exporteren en ze opnieuw te importeren in Thunderbird.

Om uw persoonlijke sleutels (ook wel privé- of geheime sleutels genoemd) te exporteren, kunt u een opdracht in de opdrachtregel gebruiken om ze naar een bestand te exporteren. Om sleutels die door GnuPG worden beheerd te exporteren, kunt u de volgende opdracht gebruiken:

gpg --export-secret-keys --armor > mijn-geheime-sleutels.asc

U kunt ze vervolgens importeren in Thunderbird. U kunt hiervoor de functies Sleutel toevoegen en Importeren in de Thunderbird-accountinstellingen gebruiken, in de sectie End-to-end-versleuteling. Of gebruik de algemene menubalk om het menu Extra te openen, waarin de OpenPGP-sleutelbeheerder te vinden is. Gebruik Bestand importeren > Geheime sleutels en selecteer het bestand dat u hierboven hebt gemaakt. U hebt waarschijnlijk maar een klein aantal persoonlijke sleutels, dus deze benadering zou moeten werken.

U kunt een vergelijkbare benadering gebruiken voor het exporteren van publieke sleutels van uw contacten en de volgende opdracht gebruiken:

gpg --export --armor > alle-publieke-sleutels.asc

Als u echter veel sleutels hebt, dan kan er momenteel vanwege een beperking in Thunderbird een probleem optreden. Op dit moment kan Thunderbird geen grote set van sleutels in een stap importeren. Een poging om een bestand groter dan 5 MB te importeren wordt afgewezen.

U hebt twee opties om deze beperking te omzeilen.

  • De eerste optie is om een grafische sleutelbeheerder voor GnuPG te gebruiken en uw sleutels naar aparte bestanden te exporteren. Als alle publieke sleutels in totaal bijvoorbeeld een omvang van 17 MB hebben, moet u vier bestanden maken en voor elk geëxporteerd bestand een kwart van de sleutels selecteren. Dit is enigszins bewerkelijk.
  • Als alternatief kunt u de Enigmail versie 2.2.x migratie-add-on gebruiken voor het importeren van publieke sleutels in Thunderbird, zelfs als u niet eerder Enigmail hebt gebruikt.

Gebruik om dit te doen Thunderbird 78 en zoek naar de add-on Enigmail. U kunt dan versie 2.2.x installeren. Na installatie kunt u handmatig de opdracht ‘Enigmail-instellingen migreren’ in de bovenste menubalk van Thunderbird benaderen, in het menu Extra. Merk op dat dit kan mislukken, afhankelijk van hoe u de GnuPG-software op uw computer hebt ingesteld, dus er is geen garantie dat deze benadering werkt.

Als GnuPG-software juist op uw computer is geïnstalleerd, zal de Enigmail-migratie-add-on het vinden en alle publieke sleutels een voor een vanuit GnuPG in Thunderbird importeren, zonder dat het last heeft van de bovenvermelde groottebeperking.

Enigmail meldt dat migratie van mijn privésleutel is mislukt.

Dit kan betekenen dat u hebt geprobeerd een sleutel te importeren die nog niet door RNP wordt ondersteund. Een andere mogelijke reden is een onvolledige instelling van GnuPG-software op uw computer, vooral als u niet bent gevraagd om een wachtwoord in te voeren om uw privésleutel te exporteren – dit zou niet van toepassing moeten zijn als u onlangs met succes Enigmail op uw computer hebt gebruikt.

Een goede manier om ervoor te zorgen dat u GnuPG correct hebt geïnstalleerd, is door de volgende procedure te volgen:

  • Installeer Thunderbird 68 in een aparte map, voer vervolgens Thunderbird 68 uit met parameter -P en voer het uit met een apart profiel. (U hoeft geen e-mailaccount in te stellen, die suggestie mag u annuleren.)
  • Installeer vervolgens Enigmail in uw profiel in Thunderbird 68 en start de instelwizard van Enigmail, die u helpt GnuPG-software correct in te stellen.

Als dit niet heeft geholpen, dan kunt u nog in de Enigmail-FAQ kijken: https://enigmail.net/index.php/en/faq-en?view=topic&id=14

Welke soorten OpenPGP-sleutels worden ondersteund?

Merk op: Thunderbird gebruikt de RNP-software voor het verwerken van sleutels, dat bepaalde soorten sleutels mogelijk nog niet ondersteunt. Dit betekent dat bepaalde sleutels die worden ondersteund door GnuPG / Enigmail mogelijk niet standaard met Thunderbird 78 werken, vooral sommige sleutels met een geavanceerde structuur. Voor privésleutels kunt u echter dit probleem oplossen door Thunderbird voor gebruik met GnuPG te configureren, zoals in de volgende sectie uitgelegd.

De volgende sleutels worden niet of nog niet standaard door Thunderbird 78 ondersteund:
  • Bepaalde sleutels die onvolledig zijn, bevoorbeeld sleutels die een offline primaire sleutel gebruiken.
  • Sleutels die een afwijkend wachtwoord voor een subsleutel gebruiken.
  • Sleutels op een smartcard.
  • Sleutels die het MD5-hash-algoritme gebruiken.
  • Bepaalde andere sleutels die RNP mogelijk nog niet ondersteunt.
Als u ontdekt dat een sleutel niet werkt met Thunderbird, meld dit dan! Sluit indien mogelijk een exemplaar van de publieke sleutel bij, en alleen als het een publieke sleutel is. Wees voorzichtig en stuur ons nooit uw geheime/privésleutels!

Ik heb mijn geheime sleutel geïmporteerd, maar Thunderbird kan mijn e-mailberichten niet ontsleutelen

Hebt u misschien de verkeerde sleutel geïmporteerd? Om te controleren dat u inderdaad de juiste sleutel hebt geïmporteerd, kunt u het volgende doen:

  1. Klik in Thunderbird op een bericht waarvan u denkt dat u het zou moeten kunnen ontsleutelen, maar waarbij dit niet lukt.
  2. Gebruik > Opslaan als > Bestand en sla uw bericht op naar een bestand op uw schijf (b.v. /tml/test.eml).
  3. Open een terminal. Voer deze opdracht uit: gpg --list-packets /tmp/test.eml
    U zou een lijst met sleutel-ID’s moeten zien die kunnen worden gebruikt om het bericht te ontsleutelen (versleuteld met … ID …).
  4. Ga nu terug naar Thunderbird: > Extra > OpenPGP-sleutelbeheerder.
  5. Dubbelklik voor elk van de beschikbare geheime sleutels (vetgedrukt weergegeven) op de sleutel om de eigenschappen van de sleutel te bekijken, en klik vervolgens op het tabblad Structuur.

Kunt u de ID vinden die hierboven getoond was door gpg? U dient de geheime sleutels voor ten minste één van de ID’s te hebben die werden getoond door gpg. Als u geen enkele overeenkomende geheime sleutel hebt, kunt u het bericht niet ontsleutelen. Als u wel een overeenkomende geheime sleutel hebt, maar Thunderbird het bericht nog steeds niet kan ontsleutelen, meld dan een bug voor Thunderbird met meer details over uw sleutel.

Wat kan ik doen als mijn geheime sleutel niet door Thunderbird wordt ondersteund?

In Thunderbird 78 kunt u optioneel de externe software GnuPG instellen om uw geheime sleutels te verwerken (voor digitaal ondertekenen en ontsleuteling van ontvangen berichten). Hierdoor kunt u smartcards of hardwaretokens met daarop een geheime sleutel gebruiken. U kunt het ook gebruiken voor sleutels die in bestanden op uw computer zijn opgeslagen en niet worden ondersteund door de in Thunderbird ingebouwde OpenPGP-implementatie.

U dient de benodigde GnuPG-software zelf te installeren en configureren, want het kan niet samen met Thunderbird worden verstrekt. Dit mechanisme is daarom standaard niet ingeschakeld. Als u wilt weten hoe u het kunt gebruiken, lees dan de volgende vraag over smartcards.

Merk op dat publieke sleutels en hun acceptatie-instellingen (voor versleuteling en verificatie van handtekeningen) altijd door de interne code van Thunderbird worden verwerkt.

Kan ik een OpenPGP-smartcard of een hardwaretoken gebruiken met Thunderbird 78?

Ja, we bieden een optioneel mechanisme. Het vereist dat u GnuPG en alle vereiste software zelf installeert. Lees dit document voor meer details: https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards

Hoe verstuur ik een versleuteld of digitaal ondertekend e-mailbericht?

Zorg ervoor dat u uw persoonlijke sleutel voor uw e-mailaccountof identiteit hebt geconfigureerd. Als u een e-mailbericht schrijft, gebruik dan het menu Opties, of het menu dat u onder de beveiligingsknop vindt, en schakel de beveiliging in die u wilt gebruiken.

Wat is er nodig om een versleuteld bericht te versturen?

  • U dient een persoonlijke sleutel ingesteld en geselecteerd te hebben.
  • U dient een geaccepteerde publieke sleutel voor elke ontvanger van een versleuteld bericht dat u wilt versturen te hebben. Publieke sleutels worden vaak bijgevoegd bij e-mailberichten van uw contacten. In een andere sectie van dit document vindt u meer informatie over het verkrijgen van publieke sleutels van anderen.
  • U moet controleren dat de publieke sleutels van uw contacten echt van hen zijn. Als u de publieke sleutel van iemand accepteert zonder deze te controleren, stelt u uw communicatie bloot aan Monster In The Middle-aanvallen (MITM).
  • Als u geen publieke sleutel voor elke ontvanger hebt, dan wordt het verzenden van uw bericht geblokkeerd en ontvangt u een melding van Thunderbird. U kunt kiezen het bericht helemaal niet verzenden, of versleuteling uitschakelen en het bericht zonder beveiliging verzenden.

Wat betekent sleutelacceptatie?

Technisch gesproken kan iedereen een OpenPGP-sleutel op een willekeurige naam maken, gebruikmakend van elk willekeurig e-mailadres. Niemand kan dit beperken of voorkomen. Dit betekent dat, wanneer u de publieke sleutel van een contact ontvangt, u het risico loopt dat dit een valse sleutel is en een poging is om u te misleiden. Tenzij u de sleutel van uw contact hebt gecontroleerd, hebt u mogelijk geen vertrouwelijk gesprek, maar kunt u het slachtoffer zijn van een Monster-In-The-Middle-aanval (MITM). U besluit of u deze aanvalsmogelijkheid relevant vindt, en mogelijk wilt u dit individueel per contact besluiten.

Als u een sleutel accepteert, betekent dit dat u die sleutel wilt gebruiken vooor het verzenden van versleutelde berichten naar dat contact. Als u een e-mailbericht van een contact ontvangt, bepaalt uw acceptatiebesluit hoe de digitale handtekening wordt getoond. Alleen handtekeningen van geaccepteerde sleutels worden als geldig getoond.

Waarom moet ik mijn eigen geheime sleutel als een geaccepteerde persoonlijke sleutel markeren?

Dit gaat over een theoretische aanval. Thunderbird behandelt persoonlijke sleutels anders, het vertrouwt die sleutels volledig, en we slaan de gebruikelijke acceptatievraag (geverifieerd, niet geverifieerd, enz.) over.

In theorie kan een aanvaller een sleutel op naam van een van uw contacten maken, u de geheime sleutel toezenden en u ertoe verleiden deze te importeren. Door te vereisen dat u bevestigt dat een geheime sleutel uw eigen sleutel is, zult u waarschijnlijk opmerken dat het geen sleutel op uw naam is, en zult u waarschijnlijk het gebruik als persoonlijke sleutel afwijzen. Hierdoor wordt de aanval gestopt. Deze instelling is gelijksoortig aan het model van GnuPG van het instellen van een sleutel op ‘ownertrust ultimate’.

Waarom is versleuteling automatisch ingeschakeld als ik een versleuteld bericht beantwoord?

Bij beantwoorden is het standaardgedrag om de informatie die in het beantwoorde bericht staat aan te halen (op te nemen). Uw contact had wellicht goede redenen om het bericht te versleutelen, dus u moet erg voorzichtig zijn als u de oorspronkelijke tekst in een nieuw te verzenden bericht opneemt. Het is aan te raden versleuteling te blijven gebruiken. Als u niet kunt versleutelen, en als u overweegt te antwoorden zonder versleuteling, dan moet u waarschijnlijk alle aangehaalde tekst uit het bericht dat u opstelt verwijderen.

Hoe kan ik de publieke sleutels van mijn contacten verkrijgen?

Als uw contact u een e-mailbericht met daarin de publieke sleutel stuurt, of deze als gewone bijlage toevoegt, of wanneer deze in een verborgen e-mailheader volgens de Autocrypt-standaard zit, dan biedt Thunderbird u aan de sleutel te importeren.

U kunt ook online naar sleutels zoeken op e-mailadres, door in een e-mailbericht dat u leest op het e-mailadres te klikken en de opdracht ‘sleutel ontdekken’ in het pop-upmenu te kiezen. Op dit moment wordt gezocht naar volgens het WKD-protocol gepubliceerde sleutels, en wordt gezocht naar sleutels op de sleutelserver keys.openpgp.org. Hetzelfde mechanisme kan worden gebruikt vanuit de OpenPGP-sleutelbeheerder, via de opdracht ‘Sleutels online ontdekken’ in Sleutelserver, waarmee u kunt zoeken op elk e-mailadres, sleutel-ID of vingerafdruk. Hetzelfde zoekmechanisme kan ook worden gebruikt als u hebt geprobeerd een versleuteld e-mailbericht te verzenden en de informatie over ontbrekende sleutels bekijkt. Als een sleutel op het internet is gepubliceerd, kunt u deze downloaden en de OpenPGP-sleutelbeheerder gebruiken om het gedownloade bestand te importeren. U kunt ook proberen te downloaden vanaf een opgegeven URL.

Enigmail bood zoeken op niet-verifiërende sleutelservers. Op dit moment biedt Thunderbird dat niet, vanwege diverse problemen die onlangs met dergelijke sleutelservers zijn ontdekt. Als u een sleutel wilt verkrijgen van een sleutel die momenteel niet door Thunderbird 78 wordt ondersteund, dan moet u andere software gebruiken om deze te verkrijgen en de sleutel als bestand opslaan, waarna u de OpenPGP-sleutelbeheerder kunt gebruiken om het bestand met de publieke sleutel te importeren.

U kunt de publieke sleutels van de contactpersoon van andere serevers ophalen door de volgende gpg-opdracht te gebruiken:

gpg --keyserver pgp.key-server.io --armor --export PLAK_HIER_DE_SLEUTEL_ID

Kopieer de ontvangen publieke PGP-sleutel naar het klembord en importeer deze met het bewerkingsmenu van OpenPGP Key Manager door de optie ‘Sleutels importeren vanaf klembord’ te gebruiken.

Ondersteunt Thunderbird opportunistische of automatische versleuteling?

Nee. Op dit moment vereist Thunderbird van de gebruiker het volledige beheer en de beslissing of versleuteling wel of niet gebruikt moet worden, door de van toepassing zijnde opties in te schakelen bij het opstellen van een e-mailbericht.

Ik had de Enigmail-add-on geconfigureerd om alle bruikbare sleutels te vertrouwen. Ondersteunt Thunderbird dat?

Nee. Voor elke publieke sleutel van een contact die u wilt gebruiken, vereist Thunderbird 78 dat u ten minste eenmaal de sleutel accepteert.

Waarom schakelt Thunderbird automatisch de digitale handtekening in als ik versleuteling inschakel?

Berichtversleuteling biedt zelf alleen vertrouwelijkheid van de inhoud, maar het biedt geen betrouwbare informatie over de werkelijke afzender van het bericht. In theorie kan iemand u een versleuteld bericht sturen, maar de afzender van het bericht vervalsen, waardoor de valse indruk wordt gewekt dat het om betrouwbare communicatie gaat. Omdat een versleuteld e-mailbericht zonder digitale handtekening niet echt veilig is, wordt sterk aanbevolen e-mailberichten ook digitaal te ondertekenen.

Thunderbird biedt momenteel geen optie om te voorkomen dat digitaal ondertekenen automatisch wordt ingeschakeld. We kunnen overwegen om dit in de toekomst als standaardconfiguratie aan te bieden. Als u op dit moment geen digitale handtekening wilt verzenden, dan dient u deze optie voor elk versleuteld e-mailbericht handmatig uit te schakelen voordat u het verzendt.

Waarom verzendt Thunderbird automatisch mijn publieke sleutel als ik een e-mailbericht digitaal onderteken?

Het hele punt van een bericht digitaal ondertekenen is dat de ontvanger kan verifiëren dat de digitale handtekening correct is. Een digitale handtekening kan niet worden geverifieerd als de publieke sleutel van het contact niet beschikbaar is. Om ervoor te zorgen dat uw ontvangers uw handtekening kunnen verifiëren, is het het beste om altijd uw publieke sleutel toe te voegen.

Op dit moment bieden we geen configuratie-optie om automatisch uw publieke sleutel weg te laten als u digitaal ondertekent, het is nodig dat u dit handmatig uitschakelt voordat u het bericht verzendt.

Mijn publieke sleutel is zeer groot, omdat er veel handtekeningen in staan. Hij is te groot om met elk ondertekend bericht mee te zenden.

Vanwege beperkingen kunnen we op dit moment uw sleutel niet automatisch minimaliseren. Als u wilt voorkomen dat uw grote sleutel met elk digitaal ondertekend bericht wordt verzonden, dan kunt u andere software, zoals GnuPG, gebruiken om uw sleutel te bewerken en te minimaliseren. Zorg ervoor dat u een betrouwbare reservekopie van uw geheime sleutel hebt. Exporteer vervolgens uw sleutel. Gebruik de andere software om deze te minimaliseren. Verwijder ten slotte uw geheime sleutel in Thunderbird, importeer de geminimaliseerde sleutel en zorg ervoor dat uw accountinstellingen zijn aangepast om die sleutel te gebruiken. Een toekomstige versie van Thunderbird kan proberen om automatisch de sleutel te minimaliseren als dit van toepassing is, maar dit hangt af van de toekomstige functionaliteit in de RNP-bibliotheek.

Ik gebruikte met GnuPG een geavanceerde configuratie om een groep ontvangers te gebruiken en de te gebruiken sleutels te definiëren.

Momenteel ondersteunt Thunderbird 78 deze functie niet, maar we willen dit in de toekomst wel ondersteunen. Deze verbetering wordt gevolgd in bug 1644085.

Ondersteunt Thunderbird regels per ontvanger of filterregels om e-mailberichten automatisch te ontsleutelen?

Merk op: Thunderbird ondersteunt momenteel geen regels per ontvanger of filterregels om e-mailberichten automatisch te ontsleutelen, zoals in de Enigmail-add-on. Zorg ervoor dat uw instellingen voor versleuteling en digitaal ondertekenen naar verwachting worden toegepast.

Kan ik de versleuteling van het e-mailonderwerp uitschakelen?

Nee, op dit moment nog niet.

Ondersteunt Thunderbird het Web Of Trust?

Nee. Thunderbird vertrouwt of accepteert door anderen ondertekende sleutels niet automatisch. Als u op dit moment ook aangeeft dat u de sleutel van een contact hebt geverifieerd, zal Thunderbird deze niet van uw handtekening voorzien. Dit kan in een toekomstige versie van Thunderbird wijzigen.

Als u het Enigmail-migratiehulpmiddel gebruikt om publieke sleutels naar Thunderbird te migreren, zou dit sleutels die al door uw persoonlijke sleutel zijn ondertekend moeten detecteren en de overeenkomstige sleutels als geaccepteerde sleutels moeten markeren, zodat u niet helemaal opnieuw hoeft te beginnen.

Hoe slaat Thunderbird op welke sleutels geaccepteerd zijn?

Deze informatie wordt opgeslagen in een bestand genaamd openpgp.sqlite in de Thunderbird-profielmap.

Waar slaat Thunderbird OpenPGP-sleutels op?

Deze worden opgeslagen in de Thunderbird-profielmap.

Hoe kan ik mijn geheime of publieke sleutel exporteren?

Gebruik de OpenPGP-sleutelbeheerder, die u in de algemene menubalk Extra kunt vinden. Zoek de sleutel die u wilt exporteren en klik erop om deze te selecteren. Gebruik daarna de menubalk van het venster op het menu Bestand te openen en select ‘Publieke sleutel exporteren’ of ‘Reservekopie van geheime sleutel maken’, afhankelijk van wat u wilt. Met de OpenPGP-sleutelbeheerder kunt u ook publieke sleutels van uw contactpersonen exporteren.

Open als alternatief Accountinstellingen voor de e-mailaccount van uw sleutel die u wilt exporteren en selecteer het paneel End-to-end-versleuteling. Naast elke persoonlijke sleutel staat een kleine chevron, waarop u kunt klikken om de details van de sleutel te openen. Klik op de knop Meer om een lijst met mogelijke acties te openen. Selecteer ‘Publieke sleutel exporteren’ of ‘Reservekopie van geheime sleutel maken’.

Ik moet zowel GnuPG als Thunderbird naast elkaar gebruiken, kan ik mijn sleutels synchroniseren?

Nee. Momenteel gebruikt Thunderbird een eigen exemplaar van de sleutels, en synchronisatie van sleutels met GnuPG wordt niet ondersteund. De enige uitzondering is het mechanisme dat voor smartcards wordt geboden, dat kan worden gebruikt om de persoonlijke sleutels die door GnuPG worden beheerd te gebruiken.

Hoe wordt mijn persoonlijke sleutel beschermd?

Als u uw persoonlijke sleutel in Thunderbird importeert, ontgrendelen we deze en beschermen we hem met een ander wachtwoord, dat automatisch (willekeurig) wordt gegenereerd. Hetzelfde automatische wachtwoord wordt gebruikt voor alle geheime sleutels OpenPGP-sleutels die door Thunderbird worden beheerd. U moet de Thunderbird-functie om een hoofdwachtwoord in te stellen gebruiken. Zonder hoofdwachtwoord zijn de OpenPGP-sleutels in uw profielmap niet beschermd.

Ondersteunt Thunderbird Autocrypt?

Thunderbird ondersteunt niet de Autocrypt-filosofie dat versleuteling volledig automatisch zou moeten zijn. Thunderbird biedt echter beperkte compatibiliteit met e-mailclients die Autocrypt ondersteunen.

  • Als u een e-mailbericht verzendt en de optie om uw publieke OpenPGP-sleutel toe te voegen gebruikt, en uw sleutel voldoende eenvoudig is om compatibel met Autocrypt te zijn, dan voegt Thunderbird de toepasselijke header aan het verzonden bericht toe, waarmee uw contact uw publieke sleutel kan inlezen.
  • Wanneer u een bericht ontvangt met de publieke sleutel van een contact in een Autocrypt-header, dan kunt u met Thunderbird de sleutel importeren.
  • Momenteel ondersteunt Thunderbird de functie ‘Gossip’ niet.

Ik gebruikte eerder de Junior Mode van Enigmail (groene, rode, gele symbolen), wat zijn mijn opties?

Enigmail voor Thunderbird 68 bood twee zeer verschillende gebruiksvormen. Een klassieke modus, die werd beschreven in instellingen als ‘gebruik van S/MIME en Enigmail afdwingen’, en een ‘juniormodus’, die door het softwarebedrijf pEp was geïmplementeerd. Merk op dat Thunderbird geen relatie heeft met het bedrijf pEp.

Thunderbird 78 biedt de juniormodus niet, de ingebouwde OpenPGP-functie die Thunderbird 78 biedt lijkt meer op de klassieke modus van Enigmail.

Als u Thunderbird 78 opstart, nadat Enigmail is bijgewerkt naar versie 2.2.x (de versie die ondersteuning bij migratie biedt), opent Enigmail een webpagina van het bedrijf pEp, waar u een nieuwere versie van hun software kunt downloaden.

Als u pEp-software niet wilt installeren, kunt u een handmatige migratie naar de nieuwe OpenPGP-functie in Thunderbird proberen. Om dit te doen, moet u de configuratie instellen die de eerdere Junior Mode uitschakelde. Open de algemene instellingen van Thunderbird, scroll naar beneden, open de Configuratiebewerking en zoek naar "extensions.enigmail.juniorMode". Dubbelklik hierop om dit te wijzigen en stel de waarde in op nul. Deze configuratiewijziging zorgt ervoor dat het Enigmail-migratiehulpmiddel gelooft dat u eerder de klassieke modus van Enigmail gebruikte.

Herstart Thunderbird 78. Na herstarten biedt de Enigmail 2.2.x-migratieassistent u aan een migratie van uw sleutels uit te voeren. Omdat het Enigmail-hulpmiddel alleen sleutels en instellingen die door GnuPG werden beheerd migreert, kan het de vertrouwensinstellingen die door de pEp-software werden beheerd niet migreren. Enigmail kan echter uw persoonlijke sleutels migreren, waardoor u de berichten die met die sleutel zijn versleuteld kunt ontsleutelen. Enigmail zou ook de publieke sleutels van uw contacten moeten kunnen migreren. Echter, de meeste of alle sleutels van contacten zullen waarschijnlijk de status ‘niet geaccepteerd’ in Thunderbird 78 hebben, dus u zult deze eenmalig moeten accepteren of verifiëren als u ze probeert te gebruiken.

Nadat u Thunderbird 78 opnieuw hebt gestart, als er geen aanbod tot migratie wordt gedaan, dient u een opdracht uit de bovenste menubalk uit te voeren. Als u Windows of Linux gebruikt en de bovenste menubalk niet zichtbaar is, klik dan met uw rechtermuisknop in het bovenste deel van het hoofdvenster van Thunderbird en schakel de menubalk in. Open vervolgens het menu Extra, waarin u de opdracht ‘Enigmail-instellingen migreren’ vindt.

Ik gebruik Enigmail 2.2.x om een migratie uit te voeren, maar het importproces lijkt te blijven hangen.

Mogelijk loopt de software tegen een probleem op. Lees de sectie over het verkrijgen van meer informatie over fouten.

Waar kan ik vragen stellen over, of problemen melden met de OpenPGP-functie?

Als uw probleem niet op deze pagina of in de verwezen documenten is beschreven, kijk dan in de sectie ‘Discussion’ op de volgende pagina voor manieren om contact met ons op te nemen: https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion

Hoe kan ik nagaan of het probleem dat ik heb al is gemeld?

Kijk hier in de sectie ‘Open issues and TODO list’: https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list

Ik zie een probleem en wil proberen het zelf te analyseren.

Meer informatie kunt u vinden in de sectie ‘Debugging / Tracing’: https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing

Thunderbird is automatisch bijgewerkt naar versie 78, maar ik blijf liever bij Thunderbird 68 en Enigmail.

Zodra u Thunderbird 78 met een profiel hebt gestart, kunt u niet eenvoudig terug naar 68, omdat het profiel is gemigreerd en Thunderbird 68 dit niet zal willen gebruiken en niet zal starten.

  • Als u een reservekopie van uw profiel hebt, kunt u proberen dit te herstellen. U zou daarna Thunderbird 68 weer moeten kunnen starten.
  • Als u geen reservekopie hebt, kunt u Thunderbird 68 met een nieuw profiel starten en Thunderbird opnieuw instellen.
  • Het gebruik van de Thunderbird-opstartparameter --allow-downgrade wordt niet aanbevolen, omdat u enkele configuratie-instellingen zult verliezen en onverwacht gedrag kunt ervaren.

Ik heb een versleuteld e-mailbericht ontvangen met een verborgen ontvanger (key ID 0x00000000) en Thunderbird kan het niet ontsleutelen.

Dit wordt nog niet ondersteund. De toevoeging van deze functie wordt hier gevolgd: https://github.com/rnpgp/rnp/issues/1275

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info