Menu
GPG/PGP-gebaseerde codering en authenticatie voor e-mails

GPG/PGP-gebaseerde codering en authenticatie voor e-mails

Een van de andere dingen die me waarschijnlijk zijn opgevallen, zijn bedrijven die bereid zijn hun PGP-sleutel voor klanten te delen, zodat ze e-mail + PGP voor communicatie ter ondersteuning kunnen gebruiken. Laten we eerst eens kijken naar het verschil tussen PGP en GPG. PGP staat voor Pretty Good Privacy en werd in 1991 ontwikkeld door Phil Zimmerman. GPG is een afkorting voor Gnu Privacy Guard, een aangepaste versie hiervan die in 1999 werd uitgebracht. En OpenPGP is de standaard waarmee beide softwarepakketten compatibel zijn. Dus als mensen praten over GPG-sleutels, zijn het technisch gezien nog steeds PGP-sleutels, maar die zijn afgeleid van een GPG-programma zoals GPG Keychain voor OSX. Op mijn website heb ik mijn sleutel vermeld als G/PGP omdat het een PGP-sleutel is die de GPG-software gebruikt.

RSA is de basis voor het genereren van een persoonlijke sleutel en een openbare sleutel die uniek zijn voor een gebruiker. Deze sleutels kunnen worden vergeleken met 2 stukjes van een puzzel die elk zo groot zijn als een voetbalveld, met honderdduizenden kleine inkepingen aan elke kant. De publieke en private sleutels die worden gegenereerd, zijn de enige 2 puzzelstukjes die bij elkaar passen.

Gerelateerde categorieën op Privacy-Tools.nl:

Doorgaans worden PGP-sleutels gebruikt voor zowel veilige communicatie in gecodeerde vorm als voor het ondertekenen van berichten die kunnen worden gevalideerd op authenticiteit. Eenmaal gegenereerd, distribueert men hun openbare sleutel en stuurt deze naar sleutelservers op internet die deze opslaan om door anderen te kunnen worden opgehaald. Uw privésleutel, die wordt beschermd door een lange wachtzin, wordt echter privé gehouden en mag nooit openbaar worden verspreid. Zodra uw openbare sleutel is gedistribueerd, kunnen mensen deze gebruiken om berichten aan u te versleutelen die alleen kunnen worden ontsleuteld met uw persoonlijke sleutel. U kunt ook een bericht ondertekenen om te voorkomen dat het wordt gewijzigd. Gebruikers kunnen dan het bericht aannemen en uw openbare sleutel gebruiken om de authenticiteit van het bericht te valideren. Als zelfs maar een spatie zou worden verwijderd, zou het bericht niet correct worden geverifieerd en zouden de ontvangers of het publiek van het bericht weten dat het is gewijzigd. Dit is vooral handig in beveiligingsgerelateerde berichten van een bedrijf/website, zoals het ondertekenen van meldingen en updates om te verifiëren dat de website-eigenaar degene is die de berichten plaatst en niet een hacker of overheidsinstantie.

Onlangs kocht ik ProtonMail Plus, wat betekende dat ik mijn domeinnaam moest koppelen aan ProtonMail, zodat het via hun servers werd gerouteerd. Dit betekende echter dat de e-mail die ik aan mijn primaire PGP-sleutel heb toegevoegd, niet de e-mail was die ik aan het publiek gaf. Zelfde inbox, ander e-mailadres. Bekijk mijn methode om over te schakelen naar een nieuwe sleutel met mijn nieuwe e-mail terwijl ik nog steeds de vertrouwensvector maximaliseer voor degenen die vaak met mij communiceerden of gewoon mijn oude PGP-sleutel hadden bewaard. Ik zeg niet dat dit iets is dat iedereen zou moeten doen. Ik wilde er echter zeker van zijn dat de overgang naar een nieuwe sleutel op geen enkele manier, vorm of vorm verkeerd kon worden geïnterpreteerd als kwaadaardig of dat mijn veiligheid in gevaar zou komen.

Als u een individu in deze categorie bent, zou ik zeggen dat het verstandig is dat het genereren van deze sleutel wordt gedaan op een systeem waarop netwerken zijn uitgeschakeld met uw GPG-programma naar keuze met een firewall om alle verbindingen van en naar sleutelservers te blokkeren. Het laatste dat u nodig hebt, is dat een programma met een achterdeur uw privésleutel kwaadwillig ergens uploadt zonder uw medeweten. Ja, uw privésleutel moet een zeer sterk wachtwoord hebben dat het beschermt tegen dergelijke aanvallen, maar het zou ook niet "zo gemakkelijk" moeten zijn om te stelen. Uw GPG-programma hoeft geen sleutels op te halen of iets dergelijks, omdat het importeren ervan eenvoudig is met kopiëren en plakken, dus het heeft geen zin om het toegang tot internet te geven.