PrivacyGear.nl
EN

PGP in de praktijk: versleutelde e-mail en bestanden

Wat is PGP, hoe werkt het, en wanneer gebruik je het? Een eerlijke gids zonder verborgen complexiteit — van sleutelpaar tot versleuteld bericht.

PGP in de praktijk: versleutelde e-mail en bestanden

PGP in de praktijk: versleutelde e-mail en bestanden

PGP bestaat al sinds 1991. Het is een van de weinige versleutelingsstandaarden die de tand des tijds heeft doorstaan. Tegelijkertijd is het berucht om zijn complexiteit.

Dit artikel legt uit wat PGP is, hoe het werkt, wanneer het nuttig is — en wanneer je beter iets anders kunt gebruiken.

Wat PGP doet

PGP staat voor Pretty Good Privacy. De moderne implementatie heet OpenPGP en de meest gebruikte software is GnuPG (ook wel GPG).

PGP doet twee dingen:

1. Versleutelen Je kunt een bestand of bericht versleutelen zodat alleen de ontvanger het kan lezen — zelfs als het onderschept wordt.

2. Ondertekenen Je kunt digitaal ondertekenen dat een bericht van jou afkomstig is. De ontvanger kan dit controleren.

Hoe het werkt: publieke en privésleutels

PGP gebruikt asymmetrische cryptografie — twee sleutels die wiskundig aan elkaar gekoppeld zijn:

  • Publieke sleutel — deel je met iedereen. Iedereen kan hiermee berichten aan jou versleutelen.
  • Privésleutel — bewaar je geheim. Alleen jij kunt berichten ontsleutelen die met jouw publieke sleutel versleuteld zijn.

De metafoor: je publieke sleutel is een open hangslot. Iedereen kan er iets mee vergrendelen. Alleen jij hebt de sleutel om het open te maken.

Versleuteling werkt zo:

  1. Jij vraagt de publieke sleutel van de ontvanger op
  2. Je versleutelt het bericht met hun publieke sleutel
  3. Zij ontsleutelen het met hun privésleutel
  4. Niemand anders — ook jij niet — kan het bericht daarna nog lezen

Ondertekening werkt andersom:

  1. Jij ondertekent een bericht met je privésleutel
  2. De ontvanger verifieert de handtekening met jouw publieke sleutel
  3. Ze weten zeker dat het bericht van jou komt én niet gewijzigd is

Wanneer PGP gebruik je?

Eerlijk antwoord: voor de meeste mensen is PGP niet de juiste tool.

Gebruik PGP voor:

  • Versleutelde e-mail (als e-mail echt nodig is)
  • Versleutelen van bestanden voor langdurige opslag
  • Verifiëren van software-downloads (veel open-source projecten ondertekenen releases met PGP)
  • Communicatie met bronnen als journalist of activist

Gebruik liever Signal/Molly voor:

  • Dagelijkse versleutelde communicatie
  • Realtime berichten
  • Mensen zonder technische achtergrond

Signal’s encryptie is sterker dan PGP voor berichten. Het biedt forward secrecy — als een sleutel ooit gecompromitteerd wordt, blijven eerdere berichten versleuteld. PGP-e-mail biedt dit niet standaard.

PGP is krachtig voor bestanden en e-mail. Voor messaging: gebruik Signal.

Installatie

Linux

GnuPG is op de meeste Linux-distros standaard aanwezig:

gpg --version

Als het niet geïnstalleerd is:

sudo apt install gnupg    # Ubuntu/Debian/Mint
sudo dnf install gnupg2   # Fedora

Windows

Download Gpg4win — bevat GnuPG, Kleopatra (GUI), en Outlook-integratie.

macOS

Download GPG Suite — bevat GPG Tools en Mail-integratie.

Je eerste sleutelpaar aanmaken

gpg --full-generate-key

Je wordt gevraagd:

  1. Sleuteltype: Kies (1) RSA en RSA of (9) ECC (teken en versleutel). ECC (Ed25519/Curve25519) is moderner en sneller.
  2. Sleutelgrootte: Bij RSA: 4096 bits. Bij ECC: laat de aanbeveling staan.
  3. Geldigheid: Stel een vervaldatum in — 2 jaar is verstandig. Je kunt het later verlengen.
  4. Naam en e-mailadres: Dit wordt zichtbaar gekoppeld aan je sleutel.
  5. Wachtwoord: Beveilig je privésleutel met een sterk wachtwoord.

Je sleutels bekijken:

gpg --list-keys         # publieke sleutels
gpg --list-secret-keys  # privésleutels

Publieke sleutel delen

Je kunt je publieke sleutel op meerdere manieren delen:

Exporteren naar bestand:

gpg --export --armor jouwnaam@email.nl > mijn-publieke-sleutel.asc

Het .asc-bestand kun je e-mailen, op je website zetten, of in je e-mailhandtekening plaatsen.

Uploaden naar keyserver:

gpg --keyserver keys.openpgp.org --send-keys JOUWKEYID

Anderen kunnen je sleutel dan opzoeken. Let op: keyservers zijn openbaar en permanent — je naam en e-mailadres worden zichtbaar.

Iemands publieke sleutel importeren

Uit een bestand:

gpg --import hun-publieke-sleutel.asc

Van een keyserver:

gpg --keyserver keys.openpgp.org --search-keys naam@email.nl

Berichten versleutelen en ontsleutelen

Versleutelen

gpg --encrypt --armor --recipient naam@email.nl bericht.txt

Dit maakt bericht.txt.asc aan — versleuteld voor de ontvanger.

Om ook voor jezelf te versleutelen (zodat je het later nog kunt lezen):

gpg --encrypt --armor --recipient naam@email.nl --recipient jouw@email.nl bericht.txt

Ontsleutelen

gpg --decrypt bericht.txt.asc

GPG vraagt om je wachtwoord en toont de inhoud.

Bestanden versleutelen

Hetzelfde principe, maar voor bestanden:

gpg --encrypt --armor --recipient naam@email.nl geheimbestand.pdf

Of symmetrisch (met wachtwoord, geen sleutelpaar nodig):

gpg --symmetric --armor geheimbestand.pdf

Dit is handig voor persoonlijke bestanden die je wil opslaan of back-uppen zonder een sleutelpaar te delen.

Ondertekenen

Bericht ondertekenen

gpg --clearsign bericht.txt

Dit maakt bericht.txt.asc aan — leesbare tekst met een bijgevoegde handtekening.

Handtekening verifiëren

gpg --verify bericht.txt.asc

GPG vertelt je of de handtekening geldig is, en van welke sleutel die afkomstig is.

Software-releases verifiëren

Veel open-source projecten (Tor Browser, Signal Desktop, Linux-distros) ondertekenen hun releases. Zo controleer je:

# Importeer de sleutel van het project (zie hun website)
gpg --import projectsleutel.asc

# Controleer het gedownloade bestand
gpg --verify software.tar.gz.asc software.tar.gz

Dit bevestigt dat het bestand echt van het project afkomstig is en niet aangepast is.

Versleutelde e-mail instellen

Thunderbird (aanbevolen)

Thunderbird heeft ingebouwde OpenPGP-ondersteuning sinds versie 78.

  1. Installeer Thunderbird
  2. Voeg je e-mailaccount toe
  3. Ga naar Account-instellingen → End-to-end-versleuteling
  4. Klik op Voeg sleutel toe → importeer je bestaande sleutel of genereer een nieuwe

Thunderbird laat je per bericht kiezen of je versleutelt en/of ondertekent.

Beperkingen:

  • Alleen de inhoud van het bericht is versleuteld
  • Metadata (wie stuurt aan wie, wanneer, onderwerpregel) is zichtbaar voor je e-mailprovider
  • Beide partijen moeten OpenPGP ondersteunen

Privacy-vriendelijke e-mailproviders

PGP lost het metadata-probleem niet op. Kies ook een provider die niet samenwerkt met surveillance:

  • Proton Mail — ingebouwde PGP, Zwitsers recht
  • Tutanota — eigen versleutelingsstandaard, niet compatibel met standaard PGP
  • Posteo — Duits, betaald, geen tracking

Sleutelbeheer: het moeilijkste deel

Web of Trust

PGP heeft geen centrale autoriteit. Vertrouwen werkt via een web of trust: als jij de sleutel van iemand ondertekent, vertel je aan anderen dat je die sleutel hebt geverifieerd.

In de praktijk: als je iemand persoonlijk ontmoet, kun je elkaars sleutels vergelijken en ondertekenen. Dit bouwt vertrouwen op in het netwerk.

Sleutels verifiëren

Vertrouw nooit blind een sleutel van een keyserver. Verifieer de fingerprint — een unieke reeks tekens die bij de sleutel hoort.

gpg --fingerprint naam@email.nl

Vergelijk deze fingerprint met de ontvanger via een ander kanaal (telefoon, persoonlijk gesprek).

Back-up van privésleutel

Je privésleutel is onvervangbaar. Als je hem verliest, kun je versleutelde berichten niet meer lezen.

Exporteer en bewaar veilig:

gpg --export-secret-keys --armor jouw@email.nl > mijn-privekey-backup.asc

Bewaar dit offline — op een versleutelde USB of op papier (zie KeePassXC voor key storage).

Intrekkingscertificaat aanmaken

Maak direct na het aanmaken van je sleutel een intrekkingscertificaat:

gpg --gen-revoke jouw@email.nl > revocation-cert.asc

Als je sleutel ooit gecompromitteerd of verloren is, gebruik je dit certificaat om de sleutel ongeldig te verklaren op keyservers.

Bewaar dit certificaat veilig — los van je privésleutel.

Beperkingen van PGP

Eerlijk zijn over wat PGP niet doet:

Geen forward secrecy Als je privésleutel ooit gecompromitteerd wordt, kunnen alle versleutelde berichten die ooit naar je gestuurd zijn alsnog ontsleuteld worden — als de aanvaller ze heeft opgeslagen. Signal gebruikt per-bericht sleutels die na gebruik weggegooid worden. PGP niet.

Metadata is zichtbaar Je e-mailprovider ziet wie met wie communiceert, hoe vaak, en wanneer. Alleen de inhoud is versleuteld.

Complexiteit = fouten PGP is moeilijk correct te gebruiken. Mensen vergeten te versleutelen, gebruiken de verkeerde sleutel, of beveiligen hun privésleutel niet goed. Eén fout maakt alles ongedaan.

Weinig mensen gebruiken het PGP-e-mail werkt alleen als beide partijen het ondersteunen. In de praktijk is de doelgroep klein.

Wanneer PGP de juiste keuze is

Ondanks de beperkingen zijn er situaties waar PGP de beste optie is:

  • Bestanden langdurig versleuteld opslaan — back-ups, archief, gevoelige documenten
  • Communicatie via e-mail als dat niet anders kan — contact met organisaties die geen Signal gebruiken
  • Software-verificatie — controleer wat je downloadt
  • Journalistiek broncontact — SecureDrop gebruikt PGP

Voor al het andere: gebruik Signal of Molly.

Zie ook:

← Terug naar Beveiliging