PrivacyGear .nl
Actueel Zoeken EN
PrivacyGear .nl
Communicatie

PGP in de praktijk: versleutelde e-mail en bestanden

Voor wie is dit? Voor journalisten, advocaten, activisten, en iedereen die versleuteld bestanden wil opslaan of e-mail via PGP wil versturen. Voor dagelijkse versleutelde communicatie is Signal de betere keuze — dat staat uitgelegd in dit artikel.

PGP in de praktijk: versleutelde e-mail en bestanden

PGP in de praktijk: versleutelde e-mail en bestanden

Voor wie is dit? Voor journalisten, advocaten, activisten, en iedereen die versleuteld bestanden wil opslaan of e-mail via PGP wil versturen. Voor dagelijkse versleutelde communicatie is Signal de betere keuze — dat staat uitgelegd in dit artikel.

PGP bestaat al sinds 1991. Het is een van de weinige versleutelingsstandaarden die de tand des tijds heeft doorstaan. Tegelijkertijd is het berucht om zijn complexiteit.

Dit artikel legt uit wat PGP is, hoe het werkt, wanneer het nuttig is — en wanneer je beter iets anders kunt gebruiken.

Wat je wint, en wat het kost

Je wint een open standaard voor versleutelde bestanden, ondertekende software-downloads, en e-mail in omgevingen waar modernere chattools niet passen. PGP blijft relevant omdat veel technische en journalistieke workflows er nog steeds op steunen.

De prijs is complexiteit. Sleutels genereren, fingerprints verifiëren, publieke sleutels uitwisselen, back-ups maken, en intrekkingscertificaten bewaren is foutgevoeliger dan bijna alles in moderne messengers. Dat maakt PGP krachtig, maar zelden gebruiksvriendelijk.

Wanneer dit overkill is

Voor dagelijkse berichten, teamchat, familiegesprekken en snelle coördinatie is PGP meestal de verkeerde tool. Gebruik het wanneer je echt e-mail of bestanden moet beveiligen binnen een PGP-compatibele workflow. Voor gewone communicatie is Signal of Molly bijna altijd de betere keuze.

Wat PGP doet

PGP staat voor Pretty Good Privacy. De moderne implementatie heet OpenPGP en de meest gebruikte software is GnuPG (ook wel GPG).

PGP doet twee dingen:

1. Versleutelen Je kunt een bestand of bericht versleutelen zodat alleen de ontvanger het kan lezen — zelfs als het onderschept wordt.

2. Ondertekenen Je kunt digitaal ondertekenen dat een bericht van jou afkomstig is. De ontvanger kan dit controleren.

Hoe het werkt: publieke en privésleutels

PGP gebruikt asymmetrische cryptografie — twee sleutels die wiskundig aan elkaar gekoppeld zijn:

  • Publieke sleutel — deel je met iedereen. Iedereen kan hiermee berichten aan jou versleutelen.
  • Privésleutel — bewaar je geheim. Alleen jij kunt berichten ontsleutelen die met jouw publieke sleutel versleuteld zijn.

De metafoor: je publieke sleutel is een open hangslot. Iedereen kan er iets mee vergrendelen. Alleen jij hebt de sleutel om het open te maken.

Versleuteling werkt zo:

  1. Jij vraagt de publieke sleutel van de ontvanger op
  2. Je versleutelt het bericht met hun publieke sleutel
  3. Zij ontsleutelen het met hun privésleutel
  4. Niemand anders — ook jij niet — kan het bericht daarna nog lezen

Ondertekening werkt andersom:

  1. Jij ondertekent een bericht met je privésleutel
  2. De ontvanger verifieert de handtekening met jouw publieke sleutel
  3. Ze weten zeker dat het bericht van jou komt én niet gewijzigd is

Wanneer gebruik je PGP?

Eerlijk antwoord: voor de meeste mensen is PGP niet de juiste tool.

Gebruik PGP voor:

  • Versleutelde e-mail (als e-mail echt nodig is)
  • Versleutelen van bestanden voor langdurige opslag
  • Verifiëren van software-downloads (veel open-source projecten ondertekenen releases met PGP)
  • Communicatie met bronnen als journalist of activist

Gebruik liever Signal/Molly voor:

  • Dagelijkse versleutelde communicatie
  • Realtime berichten
  • Mensen zonder technische achtergrond

Signal’s encryptie is sterker dan PGP voor berichten. Het biedt forward secrecy — als een sleutel ooit gecompromitteerd wordt, blijven eerdere berichten versleuteld. PGP-e-mail biedt dit niet standaard.

PGP is krachtig voor bestanden en e-mail. Voor messaging: gebruik Signal.

Installatie

Linux

GnuPG is op de meeste Linux-distros standaard aanwezig:

gpg --version

Als het niet geïnstalleerd is:

sudo apt install gnupg # Ubuntu/Debian/Mintsudo dnf install gnupg2 # Fedora

Windows

Download Gpg4win — bevat GnuPG, Kleopatra (GUI), en Outlook-integratie.

macOS

Download GPG Suite — bevat GPG Tools en Mail-integratie.

Je eerste sleutelpaar aanmaken

gpg --full-generate-key

Je wordt gevraagd:

  1. Sleuteltype: Kies (1) RSA en RSA of (9) ECC (teken en versleutel). ECC (Ed25519/Curve25519) is moderner en sneller.
  2. Sleutelgrootte: Bij RSA: 4096 bits. Bij ECC: laat de aanbeveling staan.
  3. Geldigheid: Stel een vervaldatum in — 2 jaar is verstandig. Je kunt het later verlengen.
  4. Naam en e-mailadres: Dit wordt zichtbaar gekoppeld aan je sleutel.
  5. Wachtwoord: Beveilig je privésleutel met een sterk wachtwoord.

Je sleutels bekijken:

gpg --list-keys # publieke sleutelsgpg --list-secret-keys # privésleutels

Publieke sleutel delen

Je kunt je publieke sleutel op meerdere manieren delen:

Exporteren naar bestand:

gpg --export --armor[[email protected]](/cdn-cgi/l/email-protection) > mijn-publieke-sleutel.asc

Het .asc-bestand kun je e-mailen, op je website zetten, of in je e-mailhandtekening plaatsen.

Uploaden naar keyserver:

gpg --keyserver keys.openpgp.org --send-keys JOUWKEYID

Anderen kunnen je sleutel dan opzoeken. Let op: keyservers zijn openbaar en permanent — je naam en e-mailadres worden zichtbaar.

Iemands publieke sleutel importeren

Uit een bestand:

gpg --import hun-publieke-sleutel.asc

Van een keyserver:

gpg --keyserver keys.openpgp.org --search-keys[[email protected]](/cdn-cgi/l/email-protection)

Berichten versleutelen en ontsleutelen

Versleutelen

gpg --encrypt --armor --recipient[[email protected]](/cdn-cgi/l/email-protection) bericht.txt

Dit maakt bericht.txt.asc aan — versleuteld voor de ontvanger.

Om ook voor jezelf te versleutelen (zodat je het later nog kunt lezen):

gpg --encrypt --armor --recipient[[email protected]](/cdn-cgi/l/email-protection) --recipient[[email protected]](/cdn-cgi/l/email-protection) bericht.txt

Ontsleutelen

gpg --decrypt bericht.txt.asc

GPG vraagt om je wachtwoord en toont de inhoud.

Bestanden versleutelen

Hetzelfde principe, maar voor bestanden:

gpg --encrypt --armor --recipient[[email protected]](/cdn-cgi/l/email-protection) geheimbestand.pdf

Of symmetrisch (met wachtwoord, geen sleutelpaar nodig):

gpg --symmetric --armor geheimbestand.pdf

Dit is handig voor persoonlijke bestanden die je wil opslaan of back-uppen zonder een sleutelpaar te delen.

Ondertekenen

Bericht ondertekenen

gpg --clearsign bericht.txt

Dit maakt bericht.txt.asc aan — leesbare tekst met een bijgevoegde handtekening.

Handtekening verifiëren

gpg --verify bericht.txt.asc

GPG vertelt je of de handtekening geldig is, en van welke sleutel die afkomstig is.

Software-releases verifiëren

Veel open-source projecten (Tor Browser, Signal Desktop, Linux-distros) ondertekenen hun releases. Zo controleer je:

# Importeer de sleutel van het project (zie hun website)gpg --import projectsleutel.asc# Controleer het gedownloade bestandgpg --verify software.tar.gz.asc software.tar.gz

Dit bevestigt dat het bestand echt van het project afkomstig is en niet aangepast is.

Versleutelde e-mail instellen

Thunderbird (aanbevolen)

Thunderbird heeft ingebouwde OpenPGP-ondersteuning sinds versie 78.

  1. Installeer Thunderbird
  2. Voeg je e-mailaccount toe
  3. Ga naar Account-instellingen → End-to-end-versleuteling
  4. Klik op Voeg sleutel toe → importeer je bestaande sleutel of genereer een nieuwe

Thunderbird laat je per bericht kiezen of je versleutelt en/of ondertekent.

Beperkingen:

  • Alleen de inhoud van het bericht is versleuteld
  • Metadata (wie stuurt aan wie, wanneer, onderwerpregel) is zichtbaar voor je e-mailprovider
  • Beide partijen moeten OpenPGP ondersteunen

Privacy-vriendelijke e-mailproviders

PGP lost het metadata-probleem niet op. Kies ook een provider die niet samenwerkt met surveillance:

  • Proton Mail — ingebouwde PGP, Zwitsers recht
  • Tutanota — eigen versleutelingsstandaard, niet compatibel met standaard PGP
  • Posteo — Duits, betaald, geen tracking

Sleutelbeheer: het moeilijkste deel

Web of Trust

PGP heeft geen centrale autoriteit. Vertrouwen werkt via een web of trust: als jij de sleutel van iemand ondertekent, vertel je aan anderen dat je die sleutel hebt geverifieerd.

In de praktijk: als je iemand persoonlijk ontmoet, kun je elkaars sleutels vergelijken en ondertekenen. Dit bouwt vertrouwen op in het netwerk.

Sleutels verifiëren

Vertrouw nooit blind een sleutel van een keyserver. Verifieer de fingerprint — een unieke reeks tekens die bij de sleutel hoort.

gpg --fingerprint[[email protected]](/cdn-cgi/l/email-protection)

Vergelijk deze fingerprint met de ontvanger via een ander kanaal (telefoon, persoonlijk gesprek).

Back-up van privésleutel

Je privésleutel is onvervangbaar. Als je hem verliest, kun je versleutelde berichten niet meer lezen.

Exporteer en bewaar veilig:

gpg --export-secret-keys --armor[[email protected]](/cdn-cgi/l/email-protection) > mijn-privekey-backup.asc

Bewaar dit offline — op een versleutelde USB of op papier (zie KeePassXC voor key storage).

Intrekkingscertificaat aanmaken

Maak direct na het aanmaken van je sleutel een intrekkingscertificaat:

gpg --gen-revoke[[email protected]](/cdn-cgi/l/email-protection) > revocation-cert.asc

Als je sleutel ooit gecompromitteerd of verloren is, gebruik je dit certificaat om de sleutel ongeldig te verklaren op keyservers.

Bewaar dit certificaat veilig — los van je privésleutel.

Beperkingen van PGP

Eerlijk zijn over wat PGP niet doet:

Geen forward secrecy Als je privésleutel ooit gecompromitteerd wordt, kunnen alle versleutelde berichten die ooit naar je gestuurd zijn alsnog ontsleuteld worden — als de aanvaller ze heeft opgeslagen. Signal gebruikt per-bericht sleutels die na gebruik weggegooid worden. PGP niet.

Metadata is zichtbaar Je e-mailprovider ziet wie met wie communiceert, hoe vaak, en wanneer. Alleen de inhoud is versleuteld.

Complexiteit = fouten PGP is moeilijk correct te gebruiken. Mensen vergeten te versleutelen, gebruiken de verkeerde sleutel, of beveiligen hun privésleutel niet goed. Eén fout maakt alles ongedaan.

Weinig mensen gebruiken het PGP-e-mail werkt alleen als beide partijen het ondersteunen. In de praktijk is de doelgroep klein.

Wanneer PGP de juiste keuze is

Ondanks de beperkingen zijn er situaties waar PGP de beste optie is:

  • Bestanden langdurig versleuteld opslaan — back-ups, archief, gevoelige documenten
  • Communicatie via e-mail als dat niet anders kan — contact met organisaties die geen Signal gebruiken
  • Software-verificatie — controleer wat je downloadt
  • Journalistiek broncontactSecureDrop gebruikt PGP

Voor al het andere: gebruik Signal of Molly.

Volgende stap

Bronbescherming en journalistiek

Randapparatuur en opslag

Reviews

Veilige communicatie zonder PGP

← Terug naar gidsen