OpenPGP e-mail encryptie met Thunderbird#

(Nitrokey 3 - Windows)

Thunderbird 78.3 en nieuwer#

Op dit moment is Thunderbird’s 78 ondersteuning voor de OpenPGP emails niet eenvoudig in te stellen. Zie Thunderbird’s documentatie voor details. Hier is een uitgebreide Duitse gids.

Problemen oplossen#

Foutmelding: The configured key ID '4BA0183FCBA844A7' cannot be found on your keyring

  • Zorg ervoor dat de publieke sleutel is geïmporteerd in de manager van Thunderbird en

  • De sleutel-ID bevat geen spaties, en bestaat uit 16 tekens uit het bereik 0-9 A-F

  • u heeft GPA of Kleopatra software geïnstalleerd.

Gebruik Kleopatra of GPA software om de smartcard te verwerken.

Thunderbird 77 en ouder#

Installatie#

  1. Installeer het apparaatstuurprogramma zoals hier wordt beschreven.

  2. Installeer Thunderbird en de Add-on Enigmail.

Pincodes wijzigen#

Er zijn twee PIN’s voor de Nitrokey:

  • De gebruikers-PIN die nodig is voor het dagelijkse werk

  • De Admin PIN is nodig om sleutels of andere instellingen van het apparaat te wijzigen. Bovendien kan de Nitrokey worden ontgrendeld (bijvoorbeeld na 3 keer onjuiste invoer van de Gebruikers-PIN) met behulp van de Admin PIN.

Na ontvangst van de Nitrokey moet u onmiddellijk de Gebruikers-PIN = “123456” en de Beheerders-PIN = “12345678” veranderen.

Procedure#

  1. Steek de Nitrokey in een USB-poort van uw computer.

  2. Start Thunderbird.

  3. In Thunderbird, selecteer zoals in de volgende afbeelding. “OpenPGP” → “Beheer smartcard”

img1
  1. In het venster “SmartCard-gegevens”, selecteert u “SmartCard → PIN wijzigen”.

img2
  1. Selecteer “PIN wijzigen”. Dit is uw gebruikers-PIN die u nodig hebt voor het dagelijkse werk. Voer de huidige PIN in (“123456” voor levering) en tweemaal uw nieuwe PIN. Voor deze PIN kunt u de tekens gebruiken: a-z A-Z 0-9 / .;:- !? () [] {}% +. De PIN moet ten minste 6 tekens lang zijn. Klik op “OK”.

img3
  1. Herhaal de procedure voor de Admin PIN. “SmartCard → PIN wijzigen”

img4
  1. Selecteer Wijzig Admin PIN. Dit is uw Admin PIN die u slechts zelden nodig hebt. Voer de huidige PIN-code (“12345678” voor levering) en de nieuwe PIN-code twee keer in. Voor deze PIN kunt u de tekens gebruiken: a-z A-Z 0-9 / .;:- !? () [] {}% +. De PIN moet ten minste 8 tekens lang zijn. Klik op “OK”.

img5

U hebt nu de pincodes gewijzigd en moet doorgaan met het genereren van uw persoonlijke sleutels.

Genereren van sleutels#

Om gegevens en e-mails te versleutelen, moet eerst een sleutelpaar, bestaande uit een openbare sleutel en een particuliere sleutel, worden gegenereerd. De zogenaamde publieke sleutel wordt gebruikt om de gegevens of e-mails te en**crypten. Deze kunt u verspreiden onder iedereen met wie u veilig wilt communiceren (bijvoorbeeld door deze openbaar op uw site te publiceren). De zogenaamde private sleutel wordt gebruikt om de gegevens of berichten **te**crypten. Deze sleutel mag **NOOIT bekend worden gemaakt! Meestal heeft u er ook geen directe toegang toe (zie hieronder), omdat deze veilig is opgeslagen op de Nitrokey. Gebruik de Nitrokey om beide sleutels te maken met behulp van de volgende procedure:

  1. Steek de Nitrokey in een USB poort van uw computer. StartThunderbird

  2. In Thunderbird, selecteer zoals in de volgende afbeelding “OpenPGP” → “Manage Smart Card”

  3. In het “SmartCard details” venster, selecteer “SmartCard” → “Genereer sleutel”

  4. Selecteer in het volgende venster uw e-mailadres waarvoor u sleutels wilt genereren. Controleer of het e-mailadres dat is opgegeven bij “Gebruikers-ID” correct is. U kunt ook aangeven of er een reservekopie van de privésleutel op uw computer moet worden opgeslagen.

img6
  1. Als u geen reservekopie maakt, heeft u geen kans om uw versleutelde gegevens terug te krijgen als de Nitrokey verloren gaat of beschadigd wordt!

img7
  1. Het wordt aanbevolen om deze beveiliging op te slaan. Selecteer “Kopie van de sleutel buiten de Smard Card opslaan”. Voer vervolgens uw persoonlijke wachtwoord voor de reservekopie in onder “Passphrase”. Dit wachtwoord mag niet minder dan 8 tekens lang zijn, en moet zowel hoofdletters als kleine letters en cijfers bevatten. U kunt ook een lange zin gebruiken, maar vermijd bekend proza of lyriek. Ook mag geen naam of bekende term worden gebruikt.

Toegestane tekens: a-z A-Z 0-9 /.,;:-!?( )%+ (geen umlauten ä,ü,ö,Ä,Ü,Ö of ß)

Slecht wachtwoord: qwerty123, ILoveSusi3, Wachtwoord, Als je het kunt dromen, kun je het doen.

Sterk wachtwoord: g(Ak?2Pn7Yn of Ki.stg2bLqzp%d of Een hond met Greeen Earz en Fife poten (spelfouten verhogen de veiligheid)

U hebt dit wachtwoord niet nodig voor uw dagelijkse werk. Het is alleen nodig voor het herstellen van de geheime sleutel, bijv. als u de Nitrokey kwijt bent. Bewaar het wachtwoord daarom op een veilige plaats.

U kunt ook aangeven of en wanneer de sleutel automatisch ongeldig moet worden gemaakt. Dit betekent dat vanaf dat moment geen e-mails meer met deze sleutel kunnen worden versleuteld en dat u een nieuw sleutelpaar moet aanmaken.

  1. Klik tenslotte op “Generate key pair”.

img8
  1. U wordt nu gevraagd of de sleutel moet worden gegenereerd. Bevestig met “Ja”.

img9
  1. Opdat het programma uw sleutels op de stick zou schrijven, moet u de admin PIN en de gebruikers PIN invoeren (hierboven gewijzigd).

img10

Het genereren van de sleutel kan enkele minuten duren. Beëindig het programma niet voortijdig!

  1. Wanneer het aanmaken van de sleutel voltooid is, krijgt u de volgende melding. Er is nu een certificaat aangemaakt waarmee u in geval van nood uw sleutel ongeldig kunt maken. Dit certificaat wordt automatisch opgeslagen met uw private sleutel. Dit moet worden afgedrukt of er moet een back-up van worden gemaakt op ten minste één ander extern medium, zodat u de geldigheid van de sleutels kunt intrekken als uw sleutels en back-ups verloren gaan. Klik op “Ja”

U kunt nu de map selecteren waarin de reservekopie wordt opgeslagen. Deze kopie is versleuteld met uw hierboven ingevoerde wachtwoord. Dit betekent dat niemand de sleutels kan lezen of gebruiken zonder uw wachtwoord. Geef uw wachtwoord aan niemand. Dit bestand met de naam van uw e-mail adres en het achtervoegsel “.asc” moet op een ander medium worden opgeslagen. Nadat u de directory heeft geselecteerd, klikt u op “Opslaan”.

img11
  1. Hier moet u opnieuw uw gebruikers-PIN of passphrase opgeven. Klik dan op “OK”

img12
  1. U ziet nu de melding dat het certificaat is aangemaakt en opgeslagen. Klik op “OK”.

img13
  1. Het genereren van de sleutel is nu voltooid. U kunt nu het programma afsluiten (Bestand - Sluiten).

img14

Uw Nitrokey is gepersonaliseerd en klaar voor gebruik. Veel plezier met de beveiligde e-mail encryptie!