End-to-end versleuteling werkt natuurlijk alleen als beide einden dezelfde methode gebruiken. Ik gebruik bij veel van mijn contacten al PGP om mail te versleutelen. Ik heb in Thunderbird zelfs bij bepaalde accounts ingesteld dat als ik de sleutel van de ontvangers ken, er automatisch versleuteld wordt.

Thunderbird ondersteunt ook X.509 voor versleuteling. Daar wordt volgens mij nog minder gebruik van gemaakt dan van PGP. Het wordt echter wel door meer clients native ondersteunt. Dus ja, ook die gebruik ik soms.

Peter

Dit vind ik vreemde redenaties, om meerdere redenen:

(1) Je bent niet verplicht om mailversleuteling te gebruiken. Als je het niet wilt gebruiken vanwege gebruikersgemak, slecht sleutelmanagement of wat voor reden dan ook: prima. Er zijn echter aanzienlijk wat mensen die het wel handig vinden en waarvoor de genoemde redenen niet zwaar wegen. Door het toevoegen van versleuteling kun je mensen in ieder geval de keuze geven om gericht berichten te versleutelen (denk aan auditrapporten, gevoelige dossiers die met leveranciers worden uitgewisseld etc).

(2) Het klopt dat een computer in beslag kan worden genomen. Maar het gaat ook om de moeite die moet worden gedaan om achter informatie te komen. Vergelijk het met de beveiliging van een huis. Zet ik geen sloten op mijn deur omdat de politie of geoefende inbrekers toch wel binnen komen? Er kan in ieder geval een drempel worden opgeworpen, en dat geldt ook voor e-mail.

(3) Wie vormt precies de bedreiging die met e-mailversleuteling gepareerd moet worden? Als het de overheid is, dan zou ik juíst versleuteling toepassen. Snowden gaf al aan dat geode versleuteling momenteel niet te kraken is. Als het de overheid niet is, dan houdt het argument aangaande inbeslagname geen stand

Hoe moet ik dat begrijpen? Ik heb nu al een GnuPG plugin geinstalleerd bij Thunderbird, gaan ze die dan in het pakket zelf toevoegen samen met GnuPG en een optie om keys te genereren?

Kent James vermeldt helemaal achteraan zijn blog-artikel "interesting conversations with Volker Birk of Pretty Easy Privacy about working with them". De link naar PEP (http://pep-project.org/2015-08/) leidt naar een website waaruit wel (rechts in het kadertje) meldt dat het onder meer op GPG gebaseerd is, maar verder is die website ongelofelijk non-informatief. Het lijken een soort korte nieuwsberichtjes te zijn en ik zie geen enkele link naar een uitleg van wat hun software doet, kennelijk hebben ze niet door dat bezoekers van hun website dat mogelijk nog niet weten en baat hebben bij een inleiding. Dat roept bij mij de vraag op of die mensen wel in staat zijn om iets "pretty easy" voor een ander te maken.

Toen ik voor het eerst kennismaakte met PGP, ergens halverwege de jaren '90, legde (zo herinner ik het mij althans) Phil Zimmerman op zijn website het nut van PGP uit door het met een envelop om een brief te vergelijken: de encryptie voorkwam in die vergelijking de e-mail onderweg niet leesbaar was voor anderen. Als je het zo gebruikt dan zou je na ontvangst de envelop moeten kunnen weggooien en alleen de plain-text-versie met digitale handtekening van de verzender moeten kunnen bewaren.

En zo zou ik het willen gebruiken. Ik gebruik momenteel claws als e-mail-client en alle e-mails, mijn adresboek en instellingen staan in een met encfs versleutelde directory. De GPG-plugin van claws biedt helaas geen mogelijkheid om na ontsleutelen een e-mail door de plain-text-versie te vervangen. Ik geloof dat het in Thunderbird met enigmail was (dat gebruikte ik inmiddels heel wat jaren geleden) dat die mogelijkheid in een menu wel aanwezig leek te zijn, alleen deed hij niets (het kan zijn dat hij crashte) en kon ik geen documentatie vinden van hoe hij verondersteld werd te werken.

Afhankelijk van de situatie kan het natuurlijk ook noodzakelijk zijn om de e-mail alleen met de originele versleuteling te bewaren. Maar als je versleuteling als het equivalent van een envelop gebruikt moet je niet verplicht worden om de brief in die envelop te bewaren, je moet de envelop makkelijk permanent kunnen verwijderen. Sommige mensen denken dat het gebruik van GPG impliceert dat de inhoud permanent als top-secret behandeld moet worden en dat onversleuteld bewaren taboe is. Ik meen me te herinneren dat bij een ontwikkelaar van een GPG-plugin te zijn tegengekomen. Die houding blokkeert de mogelijkheid dat je GPG als degelijke envelop en meer niet gebruikt. Heel jammer.

Mensen die hun e-mail bij een provider laten staan moeten zich natuurlijk afvragen wat dat voor consequenties heeft voor het al dan niet versleuteld willen bewaren van die e-mails. Maar dat is een ander probleem dat je altijd hebt met data "in de cloud".

Leuk idee, waartegen beschermen ? Afluisteren van communicatie: dus beschermen van de communicatie is van belang.
Dus wat is er mis met PGP of SSL mail aanbieders?
Of gebruik daarnaast een veilig web-interface, zoals Tutanota

Doen!

De Enigmail-plugin werkt prima, dus waarom out-of-the-box toevoegen?
De mailencryptie-discussie loopt inmiddels al zo'n 30 jaar - óók binnen de overheid - dus de ins-en-outs mogen wel bekend zijn (encrypted mail valt onder briefgeheim, non-encrypted mail (vgl. briefkaart) niet, met alle consequenties van dien).
Niemand verplicht je je mail te encrypten, maar dan kun je achteraf niet klagen dat iemand anders dan de geadresseerde je mail heeft gelezen. Maar je had tóch al niets te verbergen, toch?