Hoe Gmail-e-mails op iPhone te versleutelen voor extra e-mailbeveiliging
Gmail gebruikt standaard TLS of transportlaagbeveiliging voor alle e-mailberichten, dus al uw e-mails gebruiken standaardversleuteling zolang de ontvangers ook TLS ondersteunen. Maar er is een manier om de beveiliging van uw Gmail-e-mail verder te verbeteren, en u kunt hiervoor de Mail-app op uw iPhone gebruiken.
Apple ondersteunt S/MIME, of Secure/Multipurpose Internet Mail Extensions, op de iPhone sinds iOS 5, meer dan tien jaar geleden. S/MIME is een veelgebruikt cryptografisch protocol voor het verzenden en ontvangen van digitaal ondertekende versleutelde berichten, dat bovenop het Gmail TLS-systeem draait. S/MIME is vergelijkbaar met PGP of Pretty Good Privacy die ProtonMail, FlowCrypt en Hushmail gebruiken.
TLS, gebruikt door Gmail, versleutelt de tunnel tussen mailservers, waardoor het voor hackers moeilijker wordt om berichten die onderweg zijn af te luisteren of te bespieden. Ook de verbinding tussen mailclients en mailservers is versleuteld. Dus zolang u communiceert met iemand wiens e-mailprovider TLS gebruikt, is de retourroute veilig. E-mail blijft echter aan beide kanten kwetsbaar.
Waarom u S/MIME-codering voor Gmail zou moeten gebruiken
Gmail kan uw e-mails scannen op slimme functies zoals malwaredetectie, agenda-integratie en automatisch aanvullen, dus als een e-mail een bijzonder gevoelig onderwerp heeft, wilt u deze misschien verder beveiligen. Gmail-servers kunnen op een dag ook worden gehackt door aanvallers, waardoor hackers toegang kunnen krijgen tot al uw gegevens.
Bovendien kan een hacker fysieke toegang krijgen tot het apparaat van een gebruiker om naar diens e-mail te zoeken, of malware installeren om e-mail op afstand te bekijken. Ze kunnen zelfs het e-mailaccount van de gebruiker rechtstreeks aanvallen via het kraken van wachtwoorden , social engineering en andere aanvalsvectoren voor onbelemmerde toegang.
Bij gebruik van S/MIME gebruiken zowel jij als de ontvanger een CA-certificaat om Gmail-berichten end-to-end te versleutelen. Om ze een gecodeerde e-mail te sturen, heb je hun openbare sleutel nodig en zij hebben je openbare sleutel nodig om je beveiligde berichten te sturen. Om de berichten te lezen, gebruikt ieder van u uw persoonlijke sleutel die is gekoppeld aan de openbare sleutel om de inhoud te decoderen.
Gmail ondersteunt rechtstreeks S/MIME, maar alleen voor betaalde Google-taken en de werkruimtebeheerder moet deze functie inschakelen. Je kunt de S/MIME-ondersteuning van Gmail niet gebruiken op je persoonlijke Gmail-account, en hier komt een privé S/MIME-certificaat om de hoek kijken. Het is eenvoudig om S/MIME in te stellen in de iOS Mail-app als je een persoonlijk certificaat voor je e-mailadres hebt.
Merk op dat dit voorbeeld persoonlijke Gmail-adressen gebruikt voor zowel de afzender als de ontvanger. In een Exchange-omgeving zal dat anders zijn, tenzij je praat met mensen die geen Exchange gebruiken.
Ontvang een S/MIME-certificaat voor uw Gmail-adres
Om S/MIME te gebruiken, hebt u een S/MIME-certificaat van een CA nodig. Over het algemeen kosten S/MIME-certificaten geld, maar sommige bedrijven geven demo- of gratis certificaten uit die voor een beperkte tijd geldig zijn. Als je het leuk vindt hoe het werkt, kun je betalen voor een abonnement. Een persoonlijk GlobalSign S/MIME-certificaat kost bijvoorbeeld $ 59 per jaar, maar er wordt een demoversie aangeboden om te proberen.
Voor deze zelfstudie gebruik ik Actalis omdat het een van de weinige CA’s is die een gratis eenjarig certificaat voor persoonlijk gebruik aanbiedt. U kunt zelfs na een jaar opnieuw een nieuw certificaat aanvragen, volgens het beleid:
9.1 Vergoedingen
Certificaten uitgegeven onder deze polis worden gratis verstrekt (dat wil zeggen gratis). Per uniek e-mailadres wordt echter maximaal 1 certificaataanvraag per jaar geaccepteerd.
Andere CA’s die u kunt bekijken, zijn SSL ($ 20- $ 30/jaar) en Sectigo ($ 13,99- $ 39,99/jaar). U kunt op verzoek een gratis proefversie of een gratis beperkt certificaat krijgen.
Installeer een S/MIME-certificaat op uw iPhone
Nadat u zich heeft aangemeld voor een persoonlijk S/MIME-certificaat, moet het bedrijf u een wachtwoord voor het certificaat geven en u een PFX-bestand, ook wel PKCS #12 genoemd, of een ZIP-bestand met de PFX e-mailen. Een PFX-bestand is een met een wachtwoord beveiligd certificaatarchief dat een volledig certificaat met openbare en privésleutels bevat. Bewaar dit op je iPhone in de Bestanden-app om het veilig te bewaren.
Pak vervolgens het bestand indien nodig uit en klik op het PFX-bestand dat het certificaat als een profiel naar uw iPhone zal downloaden. Klik op “Sluiten” in het bericht “Profiel geladen”. Open vervolgens “Instellingen” en klik bovenaan op “Profiel geladen”. (Je kunt het ook vinden via Instellingen -> Algemeen -> VPN & Apparaatbeheer.)
Klik vervolgens op “Installeren”, voer uw iPhone-toegangscode in en klik nogmaals op “Installeren”.
Klik nu op “Installeren” bij de prompt. Voordat u het echter kunt installeren, moet u het wachtwoord invoeren dat de CA u heeft gegeven toen u zich aanmeldde voor het certificaat. Klik op Volgende en vervolgens op Voltooien. U zou nu uw e-mailadres moeten zien als een configuratieprofiel in uw instellingen voor VPN en apparaatbeheer.
- Mis het niet: verwijder ongewenste profielen en certificaten op uw iPhone om uw privacy en veiligheid te beschermen
Schakel S/MIME in voor uw Gmail-adres
U kunt nu het certificaat voor uw Gmail-e-mailadres activeren met behulp van het gedownloade certificaat. Ga naar Instellingen -> Mail -> Accounts en selecteer je Gmail-account. Tik vervolgens bovenaan op het e-mailadres van uw account en selecteer Meer.
Hier moet je naar “Ondertekenen” en “Standaard versleutelen” gaan en ze inschakelen. De eerste voegt een geverifieerde handtekening toe aan uw e-mail, zodat de ontvanger weet dat deze van u afkomstig is en niet van iemand anders. De tweede past waar mogelijk codering toe op alle uitgaande e-mails van het Gmail-adres in uw e-mailapp. Als u alleen wilt dat ontvangers weten dat de e-mail zeker van u afkomstig is, gebruik dan een handtekening maar schakel codering uit.
Terug in Geavanceerde Gmail-accountinstellingen, zou het “Ja” moeten zeggen tegen beide opties, of op zijn minst de een of de ander, afhankelijk van wat je eruit wilt halen.
Vraag de ontvanger om stappen 1-3 uit te voeren
Het is tweerichtingsverkeer, dus je kunt nooit end-to-end encryptie gebruiken, tenzij de persoon met wie je praat ook een certificaat heeft. Zodra ze het hebben, moeten jullie allebei de openbare sleutels verwisselen omdat ze berichten zullen versleutelen. De privésleutel ontsleutelt en leest vervolgens inkomende berichten van de bijbehorende openbare sleutel.
Verwissel openbare sleutels
Vraag de persoon met wie u end-to-end-codering wilt gebruiken om u een e-mail te sturen nadat zij hun certificaat hebben ingesteld in de Mail-app. Tik in de e-mail die je hebt ontvangen op hun naam in het veld Van, waar nu een blauw vinkje naast moet staan, zodat je weet dat hun handtekening geldig is. Klik op hun contactpagina op Certificaat bekijken, vervolgens op Installeren en vervolgens op Voltooien.
Stuur ze daarna een e-mail en vraag ze hetzelfde te doen om uw openbare sleutel aan hun apparaat toe te voegen. Als u een bericht “Kan niet coderen” ziet met een rood hangslot doorgestreept, moet u op “Toch verzenden” klikken nadat u het probeert te verzenden. U kunt ook op hetzelfde hangslotpictogram klikken om de codering uit te schakelen, die als een standaard e-mail wordt verzonden met uw openbare sleutelcertificaat.
Verstuur en ontvang versleutelde e-mails
Wanneer u een end-to-end gecodeerd bericht naar een ontvanger wilt sturen, maakt u een nieuw concept en voegt u hun naam toe in het veld “Aan”. Je zou nu een blauw hangslotpictogram naast hun naam moeten zien, wat aangeeft dat codering is ingeschakeld en er zou bovenaan het venster “Gecodeerd” moeten staan.
Als u een normaal bericht wilt verzenden, tikt u gewoon op het blauwe hangslotpictogram rechts van het veld “Aan” en de codering wordt deze keer uitgeschakeld. U zult het weten omdat “Versleuteld” van bovenaf zal verdwijnen en het hangslotpictogram zal worden doorgestreept.
U weet dat ontvangen berichten met succes zijn versleuteld als u het slotpictogram ziet naast hun naam in het veld Van. Als u alleen een vinkje ziet, betekent dit dat het is ondertekend maar niet versleuteld. Reacties worden ook versleuteld, tenzij ze per bericht zijn uitgeschakeld.
U kunt de e-mailstatus controleren door op de naam van de andere persoon te tikken in het veld “Aan” of “Van” van het bericht en u ziet “Ondertekend”, “Versleuteld”, “beide” of “geen van beide” in hun certificaat.
Installeer certificaten op andere apparaten (optioneel)
Als u versleutelde Gmail-e-mails van Mail op uw iPad of Mac wilt lezen, kunt u dit niet doen omdat ze niet kunnen worden ontsleuteld. U moet de privésleutel installeren op alle apparaten die u gebruikt met Mail, dat e-mails ontsleutelt. Voor iPadOS is het proces hetzelfde als hierboven beschreven. MacOS is een beetje anders, maar vrij intuïtief in te stellen.
U kunt ook S/MIME-certificaten gebruiken voor e-mailadressen die niet van Gmail zijn, zoals Outlook, Yahoo, AOL, enzovoort, zodat u niet beperkt bent tot veilige communicatie tussen Gmail.
Geef een reactie