E-mailversleuteling werkt als een hangslot: iedereen kan het dichtdoen, maar alleen de eigenaar kan het weer openmaken. Wil je versleutelde e-mail ontvangen, dan moet je eerst een sleutelpaar (het hangslot) aanmaken, en vervolgens geef je de publieke sleutel (het slotje) aan iedereen, en de geheime sleutel (het sleuteltje) hou je voor jezelf. En omgekeerd, als je naar iemand een versleuteld bericht wilt sturen, heb je eerst de publieke sleutel van die persoon nodig.

Hieronder wat uitleg wat de verschillende acties, en wanneer ze nodig en/of nuttig zijn.

Om een programma te hebben moet je het eerst ergens vandaan halen. Deze stap kan worden overgeslagen wanneer alle nodige bestanden lokaal aanwezig zijn, bijvoorbeeld op usb-sticks.

De meeste programma's moeten geïnstalleerd worden. Meestal betekent dit het gedownloade bestand openen/uitvoeren, met de benodigde beheerdersrechten. Als het om een plug-in gaat, gebeurt het installeren meestal vanuit het basisprogramma.

In asymmetrische cryptografie, waar wij hier gebruik van maken in de vorm van het OpenPGP-protocol, bestaan er sleutelparen: een bericht dat met de ene sleutel wordt versleuteld kan met de andere sleutel worden ontcijferd, en omgekeerd. Het voordeel hiervan is dat je anderen een sleutel kunt geven om berichten naar jou te versleutelen, zonder dat deze personen hierdoor ook andere berichten voor jou kunnen ontcijferen.

Een sleutel is, wiskundig gezien, een erg lang getal, dat op je computer in een bestand van enkele kilobytes wordt opgeslagen. Bij het aanmaken van een sleutelpaar worden twee sleutels gegenereerd: een publieke sleutel, die je met al je contacten kunt delen, en een geheime sleutel, die je nooit aan iemand anders geeft. De geheime sleutel wordt altijd beschermd door een wachtwoord, en je moet dit wachtwoord intypen wanneer je je geheime sleutel gebruikt: om een bericht voor jou te ontcijferen, en om een bericht van jou te ondertekenen.

Om versleutelde berichten te ontvangen moeten je contacten jouw publieke sleutel hebben. Verschillende programma's bieden verschillende mogelijkheden om de sleutel uit te voeren, zodat je deze kunt delen.

Vrijwel elk programma biedt de mogelijkheid om een publieke sleutel uit te voeren naar een bestand. Een sleutelbestand eindigt altijd op .asc. Dit bestand kun je vervolgens per e-mail naar contacten sturen, op je webpagina zetten, op je usb-stick zetten en door mensen laten kopiëren, of op nog een andere manier delen.

Je geheime sleutel geef je nooit aan iemand anders. Waarom zou je deze dan in een bestand willen zetten? De reden om dit te doen is meestal om dezelfde geheime sleutel te kunnen gebruiken in verschillende programma's en/of verschillende apparaten. Bijvoorbeeld als je je mail soms thuis leest, en soms op je mobiele telefoon. Door je geheime sleutel te kopiëren tussen je apparaten kun je een voor jou versleutelde e-mail overal lezen. Zorg wel altijd, dat je het bestand met je geheime sleutel zo snel mogelijk na gebruik verwijdert!

Om het uitwisselen van publieke sleutels te vergemakkelijken, met name voor mensen die jou nog niet kennen, bestaan er sleutelservers. Door jouw publieke sleutel hier neer te zetten kunnen anderen berichten naar jou versleutelen zonder dat ze je eerst een sleutelbestand hoeft te sturen. Het nadeel is wel hierdoor je e-mail ook publiekelijk zichtbaar is: doe dit niet als je e-mailadres geheim is of als je geen spamfilter hebt. Het maakt niet veel uit welke server je kiest, omdat de meeste servers regelmatig informatie uitwisselen.

Door iemands sleutel in te voeren uit een bestand of server kun je voortaan naar deze persoon versleutelde berichten sturen, en je kunt de ondertekeningen van deze persoon controleren.

Je kunt een sleutelbestand ontvangen via e-mail, downloaden van een webpagina, kopiëren van iemands usb-stick, enzovoorts. Door het in te voeren in je versleutelprogramma kun je de sleutel gebruiken.

Vaak kun je iemands publieke sleutel op een sleutelserver vinden en hoef je de persoon niet hierom te vragen. Je kunt zoeken op e-mailadres, op naam, of op sleutel-ID. Je kunt nooit zeker zijn, dat een publieke sleutel op internet daadwerkelijk door die persoon is aangemaakt. Controleer daarom waar mogelijk aan de hand van aanmaakdatum, sleutel-ID en andere kenmerken of dit de juiste sleutel is. Aan de andere kant weet je na een aantal ondertekende berichten meestal wel of de gebruiker van die sleutel schrijft zoals de persoon die jij kent.

Door een e-mail te versleutelen kan niemand het lezen behalve de bedoelde ontvanger, zelfs als het bericht onderschept wordt door aftappen. Voor het versleutelen van een bericht is één van de twee sleutels nodig; dit is altijd iemands publieke sleutel, zodat alleen die persoon het bericht zal kunnen lezen met zijn/haar geheime sleutel. In de praktijk versleutelen de meeste programma's berichten met zowel de sleutel van de ontvanger als met je eigen publieke sleutel, zodat je zelf het verzonden bericht later nog kunt lezen.

Voor het ontcijferen van een versleuteld bericht is de bijpassende geheime sleutel nodig. En omdat geheime sleutels altijd worden bewaakt door een wachtwoord, moet je om een bericht aan jou te kunnen ontcijferen je wachtwoord intypen. Wat er vervolgens met het bericht gebeurt hangt af van het programma: soms wordt het in leesbare vorm opgeslagen, soms moet je elke keer opnieuw je wachtwoord intypen. Gelukkig is het meestal wel zo, dat na het intypen van je wachtwoord dit voor een bepaalde periode wordt onthouden: soms 5 minuten, soms 15 minuten.

Door een bericht te ondertekenen geef je een wiskundig bewijs, dat niemand anders dan jij dit bericht geschreven kan hebben. De tekst kan dus niet onderweg veranderd worden. Ondertekening werkt hetzelfde als versleuteling, alleen gebruik je nu je geheime sleutel, zodat iedereen die je publieke sleutel heeft nu de echtheid van het bericht kan controleren. Aangezien geheime sleutels altijd worden bewaakt door een wachtwoord, moet je om een bericht te ondertekenen je wachtwoord intypen (tenzij het nog opgeslagen wordt door het programma na recent gebruik).

De meeste versleutelprogramma's herkennen ondertekeningen automatisch en geven aan of een bericht goed is ondertekend of niet: hier hoef je niets voor te doen. De ondertekening kan alleen gecontroleerd worden als je de sleutel van de verzender al hebt. Is dat niet zo, dan is er soms de mogelijkheid om de gebruikte sleutel meteen te zoeken op een sleutelserver.