Nieuws

PGP-bedenker verdedigt backdoor in Hushmail

dinsdag 20 november 2007, 10:18 door Redactie, 10 reacties

Twee weken geleden werd bekend dat Hushmail, aanbieder van veilige webmail, de sleutels van haar gebruikers achterhaalt en doorspeelt aan de Amerikaanse overheid. In totaal werden 12 CD's met e-mails, waarvan de afzenders dachten dat ze versleuteld waren, aan justitie overhandigd. Het bedrijf, dat altijd stellig beweerde dat zelfs Hushmail werknemers niet de berichten kunnen lezen, heeft de omschrijving van haar beveiliging aangepast. Nu staat er dat men na ontvangst van een gerechtelijk bevel alles moet doen om zich aan de wet te houden.

"Dat 'alles' omvat ook het sturen van een kwaadaardig Java applet om de passphrase van hun gebruikers naar Hushmail te sturen, om zo de overheid toegang tot alle opgeslagen en in de toekomst te versturen en ontvangen e-mails te geven", zegt Ryan Singel.

Phil Zimmermann, de bedenker van Pretty Good Privacy (PGP), verdedigt het overhandigen van versleutelde e-mails aan de overheid. "Alleen omdat er encryptie wordt gebruikt, wil dat nog niet zeggen dat je tegen het OM beschermd bent. Ze kunnen een service provider dwingen om samen te werken", aldus Zimmerman, die in de adviesraad van Hushmail actief is.

Beide "versleutelde e-mail" opties die Hushmail haar gebruikers aanbiedt zijn af te luisteren. Bij de eerste verstuurt de gebruiker zijn passphrase naar de server, ook al zou het bedrijf die niet opslaan. Bij de tweede optie kan Hushmail een kwaadaardig Java applet sturen.

Grootschalige iFrame hack treft Monster, Toyota en bank

Hoe je een frisdrankautomaat hackt

Reacties (10)

20-11-2007, 10:54 door Anoniem

Beveiliging blijft een kwestie van nadenken. Gelukkig doen
criminelen dat niet altijd, maar helaas weten
opsporingsdiensten daar ook gebruik van te maken als het
simpelweg uitkomt.

20-11-2007, 10:56 door Anoniem

Dat wordt pgp aan de kant doen en iets zoeken dat wel echt veilig is.

20-11-2007, 11:27 door Anoniem

Dit heeft met veiligheid van PGP niets te maken. Je moet
gewoon niet zo stom zijn om een webmail te gebruiken en je
sleutels op andermans servers zetten!

20-11-2007, 18:05 door [Account Verwijderd]

[Verwijderd]

20-11-2007, 21:06 door Anoniem

Door Anoniem
Dit heeft met veiligheid van PGP niets te maken. Je moet
gewoon niet zo stom zijn om een webmail te gebruiken en je
sleutels op andermans servers zetten!

Hahahah, dat meen jij toch niet! De vorige bericht gever
geeft een terechte opmerking. Waarom zou ik nu nog PGP
vertrouwen, niet! Als in je overeenkomst eerst staat
omechreven dat niemand het kan lezen en en later een
aanpassing van de overeenkomt, komt bij mij niet als
vertrouwd over.
Dag reputatie...!!!

20-11-2007, 22:04 door Anoniem

Valt niemand het op dat hij de achterdeur helemaal niet
verdedigt maar aangeeft dat het klip en klaar ontbreken van
beveiliging recht geeft om er bij opsporing ook gebruik van
te maken? Er zit geen achterdeur in hushmail. De beveiliging
is domweg verlegd naar de server waardoor daar de gebruiker
de controle over de beveiliging en zijn gegevens uit handen
heeft gegeven. Dat die gegevens dus gebruikt kunnen worden
binnen de grensen van de wet is niet iets wat een achterdeur
genoemd kan worden. Wie dus beveiliging wil moet zich bij
een aanbod niet afvragen hoe mooi het klinkt maar wat de
inhoud is en de gevolgen zijn. Niets nieuws.

21-11-2007, 09:21 door Anoniem

En zo geldt ditzelfde ook voor de certificaten van b.v. Verisign.
Als daar een gerechtelijk bevel komt worden ook deze vrijgegeven

Ik hou het toch nog maar even bij GPG

21-11-2007, 10:56 door Anoniem

"Hahahah, dat meen jij toch niet! De vorige bericht gever
geeft een terechte opmerking. Waarom zou ik nu nog PGP
vertrouwen, niet!"

Als je niet illegaal bezig bent, heb je van opsporingsinstanties toch niets te
vrezen ? Ik zou het gewoon lekker blijven gebruiken, want in 99% van de
gevallen geeft het meer dan genoeg beveiliging.

En ja, met de huidige wetgeving is het niet meer dan logisch dat ieder
bedrijf dat dit soort diensten levert een methode heeft om aan juridische
verplichtingen te voldoen.

23-11-2007, 08:34 door Anoniem

Door Anoniem

Door Anoniem
Dit heeft met veiligheid van PGP niets te maken. Je moet
gewoon niet zo stom zijn om een webmail te gebruiken en je
sleutels op andermans servers zetten!

je snapt er echt niks van he? elk beveiligingssysteem kan "gekraakt"
worden als ze aan de sleutels kunnen komen. dat heeft niks met pgp te
maken. als je hushmail bedoeld dan heb je meer een punt, maar als je
denkt dat je ergens helemaal veilig bent dat is het toch weer jammer.

23-11-2007, 10:28 door spatieman

zelf iemand die onschuldig is, kan met voor 10 jaar opsluiten.
simpelweg door bewijsmateriaal te vervalsen.

daar zijn overheden immers goed in.
als men beweerd dat met zijn prhasekey gekraakt heeft, en
dat het zinvoller is om te bekennen, moet je al natigheid
ruiken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer