image

"Alleen Google kan e-mail encryptie succes maken"

maandag 26 oktober 2009, 10:58 door Redactie, 15 reacties

Het versleutelen van e-mail zal zowel binnen bedrijven als bij eindgebruikers nooit een succes worden, tenzij Google encryptie voor Gmail zal gaan invoeren, zo stelt beveiligingsgoeroe Bruce Schneier. Zelf versleutelt hij nooit zijn e-mailberichten, behalve in zeer bijzondere gevallen. Oorspronkelijk dacht Schneier dat encryptie zou doorbreken als het standaard in grote e-mail clients als Outlook, Thunderbird en Opera stond ingeschakeld, maar vandaag de dag lezen de meeste mensen hun e-mail via de browser en gebruiken helemaal geen lokale e-mail client meer. "Mensen zullen versleutelde e-mail gaan gebruiken als diensten zoals Gmail dit standaard aanbieden. Dat betekent in principe nooit."

De technologie is ook bij bedrijven geen groot succes. "Omdat er geen reden is om bedrijfsmail te versleutelen", zo merkt Schneier op. In eerste instantie dacht men dat kwaadwillenden berichten tussen twee partijen zouden kapen. "Maar dat is niet het echte risico voor internet communicatie. Niemand onderschept e-mailberichten om creditcardnummers en bedrijfsgeheimen te stelen." Aanvallers proberen vandaag de dag toegang tot servers en bedrijfsnetwerken te krijgen voordat de e-mails verstuurd worden of nadat ze ontvangen zijn. "E-mail encryptie beschermt helemaal niet tegen die dreiging. Het grootste risico is als de data rust, niet wanneer het beweegt." Harde schijf encryptie is dan ook een veel betere oplossing dan e-mail encryptie. "En zelfs goede netwerkbeveiliging is effectiever."

Aangezien de NSA alle elektronische communicatie opzuigt, waaronder e-mail, is het wel een goed idee om regelmatig e-mailberichten te versleutelen. "Aangezien de meeste bedrijven de NSA niet als een bedreiging zien, ze zouden aan de goede kant staan, staat het verdedigen er tegen niet hoog op de lijst van een Chief Security Officer."

Privacy
In dit interview gaat Schneier ook in op de vraag dat mensen niets om hun privacy zouden geven. Dat is volgens de beveiligingsgoeroe niet waar, wat ook uit meerdere onderzoeken blijkt. "Wat je werkelijk wilt weten, is waarom, als mensen om hun privacy geven, ze hun privacy voor zo weinig opgeven?" Een lastige en complexe vraag, iets wat psychologen nog niet voldoende zouden onderzoeken. "In het kort heeft het te maken met de directe en lange termijn gevolgen, het feit dat privacy iets is dat mensen niet merken totdat het weg is en hoe saillant privacy is als men het besluit maakt."

De grootste bedreiging is volgens Schneier op dit moment niet afkomstig van overheid of criminelen, maar van informatie handelaren. "Die schaden de privacy meer dan overheden en criminelen kunnen doen. En erger nog, de overheid kan informatie van hen kopen en criminelen kunnen hun databases kraken."

Reacties (15)
26-10-2009, 11:09 door Anoniem
"Mensen zullen versleutelde e-mail gaan gebruiken als diensten zoals Gmail dit standaard aanbieden. Dat betekent in principe nooit."

Dat klopt op zich, maar zolang de ontvanger geen encryptie ondersteund, en niet over de juiste keys beschikt, is versleuteling door de verzender op server niveau natuurlijk nutteloos. Daarnaast denk ik dat er ook veel meer aandacht zou moeten zijn voor bijvoorbeeld het versleutelen van webmail, pop3 en smtp om confidentiality te waarborgen.
26-10-2009, 11:13 door Syzygy
He Broes, hoe kom je daar nou weer bij ??

"Oorspronkelijk dacht Schneier dat encryptie zou doorbreken als het standaard in grote e-mail clients als Outlook, Thunderbird en Opera stond ingeschakeld, maar vandaag de dag lezen de meeste mensen hun e-mail via de browser en gebruiken helemaal geen lokale e-mail client meer. "

Verder kan me wel vinden in zijn verhaal.

Je moet het wel een beetje in de context van Amerika zien maar als het daar regent druppelt het hier.
26-10-2009, 11:18 door Martijn Brinkers
Het lijkt alsof hij zichzelf tegenspreekt

Hij zegt:

When will we see more people using encryption for communications, people who aren't geeks and privacy freaks?
[snip].... People will start using encrypted e-mail when services like Gmail offer encrypted e-mail by default. That means, basically, never.

En zegt vervolgens:

“What do you think are the most serious legitimate threats to consumer privacy?
Schneier: Marketing. The legal collection, storage, resale, and reuse of personal information. Information brokers are doing more to hurt consumer privacy than anything criminals or the government can do. And, even worse, the government can buy information from them, and criminals can break into their databases.”

Laat nou net Google de grootste 'data-miner' van het net zijn. Ik snap zijn conclusie dat “...there's no real reason to encrypt corporate e-mail” dus niet helemaal. Zeker nu steeds meer gebruikers, ook zakelijk, Gmail etc. gebruiken.
26-10-2009, 11:21 door Anoniem
Woehaha! Google? Yeah, sure! Die is zo lekker bezig met onze privacy.
26-10-2009, 11:46 door Anoniem
"Laat nou net Google de grootste 'data-miner' van het net zijn. Ik snap zijn conclusie dat “...there's no real reason to encrypt corporate e-mail” dus niet helemaal. Zeker nu steeds meer gebruikers, ook zakelijk, Gmail etc. gebruiken."

De encryptie zal niet werken om Google buiten de deur te houden, aangezien Google over de key beschikt. Echter zal het wel helpen tegen een hoop andere bedreigingen, dus wat dat betreft heeft het meerwaarde.

"De technologie is ook bij bedrijven geen groot succes. "Omdat er geen reden is om bedrijfsmail te versleutelen", zo merkt Schneier op."

Er is meer dan genoeg reden bij bedrijven om encryptie te gebruiken, zeker bij de uitwisseling van confidential information. Verder is encryptie binnen een bedrijf meestal niet zo'n probleem, wanneer het email verkeer met derde partijen betreft wordt server-level encryptie een stuk lastiger, doordat servers van andere bedrijven de mail niet kunnen decrypten (al kan je natuurlijk clients als PGP gebruiken).
26-10-2009, 11:49 door Anoniem
Aanvallers proberen vandaag de dag toegang tot servers en bedrijfsnetwerken te krijgen voordat de e-mails verstuurd worden of nadat ze ontvangen zijn.

Ik weet niet wat voor client Bruce gebruikt, maar bij mij wordt de mail pas in de client ontsleuteld. Op de server staat hij mooi in versleuteld formaat.

Peter
26-10-2009, 11:49 door Anoniem
"Alleen Google kan e-mail encryptie succes maken"

Volgens mij kan je Google vervangen door iedere willekeurige mailaanbieder. Wat dat betreft snap ik Schneier niet, wat maakt het uit of het hier gaat over Gmail, Hotmail, of mail accounts bij reguliere ISP's ?
26-10-2009, 12:43 door _Peterr
FireGPG extensie installeren in FireFox en dan heb je Encyptie op je gmail.
26-10-2009, 12:47 door Anoniem
De problemen welke geschetst worden in het artikel van Bruce Schneier zijn allemaal opgelost in het operationele Freemove Quantum Exchange proof-of-concept systeem. Ik zal dit uitleggen aan de hand van een Public-Key Cryptography gebruiksvoorbeeld. Leden van een Freemove Quantum Exchange Group delen elkaars Public-Keys. Alleen de leden hebben elkaars public-key en alleen de ontvanger van encrypte email berichten kent de Private-Key welke noodzakelijk is om een met een Public-Key encrypt bericht of file te decrypten. De Private-Key worden gegenereerd met provable true quantum randomness en valt dus niet te raden. Optioneel kan gebruik gemaakt worden van een Public-Key encryptie systeem met een Informatie-Theoretisch bewijsbare onomkeerbare encryptie functie zodat ook Informatie-Theoretisch bewezen kan worden dat de private-key niet uitlekt als de public-key en de encrypte berichten bekend zouden zijn bij een attacker. Encryptie en Decryptie kan optioneel gedaan worden op een offline PC (zoals een laptop) zodat de gebruikte Private-Key niet kan uitlekken mocht de communicatie PC gekraakt wordt. Dit systeem wordt al jaren tot volle tevredenheid gebruikt. Op de link
http://www.wuala.com/freemovequantumexchange is gratis software te downloaden om dit systeem te proberen (Informatie-Theoretisch veilige functies zitten niet in deze gratis software). Het systeem maakt ook geen gebruik van email servers zodat "data in ruste" (zoals bedoeld in het bovenstaande artikel) niet op het internet te vinden is. Niet alleen Public-Key Cryptography (zoals PGP en Informatie-Theoretisch bewijsbaar One-Way) maar ook Private-Key Cryptography worden ondersteund door dit systeem, al dan niet Informatie-Theoretisch bewijsbaar.
26-10-2009, 12:55 door spatieman
google en encrypty.
die zetten dus de sleutel netjes op hun server zodat iedereen er aan kan komen.
26-10-2009, 12:57 door Anoniem
Dan krijg je weer de Duitse overheid of iets dergelijks die google (hushmail) dwingt een trojan te sturen naar een bepaalde gebruiker.

Je private key hebben ze al. Onder druk van de politie hebben ze het wachtwoord dat daarbij hoort ook snel te pakken.

http://www.wired.com/threatlevel/2007/11/pgp-creator-def/
http://www.theregister.co.uk/2003/08/21/net_anonymity_service_backdoored/
26-10-2009, 13:22 door Anoniem
Door Anoniem:
Aanvallers proberen vandaag de dag toegang tot servers en bedrijfsnetwerken te krijgen voordat de e-mails verstuurd worden of nadat ze ontvangen zijn.

Ik weet niet wat voor client Bruce gebruikt, maar bij mij wordt de mail pas in de client ontsleuteld. Op de server staat hij mooi in versleuteld formaat.

Peter
Precies, en dat deelt mee aan een logistiek probleem, of beter gezegd, een mogelijk 'gat' in de beveiliging.

Op de namelijk server wel; en mogelijk ook encrypted verstuurd naar je browser.

Echter, en daar wringt de schoen, in de browser aangekomen, toont je browser de decrypted content.

Een process dat het geheugen scanned kan dit dus unencrypted in ruig geheugen aantreffen......
28-10-2009, 09:43 door carolined
Door Anoniem: het operationele Freemove Quantum Exchange proof-of-concept systeem. .

Klinkt toch heel erg als het gewone standaard PGP/GPG.....

Peterr FireGPG extensie installeren in FireFox en dan heb je Encyptie op je gmail..
En daarmee werkt dit wel zo gemakkelijk.
28-10-2009, 12:22 door KwukDuck
Als google al ooit met zo iets komt zal het wel een eigen systeem zijn en geen implementatie van gpg/pgp.
Wat het voor mij ook al weer zo goed als waardeloos maakt.
02-11-2009, 09:20 door Anoniem
Door carolined:
Door Anoniem: het operationele Freemove Quantum Exchange proof-of-concept systeem. .

Klinkt toch heel erg als het gewone standaard PGP/GPG.....

Peterr FireGPG extensie installeren in FireFox en dan heb je Encyptie op je gmail..
En daarmee werkt dit wel zo gemakkelijk.

Het Freemove Quantum Exchange Systeem ondersteund standaard PGP/GPG. Echter wordt Quantum Randomness gebruikt in plaats van Pseudo Randomness. Optioneel ondersteund het systeem ook Informatie-Theoretisch bewijsbare veiligheid bovenop rekenkundige veiligheid zoals AES, PGP/GPG. Beide opties zijn echter niet in de standaard software opgenomen welke gedownload kan worden op http://www.wuala.com/FreemoveQuantumExchange/Downloads/ Deze standaard software vormt het platform waarop de Freemove Quantum Exchange Software draait.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.