"Alleen Google kan e-mail encryptie succes maken"
Het versleutelen van e-mail zal zowel binnen bedrijven als bij eindgebruikers nooit een succes worden, tenzij Google encryptie voor Gmail zal gaan invoeren, zo stelt beveiligingsgoeroe Bruce Schneier. Zelf versleutelt hij nooit zijn e-mailberichten, behalve in zeer bijzondere gevallen. Oorspronkelijk dacht Schneier dat encryptie zou doorbreken als het standaard in grote e-mail clients als Outlook, Thunderbird en Opera stond ingeschakeld, maar vandaag de dag lezen de meeste mensen hun e-mail via de browser en gebruiken helemaal geen lokale e-mail client meer. "Mensen zullen versleutelde e-mail gaan gebruiken als diensten zoals Gmail dit standaard aanbieden. Dat betekent in principe nooit."
De technologie is ook bij bedrijven geen groot succes. "Omdat er geen reden is om bedrijfsmail te versleutelen", zo merkt Schneier op. In eerste instantie dacht men dat kwaadwillenden berichten tussen twee partijen zouden kapen. "Maar dat is niet het echte risico voor internet communicatie. Niemand onderschept e-mailberichten om creditcardnummers en bedrijfsgeheimen te stelen." Aanvallers proberen vandaag de dag toegang tot servers en bedrijfsnetwerken te krijgen voordat de e-mails verstuurd worden of nadat ze ontvangen zijn. "E-mail encryptie beschermt helemaal niet tegen die dreiging. Het grootste risico is als de data rust, niet wanneer het beweegt." Harde schijf encryptie is dan ook een veel betere oplossing dan e-mail encryptie. "En zelfs goede netwerkbeveiliging is effectiever."
Aangezien de NSA alle elektronische communicatie opzuigt, waaronder e-mail, is het wel een goed idee om regelmatig e-mailberichten te versleutelen. "Aangezien de meeste bedrijven de NSA niet als een bedreiging zien, ze zouden aan de goede kant staan, staat het verdedigen er tegen niet hoog op de lijst van een Chief Security Officer."
Privacy
In dit interview gaat Schneier ook in op de vraag dat mensen niets om hun privacy zouden geven. Dat is volgens de beveiligingsgoeroe niet waar, wat ook uit meerdere onderzoeken blijkt. "Wat je werkelijk wilt weten, is waarom, als mensen om hun privacy geven, ze hun privacy voor zo weinig opgeven?" Een lastige en complexe vraag, iets wat psychologen nog niet voldoende zouden onderzoeken. "In het kort heeft het te maken met de directe en lange termijn gevolgen, het feit dat privacy iets is dat mensen niet merken totdat het weg is en hoe saillant privacy is als men het besluit maakt."
De grootste bedreiging is volgens Schneier op dit moment niet afkomstig van overheid of criminelen, maar van informatie handelaren. "Die schaden de privacy meer dan overheden en criminelen kunnen doen. En erger nog, de overheid kan informatie van hen kopen en criminelen kunnen hun databases kraken."
Dat klopt op zich, maar zolang de ontvanger geen encryptie ondersteund, en niet over de juiste keys beschikt, is versleuteling door de verzender op server niveau natuurlijk nutteloos. Daarnaast denk ik dat er ook veel meer aandacht zou moeten zijn voor bijvoorbeeld het versleutelen van webmail, pop3 en smtp om confidentiality te waarborgen.
"Oorspronkelijk dacht Schneier dat encryptie zou doorbreken als het standaard in grote e-mail clients als Outlook, Thunderbird en Opera stond ingeschakeld, maar vandaag de dag lezen de meeste mensen hun e-mail via de browser en gebruiken helemaal geen lokale e-mail client meer. "
Verder kan me wel vinden in zijn verhaal.
Je moet het wel een beetje in de context van Amerika zien maar als het daar regent druppelt het hier.
Hij zegt:
When will we see more people using encryption for communications, people who aren't geeks and privacy freaks?
[snip].... People will start using encrypted e-mail when services like Gmail offer encrypted e-mail by default. That means, basically, never.
En zegt vervolgens:
“What do you think are the most serious legitimate threats to consumer privacy?
Schneier: Marketing. The legal collection, storage, resale, and reuse of personal information. Information brokers are doing more to hurt consumer privacy than anything criminals or the government can do. And, even worse, the government can buy information from them, and criminals can break into their databases.”
Laat nou net Google de grootste 'data-miner' van het net zijn. Ik snap zijn conclusie dat “...there's no real reason to encrypt corporate e-mail” dus niet helemaal. Zeker nu steeds meer gebruikers, ook zakelijk, Gmail etc. gebruiken.
De encryptie zal niet werken om Google buiten de deur te houden, aangezien Google over de key beschikt. Echter zal het wel helpen tegen een hoop andere bedreigingen, dus wat dat betreft heeft het meerwaarde.
"De technologie is ook bij bedrijven geen groot succes. "Omdat er geen reden is om bedrijfsmail te versleutelen", zo merkt Schneier op."
Er is meer dan genoeg reden bij bedrijven om encryptie te gebruiken, zeker bij de uitwisseling van confidential information. Verder is encryptie binnen een bedrijf meestal niet zo'n probleem, wanneer het email verkeer met derde partijen betreft wordt server-level encryptie een stuk lastiger, doordat servers van andere bedrijven de mail niet kunnen decrypten (al kan je natuurlijk clients als PGP gebruiken).
Ik weet niet wat voor client Bruce gebruikt, maar bij mij wordt de mail pas in de client ontsleuteld. Op de server staat hij mooi in versleuteld formaat.
Peter
Volgens mij kan je Google vervangen door iedere willekeurige mailaanbieder. Wat dat betreft snap ik Schneier niet, wat maakt het uit of het hier gaat over Gmail, Hotmail, of mail accounts bij reguliere ISP's ?
http://www.wuala.com/freemovequantumexchange is gratis software te downloaden om dit systeem te proberen (Informatie-Theoretisch veilige functies zitten niet in deze gratis software). Het systeem maakt ook geen gebruik van email servers zodat "data in ruste" (zoals bedoeld in het bovenstaande artikel) niet op het internet te vinden is. Niet alleen Public-Key Cryptography (zoals PGP en Informatie-Theoretisch bewijsbaar One-Way) maar ook Private-Key Cryptography worden ondersteund door dit systeem, al dan niet Informatie-Theoretisch bewijsbaar.
die zetten dus de sleutel netjes op hun server zodat iedereen er aan kan komen.
Je private key hebben ze al. Onder druk van de politie hebben ze het wachtwoord dat daarbij hoort ook snel te pakken.
http://www.wired.com/threatlevel/2007/11/pgp-creator-def/
http://www.theregister.co.uk/2003/08/21/net_anonymity_service_backdoored/
Ik weet niet wat voor client Bruce gebruikt, maar bij mij wordt de mail pas in de client ontsleuteld. Op de server staat hij mooi in versleuteld formaat.
Peter
Op de namelijk server wel; en mogelijk ook encrypted verstuurd naar je browser.
Echter, en daar wringt de schoen, in de browser aangekomen, toont je browser de decrypted content.
Een process dat het geheugen scanned kan dit dus unencrypted in ruig geheugen aantreffen......
Klinkt toch heel erg als het gewone standaard PGP/GPG.....
Wat het voor mij ook al weer zo goed als waardeloos maakt.
Klinkt toch heel erg als het gewone standaard PGP/GPG.....
Het Freemove Quantum Exchange Systeem ondersteund standaard PGP/GPG. Echter wordt Quantum Randomness gebruikt in plaats van Pseudo Randomness. Optioneel ondersteund het systeem ook Informatie-Theoretisch bewijsbare veiligheid bovenop rekenkundige veiligheid zoals AES, PGP/GPG. Beide opties zijn echter niet in de standaard software opgenomen welke gedownload kan worden op http://www.wuala.com/FreemoveQuantumExchange/Downloads/ Deze standaard software vormt het platform waarop de Freemove Quantum Exchange Software draait.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
