Mega gaat versleutelde e-mail aanbieden
Nu Lavabit en Silent Circle zijn gestopt met het aanbieden van een versleutelde e-maildienst, wil Mega het gat met een eigen veilige e-maildienst gaan vullen. Mega is de opslagdienst van internettycoon Kim Dotcom, die eerder Megaupload oprichtte. Op dit moment werken de programmeurs van Mega aan end-to-end encryptie die de dienst gaat gebruiken.
"Het grootste technische obstakel is het bieden van e-mailfunctionaliteit die mensen verwachten zoals het zoeken in e-mails, dat eenvoudig is te doen als e-mails op de server in platte tekst zijn opgeslagen", zegt Mega CEO Vikram Kumar tegenover ZDnet.
Filosofie
In het geval de server alleen versleutelde tekst ziet, zoals met end-to-end encryptie het geval is, moet alle functionaliteit aan de kant van de client worden gebouwd. "Dat is niet geheel onmogelijk, maar zeer, zeer lastig. Daarom heeft Silent Circle hier zelfs niet voor gekozen."
Volgens de Mega CEO zou het bedrijf een geheel nieuwe aanpak kiezen om cryptografie toegankelijk voor de massa te maken. Ook wordt er gewerkt aan maatregelen om Mega veilig te houden, zelfs als SSL/TLS wordt gecompromitteerd.
Het is interessante materie, maar erg lastig, dus ik denk dat het maanden duurt voordat we eruit zijn", laat Kumar weten. "Maar Mega zal nooit iets lanceren dat de end-to-end encryptie filosofie van het bedrijf ondermijnt en niet voor de mythische oma werkt." Daarmee doelt Vikram op de toegankelijkheid van de dienst, waar iedereen mee moet kunnen werken.
Reacties (16)
13-08-2013, 13:57 door
Malicious User
Ixquick/Startmail heeft zo te zien ook recent wat meer prijsgegeven over hun upcoming dienst (https://beta.startmail.com/), er staan een hoop partijen klaar om de gaten van de VS companies op te vullen..
13-08-2013, 14:38 door
MI-10
Een waarschuwing is wel op zijn plaats hier, want Kim Dotcom en de zijnen hebben al duidelijk gemaakt dat zij een bevel van de overheid tot overhandiging van informatie over gebruikers gewoon zullen uitvoeren.
Gewoon niet registreren op amerikaanse websites, punt. En als je niet zeker bent of je op een amerikaanse website zit, dan neem je 'flagfox' als addon voor firefox
"Een waarschuwing is wel op zijn plaats hier, want Kim Dotcom en de zijnen hebben al duidelijk gemaakt dat zij een bevel van de overheid tot overhandiging van informatie over gebruikers gewoon zullen uitvoeren."
Ieder bedrijf gehoor geven aan een gerechtelijk bevel om dergelijke informatie te overhandigen.
Kan jij enig bedrijf noemen dat zal weigeren om gehoor te geven aan een gerechtelijk bevel, indien justitie klant informatie vordert in het kader van een strafrechtelijk onderzoek ?
Het gehoor geven aan een gerechtelijk bevel is geen keuze maar een wettelijke plicht, en wat dat betreft lijkt je waarschuwing volstrekt overbodig.
Ieder bedrijf gehoor geven aan een gerechtelijk bevel om dergelijke informatie te overhandigen.
Kan jij enig bedrijf noemen dat zal weigeren om gehoor te geven aan een gerechtelijk bevel, indien justitie klant informatie vordert in het kader van een strafrechtelijk onderzoek ?
Het gehoor geven aan een gerechtelijk bevel is geen keuze maar een wettelijke plicht, en wat dat betreft lijkt je waarschuwing volstrekt overbodig.
13-08-2013, 15:08 door
SPlid
Door MI-10: Een waarschuwing is wel op zijn plaats hier, want Kim Dotcom en de zijnen hebben al duidelijk gemaakt dat zij een bevel van de overheid tot overhandiging van informatie over gebruikers gewoon zullen uitvoeren.
Das mooi , maar welke informatie zullen ze dan overhandigen ? Ze hebben alleen maar encrypted data op hun servers staan, daar het hier gaat over point-to-point encryptie .
Encrypted of niet, maakt niet uit. De NSA decode het wel. Ofwel met de actuele alswel met de verlopen certs. De US kan ieder amerikaans bedrijf gebieden hun private certs te overhandigen via een National Security Letter, en vervolgens mag het bedrijf er niet over praten.
Resumé: goed getimede marketing van Mega in het momentum, meer is het niet.
Resumé: goed getimede marketing van Mega in het momentum, meer is het niet.
13-08-2013, 16:16 door
MI-10
Door SPlid:
Ze hebben alleen maar encrypted data op hun servers staan, daar het hier gaat over point-to-point encryptie .
Lees dan hun voorwaarden eens..Door MI-10: Een waarschuwing is wel op zijn plaats hier, want Kim Dotcom en de zijnen hebben al duidelijk gemaakt dat zij een bevel van de overheid tot overhandiging van informatie over gebruikers gewoon zullen uitvoeren.
Das mooi , maar welke informatie zullen ze dan overhandigen ? Ze hebben alleen maar encrypted data op hun servers staan, daar het hier gaat over point-to-point encryptie .
Neem gewoon een europese mail server, dan ben je zeker dat er niets aan de hand is als je er geen misbruik van wilt maken natuurlijk.
13-08-2013, 16:48 door
KwukDuck
Ik faal nog steeds om te zien waarom mensen niet gewoon GPG/PGP gebruiken... "Het is veel te ingewikkeld" hoor ik vaak, maar encrypten en decrypten van een mailtje is eenvoudig als de mail selecteren en het indrukken van de hotkeys Ctrl+Shift+E/D (als je dat ingesteld hebt natuurlijk). Heb meer het idee dat het komt omdat er gewoon erg weinig interesse is in veilige communicatie. Ik denk dan ook niet dat deze nieuwe diensten ook maar een enkele gebruiker overtuigen die anders toch al niet z'n eigen veiligheid in orde heeft.
Het gebruik van versleutelde email is onaantrekkelijk, zolang dit niet automatisch kan worden gedaan.
Tweede probleem is dat zowel Google als Microsoft hun webmail hiervoor niet zullen laten gebruiken.
Immers beide organisaties lezen de inhoud van de e-mails om commerciële redenen.
Als dat geen probleem zou zijn, zou je door middel van de huidige mogelijkheid via de SSL/TLS methode
aangevuld met asymmetrische cryptografie zoals PGP een waterdicht mail systeem kunnen draaien.
Wie een mail naar een persoon stuurt automatisch zijn publieke sleutel mee.
Bij elke ontvanger zal deze publieke sleutel automatisch in de sleutelring worden opgenomen.
Bij de beantwoording van de mail zal de verzender kunnen zien of hij al over de publieke sleutel van de persoon
beschikt waar de mail naar toe gaat. Hij kan dus besluiten om de mail dus met die sleutel te gaan versleutelen.
Automatisch wordt in elk geval ook zijn eigen publieke sleutel mee gestuurd en bij de ontvanger automatisch aan de sleutelring bevestigd.
De ontvanger hoeft de mail niet middels een wachtwoord te decrypten, want dat wachtwoord hoeft slechts éénmaal
bij het installeren van het encryptie programma door de eigenaar te worden vastgelegd.
Samengevat: standaard wordt de mail met een certificaat versleuteld, en de verzender kan kiezen voor een aanvullende
mogelijkheid. Waar de server staat is dan totaal irrelevant.
Tweede probleem is dat zowel Google als Microsoft hun webmail hiervoor niet zullen laten gebruiken.
Immers beide organisaties lezen de inhoud van de e-mails om commerciële redenen.
Als dat geen probleem zou zijn, zou je door middel van de huidige mogelijkheid via de SSL/TLS methode
aangevuld met asymmetrische cryptografie zoals PGP een waterdicht mail systeem kunnen draaien.
Wie een mail naar een persoon stuurt automatisch zijn publieke sleutel mee.
Bij elke ontvanger zal deze publieke sleutel automatisch in de sleutelring worden opgenomen.
Bij de beantwoording van de mail zal de verzender kunnen zien of hij al over de publieke sleutel van de persoon
beschikt waar de mail naar toe gaat. Hij kan dus besluiten om de mail dus met die sleutel te gaan versleutelen.
Automatisch wordt in elk geval ook zijn eigen publieke sleutel mee gestuurd en bij de ontvanger automatisch aan de sleutelring bevestigd.
De ontvanger hoeft de mail niet middels een wachtwoord te decrypten, want dat wachtwoord hoeft slechts éénmaal
bij het installeren van het encryptie programma door de eigenaar te worden vastgelegd.
Samengevat: standaard wordt de mail met een certificaat versleuteld, en de verzender kan kiezen voor een aanvullende
mogelijkheid. Waar de server staat is dan totaal irrelevant.
Dat is een positieve ontwikkeling, ik heb er alle vertrouwen in dat mijn e-mails bij Kim Dotcom in veilige handen zijn.
Zucht!
Zucht!
Door KwukDuck: Ik faal nog steeds om te zien waarom mensen niet gewoon GPG/PGP gebruiken... "Het is veel te ingewikkeld" hoor ik vaak, maar encrypten en decrypten van een mailtje is eenvoudig als de mail selecteren en het indrukken van de hotkeys Ctrl+Shift+E/D (als je dat ingesteld hebt natuurlijk). Heb meer het idee dat het komt omdat er gewoon erg weinig interesse is in veilige communicatie. Ik denk dan ook niet dat deze nieuwe diensten ook maar een enkele gebruiker overtuigen die anders toch al niet z'n eigen veiligheid in orde heeft.
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Door Anoniem: Neem gewoon een europese mail server, dan ben je zeker dat er niets aan de hand is als je er geen misbruik van wilt maken natuurlijk.
Net alsof de Nederlandse of Europese inlichtingendiensten en politie niet op bezoek gaat bij die providers. In Amerika is er tenminste nog een rechtbank waar je als provider bezwaar kunt maken tegen een opdracht van de NSA. In Europe bestaat dat recht niet eens. Daarom werkt FBI zo graag samen met Europese politie en hebben ze standaard FBI agenten gestationeerd bij de landelijke polities. Het is vaak eenvoudiger om data van een Europese server te (laten) halen dan om dat te doen in Amerika.
Iedereen die roept dat het in Europa beter is geregeld, heeft boter op z'n hoofd. Ja, het is beter geregeld t.a.v. privacy tussen consumenten en bedrijven, maar voor de overheid is iedere burger verdacht en dus onderwerp van onderzoek.
Peter
Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Hoezo? Is dat geen end-to-end encryptie dan? Hoe kan het decrypt worden als de sleutel onbekend is?
Hoezo? Is dat geen end-to-end encryptie dan? Hoe kan het decrypt worden als de sleutel onbekend is?
14-08-2013, 11:16 door
wizzkizz
Door Anoniem:
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Het is inderdaad te ingewikkeld voor de normale computergebruiker. Ik heb het zelf wel, maar vrijwel niemand waarmee ik email. Dan houdt het voor het email gedeelte natuurlijk al snel op.Door KwukDuck: Ik faal nog steeds om te zien waarom mensen niet gewoon GPG/PGP gebruiken... "Het is veel te ingewikkeld" hoor ik vaak, maar encrypten en decrypten van een mailtje is eenvoudig als de mail selecteren en het indrukken van de hotkeys Ctrl+Shift+E/D (als je dat ingesteld hebt natuurlijk). Heb meer het idee dat het komt omdat er gewoon erg weinig interesse is in veilige communicatie. Ik denk dan ook niet dat deze nieuwe diensten ook maar een enkele gebruiker overtuigen die anders toch al niet z'n eigen veiligheid in orde heeft.
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Je opmerking over schijnveiligheid is onjuist. GnuPG/PGP versleutelt de body (inhoud) van het emailbericht met de publieke sleutel van de ontvanger en is dus ook veilig over onbeveiligde verbindingen. Daarnaast maken steeds meer mailservers trouwens gebruik van SSL/TLS om de berichten af te leveren, maar dat beschermt bij versleutelde email alleen de headers extra. (Technisch gezien niet helemaal juist, maar praktisch wel omdat de body van het bericht al veilig is door GnuPG/PGP)
Door wizzkizz:
Je opmerking over schijnveiligheid is onjuist. GnuPG/PGP versleutelt de body (inhoud) van het emailbericht met de publieke sleutel van de ontvanger en is dus ook veilig over onbeveiligde verbindingen. Daarnaast maken steeds meer mailservers trouwens gebruik van SSL/TLS om de berichten af te leveren, maar dat beschermt bij versleutelde email alleen de headers extra. (Technisch gezien niet helemaal juist, maar praktisch wel omdat de body van het bericht al veilig is door GnuPG/PGP)
Door Anoniem:
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Het is inderdaad te ingewikkeld voor de normale computergebruiker. Ik heb het zelf wel, maar vrijwel niemand waarmee ik email. Dan houdt het voor het email gedeelte natuurlijk al snel op.Door KwukDuck: Ik faal nog steeds om te zien waarom mensen niet gewoon GPG/PGP gebruiken... "Het is veel te ingewikkeld" hoor ik vaak, maar encrypten en decrypten van een mailtje is eenvoudig als de mail selecteren en het indrukken van de hotkeys Ctrl+Shift+E/D (als je dat ingesteld hebt natuurlijk). Heb meer het idee dat het komt omdat er gewoon erg weinig interesse is in veilige communicatie. Ik denk dan ook niet dat deze nieuwe diensten ook maar een enkele gebruiker overtuigen die anders toch al niet z'n eigen veiligheid in orde heeft.
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Je opmerking over schijnveiligheid is onjuist. GnuPG/PGP versleutelt de body (inhoud) van het emailbericht met de publieke sleutel van de ontvanger en is dus ook veilig over onbeveiligde verbindingen. Daarnaast maken steeds meer mailservers trouwens gebruik van SSL/TLS om de berichten af te leveren, maar dat beschermt bij versleutelde email alleen de headers extra. (Technisch gezien niet helemaal juist, maar praktisch wel omdat de body van het bericht al veilig is door GnuPG/PGP)
Neem als voorbeeld Thunderbird, daar kan je de optie "Dit bericht versleutelen," aanvinken, en dan kom je als leek in een menu waar alleen ingewijden van weten hoe je een certificaat op de juiste manier kunt instellen.
Het gebruiken van een publieke sleutel waarmee het bericht mee kan worden versleuteld, kan alleen maar succesvol worden geïmplementeerd, als deze standaard aan de gebruiker word aangeboden.
Zie:
Gisteren, 19:12 door Anoniem
Het gebruik van versleutelde email is onaantrekkelijk, zolang dit niet automatisch kan worden gedaan.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
