Mega gaat versleutelde e-mail aanbieden
Nu Lavabit en Silent Circle zijn gestopt met het aanbieden van een versleutelde e-maildienst, wil Mega het gat met een eigen veilige e-maildienst gaan vullen. Mega is de opslagdienst van internettycoon Kim Dotcom, die eerder Megaupload oprichtte. Op dit moment werken de programmeurs van Mega aan end-to-end encryptie die de dienst gaat gebruiken.
"Het grootste technische obstakel is het bieden van e-mailfunctionaliteit die mensen verwachten zoals het zoeken in e-mails, dat eenvoudig is te doen als e-mails op de server in platte tekst zijn opgeslagen", zegt Mega CEO Vikram Kumar tegenover ZDnet.
Filosofie
In het geval de server alleen versleutelde tekst ziet, zoals met end-to-end encryptie het geval is, moet alle functionaliteit aan de kant van de client worden gebouwd. "Dat is niet geheel onmogelijk, maar zeer, zeer lastig. Daarom heeft Silent Circle hier zelfs niet voor gekozen."
Volgens de Mega CEO zou het bedrijf een geheel nieuwe aanpak kiezen om cryptografie toegankelijk voor de massa te maken. Ook wordt er gewerkt aan maatregelen om Mega veilig te houden, zelfs als SSL/TLS wordt gecompromitteerd.
Het is interessante materie, maar erg lastig, dus ik denk dat het maanden duurt voordat we eruit zijn", laat Kumar weten. "Maar Mega zal nooit iets lanceren dat de end-to-end encryptie filosofie van het bedrijf ondermijnt en niet voor de mythische oma werkt." Daarmee doelt Vikram op de toegankelijkheid van de dienst, waar iedereen mee moet kunnen werken.
Ieder bedrijf gehoor geven aan een gerechtelijk bevel om dergelijke informatie te overhandigen.
Kan jij enig bedrijf noemen dat zal weigeren om gehoor te geven aan een gerechtelijk bevel, indien justitie klant informatie vordert in het kader van een strafrechtelijk onderzoek ?
Het gehoor geven aan een gerechtelijk bevel is geen keuze maar een wettelijke plicht, en wat dat betreft lijkt je waarschuwing volstrekt overbodig.
Ze hebben alleen maar encrypted data op hun servers staan, daar het hier gaat over point-to-point encryptie .
Resumé: goed getimede marketing van Mega in het momentum, meer is het niet.
Ze hebben alleen maar encrypted data op hun servers staan, daar het hier gaat over point-to-point encryptie .
Tweede probleem is dat zowel Google als Microsoft hun webmail hiervoor niet zullen laten gebruiken.
Immers beide organisaties lezen de inhoud van de e-mails om commerciële redenen.
Als dat geen probleem zou zijn, zou je door middel van de huidige mogelijkheid via de SSL/TLS methode
aangevuld met asymmetrische cryptografie zoals PGP een waterdicht mail systeem kunnen draaien.
Wie een mail naar een persoon stuurt automatisch zijn publieke sleutel mee.
Bij elke ontvanger zal deze publieke sleutel automatisch in de sleutelring worden opgenomen.
Bij de beantwoording van de mail zal de verzender kunnen zien of hij al over de publieke sleutel van de persoon
beschikt waar de mail naar toe gaat. Hij kan dus besluiten om de mail dus met die sleutel te gaan versleutelen.
Automatisch wordt in elk geval ook zijn eigen publieke sleutel mee gestuurd en bij de ontvanger automatisch aan de sleutelring bevestigd.
De ontvanger hoeft de mail niet middels een wachtwoord te decrypten, want dat wachtwoord hoeft slechts éénmaal
bij het installeren van het encryptie programma door de eigenaar te worden vastgelegd.
Samengevat: standaard wordt de mail met een certificaat versleuteld, en de verzender kan kiezen voor een aanvullende
mogelijkheid. Waar de server staat is dan totaal irrelevant.
Zucht!
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Net alsof de Nederlandse of Europese inlichtingendiensten en politie niet op bezoek gaat bij die providers. In Amerika is er tenminste nog een rechtbank waar je als provider bezwaar kunt maken tegen een opdracht van de NSA. In Europe bestaat dat recht niet eens. Daarom werkt FBI zo graag samen met Europese politie en hebben ze standaard FBI agenten gestationeerd bij de landelijke polities. Het is vaak eenvoudiger om data van een Europese server te (laten) halen dan om dat te doen in Amerika.
Iedereen die roept dat het in Europa beter is geregeld, heeft boter op z'n hoofd. Ja, het is beter geregeld t.a.v. privacy tussen consumenten en bedrijven, maar voor de overheid is iedere burger verdacht en dus onderwerp van onderzoek.
Peter
Hoezo? Is dat geen end-to-end encryptie dan? Hoe kan het decrypt worden als de sleutel onbekend is?
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Je opmerking over schijnveiligheid is onjuist. GnuPG/PGP versleutelt de body (inhoud) van het emailbericht met de publieke sleutel van de ontvanger en is dus ook veilig over onbeveiligde verbindingen. Daarnaast maken steeds meer mailservers trouwens gebruik van SSL/TLS om de berichten af te leveren, maar dat beschermt bij versleutelde email alleen de headers extra. (Technisch gezien niet helemaal juist, maar praktisch wel omdat de body van het bericht al veilig is door GnuPG/PGP)
Het ís ook te ingewikkeld voor de 'normale' user. En verder is het veelal schijnveiligheid. Op het moment dat de mail van de ene server naar de andere server gaat is het vrijwel altijd unencrypted.
Je opmerking over schijnveiligheid is onjuist. GnuPG/PGP versleutelt de body (inhoud) van het emailbericht met de publieke sleutel van de ontvanger en is dus ook veilig over onbeveiligde verbindingen. Daarnaast maken steeds meer mailservers trouwens gebruik van SSL/TLS om de berichten af te leveren, maar dat beschermt bij versleutelde email alleen de headers extra. (Technisch gezien niet helemaal juist, maar praktisch wel omdat de body van het bericht al veilig is door GnuPG/PGP)
Neem als voorbeeld Thunderbird, daar kan je de optie "Dit bericht versleutelen," aanvinken, en dan kom je als leek in een menu waar alleen ingewijden van weten hoe je een certificaat op de juiste manier kunt instellen.
Het gebruiken van een publieke sleutel waarmee het bericht mee kan worden versleuteld, kan alleen maar succesvol worden geïmplementeerd, als deze standaard aan de gebruiker word aangeboden.
Zie:
Gisteren, 19:12 door Anoniem
Het gebruik van versleutelde email is onaantrekkelijk, zolang dit niet automatisch kan worden gedaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
