image

Bètatest versleutelde e-maildienst ProtonMail van start

zondag 18 mei 2014, 13:55 door Redactie, 14 reacties

Een nieuwe gratis e-maildienst die gebruikers versleuteld met elkaar laat e-mailen is een publieke bètatest gestart. De dienst heet ProtonMail en is ontwikkeld met behulp van wetenschappers van Harvard, het Massachusetts Institute of Technology en het Europese onderzoekslaboratorium CERN.

ProtonMail is volgens de ontwikkelaars volledig gericht op gebruiksvriendelijkheid. "Onze visie is om encryptie en privacy door gebruiksvriendelijkheid mainstream te maken. Er is geen installatie, alles gebeurt automatisch achter de schermen", zegt mede-ontwikkelaar Jason Stockman.

Wachtwoord

De maildienst gebruikt twee wachtwoorden om een account te beveiligen. Het eerste wachtwoord is het wachtwoord om in te loggen en wordt naar de servers van ProtonMail gestuurd. Het tweede wachtwoord is het wachtwoord voor de mailbox en blijft lokaal op de computer, binnen de browser, waar het versleutelen en ontsleutelen van e-mailberichten wordt afgehandeld. Als gebruikers dit tweede wachtwoord vergeten kunnen ze eerdere e-mails niet meer lezen.

"Zoals onze gebruikers uit China, Iran, Rusland en andere landen in de wereld de afgelopen maanden hebben laten zien is ProtonMail een belangrijke tool voor de vrijheid van meningsuiting en zijn we erg blij om het eindelijk voor de hele wereld beschikbaar te maken", aldus de ontwikkelaars op het eigen blog.

Aanbieders

Volgens beveiligingsgoeroe Bruce Schneier zijn internetgebruikers op dit soort kleinere aanbieders aangewezen als ze hun e-mail automatisch willen laten versleutelen, aangezien de grotere aanbieders dit niet willen. "Deze grote bedrijven willen je spullen helemaal niet versleutelen, omdat ze je ook bespioneren. Hopelijk is het NSA-debat een stimulans voor mensen om meer encryptie toe te voegen", zo laat hij tegenover AFP weten.

ProtonMail bevindt zich met opzet in Zwitserland, waar de privacy beter geregeld zou zijn dan in de VS. Zelfs als een Zwitserse rechtbank bepaalt dat het bedrijf gegevens van gebruikers moet overhandigen, zou het alleen maar versleutelde gegevens kunnen afstaan, omdat het niet de sleutel tot de gegevens heeft. "We krijgen het wachtwoord nooit te zien", aldus Stockton.

Reacties (14)
18-05-2014, 14:47 door maboc
Ben benieuwd.
Voor de fun een accountje gemaakt. Nu maar eens zien hoe eea. zich ontwikkeld.

Als eerste valt mij op dat er (nog) geen gelegenheid is pgp/gpg sleutels te gebruiken.
18-05-2014, 15:15 door [Account Verwijderd] - Bijgewerkt: 18-05-2014, 16:15
[Verwijderd]
18-05-2014, 16:59 door john west
Zover ik kan bepalen doet het programma wat het moet doen.
Wel is alles erg simpel uitgevoerd.

Verzenden versleuteld, dan moet je wel de ontvanger de code geven,wat je
niet moet doen via de email,misschien een sms of iets anders ?


Je krijg in je email een link die zich alleen laat openen met het paswoord.

Of dit echt veilig is ?
18-05-2014, 18:23 door [Account Verwijderd]
[Verwijderd]
18-05-2014, 19:19 door Anoniem
Vreemd dat ze claimen dat data onleesbaar versleuteld naar ze wordt verstuurd terwijl dat niet zo is.

http://i.imgur.com/h05Oj1h.png
18-05-2014, 19:48 door Anoniem
"ProtonMail een belangrijke tool voor de vrijheid van meningsuiting". Waar slaat dit nou op? Is de tool ontwikkeld als politiek instrument of ter bescherming van de privacy? De USA is het eerste land dat op grond van de Patriot Act de sleutel zal opeisen.
18-05-2014, 20:03 door [Account Verwijderd] - Bijgewerkt: 18-05-2014, 20:04
[Verwijderd]
18-05-2014, 20:49 door Anoniem
Ik vraag me toch af hoe dit werkt. Ik kan m'n eigen encryptie sleutel hebben, maar wat gebeurt er als ik een mailtje verstuur naar een ander Proton-account. Die ander heeft mijn sleutel niet, en kan het dus niet ontsleutelen. Toch moet hij het kunnen lezen. Kortom, het verzenden kan niet op basis van symmetrische sleutels. Dus moet het asymmetrisch.

Maar om te voorkómen dat de NSA het leest, moet het dus versleuteld worden met mijn privé sleutel, maar ook met de publieke sleutel van de ontvanger. Wie zegt mij dat die publieke sleutel van de ontvanger ook echt wordt gebruikt? Of wordt eerst alles met de publieke sleutel van de NSA versleuteld, die het vervolgens kan decrypten, en even rustig gaat zitten doorlezen, en het daarna alsnog naar de echte ontvanger stuurt?
Wie zou dit merken?

Kortom, ondanks dat het allemaal best goed zal zijn (wie zegt dat mijn scenario hierboven echt wordt toegepast?) zit er toch nog een heel stuk aan "vertrouwen" in het proces. En wie vertrouw je dan eigenlijk?

En zijn er niet nog andere scenario´s denkbaar dat het mis zou kunnen gaan? Backdoors, etc....
18-05-2014, 22:56 door AapNootMies
Encrypted mail naar non-protonmail users werkt doordat de ontvanger simpelweg een linkje in zijn mail krijgt, de user moet vervolgens via de browser naar Protonmail. Het is dus niet echt encrypted mail; maar eerder een locatie om encrypted bestanden op te slaan. Mail zelf blijft smtp en dus unencrypted; je zal het wachtwoord vervolgens via whatsapp ofzo naar je vriend moeten sturen; en aangezien de politie meesleest....

Eigen mailserver die je zelf encrypt en beheert; blijft het veiligst in mijn optiek.
19-05-2014, 08:54 door Damian_S
ProtonMail is gratis...hoe gaan ze de kosten dekken? Ik lees dat ze een ton hebben gekregen van MIT om het op te zetten, maar dat zal op termijn de lopende kosten niet dekken zolang er geen inkomsten binnenkomen.

"als je er niet voor betaalt...ben je zelf het product"

Voor StartMail moet je maandelijks betalen en weet je in ieder geval dat je niet zelf het product bent. Nu nog in beta en kosten zijn nog niet bekend. Maar ze zullen wel veel concurrentie voelen van ProtonMail....
19-05-2014, 08:59 door Anoniem
Door Anoniem: Vreemd dat ze claimen dat data onleesbaar versleuteld naar ze wordt verstuurd terwijl dat niet zo is.

http://i.imgur.com/h05Oj1h.png

Moet je wel ff aanvinken ;) en een wachtwoord meegeven, voor outside users. Wat veel erger is (volgens Shodan):

http://imgur.com/15uLutn.jpg
19-05-2014, 09:22 door Anoniem
Door Peter V.:
Door Anoniem: Die sleutel staat niet op hun servers, maar op jouw computer en bij het opvragen van de sleutel hoef je niet mee te werken aan je eigen veroordeling. Dus weiger je het gewoon.
Tja, dat laatste klinkt natuurlijk heel erg stoer maar ga er maar vanuit dat overheden je gerust een tijdje vast zetten en al je spullen in beslag nemen zodat je vanzelf wel je wachtwoord zal geven of dat ze het wachtwoord zelf van je systeem hebben afgeplukt. Er zijn maar weinigen met voldoende ballen om zo'n 'rubber hose' methode te weerstaan. Er geldt nog steeds een gezegde en dat is dat gelijk hebben niet hetzelfde is als gelijk krijgen.
Credo is dat je belangrijke zaken gewoon niet lokaal moet opslaan, maar versleuteld ergens op het Internet via accounts die nooit naar jouw als persoon te herleiden zijn. Wat je niet hebt kun je ook niet prijsgeven.
19-05-2014, 10:09 door Anoniem
And it's gone... Signups zijn tijdelijk niet meer mogelijk. Op hun blog is te lezen dat ze de verwachtte capaciteit van 1 maand al in 60 uur behaald hadden. Over een paar dagen maar weer proberen.
19-05-2014, 13:59 door maboc
mmmm...ik kan niet meer inloggen: Errocode 521.

Als ik dat optel bij het bericht hier van 10:09 denk ik, dat ze zich wat misrekent hebben qua capaciteit :-)

Anyway... ik blijf het volgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.