Een goede beschrijving van snake oil en cryptografie vind je in
http://en.citizendium.org/wiki/Snake_oil_%28cryptography%29.
Dan waarom ik dit snake oil noem. Uit
https://unseen.is/faq.html:
On what platforms is Unseen available?
We currently offer a web-based version and will soon have [...]
Lees
http://matasano.com/articles/javascript-cryptography/ en de draad vanaf
http://www.metzdowd.com/pipermail/cryptography/2014-July/022274.html. In het kort: alle cyrptografische code die een webserver dynamisch naar jouw webbrowser stuurt, kan biij de eerstvolgende refresh gewijzigd zijn, zonder dat je dat hoeft te merken. Dat is geen crypto met een kattenluikje, maar met de deur van een vliegtuighangar.
Toegegeven, gedownloade cryptografische code met automatische update functie kan net zo lek zijn. Een nadeel, maar ook een voordeel, van TrueCrypt is dat er geen updates voor zijn.
Voor wat het daarna nog waard is, opnieuw uit
https://unseen.is/faq.html:
What kind of encryption do you offer?
Messages on our service are sent using 4096-bit encryption, which is considered extremely strong.
Dit suggereert dat messages versleuteld worden met 4096-bit encryption, maar dat is onzin. Ik vermoed dat ze hier doelen op een RSA public/private key pair van 4096 bits. RSA public key cryptography is veel te traag om berichten meet te versleutelen. Meestal (zoals in PGP en bij GnuPG) wordt het gebruikt voor authenticatie van de geadresseerde. Effectief wordt er een random
symmetrische sleutel gegenereerd die wordt versleuteld met de public key van de geadresseerde.
Vervolg uit
https://unseen.is/faq.html:
you generate your keys with extremely strong lattice based encryption.
Zou interessant kunnen zijn, zie
https://en.wikipedia.org/wiki/Lattice-based_cryptography. Waar is de source zodat peer review kan plaatsvinden? Zie
http://en.citizendium.org/wiki/Kerckhoffs%27_Principle#Implications_for_analysis.
Vervolg uit
https://unseen.is/faq.html:
To that, we add an advanced symmetrical encryption which is very easy to use with keys 16x longer than those found in AES256, an industry standard. According to our engineers, this will take 23840 times longer to crack than aes256, which is commonly known as "military grade" encryption.
Google: AES military grade snake oil
AES128 wordt nog als voldoende sterk gezien. Maar deze mensen weten het beter: doe 16X AES256. In Javascript. Sure. Belangrijk is echter ook
hoe AES wordt toegepast en dat vertellen ze niet. Zie de penguin in ECB mode in
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation voor hoe het niet moet.
Oh ja, waar wordt jouw private key opgeslagen? Eveneens uit
https://unseen.is/faq.html:
What’s the difference between the free version and the premium version?
[...], and premium users can generate and store their own private key.
Free users hebben daar dus niets over te zeggen. Voor premium users geldt -kennelijk- dat je het asymmetrische sleutelpaar zelf kunt genereren (en de private key opslaan). Helaas, als je ontvangen versleutelde berichten wilt lezen, zul je die private key in je webbrowser moeten uploaden. Wat er vervolgens mee gebeurt weet je niet (d.w.z. als leek weet nooit of deze naar de server doorgestuurd wordt). Vandaag gaat dat misschien nog goed, en het
lijkt om een IJslands bedrijf te gaan, maar als die een vestiging in de USA hebben, geldt ook voor hen de Patriot Act.
Kortom, vermoedelijk is er, bij het schrijven van deze FAQ, iemand betrokken geweest met enig verstand van cryptografie, en heeft een marketingmannetje er een mooi sausje overheen gedaan. Gooit wat met kreten zoals 4096bit sleutels, lattice based encryption, 16x sterker dan "military grade" AES256 - maar geen sources. Genoeg om alle alarmbellen te doen afgaan.
Als zo'n product
gratis wordt aangeboden, is het natuurlijk helemaal to good to be true. Waarom zou iemand geld uitgeven aan ontwikkelingskosten, servers, netwerkapparatuur, reclame, energie etc. om jou volledig versleuteld te kunnen laten e-mailen, zonder dat die partij iets van de inhoud kan zien - en dus aan jou kan verdienen? Ga je ook in zee met het eerste het beste beleggingsproduct dat onder je neus geduwd wordt, met gegarandeerd 20% rendement of zo?