Zimmermann en Levison lanceren veilig e-mailprotocol DIME
Verschillende experts op het gebied van encryptie en e-mailbeveiliging hebben gisteren tijdens de CCC-conferentie in Hamburg het veilige e-mailprotocol DIME gelanceerd, wat staat voor Dark Internet Mail Environment. DIME zorgt ervoor dat e-mailberichten automatisch tussen afzender en ontvanger zijn versleuteld, de vertrouwelijkheid van de berichten bewaart blijft, afzenders kunnen worden geverifieerd en er een minimale hoeveelheid metadata lekt.
Systemen die DIME ondersteunen zorgen er daarnaast voor dat gebruikers hun serviceprovider minder hoeven te vertrouwen. Het e-mailprotocol is bedacht door Phil Zimmermann, de man achter PGP, Ladar Levinson van de opgeheven e-maildienst Lavabit en Mike Janke en Jon Callas van beveiligingsbedrijf Silent Circle. De vier vormen bij elkaar het Dark Mail Team. Dark Mail heeft als doel om een nieuw e-mailprotocol te ontwikkelen dat de privacy en veiligheid van gebruikers beschermt.
In de technische specificaties en broncode van DIME die nu online zijn verschenen (pdf) draagt Levinson het e-mailprotocol op aan de NSA. "In voor of tegenspoed, goed of kwaad, wat volgt was niet zonder jullie mogelijk geweest. Omdat soms het verdedigen van grondwettelijke ideeën niet genoeg is, soms moet je de grondwet verdedigen", aldus Levinson. Zijn e-maildienst Lavabit werd door klokkenluider Edward Snowden gebruikt. Hij besloot de stekker uit Lavabit te trekken omdat hij niet aan een verzoek van de Amerikaanse autoriteiten wilde meewerken.
Eerste stap
De lancering van het protocol is pas een eerste stap. Om DIME een succes te maken zullen zowel softwareontwikkelaars als andere partijen het protocol moeten omarmen. Eerder liet Levison al weten dat het Dark Mail Team een eigen mailserver genaamd Magma en een op Mozilla Thunderbird-gebaseerde e-mailclient genaamd Volcano zal ontwikkelen. Levison wordt voor het maken van de documentatie onder andere bijgestaan door Dave Crocker, één van de uitvinders van e-mail. Meer over DIME is te zien in de presentatie van gisteren op de CCC-conferentie (video 1:04:40).
Dus de NSA kan op basis van de patriot act en de metadata vaststellen dat er tussen 2 personen mail heeft plaatsgevonden. Daarna is het natuurlijk een koud kunstje om via een amerikaanse rechter de afgifte van van die mail in leesbare vorm te sommeren.
Dat is niet eenvoudig op te lossen en zorgt ervoor dat email encryptie nog geen gemeengoed is.
Ben benieuwd hoe dat hier gaat.
Dus de NSA kan op basis van de patriot act en de metadata vaststellen dat er tussen 2 personen mail heeft plaatsgevonden. Daarna is het natuurlijk een koud kunstje om via een amerikaanse rechter de afgifte van van die mail in leesbare vorm te sommeren.
Volgens mij is er veel zorg in gegaan dat de metadata juist niet gebruikt kan worden om vast te stellen dat er tussen 2 personen mail heeft plaatsgevonden maar ik moet de specs nog even doornemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
