Duitse overheid onthult end-to-end-encryptie voor burgers
Een dienst van de Duitse overheid die wordt gebruikt voor het uitwisselen van vertrouwelijke documenten tussen burgers en overheidsdiensten gaat binnenkort end-to-end-encryptie ondersteunen. Vanaf april kunnen gebruikers van De-Mail end-to-end-encryptie gebruiken. Hiervoor moeten ze wel een plug-in voor Firefox of Google Chrome installeren. De encryptie die De-Mail gebruikt is gebaseerd op PGP (Pretty Good Privacy).
De plug-in moet het versleuteld uitwisselen van documenten eenvoudiger maken, zo laat de Duitse overheid in de aankondiging weten. "Duitsland wil voorop lopen in het gebruik van digitale diensten", zegt minister van Binnenlandse Zaken Thomas de Maiziere. "Encryptie speelt hierbij een belangrijke rol." Steeds meer overheidsdiensten maken voor hun communicatie gebruik van De-Mail. Het is de verwachting dat dit jaar 200 nieuwe overheidsdiensten worden aangesloten.
Encryptie
De-Mail maakte al gebruik van encryptie voor het transport, maar zal nu het bericht via end-to-end-encryptie gaan beschermen, zodat de inhoud alleen voor afzender en ontvanger toegankelijk is. Om van de dienst gebruik te maken kunnen gebruikers met een gebruikersnaam en wachtwoord inloggen, of voor extra veiligheid met een token, zoals de nieuwe digitale identiteitskaart, smartcard of sms-code. Het inloggen gebeurt via de speciale De-Mailpagina van de betreffende aanbieder. Verschillende Duitse internetproviders, zoals Deutsche Telekom, GMX, Web.De en United Internet, zijn als De-Mail provider geaccrediteerd.
Ook zij zijn blij met de nieuwe beveiligingsmaatregel. "End-tot-end-encryptie was voorheen iets voor experts. We zien dan ook graag dat iedereen zijn De-Mails kan versleutelen", zegt Timotheus Höttges van Deutsche Telekom. Naast de introductie van de encryptiemaatregel zal ook het registratieproces voor De-Mail worden vereenvoudigd. Zo volstaat straks een online bankrekening om zich voor De-Mail te registreren. Inmiddels zouden twee miljoen Duitsers een De-Mailadres hebben, waarbij honderdduizenden burgers zich voor de dienst hebben geïdentificeerd en er actief gebruik van kunnen maken.
Ervan uitgaande dat de plugin open source is en gecontroleerd is op backdoors, is het de vraag hoe je als gebruiker van een webbrowser met zo'n plugin kunt vaststellen dat de code aangeleverd door de webserver daadwerkelijk van die plugin gebruik maakt.
Update 13:21: "Vorige maand" -> "In januari"
Bijvoorbeeld dat om je emailadres als de-mailadres te mogen opgeven moet je service provider jou verherverifieeren. Welke garanties heb ik dat ze ook zorgvuldig met die gegevens omgaan? Ook weet ik niet (en heb ik even geen zin uit te zoeken) hoe ik emailboxen op mijn eigen domein als de-mail kan opgeven. Als dat niet kan, zou ik mij wel eens gedwongen kunnen zien om van een webmaildienst elders gebruik te moeten maken, waarmee ik dan duidelijk minder veilig ben en minder kan dan met mijn eigen mailservertje. Puntje van aandacht.
Nog een puntje van aandacht is dat zoiets best leuk en aardig is, maar als ik geen zin heb in digitalerij dan moet ik bij papieren communicatie kunnen en mogen blijven. Ik bedoel, nieuwe diensten aanbieden prima, afdwingen dat iedereen dan dus ook mee moet iets heel anders. En iets wat overheden nogal eens doorelkaar halen.
Maargoed, in principe hebben ze het daar in Duitsland beter begrepen dan onze eigen overheid hier.
Hoezo ben je ''duidelijk minder veilig'' met een andere mail server dan jouw eigen mailservertje ? Hangt dat niet mede af van hoe veilig die andere mail server is ? Of is jouw mail server per definitie de beste beveiligde mailserver op aarde ? ;)
Het argument doet mij denken aan IT-ers die roepen dat outsourcing per definitie zal leiden tot minder veiligheid. Terwijl de partij aan wie wordt geoutsourced de beveiliging beter geregeld kan hebben dan de opdrachtgever (hoeft natuurlijk niet zo te zijn).
Mis ik iets, of heb jij iets gemist?
Teruggrijpend, je kan best stellen dat de grote ongewassen massa meestal beter af zal zijn met een webmaildienst dan zelf een servertje moeten optuigen, maar mijn punt was dat dat lang niet altijd het geval is, en dat door "blanket"-regels je makkelijk de competente mensen ook richting de nitwitgeschikte oplossing dwingt, waarmee je hen onrecht aandoet.
Zeker de Nederlandse overheid heeft daar nogal een handje van; ik heb een idee dat de Duitse daar beter is maar heb niet zo'n zin om de in het amtelijk Duits opgestelde documenten in te duiken om het uit te zoeken.
* Ik weet dat bijvoorbeeld gmx een heleboel moeite gestoken heeft in het "gebruiksvriendelijker" maken van hun webinterface, ruim tot op onbruikbaarheid en aangegeven gebruiksvoorkeuren systematisch negeren toe, maar dat bijvoorbeeld threading nog steeds niet beschikbaar is. Beetje rare prioriteiten daar. Wel een de-mail-goedgekeurde emailprovider.
De belangrijkste eigenschap van De-Mail is dat de integriteit van berichten en de authenticiteit van zowel afzender als ontvanger in zekere mate wordt gewaarborgd. De overheid vond/vind dat belangrijk voor communicatie tussen enerzijds overheid en anderzijds burgers en bedrijven. Voor zover ik weet is er echter geen enkele belemmering om De-Mail tussen elk van de genoemde partijen (dus ook burger<->burger) te gebruiken. Dit blijkt ook uit het plaatje onder het artikel, waarin zowel burgers, overheden als bedrijven 2x staan afgebeeld.
Uit http://www.cio.bund.de/Web/DE/Innovative-Vorhaben/De-Mail/de_mail_node.html:
Bürger, Ämter und Unternehmen können ab April 2015 leichter vertrauliche Dokumente per De-Mail durchgängig vom Absender bis zum Empfänger schützen. Die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet mit 1&1, WEB.DE und GMX führen dazu ein vereinfachtes Verfahren für die Ende-zu-Ende-Verschlüsselung ein.
Uit http://www.heise.de/newsticker/meldung/Mail-Verschluesselung-Verhaltene-Reaktion-auf-PGP-fuer-De-Mail-Nutzer-2571170.html:
zal een nieuwe verse van de bundestrojaner zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
