image

Duitse overheid onthult end-to-end-encryptie voor burgers

dinsdag 10 maart 2015, 12:04 door Redactie, 9 reacties

Een dienst van de Duitse overheid die wordt gebruikt voor het uitwisselen van vertrouwelijke documenten tussen burgers en overheidsdiensten gaat binnenkort end-to-end-encryptie ondersteunen. Vanaf april kunnen gebruikers van De-Mail end-to-end-encryptie gebruiken. Hiervoor moeten ze wel een plug-in voor Firefox of Google Chrome installeren. De encryptie die De-Mail gebruikt is gebaseerd op PGP (Pretty Good Privacy).

De plug-in moet het versleuteld uitwisselen van documenten eenvoudiger maken, zo laat de Duitse overheid in de aankondiging weten. "Duitsland wil voorop lopen in het gebruik van digitale diensten", zegt minister van Binnenlandse Zaken Thomas de Maiziere. "Encryptie speelt hierbij een belangrijke rol." Steeds meer overheidsdiensten maken voor hun communicatie gebruik van De-Mail. Het is de verwachting dat dit jaar 200 nieuwe overheidsdiensten worden aangesloten.

Encryptie

De-Mail maakte al gebruik van encryptie voor het transport, maar zal nu het bericht via end-to-end-encryptie gaan beschermen, zodat de inhoud alleen voor afzender en ontvanger toegankelijk is. Om van de dienst gebruik te maken kunnen gebruikers met een gebruikersnaam en wachtwoord inloggen, of voor extra veiligheid met een token, zoals de nieuwe digitale identiteitskaart, smartcard of sms-code. Het inloggen gebeurt via de speciale De-Mailpagina van de betreffende aanbieder. Verschillende Duitse internetproviders, zoals Deutsche Telekom, GMX, Web.De en United Internet, zijn als De-Mail provider geaccrediteerd.

Ook zij zijn blij met de nieuwe beveiligingsmaatregel. "End-tot-end-encryptie was voorheen iets voor experts. We zien dan ook graag dat iedereen zijn De-Mails kan versleutelen", zegt Timotheus Höttges van Deutsche Telekom. Naast de introductie van de encryptiemaatregel zal ook het registratieproces voor De-Mail worden vereenvoudigd. Zo volstaat straks een online bankrekening om zich voor De-Mail te registreren. Inmiddels zouden twee miljoen Duitsers een De-Mailadres hebben, waarbij honderdduizenden burgers zich voor de dienst hebben geïdentificeerd en er actief gebruik van kunnen maken.

Image

Reacties (9)
10-03-2015, 13:12 door Erik van Straten - Bijgewerkt: 10-03-2015, 13:21
Door Redactie: "Duitsland wil voorop lopen in het gebruik van digitale diensten", zegt minister van Binnenlandse Zaken Thomas de Maiziere. "Encryptie speelt hierbij een belangrijke rol."
Hmm. In januari zei diezelfde minister nog:
Uit http://www.heise.de/security/meldung/Auch-de-Maiziere-wendet-sich-gegen-Verschluesselung-2523297.html: [...] dass deutsche Sicherheitsbehörden befugt und in die Lage versetzt werden müssen, "verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen".
oftewel dat Duitse veiligheidsdiensten bevoegd en in de gelegenheid gesteld moeten worden, versleutelde communcatie te kunnen ontsleutelen of te omzeilen.

Ervan uitgaande dat de plugin open source is en gecontroleerd is op backdoors, is het de vraag hoe je als gebruiker van een webbrowser met zo'n plugin kunt vaststellen dat de code aangeleverd door de webserver daadwerkelijk van die plugin gebruik maakt.

Update 13:21: "Vorige maand" -> "In januari"
10-03-2015, 13:25 door [Account Verwijderd]
[Verwijderd]
10-03-2015, 14:03 door Mysterio
Had Duitsland niet één van 's werelds grootste internetknooppunt afgetapt? http://www.h-online.com/security/news/item/PRISM-scandal-internet-exchange-points-as-targets-for-surveillance-1909989.html Natuurlijk vertrouwen we deze veiligheidsmaatregel.
10-03-2015, 14:17 door Anoniem
Duitsland doet hier best aardige dingen, al zijn er wel vraagtekens bij te zetten.

Bijvoorbeeld dat om je emailadres als de-mailadres te mogen opgeven moet je service provider jou verherverifieeren. Welke garanties heb ik dat ze ook zorgvuldig met die gegevens omgaan? Ook weet ik niet (en heb ik even geen zin uit te zoeken) hoe ik emailboxen op mijn eigen domein als de-mail kan opgeven. Als dat niet kan, zou ik mij wel eens gedwongen kunnen zien om van een webmaildienst elders gebruik te moeten maken, waarmee ik dan duidelijk minder veilig ben en minder kan dan met mijn eigen mailservertje. Puntje van aandacht.

Nog een puntje van aandacht is dat zoiets best leuk en aardig is, maar als ik geen zin heb in digitalerij dan moet ik bij papieren communicatie kunnen en mogen blijven. Ik bedoel, nieuwe diensten aanbieden prima, afdwingen dat iedereen dan dus ook mee moet iets heel anders. En iets wat overheden nogal eens doorelkaar halen.

Maargoed, in principe hebben ze het daar in Duitsland beter begrepen dan onze eigen overheid hier.
10-03-2015, 14:58 door Anoniem
Als dat niet kan, zou ik mij wel eens gedwongen kunnen zien om van een webmaildienst elders gebruik te moeten maken, waarmee ik dan duidelijk minder veilig ben en minder kan dan met mijn eigen mailservertje.

Hoezo ben je ''duidelijk minder veilig'' met een andere mail server dan jouw eigen mailservertje ? Hangt dat niet mede af van hoe veilig die andere mail server is ? Of is jouw mail server per definitie de beste beveiligde mailserver op aarde ? ;)

Het argument doet mij denken aan IT-ers die roepen dat outsourcing per definitie zal leiden tot minder veiligheid. Terwijl de partij aan wie wordt geoutsourced de beveiliging beter geregeld kan hebben dan de opdrachtgever (hoeft natuurlijk niet zo te zijn).
10-03-2015, 15:42 door Anoniem
Door Erik van Straten:
Door Redactie: "Duitsland wil voorop lopen in het gebruik van digitale diensten", zegt minister van Binnenlandse Zaken Thomas de Maiziere. "Encryptie speelt hierbij een belangrijke rol."
Hmm. In januari zei diezelfde minister nog:
Uit http://www.heise.de/security/meldung/Auch-de-Maiziere-wendet-sich-gegen-Verschluesselung-2523297.html: [...] dass deutsche Sicherheitsbehörden befugt und in die Lage versetzt werden müssen, "verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen".
oftewel dat Duitse veiligheidsdiensten bevoegd en in de gelegenheid gesteld moeten worden, versleutelde communcatie te kunnen ontsleutelen of te omzeilen.

Mis ik iets, of heb jij iets gemist?
Artikel: Een dienst van de Duitse overheid die wordt gebruikt voor het uitwisselen van vertrouwelijke documenten tussen burgers en overheidsdiensten gaat binnenkort end-to-end-encryptie ondersteunen.
10-03-2015, 18:20 door Anoniem
Door Anoniem:
Als dat niet kan, zou ik mij wel eens gedwongen kunnen zien om van een webmaildienst elders gebruik te moeten maken, waarmee ik dan duidelijk minder veilig ben en minder kan dan met mijn eigen mailservertje.
Hoezo ben je ''duidelijk minder veilig'' met een andere mail server dan jouw eigen mailservertje ? Hangt dat niet mede af van hoe veilig die andere mail server is ? Of is jouw mail server per definitie de beste beveiligde mailserver op aarde ? ;)
Neuh, maar ik ben toevallig een competente mailadmin (al zeg ik het zelf), dus mijn zelfgebouwde servertje vertrouw ik alsof ik hem zelf heb opgezet (want dat is ook zo), terwijl, bijvoorbeeld, een "bottom feeder" gratis webmaildienst vooral een massaverhaal en zo goedkoop mogelijk zal zijn, waarvan ik niet weet wat ze er precies uitspoken.* Ik moet ze dan dus wel met mijn personalia, kopietje paspoort, en het tijdig afleveren van (versleutelde) overheidsdocumenten vertrouwen.

Het argument doet mij denken aan IT-ers die roepen dat outsourcing per definitie zal leiden tot minder veiligheid. Terwijl de partij aan wie wordt geoutsourced de beveiliging beter geregeld kan hebben dan de opdrachtgever (hoeft natuurlijk niet zo te zijn).
Dat kan, maar dat weet je niet. Voor een ITer is het ook een kwestie van vertrouwen, namelijk van zijn baas in hem. Maar daar ging het in het voorbeeld niet over.

Teruggrijpend, je kan best stellen dat de grote ongewassen massa meestal beter af zal zijn met een webmaildienst dan zelf een servertje moeten optuigen, maar mijn punt was dat dat lang niet altijd het geval is, en dat door "blanket"-regels je makkelijk de competente mensen ook richting de nitwitgeschikte oplossing dwingt, waarmee je hen onrecht aandoet.

Zeker de Nederlandse overheid heeft daar nogal een handje van; ik heb een idee dat de Duitse daar beter is maar heb niet zo'n zin om de in het amtelijk Duits opgestelde documenten in te duiken om het uit te zoeken.


* Ik weet dat bijvoorbeeld gmx een heleboel moeite gestoken heeft in het "gebruiksvriendelijker" maken van hun webinterface, ruim tot op onbruikbaarheid en aangegeven gebruiksvoorkeuren systematisch negeren toe, maar dat bijvoorbeeld threading nog steeds niet beschikbaar is. Beetje rare prioriteiten daar. Wel een de-mail-goedgekeurde emailprovider.
11-03-2015, 01:02 door Erik van Straten - Bijgewerkt: 11-03-2015, 01:04
10-03-2015, 15:42 door Anoniem: Mis ik iets, of heb jij iets gemist?
Artikel: Een dienst van de Duitse overheid die wordt gebruikt voor het uitwisselen van vertrouwelijke documenten tussen burgers en overheidsdiensten gaat binnenkort end-to-end-encryptie ondersteunen.
Uit de tekst van de Redactie wordt niet duidelijk dat elk De-Mail account met elk ander De-Mail account kan "mailen".

De belangrijkste eigenschap van De-Mail is dat de integriteit van berichten en de authenticiteit van zowel afzender als ontvanger in zekere mate wordt gewaarborgd. De overheid vond/vind dat belangrijk voor communicatie tussen enerzijds overheid en anderzijds burgers en bedrijven. Voor zover ik weet is er echter geen enkele belemmering om De-Mail tussen elk van de genoemde partijen (dus ook burger<->burger) te gebruiken. Dit blijkt ook uit het plaatje onder het artikel, waarin zowel burgers, overheden als bedrijven 2x staan afgebeeld.

Uit http://www.cio.bund.de/Web/DE/Innovative-Vorhaben/De-Mail/de_mail_node.html:
Ab April 2015 wird die Ende-zu-Ende-Verschlüsselung von De-Mail leichter.

Bürger, Ämter und Unternehmen können ab April 2015 leichter vertrauliche Dokumente per De-Mail durchgängig vom Absender bis zum Empfänger schützen. Die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet mit 1&1, WEB.DE und GMX führen dazu ein vereinfachtes Verfahren für die Ende-zu-Ende-Verschlüsselung ein.

Uit http://www.heise.de/newsticker/meldung/Mail-Verschluesselung-Verhaltene-Reaktion-auf-PGP-fuer-De-Mail-Nutzer-2571170.html:
Aus Polizeikreisen wird das neue Angebot skeptisch bewertet. Die Skepsis bezieht sich aber generell auf den Einsatz einer Ende-zu-Ende-Verschlüsselung.
Als er geen versleutelde burger<->burger communicatie mee mogelijk zou zijn, zou de politie zich er niet zo druk om maken.
13-03-2015, 11:25 door spatieman
humor.
zal een nieuwe verse van de bundestrojaner zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.