Privacy - Wat niemand over je mag weten

Enigmail versleutelt niet!

03-10-2018, 21:22 door Bitwiper, 2 reacties
Laatst bijgewerkt: 03-10-2018, 21:22
De redactie van het Duitstalige blad c't (waar ook een Nederlandse uitgave van bestaat) heeft ontdekt dat de "Junior modus" van Enigmail, die na installatie standaard actief is, e-mails onversleuteld verstuurt terwijl de software aangeeft dat de mails versleuteld worden verzonden. Naar verluidt [1] (Duitstalig) geldt dit alleen voor de Windows versie.

In [2] (Engelstalig) bevestigt de pEp stichting dit probleem, dat alleen aanwezig zou zijn in de Windows versie 1.0.23 van Enigmail/pEp, beschikbaar sinds 26 september 2018. Aan een oplossing wordt gewerkt. Tot er een oplossing bestaat is het advies om de "classic Enigmail mode" te gebruiken.

[1] https://www.heise.de/security/meldung/c-t-deckt-auf-Enigmail-verschickt-Krypto-Mails-im-Klartext-4180405.html
[2] https://pep.foundation/blog/enigmailpep-current-release-for-windows-is-faulty-solution-in-progress/index.html

P.S. #1 die stichting heet feitelijk "p?p" maar ik weet niet of het middelste karakter in elke browser te lezen is.
P.S. #2 de software van deze website weigert om die laatste link clickable te maken, kennelijk omdat ".foundation" niet als TLD wordt herkend (je zult de link moeten kopiëren en en in de URL balk van jouw browser moeten plakken als je die site wilt bezoeken).
Reacties (2)
03-10-2018, 21:40 door Anoniem
Misschien willen pappa en mamma dat ook liever niet.
Kiddies zetten de boel al voldoende op stelten, dat zou jij toch moeten weten.
Privacy is voor na de 18.
03-10-2018, 21:43 door Anoniem
Enigmail en GnuPG zijn een ramp geworden naar mijn mening. Enigmail staat niet meer toe oude emails te lezen omdat er een probleem zou zijn met de veiligheid (MD5 gebruik in de key). Hun oplossing is om elk bericht opnieuw te versleutelen. Dat is een compleet idioot idee om voor de hand liggende redenen. GnuPG doet net zo iets met oude en nieuwe keys. Je kunt alleen GnuPG uit 2015 gebruiken voor oude keys. Aangezien GnuPG oude en nieuwe keys mutually exclusive maakt kun je bijvoorbeeld niet gebruik maken van veiligere elliptische keys.

PGP/MIME is ook al kapot sinds eerder dit jaar. Ontvangers kunnen het niet lezen.

Feitelijk dwingen ze gebruikers met oude software en RSA keys door te werken. Sommige GnuPG ontwikkelaars hebben altijd al een gebrek aan inzicht in wat echte mensen willen en doen (inlevingsvermogen) gehad. Ze hebben ook enkele handige command line opties uit GnuPG gesloopt. En key searches worden zonder vragen en waarschuwing uitgevoerd (privacy!). Jammer dat het zo gaat.

Ik heb ook wel eens gehad dat Enigmail gecrypte mails niet als zodanig verstuurde. Dat is niet alleen jammer voor de bescherming van de content, maar het slaat ook flinke deuken in iemands reputatie als security professional.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.