Privacy - Wat niemand over je mag weten

Alternatief voor PGP

17-07-2020, 17:24 door Anoniem, 79 reacties
Beste forumlezers,

Weet iemand of er een goed alternatief is voor PGP? Ik wil graag versleuteld
emailen, maar ik merk dat dat met PGP gewoon niet gaat. Met de technische
mensen werkt het "ok" maar niet technische mensen is het gewoon te complex
voor. Iemand die een goed werkend alternatief werkt?

Groeten!
Reacties (79)
17-07-2020, 17:46 door Anoniem
Door Anoniem: Beste forumlezers,

Weet iemand of er een goed alternatief is voor PGP? Ik wil graag versleuteld
emailen, maar ik merk dat dat met PGP gewoon niet gaat. Met de technische
mensen werkt het "ok" maar niet technische mensen is het gewoon te complex
voor. Iemand die een goed werkend alternatief werkt?

Groeten!
En je hebt zojuist ondervonden waarom het eigenlijk niet zo goed aanslaat. Het is te complex in gebruik en beheer.
Ik zou het ook nooit willen gebruiken.

Enige alternatief is S/MIME. Maar of dit nu fijner werkt en aan je eisen voldoet geen idee.
17-07-2020, 18:00 door Anoniem
Bij dit soort vragen moet je afvragen wat je threat-analyse geeft. Waar is het zwakste punt, wie is je opponent en wat is de consequentie als het bericht later toch onderschept wordt?

Het heeft geen zin om e2e (end-to-end) encryptie toe te passen indien de hosts zijn/worden gecompromitteerd.

Echter, een simpele oplossing met e2e is bijvoorbeeld whatsapp.
17-07-2020, 18:08 door MathFox
Eerste vraag: wat zijn voor jou de belangrijke aspecten van versleuteld communiceren?
Tweede vraag: waarom perse email en geen webforum of chatprogramma?
17-07-2020, 19:30 door Anoniem
Voor e-mail (niet webmail) heb je twee mogelijkheden. PGP/GnuPG (gratis certificaat dat je zelf maakt) of S/MIME (betaald certificaat bij een certificate authority).

Disastry heeft wel eens een poging gedaan om public key encryptie makkelijker te maken:
https://web.archive.org/web/20020811001400/http://disastry.dhs.org/pegwit/

Hierbij is je passphrase tevens je secret key. Deze wordt dus gegenereerd uit je passphrase.

Disastry is in 2003 verongelukt, dus daar hoef je niets meer van te verwachten.

Er zijn echter vele plugins voor GnuPG en zelfs complete programma's. Het betaalde e-mail programma TheBat! heeft ook PGP functionaliteit in zich. Zelf zou ik wachten op Thunderbird 78.2 en dan de interface alles laten doen. Dan hoef je geen moment naar de command line te gaan.
17-07-2020, 19:36 door Anoniem
Het probleem van versleuteling is wel dat je dit niet zondermeer veilig kan gebruiken; je moet er wel iets van afweten.

Nu is dat met email ook wel zo, alleen lijkt het daar ook zonder kennis te functioneren, hoewel schijn bedriegt: Het wordt breed gehaat wegens "teveel moeite" en er bestaan vele "makkelijkere" verheruitvindingen die vooral de markt hopeloos versnipperd hebben en echt veel makkelijker is het er niet op geworden. Maar met pgp moet je sommige echt snappen anders krijg je het niet aan de praat.

Ik heb redelijk succes gehad met een paar mensen die toch wel net iets meer dan helemaal niets wisten van computers, door niet alleen het idee van publieke sleutels uit te leggen, maar ook te laten zien hoe je desnoods ook zonder je emailclient berichten kan ver- en ontsleutelen (met gpg). Dus als het met de emailclient (weer eens) niet lukt, dan doe je het "offline" en verstuur je je versleutelde bericht zonder de client nog een ronde versleuteling te laten doen. Of via pastebin, wetransfer, of wat dan ook. Dat beheersen van een bouwsteen is meer een Unix-gedachte, maar blijkt in de praktijk toch wel te werken voor mensen die er open voor staan.

Als je wil dat je je nergens druk over hoeft te maken en het moet dus volautomatisch allemaal goed gaan... dat ga je gewoon niet krijgen. Dat kan ook niet want je moet wel iets weten van informatiebeveiliging, anders kun je nog zoveel versleuteling gebruiken, je lekt zo perongeluk de kroonjuwelen en dan is al je moeite voor niets geweest. Dat is een inherent probleem en niet met software op te lossen. Dus je moet wel iets van de onderliggende principes snappen.
17-07-2020, 19:48 door Anoniem
e2e chat > Signal.
17-07-2020, 20:37 door Anoniem
Door Anoniem: Beste forumlezers,

Weet iemand of er een goed alternatief is voor PGP? Ik wil graag versleuteld
emailen, maar ik merk dat dat met PGP gewoon niet gaat. Met de technische
mensen werkt het "ok" maar niet technische mensen is het gewoon te complex
voor. Iemand die een goed werkend alternatief werkt?

Groeten!

Je email versleuteld inpakken met bijvoorbeeld 7zip en het versleutelde bestand mailen.
17-07-2020, 20:56 door Anoniem
17-07-2020, 21:33 door [Account Verwijderd]
Door Anoniem:
Echter, een simpele oplossing met e2e is bijvoorbeeld whatsapp.


Omg. Whatsapp. Per definitie zo lek als een zeef, eigendom van de meest creepy organisatie op deze planeet en encryptie tot de server en geen meter verder.
17-07-2020, 21:47 door Anoniem
Niet helemaal wat je wilt horen denk ik, maar beide partijen via webmail gebruik laten maken van Protonmail is misschien (voor jou geval) afdoende bescherming.
17-07-2020, 22:52 door [Account Verwijderd] - Bijgewerkt: 17-07-2020, 22:53
Het beste alternatief voor PGP versleutelde e-mails is E2EE versleutelde chats. Dus Signal, Wire, Element/Matrix/Riot.im of zelfs Whatsapp. 'Versleuteld emailen' was misschien leuk 10-20 jaar geleden, maar kan zich absoluut niet meten aan de veiligheidseisen - en zelfs gebruikersvriendelijkheid! - die je vandaag mag verwachten van een communicatiemiddel. Helaas heeft nog niet iedereen geaccepteerd.
18-07-2020, 01:05 door Anoniem
Door Anoniem:
Je email versleuteld inpakken met bijvoorbeeld 7zip en het versleutelde bestand mailen.
Inderdaad dat werkt beter dan die geheimzinnige protocollen, echter je blijft wel met nadelen zitten:
- de sleutel moet je vooraf afspreken via een ander kanaal, dat maakt het ook lastig om die regelmatig te wijzigen
- de mensen snappen vaak niet dat als het bericht gedecodeerd is opgeslagen, dat ook zo blijft.

Het mag misschien voor de hand liggen dat als je die zip file uitpakt en het plaintext bestand in je documenten directory
neerzet, het vervolgens meteen geopend kan worden, maar echt dit heeft op mijn werk al tot heel wat misverstanden
geleid.

Men moest op een gegeven moment mail naar externe bedrijven/overheden beveiligd versturen als er persoonsgegevens
in staan, het was dan bijv een PDF of DOCX file. Werkbeschrijving was dan "gebruik WINRAR om de file om te
zetten naar een ZIP file met password" (ZIP wordt breder begrepen dan andere formats).
Ontvangers kregen de instructie om de ZIP file uit te pakken met gebruik van het wachtwoord en dan hadden ze weer
de PDF of DOCX file en zetten die op hun systeem.
Kwamen vervolgens klachten terug dat we "onveilig verstuurd hadden" want "ze konden die file gewoon openen zonder
het wachtwoord te geven".
Het was die mensen niet aan het verstand te brengen dat het VERSTUREN van het bestand veilig gebeurd was en dat
ze vervolgens ZELF verantwoordelijk waren om dat bestand op een veilige plek te bewaren.

Dit is een van de vele problemen waar je tegenaan loopt als je probeert om een ingewikkeld technisch mechanisme te
laten gebruiken door mensen die niet snappen hoe het geheel werkt. Dat is trouwens voor mail zelf ook al zo: zoals je
in eerdere reacties ook al kunt lezen: mail werkt niet altijd goed, en het gaat ook steeds slechter werken. Er ontstaat
nu de situatie dat dingen mis gaan (afspraken gemist, etc) doordat mensen "de mail nooit ontvangen hebben". Die
is ergens zoek geraakt doordat een van de vele pleisters die er geplakt zijn op het SPAM en Phishing/Spoofing probleem
niet goed gewerkt hebben. Mensen waren gewend dat "mail bijna altijd aankomt" en dat is nu niet meer zo.

Dan gaat men inderdaad overschakelen op dingen als whatsapp waar je tenminste nog enige feedback kunt verwachten
op losse kreten, zodat je redelijkerwijs kunt navragen als je geen reactie krijgt. Plus dat er sowieso al minder verloren
gaat.
18-07-2020, 08:21 door Anoniem
Te tekst in een tekstbestand zetten, ZIP met wachtwoord ervan maken en dat als bijlage sturen.
Simpeler kan het niet.
18-07-2020, 09:23 door Anoniem
@ Vandaag, 01:05 door Anoniem

Een opmerking over het gebruik van ZIP versleuteling. Er zijn meerdere varianten van versleuteling. De oude (zeg maar: antieke), die kraakbaar is, wordt door Windows 10 ondersteund en de nieuwere, die AES gebruikt. De laatste wordt uiteraard niet door Windows 10 ondersteund, want dat zou per ongeluk veilig zijn. Als je de juiste keuze maakt en AES gebruikt, dan moet de ontvanger beschikken over een modern decompressieprogramma zoals 7Zip, WinRAR of PeaZip.

De andere optie is het gebruik van een veilige bestanduitwisselingserver. Dat biedt transportbescherming. Owncloud is daar een goed voorbeeld van. Helaas denken de ontvangers zodra je het woord wachtwoord noemt dat er sprake is van phishing. En ze zijn bang gemaakt door de beheerders om vooral niet op links te klikken. Dat een PDF of docx bestand zelf ook niet veilig is wordt niet begrepen. Links zijn niet onveilig als je een up to date browser gebruikt, op doelgerichte aanvallen die zero-days gebruiken na. Hoe je het ook wendt of keert: er zal toch een zekere mate van vertrouwen moeten zijn.

Overigens hebben ontvangers zelf op hun systemen kant en klare lekken geinstalleerd. Dat zijn malwarescanners en uitbesteding aan Microsoft. Microsoft en Google scannen de emails van klanten (en derden) en zodra ze een "verdacht" bestand aantreffen, gaat daarvan een kopie naar hun antivirusontwikkelaars. Beide partijen lezen emails. Beheerders zetten dat gewoon aan zonder te lezen wat het inhoudt. Lekker veilig, je merkt er niets van. Het gaat zoals mensen die rondlopen met hun smartphone, hun privacy wordt geschonden, maar ze merken er niets van, dus het kan gewoon worden genegeerd.
18-07-2020, 11:21 door Anoniem
Door Anoniem: Te tekst in een tekstbestand zetten, ZIP met wachtwoord ervan maken en dat als bijlage sturen.
Simpeler kan het niet.
Mwah..Met bijvoorbeeld hashcat, een goede passlist en wat tijd kom je al een heel eind als je die file eenmaal tot je beschikking hebt.
18-07-2020, 11:30 door Anoniem
Door Anoniem: Het was die mensen niet aan het verstand te brengen dat het VERSTUREN van het bestand veilig gebeurd was en dat ze vervolgens ZELF verantwoordelijk waren om dat bestand op een veilige plek te bewaren.
Daarom pak ik liever gpg, omdat je dan dus expliciet moet zeggen "versleutelen" voor je het verstuurt en "ontsleutelen" om het te kunnen lezen. Onder windows en macos allebei is het rechterklik (of watishet, control-click), gpg, en dan ontsleutelen of versleutelen. Doordat het een apart gereedschap is en niet wat al bij een programma in zit dat (in de hoofden van de gebruikers) iets anders doet is het veel duidelijker wat er aan de hand is. "Dit is een versleuteld bestand." "Dit is een ontsleuteld bestand."

En als je het principe van publieke sleutels uitlegt kun je duidelijk maken dat "dit bestand is alleen nog maar door $persoon te ontsleutelen" zonder dat je hoeft te hannnessen met bestandswachtwoorden veilig uitwisselen.

Dit is een van de vele problemen waar je tegenaan loopt als je probeert om een ingewikkeld technisch mechanisme te
laten gebruiken door mensen die niet snappen hoe het geheel werkt.
Vandaar dus, je moet eerst die mechanismen uitleggen. Niet technisch maar dat je nu een slot hebt dat als het met één van de twee van het sleutelpaar dichtgezet is, dat het alléén met de andere van hetzelfde sleutelpaar weer te openen is.

(Maar ook dingen als, "niet op een gedeelde schijf uitpakken en helemaal niet in een 'cloud drive', maar alleen op je eigen computer". Informatieveiligheid is belangrijk en tegelijkertijd iets wat je zo makkelijk perongeluk verkeerd doet als je gewoon maar doet wat allerlei fabrikanten je vertellen dat makkelijk is.)

En dan wil je dus ook dat het mechanisme redelijk uitlegbaar is. Dat is met bijvoorbeeld keyservers en sleutelpropagatie eigenlijk niet doenbaar. (Zelfs de knutselaars aan de software zelf hebben eigenlijk geen idee hoe de keyserver-software werkt.) Certificaten en PKI zijn ook (infaam) hopeloos ingewikkeld. Maar publieke/private sleutelparen zijn heel goed uit te leggen.

Sleutelgenereren is dan weer wat lastiger maar daar kan je wel mee helpen. Moet je wel de geldigheid op ongelimiteerd zetten of je moet eens in de zoveel tijd langskomen om 'm weer zoveel tijd vooruit te zetten. Zeker in het eerste geval is het dan aan te raden om iets als een openpgp-keycard te gebruiken (al dan niet in sim-formaat in een usb-lezer die sim-formaat pakt). Dan krijg je gelijk iets tastbaars waar goed op gepast moet worden, in plaats van een onduidelijk bestandje dat makkelijk wegraakt in een upgrade oid.
18-07-2020, 12:08 door Anoniem
Door Anoniem:
Door Anoniem: Het was die mensen niet aan het verstand te brengen dat het VERSTUREN van het bestand veilig gebeurd was en dat ze vervolgens ZELF verantwoordelijk waren om dat bestand op een veilige plek te bewaren.
Daarom pak ik liever gpg, omdat je dan dus expliciet moet zeggen "versleutelen" voor je het verstuurt en "ontsleutelen" om het te kunnen lezen. Onder windows en macos allebei is het rechterklik (of watishet, control-click), gpg, en dan ontsleutelen of versleutelen. Doordat het een apart gereedschap is en niet wat al bij een programma in zit dat (in de hoofden van de gebruikers) iets anders doet is het veel duidelijker wat er aan de hand is. "Dit is een versleuteld bestand." "Dit is een ontsleuteld bestand."
Je overschat de gebruikers. Het is niet anders dan met gebruik van WINRAR als versleutel/ontsleutel tool en dat
begrepen ze dus ook niet.

En als je het principe van publieke sleutels uitlegt kun je duidelijk maken dat "dit bestand is alleen nog maar door $persoon te ontsleutelen" zonder dat je hoeft te hannnessen met bestandswachtwoorden veilig uitwisselen.
Daar hadden we toch al niks aan, want het betreft communicatie tussen bedrijven/overheid en niet tussen personen.
Het is operationeel niet acceptabel dat het maar door 1 persoon te ontsleutelen is, dat moet een afdeling zijn of
minimaal moet er een opvang mogelijk zijn van ziektegevallen etc.

Dit is een van de vele problemen waar je tegenaan loopt als je probeert om een ingewikkeld technisch mechanisme te
laten gebruiken door mensen die niet snappen hoe het geheel werkt.
Vandaar dus, je moet eerst die mechanismen uitleggen. Niet technisch maar dat je nu een slot hebt dat als het met één van de twee van het sleutelpaar dichtgezet is, dat het alléén met de andere van hetzelfde sleutelpaar weer te openen is.
Heeft geen zin om dat uit te leggen.
De domheid is oneindig. We moeten zelfs "klassieke winzip encryptie" gebruiken omdat de moderne en betere
encryptie (nou ja modern, zit er al minstens 10 jaar in volgens mij) niet ondersteund wordt door de unzipper die
standaard in Windows zit. Mensen melden dan dat ze "het niet kunnen openen" en je kunt 5 of 10 keer uitleggen
dat ze niet op het bestand moeten dubbelklikken maar dat ze het moeten opslaan en dan openen met WINRAR
of WINZIP of whatever, niet met de verkenner. MAAR DAT DRINGT GEWOON NIET DOOR, DAT SOORT DINGEN
SNAPPEN DE MENSEN NIET.
Tuurlijk je zult best een clubje bij elkaar gevonden hebben wat het een beetje begrepen heeft en nu succesvol
communiceert, maar echt, in een "normale" kantooromgeving waar de mensen geen IT achtergrond hebben en
waar men standaard handelingen doet met basiskennis van een computer daar gaat het helemaal fout.
18-07-2020, 13:41 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het was die mensen niet aan het verstand te brengen dat het VERSTUREN van het bestand veilig gebeurd was en dat ze vervolgens ZELF verantwoordelijk waren om dat bestand op een veilige plek te bewaren.
Daarom pak ik liever gpg, omdat je dan dus expliciet moet zeggen "versleutelen" voor je het verstuurt en "ontsleutelen" om het te kunnen lezen. Onder windows en macos allebei is het rechterklik (of watishet, control-click), gpg, en dan ontsleutelen of versleutelen. Doordat het een apart gereedschap is en niet wat al bij een programma in zit dat (in de hoofden van de gebruikers) iets anders doet is het veel duidelijker wat er aan de hand is. "Dit is een versleuteld bestand." "Dit is een ontsleuteld bestand."
Je overschat de gebruikers. Het is niet anders dan met gebruik van WINRAR als versleutel/ontsleutel tool en dat
begrepen ze dus ook niet.
Je snapt het punt niet. In jouw hoofd is winrar een equivalent gereedschap, in hun hoofd niet: Het "pakt bestanden in", terwijl gpg "bestanden versleutelt". Dat winrar ook nog versleutelen kan, dat weten velen niet. Daarnaast is mij niet bekend dat het publieke-sleutel-encryptie aankan.

Dus ik heb liever dat ze winrar pakken en dan gpg eroverheen doen, dan het ineens doen en de ontvanger snapt het niet. Maar alweer, je moet dus eerst een stukje basiskennis weten over te dragen. Als je dat niet doet dan kom je nergens. En om dat te kunnen heb je een helder verhaal nodig, dat je aan duidelijke handelingen kan hangen. Dat biedt winrar niet.

Dit is trouwens ook wel de kern van "Why Johnny Can't Encrypt"; de "suite" die de testpersonen voorgeschoteld kregen was zowel niet uitleggend voor de leek als veel te ingewikkeld met veel te veel knoppen en hendels om vanalles in te stellen en te doen, zonder veel onderscheid, en zoals gezegd, laat staan uitleg of zelfwijzendheid.

Dan moet je dus verzinnen wat de benodigde minimale basiskennis is en die overbrengen, en daar bruikbare gereedschappen bij geven. Helder verhaal, duidelijke handelingen.

En als je het principe van publieke sleutels uitlegt kun je duidelijk maken dat "dit bestand is alleen nog maar door $persoon te ontsleutelen" zonder dat je hoeft te hannnessen met bestandswachtwoorden veilig uitwisselen.
Daar hadden we toch al niks aan, want het betreft communicatie tussen bedrijven/overheid en niet tussen personen.
Het is operationeel niet acceptabel dat het maar door 1 persoon te ontsleutelen is, dat moet een afdeling zijn of
minimaal moet er een opvang mogelijk zijn van ziektegevallen etc.
Dat is een probleem, maar dat is geen ander probleem dan dat je de een vaste vertegenwoordiger hebt en als die wisselt of ziek is moet er iets van overdracht plaatsvinden. Met een los token en een vertrouwenspersoon die (ook) het wachtoord kent kan het.

Dus gelieve niet vantevoren oplossingen af te schieten als die prima opgelost kunnen worden op precies dezelfde manier dat andere problemen ook al opgelost worden.

Heeft geen zin om dat uit te leggen.
Ik weet uit ervaring dat het wel uit te leggen is. Mischien niet aan iedereen, maar zoals gezegd zijn er nu ook al best wel veel mensen die "aan de email" zitten terwijl ze nooit behoorlijk uitgelegd is hoe het moet en dan is het niet gek dat ze gewoon de benodigde basiskennis niet hebben en dus ook niet dat de resultaten verre van optimaal zijn.

Weet jij hoe bijvoorbeeld Sender: gebruikt hoort te worden?

De domheid is oneindig.
Als je zo begint, geef dan gelijk maar op. Maar hou dan ook je mond terwijl de mensen die wel met oplossingen proberen te verzinnen bezig zijn en zelfs successen behalen.

Het is gewoon niet waar dat de gebruiker intelligentie tekort komt. Het is wel waar dat we onder het mom van een marketeeringpraatje ze de benodigde kennis en vaardigheiden onthouden. "Geen training nodig, alles is intuïtief", is een gigantische leugen maar wel een waar "de desktop" al jaren op draait. En dat is het resultaat aan te zien.

We moeten zelfs "klassieke winzip encryptie" gebruiken omdat de moderne en betere encryptie (nou ja modern, zit er al minstens 10 jaar in volgens mij) niet ondersteund wordt door de unzipper die standaard in Windows zit.
Maar alweer, je probleem is er een van perceptie. Het punt was nou net dat je een duidelijk aparte handeling van ontsleutelen in de workflow wil omdat dat het signaal geeft "nu is het bestand niet meer beveiligd". Een ingebouwde, naadloos geïntegreerde, en standaard aanwezige ontzipper is dus precies niet wat je nodig hebt. Dat het dat (weer eens) inferieure software met te weinig moderne features blijkt te zijn is niet meer dan de kers op de taart. De kern van de zaak is dat je iets anders wil doen, met een apart knopje "nu gaat de veiligheid eraf".

Mensen melden dan dat ze "het niet kunnen openen" en je kunt 5 of 10 keer uitleggen
dat ze niet op het bestand moeten dubbelklikken maar dat ze het moeten opslaan en dan openen met WINRAR
of WINZIP of whatever, niet met de verkenner. MAAR DAT DRINGT GEWOON NIET DOOR, DAT SOORT DINGEN
SNAPPEN DE MENSEN NIET.
Ik heb het een paar mensen inclusief mijn ondertussen 70+-jarige vader met succes uitgelegd. Maar dus met GPG: Rechterklik, gpg, ontsleutelen. Over de telefoon, ging prima.

Maar dan heb je dus eerst een bestand dat "dicht" zit en even later een bestand dat "open" is en dus niet meer beveiligd. En dus met de verkenner te inspecteren is. Leg die verbinding expliciet (want een niet-techneut mist 'm al snel) en het komt wel over. Omdat je dan dus een specifiek overgangspunt hebt, van "onleesbaar en dus beveiligd" naar "leesbaar en dus niet beveiligd".

Het is niet superhandig of supergeïntegreerd maar het is wel duidelijk en uitlegbaar. En dat laatste is waar het om ging.

Tuurlijk je zult best een clubje bij elkaar gevonden hebben wat het een beetje begrepen heeft en nu succesvol
communiceert, maar echt, in een "normale" kantooromgeving waar de mensen geen IT achtergrond hebben en
waar men standaard handelingen doet met basiskennis van een computer daar gaat het helemaal fout.
We hebben hier al meermaals geconstateerd dat de beschikbare basiskennis hopeloos tekortschiet, niet eens voor dit soort dingen maar gewoon voor "veilig met email omgaan" ("niet op die email klikken!!1!"), dus je ontkomt er eigenlijk niet aan dat te verbeteren.

Dus als je veilig wil communiceren zul je per kantoor danwel afdeling minstens één iemand moeten opleiden tot, nouja, minstens niveautje éénoog, zodat'ie de rest kan helpen en/of de uitleg doorgeven.

Je hebt net zelf geconstateerd dat het met winzip en winrar en 7zip en wat-dan-ook niet gaat, maar je trekt nu ten strijde tegen het idee dat als je het een aparte handeling maakt, met een apart gereedschap waar duidelijk "encryptie" en "decryptie" op staat, dat mensen het dan mischien wel kunnen snappen. Mijn ervaring is dat er niet-technische mensen zijn dat wel kunnen. Dus waarom je dan nog die drang voelt om tegen het idee te vechten, heb je belang bij "universele domheid" op de werkvloer?
18-07-2020, 14:50 door Anoniem
Worddocument (docx) wachtwoord beveiligen en meesturen. WW per sms sturen.
(Word heeft een slechte naam, maar de beveiliging is tegenwoordig gewoon op orde)

Simpeler kan volgens mij niet.
18-07-2020, 17:12 door Anoniem
Door Anoniem: @ Vandaag, 01:05 door Anoniem

Een opmerking over het gebruik van ZIP versleuteling. Er zijn meerdere varianten van versleuteling. De oude (zeg maar: antieke), die kraakbaar is, wordt door Windows 10 ondersteund en de nieuwere, die AES gebruikt. De laatste wordt uiteraard niet door Windows 10 ondersteund, want dat zou per ongeluk veilig zijn. Als je de juiste keuze maakt en AES gebruikt, dan moet de ontvanger beschikken over een modern decompressieprogramma zoals 7Zip, WinRAR of PeaZip.

Nee, dat laatste hoeft niet beslist.
Ook bij 7-zip kan je kiezen voor een optie waarbij slechts een "7-zip-uitpakker" is meegeïntegreerd bij het encrypted gezipte bestand of map(pen) met bestanden.
Je creëert hiermee een .exe bestand dat een 7-zip icoon heeft.
Dubbelklik er op en hij vraagt om het wachtwoord.
Geef het juiste wachtwoord en hij vraagt naar welke drive/map het moet.
En daar gaat het het hele zootje vervolgens naar toe, decrypted en uitgepakt zoals het oorspronkelijk was ingepakt.

Nadeel is alleen wel dat een .exe bestand niet zonder risico's is.
Je zult zeker moeten zijn wie de bron is, dat deze bron betrouwbaar is, en dat er niet onderweg mee is geknoeid.
18-07-2020, 18:40 door Anoniem
Door Anoniem: Nee, dat laatste hoeft niet beslist.

Executables via email versturen kan niet in het bedrijfsleven. Die staan in het lijstje niet acceptabele bestanden bij zo goed als alle mail scanners. Zoals het hoort.
18-07-2020, 18:40 door Anoniem
Door Anoniem: Simpeler kan volgens mij niet.

$ gpg -ac < file.docx | mail -s "Voilà!" foo@bar
18-07-2020, 19:13 door Anoniem
Door Anoniem:
Dan moet je dus verzinnen wat de benodigde minimale basiskennis is en die overbrengen, en daar bruikbare gereedschappen bij geven. Helder verhaal, duidelijke handelingen.
Ik denk dat het cruciale verschil tussen de situatie op mijn werk en de situatie tussen jou en je 70 jarige vader is dat
in mijn geval we maar 1 kant van de keten kunnen onderwijzen. Wij versturen de mail, wij maken de werkbeschrijving
hoe dat gedaan moet worden (dwz via WINRAR en dan ZIP mode, de encryptie aanzetten en het wachtwoord op de juiste
plek invoeren en het resulterende ZIP bestand attachen aan de mail). DAT gedeelte gaat na enige pogingen wel goed.

Daarnaast moet dan de ontvanger er ook wat mee en DAAR kunnen we geen persoonlijke begeleiding geven, niet
bepalen welke tools gebruikt worden, hoe die tools geactiveerd worden, wat er met de uitgepakte bestanden gebeurt,
etc etc. Wat we hooguit kunnen doen is daar aanwijzingen over mailen maar als die niet begrepen worden of niet
kunnen worden uitgevoerd houdt het heel snel op. "gebruik WINRAR of WINZIP om het bestand uit te pakken",
"hebben we niet!", "installeer dan 7zip ofzo", "kan hier niet, ik mag niks installeren". Dat soort situaties.

En als het nog zo duidelijk was dan was het simpel, je moet ze de kost geven die je verhaal van 20 regels helemaal
niet lezen en gewoon de handen in de lucht gooien met standaard meldingen als "hij pikt het niet!", "hij gooit me eruit!"
enzo die je nou eenmaal van gebruikers krijgt.
Dat is heel wat anders als een groep die jij zelf onderricht kunt geven. Maar wel de praktijk van alledag als je veilig
mailtjes wilt verzenden naar ontvangers bij andere bedrijven en instellingen waar je geen controle over hebt. Echt.

Dus zijn we ook maar overgestapt naar zo'n cloud oplossing waarbij je je bestand ergens neerzet en iemand anders
het dan met een key die hij ontvangt per SMS kan ophalen.
18-07-2020, 19:14 door Anoniem
Door Anoniem:
Nee, dat laatste hoeft niet beslist.
Ook bij 7-zip kan je kiezen voor een optie waarbij slechts een "7-zip-uitpakker" is meegeïntegreerd bij het encrypted gezipte bestand of map(pen) met bestanden.
Je creëert hiermee een .exe bestand dat een 7-zip icoon heeft.
Dubbelklik er op en hij vraagt om het wachtwoord.
Geef het juiste wachtwoord en hij vraagt naar welke drive/map het moet.
En daar gaat het het hele zootje vervolgens naar toe, decrypted en uitgepakt zoals het oorspronkelijk was ingepakt.

Nadeel is alleen wel dat een .exe bestand niet zonder risico's is.
Je zult zeker moeten zijn wie de bron is, dat deze bron betrouwbaar is, en dat er niet onderweg mee is geknoeid.

Dat is buiten prive gebruik helemaal onwerkbaar. .exe bestanden is wel het eerste wat geblokkeerd wordt in mail en
terecht natuurlijk.
18-07-2020, 22:22 door Anoniem
Orignele poster hier!

Ik wil jullie alvast super bedanken, veel dingen om over na te denken. Ik vind met name
de oplossing/vraag van "waarom dan email" echt een goede. Zo had ik er nog niet over
nagedacht, misschien is een E2E encrypted messaging wel een betere oplossing. De
zip oplossing vind ik ook leuk, maar dat is wel wat "omslachtig" voor veel communicatie.

Ik ga direct even kijke naar de verschillende E2E encrypted messaging oplossing.

Nogmaals, super!
19-07-2020, 00:09 door Anoniem
Heb je iets te verbergen ofzo?
19-07-2020, 10:38 door Anoniem
Door Anoniem:
Door Anoniem:
Dan moet je dus verzinnen wat de benodigde minimale basiskennis is en die overbrengen, en daar bruikbare gereedschappen bij geven. Helder verhaal, duidelijke handelingen.
Ik denk dat het cruciale verschil tussen de situatie op mijn werk en de situatie tussen jou en je 70 jarige vader is dat
in mijn geval we maar 1 kant van de keten kunnen onderwijzen.
Daar heb je op zich gelijk in. Overigens niet alleen mijn vader, ook bijvoorbeeld mijn zaakbehartiger die ik regelmatig scans van allerlei papierwerk via een ge-SMSde wetransfer link stuur, de data ingepakt met tar en dichtgeplakt met gpg. Andersom gebeurt niet veel maar is ook wel gelukt ondertussen.

Maar als we erkennen dat het probleem niet techisch is, dan kunnen we verder kijken naar wat het probleem dan wèl is. Het eerdere betoog ging erover dat het probleem in feite in de hoofden zit. En dat je dat doorbreekt door gereedschap te bieden dat je hoofdoel er niet een beetje bij doet, maar ook echt als hoofdoel aanbiedt.

Nu vertel je dat het probleem erin zit dat je tegen andere organisaties oploopt en dat je de gebruikers daar niet kan dwingen naar je te luisteren, en dat ze gereedschappen niet kunnen installeren. Maar ook daar zijn wel oplossingen voor. Organisatorische oplossingen.

Alleen loop je het risico dat je dan eerst met het management en de lokale systeembeheerder van je doelorganisatie moet babbelen. Dat je aannemelijk kan maken dat je graag informatie beveiligd wil uitwisselen en dat je daar gpg voor wil gebruiken. En dus of ze gpg willen installeren in ieder geval op de computer van jullie contactpersoon.

En alweer wil je dan toch wel graag een toegewijd gereedschap als gpg en niet iets als winrar want dat wordt regelmatig geassocieerd met onder de radar naarbinnensmokkelen van malware. En ook omdat je met publieke sleutels wil werken, niet met wachtwoorden. Of tenminste dan dus wachtwoorden op je geheime sleutel, niet "een wachtwoord op een bestandje". Ook omdat je dan kan verifiëren of de data wel echt van je contactpersoon afkomt.

En dat kan vaak ook wel, maar je moet even de juiste insteek in de organisatie hebben. Desnoods stop je het in je leveringsvoorwaarden en bied je aan langs te komen voor een kwartiertje uitleg, en net zoveel uren vragentijd en hands-on oefening als ze nodig hebben, desnoods de hele dag. Dat doe je één keer, je leidt dan minstens twee mensen op, en daarna worden ze geacht de handleiding met het hele verhaal nog een keer die je achterlaat te kennen. Want staat in de leveringsvoorwaarden die bij het contract horen.

Dit klinkt mischien draconisch maar is het eigenlijk niet. Dit is waar je leveringsvoorwaarden voor hebt. De software is gewoon binnen te halen, voor vele platformen beschikbaar, en het implementeert ook nog eens een open standaard. (Dus wel even zorgen dat de bestandjes die je genereert met zowel gpg als pgp te ontsleutelen zijn. Maar dat is dan weer testwerk voor de ITer die het voor jou opzet.) Je moet dus niet alleen inzicht in de techniek hebben, maar ook in hoe bedrijven onderling werken, en goed contact met de baas die dit ook snapt, om het op te zetten. Kan best, maar vereist wel inzicht, en in meer dan alleen maar de techniek. Wat niet raar is want we hebben al gezien dat het probleem eigenlijk niet technisch is van aard. We hebben technische gereedschappen om het te doen, de gereedschappen aan de man brengen en inzetten is waar het schort.

En als het nog zo duidelijk was dan was het simpel, je moet ze de kost geven die je verhaal van 20 regels helemaal
niet lezen en gewoon de handen in de lucht gooien met standaard meldingen als "hij pikt het niet!", "hij gooit me eruit!"
enzo die je nou eenmaal van gebruikers krijgt.
Vandaar dus de éénoog die ter plekke kan helpen. Maar daar zijn ook wel andere oplossingen voor te verzinnen. Als ze een in-house helpdesk hebben, bijvoorbeeld, neem je die mee met de hierboven beschreven training.

Individuele stoelwarmhouders zijn met totaal andere dingen bezig en vergeten dit soort details dus wel eens, maar ik zou van een helpdesk wel verwachten dat ze in voorkomede gevallen de juiste handleiding weten te vinden en kunnen vertellen hoe het moet. Dus die geef je een kopietje van jouw handleiding.

Dat is heel wat anders als een groep die jij zelf onderricht kunt geven. Maar wel de praktijk van alledag als je veilig
mailtjes wilt verzenden naar ontvangers bij andere bedrijven en instellingen waar je geen controle over hebt. Echt.
Ik geloof je best, maar het is ook weer niet zo dat dit absoluut onveranderbaar is. Daar is best een mouw aan te passen als je met een goed verhaal en een goed plan komt.

Vandaar dat ik naar gpg wijs, aangezien publieke sleutelencryptie hier een veel beter idee is dan met wachtwoorden hannessen, het een toegewijd gereedschap voor dit doel is, dus als zodanig aanprijsbaar

Sterker nog, als je van email afstapt, dat helemaal niet bedoeld is voor bestanden uitwisselen en dat inefficiënt doet met z'n 4/3-overhead (base64, reken maar uit), dan kom je tegenwoordig vaak uit op bijvoorbeeld een gedeelde dropbox. En ook daar wil je eigenlijk wel dat het bestand versleuteld en gesigneerd is, zodat je niets perongeluk lekt (en dus alweer: niet op de dropbox uitpakken--dus bijvoorbeeld met twee dropboxen werken, de ene read-only de ene kant op, de andere read-only de andere kant op) en tegelijkertijd kan zien dat het wel echt van (je contactpersoon bij) het andere bedrijf komt en niet van een of andere derde partij.

Dus zijn we ook maar overgestapt naar zo'n cloud-oplossing waarbij je je bestand ergens neerzet en iemand anders
het dan met een key die hij ontvangt per SMS kan ophalen.
Wat dus vooral schijnveiligheid oplevert en oh ja je hebt je data weggegeven aan een derde partij, met een mobiel nummer erbij.

Dan kun je haast nog beter zelf ergens een servertje optuigen die het bestand aflevert via https. "Haast" want je hebt er onder andere in-house expertise voor nodig, en dat blijkt toch wel erg zeldzaam. Net als die basiskennis.
19-07-2020, 10:46 door Anoniem
Door Anoniem: [...], misschien is een E2E encrypted messaging wel een betere oplossing.
Dan krijg je als vervolgvraag "welke dan?" en dan maar hopen dat jouw keuze een tijdje populair blijft. Iemand die zich ICQ of AIM nog herinnert?

Nee, die waren niet encrypted, dat was nog geen ding toen. Dat verandert niets aan het punt. Kijk maar hoeveel "messaging apps" er nu populair zijn en hoe snel dat kan veranderen.

De zip oplossing vind ik ook leuk, maar dat is wel wat "omslachtig" voor veel communicatie.
https://dilbert.com/strip/1995-06-24

Ik ga direct even kijke naar de verschillende E2E encrypted messaging oplossing.
Let goed op dat "E2E encrypted" vaak toch niet zo "E2E" is als ze zich voordoen.


Door Anoniem: Heb je iets te verbergen ofzo?
Kortgezegd, ja. Wettelijk verplicht zelfs.
19-07-2020, 10:49 door Anoniem
Door Anoniem: Heb je iets te verbergen ofzo?

Als een struisvogel die zijn kop... in een ethernetpoort steekt...?

Ik dacht echt dat ik veel wist van alle privacyproblematiek, maar ik heb dit fabelachtige boek met open mond gelezen. Nog nooit werd de discussie rondom privacy zo toegankelijk uitgelegd. Het is van absolute wereldklasse.

https://decorrespondent.nl/nietsteverbergen
19-07-2020, 11:15 door Anoniem
Door Anoniem:
Maar als we erkennen dat het probleem niet techisch is, dan kunnen we verder kijken naar wat het probleem dan wèl is. Het eerdere betoog ging erover dat het probleem in feite in de hoofden zit. En dat je dat doorbreekt door gereedschap te bieden dat je hoofdoel er niet een beetje bij doet, maar ook echt als hoofdoel aanbiedt.
(rest maar even weg geknipt, geinteresseerden kunnen het hierboven teruglezen)

Het is me duidelijk dat je het blijft benaderen als een technisch probleem. Je blijft doorgaan op "we moeten de mensen
uitleggen hoe het technisch werkt dan komt het wel goed" en suggereert zelfs een beetje dat de mensen die dat niet
kunnen of willen "incapabel" zijn (stoel warmhouders).

Dat is een houding die je wel vaker aantreft bij IT'ers maar die uiteraard totaal verkeerd is. Die mensen waarmee
gecommuniceerd wordt die zijn heel goed in andere dingen en die gebruiken IT alleen als een manier om opdrachten
en gegevens daaromheen te ontvangen, of om rapportages over uitgevoerde opdrachten terug te krijgen.

Als je daarvoor moet uitleggen hoe een programma werkt en hoe het gebruikt moet worden, en zelfs moet gaan praten
met de IT afdeling van het bedrijf of de overheidsinstantie waar ze werken, dan heb je allang verloren en het helemaal
niet begrepen. Zo werkt dat helemaal niet. En als het wel zo zou werken dan zou het helemaal een puinhoop worden,
want dan zou iedereen alle mogelijke tools moeten installeren (of het nou iets als WINRAR is of iets als PGP of iets
als S/MIME support en certificaten) en dan nog zouden ze niet met een druk op de knop veilig kunnen communiceren
want dan moet er eerst nog bepaald worden hoe we het deze keer gaan doen, moeten er eerst nog sleutels worden
uitgewisseld, certificaten worden aangevraagd (die weer verlopen, en steeds sneller ook nog) enz enz.
Nee, dit is allemaal totaal niet werkbaar in de dagelijkse praktijk. Wel in jouw kleine groepje maar daarbuiten niet.

En hoeft ook niet, want anderen zijn zoals bekend in dat gat gesprongen en hebben het opgelost buiten mail om.
19-07-2020, 13:43 door Anoniem
Door Anoniem:
Door Anoniem:
Nee, dat laatste hoeft niet beslist.
Ook bij 7-zip kan je kiezen voor een optie waarbij slechts een "7-zip-uitpakker" is meegeïntegreerd bij het encrypted gezipte bestand of map(pen) met bestanden.
Je creëert hiermee een .exe bestand dat een 7-zip icoon heeft.
Dubbelklik er op en hij vraagt om het wachtwoord.
Geef het juiste wachtwoord en hij vraagt naar welke drive/map het moet.
En daar gaat het het hele zootje vervolgens naar toe, decrypted en uitgepakt zoals het oorspronkelijk was ingepakt.

Nadeel is alleen wel dat een .exe bestand niet zonder risico's is.
Je zult zeker moeten zijn wie de bron is, dat deze bron betrouwbaar is, en dat er niet onderweg mee is geknoeid.

Dat is buiten prive gebruik helemaal onwerkbaar. .exe bestanden is wel het eerste wat geblokkeerd wordt in mail en
terecht natuurlijk.
Maar men kan natuurlijk voor verzending van zo'n .exe-bestand eerst even renamen in een .007-bestand.
De ontvanger moet dan weten dat alle attached .007 bestanden eigenlijk encrypted 7-zip bestanden zijn
en dat hij zelf ".007" weer in ".exe" moet veranderen.
En smijt hem daarna voor alle zekerheid eerst eens in de sandbox of zo. (moet je dan uiteraard wel hebben)
19-07-2020, 17:12 door Anoniem
Door Anoniem: Het is me duidelijk dat je het blijft benaderen als een technisch probleem. Je blijft doorgaan op "we moeten de mensen
uitleggen hoe het technisch werkt dan komt het wel goed"
Ik benader het als een mensenprobleem, of zelfs een organisatorisch probleem. Expliciet en met redenen omkleedt dus als je dat blijft ontkennen komt dat uit jouw beleving. Maar mijn aanpak daarvan, deels zeer ontechnisch, hang ik op aan een zorgvuldig en op gegeven redenen gekozen technisch gereedschap. Mijn technische gereedschap is dus een middel om een niet-technisch probleem te helpen oplossen, zelfs om de aanpak aan op te hangen, maar de crux van de aanpak is zeker wel de erkenning dat het probleem niet-technisch is.

en suggereert zelfs een beetje dat de mensen die dat niet kunnen of willen "incapabel" zijn (stoel warmhouders).
Ik ga ervanuit dat de meeste mensen welwillend zijn en capabel nieuwe truukjes te leren. Maar ik erken ook dat sommige mensen daar gewoon niet in geinteresserd zijn en niets anders willen dan precies dezelfde (minimale) skillset die ze (net) beheersen willen blijven uitvoeren (de "stoelwarmhouders") of zich gevangen voelen door de regels van hun werkomgeving en geen zin hebben hun nek uit te steken. Je kan je afvragen of je wel wil samenwerken met organisaties waar iedereen zo denkt.

Dat is een houding die je wel vaker aantreft bij IT'ers maar die uiteraard totaal verkeerd is.
Jij ziet hem zelfs vaker dan aanwezig. Maar dat laat ik nu voor afgehandeld achter me, mits jij dat ook doet.

Die mensen waarmee gecommuniceerd wordt die zijn heel goed in andere dingen en die gebruiken IT alleen als een manier om opdrachten en gegevens daaromheen te ontvangen, of om rapportages over uitgevoerde opdrachten terug te krijgen.
Je bent niet de eerste die dat opmerkt.

Als je daarvoor moet uitleggen hoe een programma werkt en hoe het gebruikt moet worden, en zelfs moet gaan praten
met de IT afdeling van het bedrijf of de overheidsinstantie waar ze werken, dan heb je allang verloren en het helemaal
niet begrepen. Zo werkt dat helemaal niet.
"Truukjes leren is uit den boze." Het alternatief is dat je zegt "wij gebruiken dit, dus jullie ook" en dan is alles kits. Oh wacht, ik geloof dat de hele discussie begon op dat dat laatste niet kon. Dus er kan niet verwacht worden dat andere bedrijven zelf iets kunnen leren. Hier zeg je dat ze ook niets kunnen leren. Oftewel... ze kunnen zelf niet leren en je kan ze niets aanleren. Dus er kan helemaal niets. Dan hou je dus geen opties over.

En als het wel zo zou werken dan zou het helemaal een puinhoop worden,
want dan zou iedereen alle mogelijke tools moeten installeren (of het nou iets als WINRAR is of iets als PGP of iets
als S/MIME support en certificaten) en dan nog zouden ze niet met een druk op de knop veilig kunnen communiceren
want dan moet er eerst nog bepaald worden hoe we het deze keer gaan doen, moeten er eerst nog sleutels worden
uitgewisseld, certificaten worden aangevraagd (die weer verlopen, en steeds sneller ook nog) enz enz.
Nee, dit is allemaal totaal niet werkbaar in de dagelijkse praktijk. Wel in jouw kleine groepje maar daarbuiten niet.
Wat stel je dan voor? Een "app"? Daar hebben we er ook al een miljoen van. Een "webdienst" of een "clouddienst"? Daarvan ook.

En hoeft ook niet, want anderen zijn zoals bekend in dat gat gesprongen en hebben het opgelost buiten mail om.
Ik zit hier eventjes te grinniken om de best wel jammere kritiek, feitelijk onjuist ook nog, die je hier spuit om dan de winnaarsbeker aan "anderen" te kunnen geven. Die schitteren door afwezigheid. Waar hebben we dat toch eerder gezien?
19-07-2020, 17:49 door Anoniem
Door Anoniem:
Door Anoniem:
Dat is buiten prive gebruik helemaal onwerkbaar. .exe bestanden is wel het eerste wat geblokkeerd wordt in mail en
terecht natuurlijk.
Maar men kan natuurlijk voor verzending van zo'n .exe-bestand eerst even renamen in een .007-bestand.
De ontvanger moet dan weten dat alle attached .007 bestanden eigenlijk encrypted 7-zip bestanden zijn
en dat hij zelf ".007" weer in ".exe" moet veranderen.
Als dat werkt dan is je mail filtering syteem wel helemaal FLUT!
Normaal wordt zo'n bestand evengoed geblokkeerd behalve in de meest naieve filters.
19-07-2020, 18:22 door Anoniem
Wat ik zelf als zeer prettig ervaar is DeltaChat. Dit maakt ondeliggend gebruik van autocrypt dat een gereduceerde implementatie van openpgp gebruikt.
Als beiden correspondenten autocrypt geactiveerd hebben (dat in steeds meer email programma's wordt toegevoegd), zal dit zorg dragen voor een opurtunistische e2e versleuteling.

Kijk voor meer info op:
https://delta.chat/nl/
19-07-2020, 18:42 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Nee, dat laatste hoeft niet beslist.
Ook bij 7-zip kan je kiezen voor een optie waarbij slechts een "7-zip-uitpakker" is meegeïntegreerd bij het encrypted gezipte bestand of map(pen) met bestanden.
Je creëert hiermee een .exe bestand dat een 7-zip icoon heeft.
Dubbelklik er op en hij vraagt om het wachtwoord.
Geef het juiste wachtwoord en hij vraagt naar welke drive/map het moet.
En daar gaat het het hele zootje vervolgens naar toe, decrypted en uitgepakt zoals het oorspronkelijk was ingepakt.

Nadeel is alleen wel dat een .exe bestand niet zonder risico's is.
Je zult zeker moeten zijn wie de bron is, dat deze bron betrouwbaar is, en dat er niet onderweg mee is geknoeid.

Dat is buiten prive gebruik helemaal onwerkbaar. .exe bestanden is wel het eerste wat geblokkeerd wordt in mail en
terecht natuurlijk.
Maar men kan natuurlijk voor verzending van zo'n .exe-bestand eerst even renamen in een .007-bestand.
De ontvanger moet dan weten dat alle attached .007 bestanden eigenlijk encrypted 7-zip bestanden zijn
en dat hij zelf ".007" weer in ".exe" moet veranderen.
En smijt hem daarna voor alle zekerheid eerst eens in de sandbox of zo. (moet je dan uiteraard wel hebben)

PE bestanden worden geblokkeerd op inhoud. Het maakt dus niet uit wat de extensie is. Pogen beveiliging te omzeilen is in principe verboden.
20-07-2020, 08:33 door sjonniev - Bijgewerkt: 20-07-2020, 08:49
Probeer iets anders.

Neem een Sophos Firewall of UTM, en duckduckgo naar spx mail. Dan vind je een manier om email te versleutelen die die van mails en attachments versleutelde PDF-bestanden maakt. Wanneer de ontvanger erop klikt is er een wachtwoord nodig. Alle mij bekende pdf-lezers ondersteunen dit.

Firewall https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx
UTM https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
Hoe dan https://community.sophos.com/kb/en-us/120331
blabla https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/Sophos-SPX-Email-Encryption.pdf

De UTM ondersteunt ook nog pgp (en s/mime), mocht daar behoefte aan zijn.
20-07-2020, 09:51 door Anoniem
Door sjonniev: Dan vind je een manier om email te versleutelen die die van mails en attachments versleutelde PDF-bestanden maakt. Wanneer de ontvanger erop klikt is er een wachtwoord nodig. Alle mij bekende pdf-lezers ondersteunen dit.
Lang niet alle attachments zijn ook nog bruikbaar nadat je ze ver-PDFt hebt. En oh ja, "een wachtwoord op een PDF" is vrij simpel te omzeilen. Mijn pdf-lezer heb ik aangepast om gewoon die vraag om een wachtwoord te negeren. Dat dit met een doodsimpele codewijziging kan betekent dat de onderliggende beveiliging er vooral voor het mooi op zit. En daarmee gevaarlijk is, want je gegevens lijken beveiligd maar zijn het niet.
20-07-2020, 11:09 door sjonniev
Door Anoniem:
Door sjonniev: Dan vind je een manier om email te versleutelen die die van mails en attachments versleutelde PDF-bestanden maakt. Wanneer de ontvanger erop klikt is er een wachtwoord nodig. Alle mij bekende pdf-lezers ondersteunen dit.
Lang niet alle attachments zijn ook nog bruikbaar nadat je ze ver-PDFt hebt. En oh ja, "een wachtwoord op een PDF" is vrij simpel te omzeilen. Mijn pdf-lezer heb ik aangepast om gewoon die vraag om een wachtwoord te negeren. Dat dit met een doodsimpele codewijziging kan betekent dat de onderliggende beveiliging er vooral voor het mooi op zit. En daarmee gevaarlijk is, want je gegevens lijken beveiligd maar zijn het niet.

De attachments zijn nog prima bruikbaar, want ze zitten gewoon als attachment in het pdfje, in hun originele staat. Ik betwijfel ten zeerste dat men van een op dergelijke wijze beschermd pdf-bestand de inhoud in plain text kan lezen zonder het juiste wachtwood in te voeren. De gegevens zijn wel degelijk beveiligd.

Niets is echter 100% veilig https://nakedsecurity.sophos.com/2019/10/03/pdf-encryption-standard-weaknesses-uncovered/.
20-07-2020, 11:16 door Anoniem
Wat voor crypto gebruiken ze bij bijv de CIA en vooral NSA en zzijn er nog andere alternatieven op de commerciele markt onderzoekt door iemand hier?
20-07-2020, 11:57 door Anoniem
Door sjonniev: Probeer iets anders.

Neem een Sophos Firewall of UTM, en duckduckgo naar spx mail. Dan vind je een manier om email te versleutelen die die van mails en attachments versleutelde PDF-bestanden maakt. Wanneer de ontvanger erop klikt is er een wachtwoord nodig. Alle mij bekende pdf-lezers ondersteunen dit.

Firewall https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx
UTM https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
Hoe dan https://community.sophos.com/kb/en-us/120331
blabla https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/Sophos-SPX-Email-Encryption.pdf

De UTM ondersteunt ook nog pgp (en s/mime), mocht daar behoefte aan zijn.
Klinkt leuk, maat het probleem is de ontvanger. Die heeft dit helemaal niet draaien.

Daarnaast... Ik zou gebruik 60% mijn telefoon om mail te lezen. Google en Outlook Apps. Dit daar ook een PGP plugin is? Anders is het namelijk zo onbruikbaar, dat niemand dit wilt gebruiken. Ik lees ook in gmail mijn mail. Doet dit het ook direct met PGP?
20-07-2020, 12:03 door Peter101
Flowcrypt. De security van PGP maar het gemak van een plugin in je browser. Je moet wel even flowcrypt vertrouwen. maar goed je hebt toch niks te verbergen?
20-07-2020, 12:23 door Anoniem
Te vaak zie je dat er een technische oplossing gebruikt gaat worden voor een process stap die dat niet aankan.

Wat wil je doen?
Informatie uitwisselen? Geheime informatie uitwisselen?

wat zijn de risico’s? Wat is de impact als het mis gaat?
Wat zijn de kosten daaraan verbonden?
Afgewogen tegen de kosten van het onderzoeken, implementeren en onderhouden van de oplossing.

Welke maatregel biedt de beste oplossing passend bij het vraagstuk/bereiken van een doelstelling en gepaard gaande risico’s?
20-07-2020, 12:37 door [Account Verwijderd]
Omdat hij nog niet was gelinkt en er nog steeds mensen het hebben over PGP (of zelfs versleutelde PDF's): https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html.
20-07-2020, 13:31 door Anoniem
Door Anoniem:
Door Anoniem: Heb je iets te verbergen ofzo?

Als een struisvogel die zijn kop... in een ethernetpoort steekt...?

Ik dacht echt dat ik veel wist van alle privacyproblematiek, maar ik heb dit fabelachtige boek met open mond gelezen. Nog nooit werd de discussie rondom privacy zo toegankelijk uitgelegd. Het is van absolute wereldklasse.

https://decorrespondent.nl/nietsteverbergen


_,-\/-,_
\ /
\_.._/
_,/ \,_
/ \ / \
,\ ) ( /,
(__/ .''. \__)
\,_|| /
| ||\ |
| /|| \|
() || ()
// || ||
// || ||
// || ||
// || /\
-- '' -'-' ^^' )( '^^-- '' -'-'
(==)
`~`
eth0

20-07-2020, 15:04 door Anoniem
Door Peter101: Flowcrypt. De security van PGP maar het gemak van een plugin in je browser. Je moet wel even flowcrypt vertrouwen. maar goed je hebt toch niks te verbergen?

FlowCrypt is beschikbaar voor Chrome, Firefox, Android and iOS. Er wordt van geclaimd dat FlowCrypt als add-on onderling compatible zou zijn met Outlook en Gmail. De ontwikkelaar achter FlowCrypt.com geeft in ieder geval inzage in een deel hun broncode via Github, voor zover het de 'Free Forever' versie betreft.

https://github.com/FlowCrypt/

Voor de 'Advanced' versie ($5 per maand) zul je dan voor het closed source gedeelde een non-disclosure agreement moeten overeenkomen, wil je wel inzage kunnen krijgen, zo verwacht ik. Het versturen van attachments voor de 'Free Forever' versie is beperkt tot 5 Mb en een expiratie datum zetten op versleutelde berichten is daarbij niet mogelijk.

Merkwaardig is wel dat de .XPI file van de Firefox add-on niet beschikbaar is via Mozilla.org maar alleen via de amazonaws.com cloud. Blijkbaar is de firma FlowCrypt a.s., gevestigd in Praag, toch niet zo vrij en open dat ze een integriteitscontrole van de code op Github door Mozilla.org aandurven -- of misschien zijn ze daar nog niet aan toe.
20-07-2020, 21:44 door Anoniem
Door Anoniem:
Door Anoniem:
Dan moet je dus verzinnen wat de benodigde minimale basiskennis is en die overbrengen, en daar bruikbare gereedschappen bij geven. Helder verhaal, duidelijke handelingen.
....
Dat is heel wat anders als een groep die jij zelf onderricht kunt geven. Maar wel de praktijk van alledag als je veilig
mailtjes wilt verzenden naar ontvangers bij andere bedrijven en instellingen waar je geen controle over hebt. Echt.

Dus zijn we ook maar overgestapt naar zo'n cloud oplossing waarbij je je bestand ergens neerzet en iemand anders
het dan met een key die hij ontvangt per SMS kan ophalen.

FileCrypt? of Cryptshare? werkt trouwens goed

Eminus
21-07-2020, 04:31 door Anoniem
Door iatomory: Omdat hij nog niet was gelinkt en er nog steeds mensen het hebben over PGP (of zelfs versleutelde PDF's): https://latacora.micro.blog/2020/02/19/stop-using-encrypted.html.

Onzinnige statement en veel onzinnige onderbuik argumenten.
21-07-2020, 09:05 door Anoniem
Door Anoniem:
Door Anoniem: Heb je iets te verbergen ofzo?
Kortgezegd, ja. Wettelijk verplicht zelfs.
Als het in de zakelijke sfeer is, dan zijn er misschien tools te koop waarmee je aan die wettelijke verplichting kan voldoen. Binnen de zorgsector is een dienst als Zivver bijvoorbeeld erg gangbaar. Wil je daar niet aan, dan is de oplossing die reeds is aangedragen een prima keuze: tekstbestand inzippen en het wachtwoord via een ander kanaal naar de ontvanger sturen.
21-07-2020, 10:07 door sjonniev
Door Anoniem:
Door sjonniev: Probeer iets anders.

Neem een Sophos Firewall of UTM, en duckduckgo naar spx mail. Dan vind je een manier om email te versleutelen die die van mails en attachments versleutelde PDF-bestanden maakt. Wanneer de ontvanger erop klikt is er een wachtwoord nodig. Alle mij bekende pdf-lezers ondersteunen dit.

Firewall https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx
UTM https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
Hoe dan https://community.sophos.com/kb/en-us/120331
blabla https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/Sophos-SPX-Email-Encryption.pdf

De UTM ondersteunt ook nog pgp (en s/mime), mocht daar behoefte aan zijn.
Klinkt leuk, maat het probleem is de ontvanger. Die heeft dit helemaal niet draaien.

Daarnaast... Ik zou gebruik 60% mijn telefoon om mail te lezen. Google en Outlook Apps. Dit daar ook een PGP plugin is? Anders is het namelijk zo onbruikbaar, dat niemand dit wilt gebruiken. Ik lees ook in gmail mijn mail. Doet dit het ook direct met PGP?

Met het risico dat ik in herhaling verval: de makkelijke oplossing is gebaseerd op PDF. De ontvanger heeft alleen maar een pdf-lezer nodig. Voor mail naar techneuten kun je pgp gebruiken. Die weten wel hoe en wanneer je pgp toepast.
21-07-2020, 16:36 door Anoniem
Door sjonniev: Voor mail naar techneuten kun je pgp gebruiken. Die weten wel hoe en wanneer je pgp toepast.

Ik ben techneut. En ik ben werkelijk pas 1 keer bij een klant PGP tegen gekomen op 1 afdeling met een paar personen.

Je ziet het gewoon bijna nergens gebruikt worden, s/mine zie je wel vrij veel voorbij komen. Veel gemakkelijker om te implementeren, vaak geen speciale clients noodzakelijk.

Dus nee, techneuten gebruiken bijna ook geen PGP.
22-07-2020, 08:21 door sjonniev
Door Anoniem:
Door sjonniev: Voor mail naar techneuten kun je pgp gebruiken. Die weten wel hoe en wanneer je pgp toepast.

Ik ben techneut. En ik ben werkelijk pas 1 keer bij een klant PGP tegen gekomen op 1 afdeling met een paar personen.

Je ziet het gewoon bijna nergens gebruikt worden, s/mine zie je wel vrij veel voorbij komen. Veel gemakkelijker om te implementeren, vaak geen speciale clients noodzakelijk.

Dus nee, techneuten gebruiken bijna ook geen PGP.

Ja hoor. Misschien minder dan vroeger, maar het is nog steeds een ding. Ik kom uit een tijd waarin er voor Outlook een aparte plugin nodig was om het iets met S/Mime te laten doen, dus S/Mime is wel iets makkelijker geworden om toe te passen. Evenals dat je een tegenwoordig erg makkelijk een CA draait met Microsoft spullen heeft ook geholpen. Maar zaken als revocatie, en het publiceren daarvan via crl of ocsp gaan nog steeds mis.

S/Mime werkt in mijn optiek eigenlijk alleen goed genoeg wanneer men een smartcard heeft voor het ontsleutelen en het zetten van handtekeningen.
22-07-2020, 11:41 door Anoniem
Door sjonniev:
Ja hoor. Misschien minder dan vroeger, maar het is nog steeds een ding. Ik kom uit een tijd waarin er voor Outlook een aparte plugin nodig was om het iets met S/Mime te laten doen, dus S/Mime is wel iets makkelijker geworden om toe te passen.
Ik heb er een paar jaar geleden een keer naar gekeken als een van de opties voor het beveiligd mailen, dat was met Outlook 2016.
Geen plugin nodig, maar een middagje testen had me wel geleerd dat dit geen goed getest onderdeel was. Man man wat kon dat op een boel manieren fout lopen... (waarbij de boel dan weer hing of weigerde te mailen tot je hem afsloot/opnieuw start etc).
Maar het lastigste was nog de hele procedure rond het aanvragen van een certificaat, installeren ervan, en uitwisselen met degenen waarmee je wilt mailen. Ik zag dat nog niet gaan werken in het bedrijf.

Evenals dat je een tegenwoordig erg makkelijk een CA draait met Microsoft spullen heeft ook geholpen. Maar zaken als revocatie, en het publiceren daarvan via crl of ocsp gaan nog steeds mis.
[/quote]Een eigen CA heeft weinig zin voor mailen buiten je eigen clubje, want dan krijgen de anderen weer de hele tijd die warnings dat de issuer niet trusted is en je moet niet willen hen aan te leren dat ze dat maar moeten negeren.
(als dat al kan en blijft kunnen)
22-07-2020, 15:10 door Anoniem
S/MIME is een alternatief, echter ben en blijf je dan afhankelijk van van een CA. En een gratis e-mail certificaat is ook bijna nergens te krijgen en als de CA de stekker eruit trekt dan wordt in princiepe je data ontoegankelijk.

PGP is in principe een logische en correcte methode om data te beschermen en te ondertekenen. De vraag is of je de implementatie ervan aan gebruikers moet overlaten. Als een systeembeheerder, computerleverancier, etc dit installeert en een duidelijke handleiding achterlaat dan kan het toch niet zo moeilijk zijn. Met de geplande integratie in Thunderbird wordt de drempel ook weer wat lager.

De vraag is daarnaast of deze asymmetrische versleuteling wel voldoende bescherming biedt tegen (quantum)supercomputers... Dat neemt overigens niet weg dat het ondertekenen van mail en documenten een belangrijke factor blijft. PGP zou eigenlijk verplicht moeten worden in de zorg als alternatief voor het rondmailen van zipjes en delen van medishe gegevens via vage commerciële transfer-protals. Voor consumenten zou een brede acceptatie het einde van phising e-mails kunnen betekenen.
22-07-2020, 15:17 door Anoniem
Als je werkelijk versleuteling nodig hebt, vergeet dan snel al die hier geopperde alternatieven. Heb je PGP windows (Symantec Encryption Desktop) of GPG4win, dan heb je de twee beste encryptie programma's die er momenteel zijn.
Type je boodschap in een editor (Kladblok, Notepad) versleutel deze, en plak de versleutelde tekst in je email bericht. Als extra beveiliging neem een Protonmail account, en gebruik dus gewoon dubbele versleuteling. Overigens kun je de publieke en zelfs private sleutels van PGP en GPG4win in Protonmail importeren. En als je dat alles allemaal te complex vind, dan adviseer ik je te stoppen met hetgeen dat zo geheim moet blijven, omdat je daar gewoon niet geschikt voor bent.
22-07-2020, 15:19 door Bitje-scheef
PostNL + aangetekend versturen.
22-07-2020, 15:23 door Anoniem
Door Anoniem:
Door sjonniev: Voor mail naar techneuten kun je pgp gebruiken. Die weten wel hoe en wanneer je pgp toepast.

Ik ben techneut. En ik ben werkelijk pas 1 keer bij een klant PGP tegen gekomen op 1 afdeling met een paar personen.

Je ziet het gewoon bijna nergens gebruikt worden, s/mine zie je wel vrij veel voorbij komen. Veel gemakkelijker om te implementeren, vaak geen speciale clients noodzakelijk.

Dus nee, techneuten gebruiken bijna ook geen PGP.

Ik ben techneut en ISO, en ja, ik kom PGP actief tegen. Vertrouwelijke informatie zoals actieve hackaanvallen worden met PGP versleuteling gedeeld binnen een bepaalde security wereld. Ook organisaties zoals het beroemde, door Engelsen overgenomen onderzoeksburo delen hun informatie PGP versleuteld en/of met client- en server certificaten. En terecht.
22-07-2020, 15:24 door Anoniem
Het nadeel van S/MIME is dat het nog steeds door niet bevoegde bronnen (de admins van de certificaten) zou kunnen worden ingezien. Dat is iets dat je niet wilt in bijzondere omstandigheden.
22-07-2020, 15:53 door Anoniem
Vandaag, 15:10 door Anoniem
De vraag is daarnaast of deze asymmetrische versleuteling wel voldoende bescherming biedt tegen (quantum)supercomputers... Dat neemt overigens niet weg dat het ondertekenen van mail en documenten een belangrijke factor blijft. PGP zou eigenlijk verplicht moeten worden in de zorg als alternatief voor het rondmailen van zipjes en delen van medishe gegevens via vage commerciële transfer-protals. Voor consumenten zou een brede acceptatie het einde van phising e-mails kunnen betekenen.

Voorlopig zijn de supercomputer nog toekomstverwachting, en is SHA-2 512 en 4096 bits versleuteling momenteel onkraakbaar. De ketting is zo sterk als de zwakste schakel. Met Symantec Encryption Desktop vind ik de onmogelijkheid om een wachtwoord(zin) te kunnen plakken jammer, die mogelijkheid biedt GPG4win wel, en dan kun je natuurlijk ook onkraakbare wachtwoorden samenstellen. Alles hangt natuurlijk af van de discipline die men kan opbrengen. En natuurlijk behoort elk bericht standaard te worden ondertekend.

Als je deze vorm van beveiliging echt nodig hebt, gebruik dan een laptop die nooit met internet is verbonden geweest, of in elk geval niet met internet is verbonden, en installeer daar het encryptie programma op, en werk dus met een usb stick om de versleutelde berichten te ontsleutelen en te versleutelen. Gebruik alleen platte tekst, en neem een account bij Protonmail en benader die alleen via een TOR verbinding.

Maak een aparte sleutel voor het ondertekenen van berichten, dus met enkel 1 sub sleutel voor ondertekenen, en stuur die naar de gewenste ontvangers. Creëer een aparte sleutel voor de versleuteling met meerdere sub sleutels, die elkaar in geldigheid opeenvolgen, dus zeg maar elke 1e van de maand vervallen, en door de volgende wordt overgenomen, en stuur daarvan de publieke sleutel naar de gewenste ontvangers.

Als berichten feitelijk na verzending zouden moeten worden vernietigd, verwijder dan de bewuste sub sleutel uit de sleutelring wanneer deze is vervallen. Dit betekend dat als je private sleutelpaar ooit gecomprimeerd word, dan kunnen zelfs indien je wachtwoord(zin) ook gecomprimeerd is deze berichten nooit meer worden ontsleuteld. En zo zijn er nog wel een paar mogelijkheden om de beveiliging maximaal te maken, zonder dat je daarvoor een expert moet zijn.
22-07-2020, 15:55 door Anoniem
Door Anoniem: De vraag is daarnaast of deze asymmetrische versleuteling wel voldoende bescherming biedt tegen (quantum)supercomputers...

Dit is de verwachting van de gevolgen van quantum computers op conventionele encryptie, nu over zo'n tien jaar:

Algorithm Type Purpose Quantum Computer Impact
------------------------------------------------------------------------------------
AES-256 Symmetric Key Encryption Larger Key Sizes Needed
SHA-256. SHA-3 - Hash Functions Larger Output Needed
RSA Public Key Signatures, Key Establishment No Longer Secure
ECDSA, ECDH Public Key Signatures, Key Exchange No Longer Secure
DSA Public Key Signatures, Key Exchange No Longer Secure
------------------------------------------------------------------------------------

https://www.whonix.org/wiki/PQCrypto

Gegevens die nu nog voldoende beveiligd zijn, zijn dat na de komst van kwantumcomputers niet langer. De gevolgen kunnen groot zijn. Maar nu al kunnen versleutelde gegevens worden onderschept, die in de toekomst met een kwantumcomputer ontsleuteld kunnen worden.

https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-postkwantumcryptografie
22-07-2020, 16:09 door sjonniev
Door Anoniem: Het nadeel van S/MIME is dat het nog steeds door niet bevoegde bronnen (de admins van de certificaten) zou kunnen worden ingezien. Dat is iets dat je niet wilt in bijzondere omstandigheden.

De inhoud van met S/Mime versleutelde emails kan alleen ingezien worden wanneer je over de juiste private key beschikt. De admins van de certificaten hebben als het goed is alleen toegang tot de public key. Om dit zo goed als zeker vast te stellen zou je het sleutelpaar dat voor versleuteling gebruikt wordt op de smart card kunnen genereren.
22-07-2020, 16:15 door sjonniev
Door Anoniem:
Door Anoniem: De vraag is daarnaast of deze asymmetrische versleuteling wel voldoende bescherming biedt tegen (quantum)supercomputers...

Dit is de verwachting van de gevolgen van quantum computers op conventionele encryptie, nu over zo'n tien jaar:

Algorithm Type Purpose Quantum Computer Impact
------------------------------------------------------------------------------------
AES-256 Symmetric Key Encryption Larger Key Sizes Needed
SHA-256. SHA-3 - Hash Functions Larger Output Needed
RSA Public Key Signatures, Key Establishment No Longer Secure
ECDSA, ECDH Public Key Signatures, Key Exchange No Longer Secure
DSA Public Key Signatures, Key Exchange No Longer Secure
------------------------------------------------------------------------------------

https://www.whonix.org/wiki/PQCrypto

Gegevens die nu nog voldoende beveiligd zijn, zijn dat na de komst van kwantumcomputers niet langer. De gevolgen kunnen groot zijn. Maar nu al kunnen versleutelde gegevens worden onderschept, die in de toekomst met een kwantumcomputer ontsleuteld kunnen worden.

https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-postkwantumcryptografie

Gelukkig gaat het nog een flink aantal jaren duren voordat dit soort spullen inzetbaar zijn.
22-07-2020, 16:18 door Anoniem
Door Anoniem:
Door Anoniem: De vraag is daarnaast of deze asymmetrische versleuteling wel voldoende bescherming biedt tegen (quantum)supercomputers...

Dit is de verwachting van de gevolgen van quantum computers op conventionele encryptie, nu over zo'n tien jaar:

Algorithm Type Purpose Quantum Computer Impact
------------------------------------------------------------------------------------
AES-256 Symmetric Key Encryption Larger Key Sizes Needed
SHA-256. SHA-3 - Hash Functions Larger Output Needed
RSA Public Key Signatures, Key Establishment No Longer Secure
ECDSA, ECDH Public Key Signatures, Key Exchange No Longer Secure
DSA Public Key Signatures, Key Exchange No Longer Secure
------------------------------------------------------------------------------------

https://www.whonix.org/wiki/PQCrypto

Gegevens die nu nog voldoende beveiligd zijn, zijn dat na de komst van kwantumcomputers niet langer. De gevolgen kunnen groot zijn. Maar nu al kunnen versleutelde gegevens worden onderschept, die in de toekomst met een kwantumcomputer ontsleuteld kunnen worden.

https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-postkwantumcryptografie

Met alle respect, van niemand op dit forum mag worden verwacht meer van encryptie te weten dan slechts het gebruik daarvan. De verwijzingen best interessant, maar niemand snapt het. Gewone mensentaal graag.
22-07-2020, 16:55 door Anoniem
Door Anoniem: Met alle respect, van niemand op dit forum mag worden verwacht meer van encryptie te weten dan slechts het gebruik daarvan. De verwijzingen best interessant, maar niemand snapt het. Gewone mensentaal graag.

Vat een verzonden PGP bericht op als een pak verse yoghurt met een uiterste houdbaarheidsdatum, waarna de inhoud bederft. Dan komt het aan op de vraag of je over tien jaar geconfronteerd wilt worden met een zure stank -- of erger.
22-07-2020, 18:22 door Anoniem
Door Anoniem:
Door Anoniem: Met alle respect, van niemand op dit forum mag worden verwacht meer van encryptie te weten dan slechts het gebruik daarvan. De verwijzingen best interessant, maar niemand snapt het. Gewone mensentaal graag.

Vat een verzonden PGP bericht op als een pak verse yoghurt met een uiterste houdbaarheidsdatum, waarna de inhoud bederft. Dan komt het aan op de vraag of je over tien jaar geconfronteerd wilt worden met een zure stank -- of erger.

Als die yoghurt de enige bron van voedsel is, dan doe je daar een conserveringsmiddel in, zodat het over tien jaar nog smaakt.

De kwetsbaarheid van de hedendaagse publieke sleutel encryptie ten opzichte van de kwantumcomputers is allang onderkend, en er wordt gewerkt aan encryptie die kwantumcomputers bestendig is. Kijk eens op de weblog van de Cryptoloog Bruce Schneier, wat die er een jaar geleden over schreef, citaat: Dit theoretische artikel laat zien hoe in 20 uur 2048-bit RSA-moduli met een 20 miljoen qubit quantumcomputer kunnen worden berekend. Het is interessant werk, maar ik wil het risico niet overdrijven. https://www.schneier.com/blog/archives/2019/10/factoring_2048-.html

Voor degenen die de Engelse vaktaal niet meester zijn, gewoon de inhoud selecteren en kopiëren, en in Google translate naar leesbaar Nederlands omzetten. https://translate.google.nl/

Daarom is het voor mensen die voor hun veiligheid moeten vrezen door overheden, altijd zorgen dat ze onzichtbaar blijven.
23-07-2020, 14:12 door Anoniem
Door sjonniev:
Door Anoniem:
Door sjonniev: Probeer iets anders.

Neem een Sophos Firewall of UTM, en duckduckgo naar spx mail. Dan vind je een manier om email te versleutelen die die van mails en attachments versleutelde PDF-bestanden maakt. Wanneer de ontvanger erop klikt is er een wachtwoord nodig. Alle mij bekende pdf-lezers ondersteunen dit.

Firewall https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx
UTM https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
Hoe dan https://community.sophos.com/kb/en-us/120331
blabla https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/Sophos-SPX-Email-Encryption.pdf

De UTM ondersteunt ook nog pgp (en s/mime), mocht daar behoefte aan zijn.
Klinkt leuk, maat het probleem is de ontvanger. Die heeft dit helemaal niet draaien.

Daarnaast... Ik zou gebruik 60% mijn telefoon om mail te lezen. Google en Outlook Apps. Dit daar ook een PGP plugin is? Anders is het namelijk zo onbruikbaar, dat niemand dit wilt gebruiken. Ik lees ook in gmail mijn mail. Doet dit het ook direct met PGP?

Met het risico dat ik in herhaling verval: de makkelijke oplossing is gebaseerd op PDF. De ontvanger heeft alleen maar een pdf-lezer nodig. Voor mail naar techneuten kun je pgp gebruiken. Die weten wel hoe en wanneer je pgp toepast.

https://www.security.nl/posting/665445/Onderzoekers+manipuleren+inhoud+van+gesigneerde+pdf-documenten
23-07-2020, 20:32 door Anoniem
Door sjonniev:
Door Anoniem:
Door Anoniem: De vraag is daarnaast of deze asymmetrische versleuteling wel voldoende bescherming biedt tegen (quantum)supercomputers...

Dit is de verwachting van de gevolgen van quantum computers op conventionele encryptie, nu over zo'n tien jaar:

Algorithm Type Purpose Quantum Computer Impact
------------------------------------------------------------------------------------
AES-256 Symmetric Key Encryption Larger Key Sizes Needed
SHA-256. SHA-3 - Hash Functions Larger Output Needed
RSA Public Key Signatures, Key Establishment No Longer Secure
ECDSA, ECDH Public Key Signatures, Key Exchange No Longer Secure
DSA Public Key Signatures, Key Exchange No Longer Secure
------------------------------------------------------------------------------------

https://www.whonix.org/wiki/PQCrypto

Gegevens die nu nog voldoende beveiligd zijn, zijn dat na de komst van kwantumcomputers niet langer. De gevolgen kunnen groot zijn. Maar nu al kunnen versleutelde gegevens worden onderschept, die in de toekomst met een kwantumcomputer ontsleuteld kunnen worden.

https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-postkwantumcryptografie

Gelukkig gaat het nog een flink aantal jaren duren voordat dit soort spullen inzetbaar zijn.

Zoek eens op Pegasus!
29-07-2020, 22:11 door Anoniem
Misschien voldoet Pretty Easy Privacy (PEP - https://www.pep.security/) aan je behoefte.
30-07-2020, 20:31 door Anoniem
Door Anoniem: Beste forumlezers,

Weet iemand of er een goed alternatief is voor PGP? Ik wil graag versleuteld
emailen, maar ik merk dat dat met PGP gewoon niet gaat. Met de technische
mensen werkt het "ok" maar niet technische mensen is het gewoon te complex
voor. Iemand die een goed werkend alternatief werkt?

Groeten!
Als je versleuteld wil mailen en moeite hebt met PGP, dan komt dat denk ik dat je de opzet van het programma niet begrijpt, zoals wat asymmetrische cryptografie is en dat je als persoon twee sleutels nodig hebt om PGP te gebruiken: een private key en een public key.

Als je je daar nu eerst in zou verdiepen, dan hoeft PGP in gebruik niet lastig te zijn.
31-07-2020, 10:39 door botbot - Bijgewerkt: 31-07-2020, 10:42
Door Anoniem: Het probleem van versleuteling is wel dat je dit niet zondermeer veilig kan gebruiken; je moet er wel iets van afweten.

Nu is dat met email ook wel zo, alleen lijkt het daar ook zonder kennis te functioneren, hoewel schijn bedriegt: Het wordt breed gehaat wegens "teveel moeite" en er bestaan vele "makkelijkere" verheruitvindingen die vooral de markt hopeloos versnipperd hebben en echt veel makkelijker is het er niet op geworden. Maar met pgp moet je sommige echt snappen anders krijg je het niet aan de praat.

Dit zou ik graag nog even willen bekrachtigen: "alleen lijkt het daar ook zonder kennis te functioneren". Zelf ben ik enkele jaren werkzaam geweest in webhosting, waarbij grote aantallen klanten met webshops gebruik maakten van email. Als je ziet in hoeveel gevallen mensen, die een webshop beheren (en je dus wel een beeeeeeetje kennis denkt te kunnen verwachten), simpelweg totaal niet weten wat ze doen met betrekking tot email zul je regelmatig verbaasd opkijken.

Niet zelden ben ik het tegen gekomen dat men nieuwsbrieven vesrtuurd met duizend klant-email addressen in een CC. Dat men 17 miljoen mensen in 1 keer probeert te mailen met een nieuwsbrief in PDF formaat van 20+ MB, dan men rucksichtloss 10+ mails per dag vestookt naar klanten. Dat men grootschalig (hele klantendatabases tegelijk) in "nieuwsbrief" of promotie-mail volpropt met allerlei dingen, van .docx tot javascript tot whatever je maar kunt bedenken. En vervolgens vreemd opkijkt "dat het niet werkt". Of dat klanten klagen, dat er veel gebounced wordt, dat "het niet aankomt" (nee 17 miljoen mails van 20MB in 1 rits een mailqueue indrukken gaat wel lekker, komt vast goed, gaan je klanten ook heel blij mee zijn :P )

Mail lijkt "zonder kennis te functioneren" mede omdat men op de achtergrond zoveel shit uithaalt om het toch nog goed te laten gaan *ondanks* de complete afwezigheid van kennis bij de gebruikers. Dat is een zichzelf in stand houdend probleem.

Eigenlijk had men dat niet moeten doen. En simpelweg de gebruiker moeten forceren om te snappen wat hij doet. Dus je 17 miljoen mails van 20 MB naar je klanten in 1 keer in een mailqueue stouwt ben je wat mij betreft [X] ongeschikt, en zou je niet met mail moeten omgaan, om een voorbeeldje te noemen.
31-07-2020, 11:19 door Anoniem
Door botbot:
Dit zou ik graag nog even willen bekrachtigen: "alleen lijkt het daar ook zonder kennis te functioneren". Zelf ben ik enkele jaren werkzaam geweest in webhosting, waarbij grote aantallen klanten met webshops gebruik maakten van email. Als je ziet in hoeveel gevallen mensen, die een webshop beheren (en je dus wel een beeeeeeetje kennis denkt te kunnen verwachten), simpelweg totaal niet weten wat ze doen met betrekking tot email zul je regelmatig verbaasd opkijken.
Wat je tegenwoordig ook nog vaak tegenkomt is dat er op websites "invulformuliertjes" staan waar de klant of prospect
informatie kan aanvragen bij een bedrijf, en daarbij o.a. het eigen e-mail adres moet invullen. De code achter dit formulier
verstuurt vervolgens een mail naar de eigenaar van de site (hopelijk is die hardcoded en niet via een of ander hidden
field geparameteriseerd want dan heb je nog een groter probleem!), en die opgestelde mail wordt verstuurd alsof deze
afkomstig is van het door de gebruiker ingevulde e-mail adres (dwz dit wordt in de From: header gezet en wellicht zelfs
als envelope sender ingesteld). Want zo lekker handig voor de site eigenaar, dan kan ie gewoon een reply doen.

Maar dit is uiteraard SLECHT want als de beheerder van het ingevulde e-mail adres keurig maatregelen als SPF, DKIM
en DMARC heeft ingevoerd, en de ontvanger van de mails heeft daar checks op staan (bijvoorbeeld omdat het
een gmail of hotmail boxje is...), dan gaat die ontvanger die mails weigeren of in de spambox zetten. En DMARC
gaat daar rapportjes over sturen naar de domein eigenaar, als die dat ingesteld heeft.

En inderdaad, site beheerders of webontwerpers snappen meestal niet waar je over praat als je dat aan de kaak stelt
en doen alsof het jouw probleem is (als gebruiker) ipv het probleem van hun eigen site. Want ja, zij hebben ook maar
een voorbeeldje of kant en klare module in hun site geplakt, dus dat moet wel goed zijn.
03-08-2020, 11:04 door Anoniem
[Door testiturtle]

Kijk eens bij https://protonmail.com/

Greetz
03-08-2020, 15:01 door Anoniem
Door Anoniem: e2e chat > Signal.

Signal's Double Ratchet protocol is de facto standaard voor end-to-end encryptie. Wordt door zowel Whatsapp en Matrix gebruikt. Geen idee waar je opmerking over gaat.
04-08-2020, 15:54 door Anoniem
Firefox Send was ook een makkelijke methode: https://send.firefox.com/ hoop dat net snel weer terug komt.
Wij gebruiken zelf ook FileSender met Pre-Internet encryption, https://filesender.org/ werkt ook makkelijk
en in beide gevallen hoeft de ontvanger niets te installeren. Het wachtwoord uitwisselen doe ik dan via Signal of Threema.
04-08-2020, 20:35 door Anoniem
PGP is juist super simpel. Je moet het alleen wel stand alone gebruiken. Niet als plug-in met je e-mail. Dan wordt het ingewikkeld ja. Dus gewoon copy pasten.
07-08-2020, 14:00 door Anoniem
Waarom stel je je vraag niet gewoon aan Werner Koch, hij is over het algmeen altijd behulpzaam om anderen te helpen met PGP/GnuPG.
07-08-2020, 16:18 door Anoniem
Door Anoniem: Waarom stel je je vraag niet gewoon aan Werner Koch, hij is over het algmeen altijd behulpzaam om anderen te helpen met PGP/GnuPG.

Werner Koch is een expert in de broncode van GnuPG 1.x en 2.x. Dus als je een bug ontdekt hebt, of denkt te hebben, is hij de aangewezen persoon om dit op te lossen.

Werner Koch is niet per sé goed in het helpen van beginnende gebruikers zoals TS. Je krijgt dan waarschijnlijk een heel moeilijk verhaal met mogelijke uitzonderingen daarop.

Ook verdient Werner Koch zijn geld als full time developer van GnuPG. Dus het zou niet verstandig voor hem zijn om concurrerende producten aan te prijzen.
24-08-2020, 13:31 door Anoniem
Door Anoniem: Als je deze vorm van beveiliging echt nodig hebt, gebruik dan een laptop die nooit met internet is verbonden geweest, of in elk geval niet met internet is verbonden, en installeer daar het encryptie programma op, en werk dus met een usb stick om de versleutelde berichten te ontsleutelen en te versleutelen.

De air gap met een USB-stick overbruggen klinkt heel slim, totdat je beseft dat in de USB-stick een chip zit met firmware waarin een RAT of worm verborgen kan zitten...

https://www.security.nl/posting/668775/Spionagemalware+die+zich+via+usb-sticks+verspreidt+besmet+honderden+systemen
25-08-2020, 17:14 door Anoniem
Door Anoniem:
Door Anoniem: Waarom stel je je vraag niet gewoon aan Werner Koch, hij is over het algmeen altijd behulpzaam om anderen te helpen met PGP/GnuPG.

Werner Koch is een expert in de broncode van GnuPG 1.x en 2.x. Dus als je een bug ontdekt hebt, of denkt te hebben, is hij de aangewezen persoon om dit op te lossen.

Werner Koch is niet per sé goed in het helpen van beginnende gebruikers zoals TS. Je krijgt dan waarschijnlijk een heel moeilijk verhaal met mogelijke uitzonderingen daarop.

Ook verdient Werner Koch zijn geld als full time developer van GnuPG. Dus het zou niet verstandig voor hem zijn om concurrerende producten aan te prijzen.

In tegen deel. Zoek de gnupg-users mailing list archieven maar eens op, daar geeft Werner vaak zeer vriendelijk antwoord op zelfs beginners vragen.
19-09-2020, 19:32 door Anoniem
Misschien ook in deze thread eens kijken naar de nieuwe thunderbird, zie:

https://www.security.nl/posting/671354/Thunderbird+78_0+released+met+OpenPGP+support
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.