E-mailproviders Tuta en Proton Mail ruziën over encryptie en privacy
E-mailproviders Tuta en Proton Mail zijn in een ruzie verwikkeld over encryptie en privacy en vechten dit via eigen blogpostings en Reddit uit. Afgelopen woensdag kwam Tuta met een blogposting waarin het stelde dat wanneer mensen van buiten Zwitserland gebruikmaken van Zwitserse diensten zoals Proton, hun data actief wordt verzameld en gedeeld met inlichtingendiensten wereldwijd.
Daarnaast hekelde Tuta de door Proton gebruikte PGP-encryptie, die belangrijke vereisten zou missen die Tuta naar eigen zeggen wel geïmplementeerd heeft. Zo stelt Tuta dat het niet alleen de inhoud en bijlagen van berichten versleutelt, maar ook het onderwerp van e-mails. Ook beweert Tuta dat ProtonMail niet het gehele adresboek van gebruikers versleutelt en kalender-metadata zoals kalendernotificaties. Iets dat Tuta standaard zegt te doen.
Gisteren kwam Proton Mail met een reactie, waarin het stelt dat het adresboek wel is versleuteld, alsmede de kalender-metadata. Daarnaast legt het uit waarom er OpenPGP wordt gebruikt, omdat gebruikers zo versleuteld kunnen mailen met mensen die geen Proton Mail gebruiken. In het geval van Tuta stelt Proton dat er geen sprake is van versleutelde e-mails, maar dat het om versleutelde berichten in een proprietary formaat gaat.
Verder claimt Proton dat een aanvaller berichten in de mailbox van Tuta-gebruikers kan aanpassen zonder dat die dit door hebben en de servers van Tuta man-in-the-middle-aanvallen op gebruikers kunnen uitvoeren. Op Reddit merkt Proton Mail op dat Tuta met de blogposting behoorlijk "wanhopig" overkomt. Tuta laat op Reddit weten dat er geen kwetsbaarheid in de e-maildienst zit en het bezig is met de uitrol van nieuwe encryptie-algoritmes. Daarnaast zegt Tuta de komende maanden met groot nieuws te komen.
Tutanota/tuta = voor pro europese beleid en pro klimaat beleid
E-Mail is nooit gebouwd met veiligheid en privacy in gedachten, in mijn opinie houd E-Mail vast aan de laatste draadjes en is het niet echt veilig te houden.
Als een kennis mijn E-Mail adres in hun contactenlijst hebben staan en die lijst valt in verkeerde handen dan wordt ik gespammed met phishingmails, malafide bijlages en andere troep, ditzelfde geldt voor telefoonnummers, SMS, etc.
Een versleutelde chat messenger is stukken veiliger, al zou ik niks een heilige graal noemen, verreweg van zelfs. (Telefoons kunnen gestolen worden, dan is uw encryptiesleutel van dat contact in verkeerde handen.
Laatst weer; push notificaties werden gelezen door overheden...
Sommige apps werken daaromheen door bijv. geen sercer te gebruiken zoals Briar, dat kent nadelen, maar is erg veilig.
Het blijft voorlopig nog wel vallen en opstaan met privacy en beveiliging.
Ik gebruik zelf GrapheneOS op mijn telefoon zonder Google services, en GNU+Linux op de desktop, dan kom je al een aardig eind.
1. een naam of titel geven, syn. kenschetsen: een niet te kwalificeren handelswijze
2. van een bepaalde aanduiding voorzien, m.n. van de aanduiding `geheim' voorzien: gekwalificeerde ambtelijke stukken, die zijn aangemerkt als geheim
3. een rechtskundige naam geven
4. (ook wederk.) (zich) bevoegd, gerechtigd, geschikt maken voor -, zich bekwamen tot -
5. (wederk.) het recht op verdere deelneming (aan een sportcompetitie) verwerven; vgl. gekwalificeerd
Dan kom ik ook rijtjes tegen als: 1) Benoemen 2) Bestempelen 3) Bevelen 4) Een naam geven 5) Eigenschappen toekennen 6) Etiketteren 7) Heten 8) Iets beschrijven 9) Kenschetsen 10) Kwalifiëren
https://www.encyclo.nl/begrip/kwalificeren
Maar ik kom niets tegen waarmee ik van jouw zin iets zinnigs weet te maken. Wat bedoel jij met kwalificeren?
Wel "vertrouw" ik ze beter dan Google, en Microsoft en Apple, lol!
Vertrouwen in de digitale wereld is niet te doen, vaak is het gebruik van vrije en open software een gedeeltelijke oplossing, maar ook dan zit de andere helft van zo'n dienst gewoon achter een proprietair netwerk of wordt er metadata gekopieerd via een cloud backup.
Diensten van derden blijven altijd een probleem, ik gebruik liever selfhosted servers thuis en offline software waar mogelijk.
Voor communicatie geef ik de voorkeur aan Briar of een selfhosted dienst zoals Matrix.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
