image

Tuta voorziet e-maildienst van post-quantum encryptieprotocol TutaCrypt

dinsdag 12 maart 2024, 09:43 door Redactie, 7 reacties

E-maildienst Tuta, voorheen bekend als Tutanota, heeft een post-quantum encryptieprotocol ontwikkeld dat e-mail van gebruikers moet beschermen tegen aanvallen door quantumcomputers. Het protocol, met de naam TutaCrypt, zal de klassieke asymmetrische cryptografie (RSA-2048) vervangen. TutaCrypt is een 'quantum-safe hybride encryptieprotocol' dat post-quantum Key Encapsulation Mechanism (CRYSTALS-Kyber) en een Elliptic-Curve-Diffie-Hellmann key exchange (x25519) combineert.

"Voor de eerste keer kunnen mensen nu e-mails versturen en ontvangen die zo goed versleuteld zijn dat zelfs quantumcomputers de encryptie niet kunnen kraken om de berichten te ontsleutelen", zegt Tuta-ceo Arne Mohle. "En het beste is dat deze unieke encryptie is te gebruiken om naar iedereen in de wereld e-mails end-tot-end versleuteld te versturen, ongeacht hun e-mailprovider, met het eenvoudig uitwisselen van een wachtwoord."

Voorheen genereerde Tuta een RSA key pair. Met de lancering van TutaCrypt worden twee key pairs gegenereerd. Een Elliptic Curve key pair voor een Elliptic Curve Diffie-Hellman Key Exchange (ECDH) en een Kyber-1024 key pair voor key encapsulation. De private keys worden op de servers van Tuta opgeslagen, die zich in Duitsland bevinden, zodat ze zijn te gebruiken op elk apparaat van de gebruiker. Nieuwe Tuta-accounts zullen voortaan alleen TutaCrypt key pairs hebben een geen RSA key pair meer. TutaCrypt zal geleidelijk onder alle gebruikers worden uitgerold.

Reacties (7)
12-03-2024, 10:03 door Anoniem
Right makkelijk te gebruiken met een wachtwoord en opslag op servers in een land waar overheid in alles kan neuzen. Ja dat klinkt echt een stuk veiliger dan zelf hosten of andere opties. Je opereert niet binnen een 5-eyes land zonder aan de wetgeving te voldoen en die wergeving tegen terrorisim en fraude zegt haar fijn service providers dienen mee te werken aan de beschikbaarheid en leesbaarheid van informatie op gerechtelijk bevel.En 5-eyes delen alle informatie waarna het onder het land van aanvraag qua jurisdictie weer mag worden gebruikt en gedeeld met hun partners.

Maar los van dat hoe heeft men getest om te beweren dat qc dit niet kan kraken gezien de standaards nog uberhaubt niet zijn ontwikkeld.
En op hoeveel qubits is dit getest. Zoals de ontwikkelingen op dit moment gaan ben ik allang van deze aardbodem voor qc mainstream iets kan laat staan AES-256 decrypten.

Complete marketing nonsense op dit moment met inspelen op FUD.
SNDL was en is altijd al een risico qc is simpelweg nieuwste dreiging in de chain.
12-03-2024, 10:26 door Anoniem
Weten we zeker of die Kyber CRYSTALS bestand zijn tegen PQ aanvallen?
Het is niet zo vaak getest en geanalyseerd als RSA is.
12-03-2024, 11:15 door Anoniem
Mooi verhaal natuurlijk, maar ik vraag mij af wanneer Thunderbird in versleutelde e-mail het zelfde gaat doen waarbij de asymmetrische cryptografie vervangen gaat worden voor een post-quantum encryptieprotocol.

Weet iemand of daar al voorbereidingen worden getroffen bij Mozilla?
12-03-2024, 12:14 door Anoniem
Is deze vorm van post-quantum encryptie door de NIST vrijgegeven als veilig?
12-03-2024, 13:24 door Anoniem
Door Anoniem: Right makkelijk te gebruiken met een wachtwoord en opslag op servers in een land waar overheid in alles kan neuzen. Ja dat klinkt echt een stuk veiliger dan zelf hosten of andere opties. Je opereert niet binnen een 5-eyes land zonder aan de wetgeving te voldoen en die wergeving tegen terrorisim en fraude zegt haar fijn service providers dienen mee te werken aan de beschikbaarheid en leesbaarheid van informatie op gerechtelijk bevel.En 5-eyes delen alle informatie waarna het onder het land van aanvraag qua jurisdictie weer mag worden gebruikt en gedeeld met hun partners.

Maar los van dat hoe heeft men getest om te beweren dat qc dit niet kan kraken gezien de standaards nog uberhaubt niet zijn ontwikkeld.
En op hoeveel qubits is dit getest. Zoals de ontwikkelingen op dit moment gaan ben ik allang van deze aardbodem voor qc mainstream iets kan laat staan AES-256 decrypten.

Complete marketing nonsense op dit moment met inspelen op FUD.
SNDL was en is altijd al een risico qc is simpelweg nieuwste dreiging in de chain.
Volgens mij ben je aan het ranten op iets waar je totaal geen kaas van gegeten hebt. Alle informatie op de servers zijn versleuteld d.m.v. sleutels van de gebruiker zelf. Tegenwoording kun je ook je Yubikey gebruiken als 2fa. Zelfs Tuta kan niet bij de e-mail. Uiteraard kan de e-mail die buiten Tuta ontvangers wordt verzonden worden onderschept, maar dat is ook bij alle andere aanbieders het geval, tenzij de verzender de mail met een wachtwoord beveiligd. Tuta wordt geaudit en zal zijn kwetsbaarheden hebben maar over het algemeen kun je wel stellen dat ze veiliger zijn dan menig andere oplossing.
12-03-2024, 13:54 door majortom - Bijgewerkt: 12-03-2024, 13:54
Toch knap dat Tuta al heeft weten te bepalen dat CRYSTALS-Kyber quantum proof is daar waar deze zich bij NIST nog in de evaluatiefase bevindt.
12-03-2024, 15:01 door Anoniem
Bij het lezen van dit artikel moet ik vooral hier aan denken:

https://youtu.be/PnkT6C9Ose8?si=wOt7lf2uLsDqvxHF
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.