PGP-bedenker verdedigt backdoor in Hushmail
Twee weken geleden werd bekend dat Hushmail, aanbieder van veilige webmail, de sleutels van haar gebruikers achterhaalt en doorspeelt aan de Amerikaanse overheid. In totaal werden 12 CD's met e-mails, waarvan de afzenders dachten dat ze versleuteld waren, aan justitie overhandigd. Het bedrijf, dat altijd stellig beweerde dat zelfs Hushmail werknemers niet de berichten kunnen lezen, heeft de omschrijving van haar beveiliging aangepast. Nu staat er dat men na ontvangst van een gerechtelijk bevel alles moet doen om zich aan de wet te houden.
"Dat 'alles' omvat ook het sturen van een kwaadaardig Java applet om de passphrase van hun gebruikers naar Hushmail te sturen, om zo de overheid toegang tot alle opgeslagen en in de toekomst te versturen en ontvangen e-mails te geven", zegt Ryan Singel.
Phil Zimmermann, de bedenker van Pretty Good Privacy (PGP), verdedigt het overhandigen van versleutelde e-mails aan de overheid. "Alleen omdat er encryptie wordt gebruikt, wil dat nog niet zeggen dat je tegen het OM beschermd bent. Ze kunnen een service provider dwingen om samen te werken", aldus Zimmerman, die in de adviesraad van Hushmail actief is.
Beide "versleutelde e-mail" opties die Hushmail haar gebruikers aanbiedt zijn af te luisteren. Bij de eerste verstuurt de gebruiker zijn passphrase naar de server, ook al zou het bedrijf die niet opslaan. Bij de tweede optie kan Hushmail een kwaadaardig Java applet sturen.
criminelen dat niet altijd, maar helaas weten
opsporingsdiensten daar ook gebruik van te maken als het
simpelweg uitkomt.
gewoon niet zo stom zijn om een webmail te gebruiken en je
sleutels op andermans servers zetten!
Dit heeft met veiligheid van PGP niets te maken. Je moet
gewoon niet zo stom zijn om een webmail te gebruiken en je
sleutels op andermans servers zetten!
Hahahah, dat meen jij toch niet! De vorige bericht gever
geeft een terechte opmerking. Waarom zou ik nu nog PGP
vertrouwen, niet! Als in je overeenkomst eerst staat
omechreven dat niemand het kan lezen en en later een
aanpassing van de overeenkomt, komt bij mij niet als
vertrouwd over.
Dag reputatie...!!!
verdedigt maar aangeeft dat het klip en klaar ontbreken van
beveiliging recht geeft om er bij opsporing ook gebruik van
te maken? Er zit geen achterdeur in hushmail. De beveiliging
is domweg verlegd naar de server waardoor daar de gebruiker
de controle over de beveiliging en zijn gegevens uit handen
heeft gegeven. Dat die gegevens dus gebruikt kunnen worden
binnen de grensen van de wet is niet iets wat een achterdeur
genoemd kan worden. Wie dus beveiliging wil moet zich bij
een aanbod niet afvragen hoe mooi het klinkt maar wat de
inhoud is en de gevolgen zijn. Niets nieuws.
Als daar een gerechtelijk bevel komt worden ook deze vrijgegeven
Ik hou het toch nog maar even bij GPG
geeft een terechte opmerking. Waarom zou ik nu nog PGP
vertrouwen, niet!"
Als je niet illegaal bezig bent, heb je van opsporingsinstanties toch niets te
vrezen ? Ik zou het gewoon lekker blijven gebruiken, want in 99% van de
gevallen geeft het meer dan genoeg beveiliging.
En ja, met de huidige wetgeving is het niet meer dan logisch dat ieder
bedrijf dat dit soort diensten levert een methode heeft om aan juridische
verplichtingen te voldoen.
Dit heeft met veiligheid van PGP niets te maken. Je moet
gewoon niet zo stom zijn om een webmail te gebruiken en je
sleutels op andermans servers zetten!
Hahahah, dat meen jij toch niet! De vorige bericht gever
geeft een terechte opmerking. Waarom zou ik nu nog PGP
vertrouwen, niet! Als in je overeenkomst eerst staat
omechreven dat niemand het kan lezen en en later een
aanpassing van de overeenkomt, komt bij mij niet als
vertrouwd over.
Dag reputatie...!!!
worden als ze aan de sleutels kunnen komen. dat heeft niks met pgp te
maken. als je hushmail bedoeld dan heb je meer een punt, maar als je
denkt dat je ergens helemaal veilig bent dat is het toch weer jammer.
simpelweg door bewijsmateriaal te vervalsen.
daar zijn overheden immers goed in.
als men beweerd dat met zijn prhasekey gekraakt heeft, en
dat het zinvoller is om te bekennen, moet je al natigheid
ruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.