Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

PGP-bedenker: instant messaging veiliger dan e-mail

maandag 12 augustus 2013, 09:43 door Redactie, 14 reacties

Vorige week liet Phil Zimmermann weten, de bedenker van Pretty Good Privacy (PGP), dat hij stopte met het aanbieden van versleutelde e-mail via zijn bedrijf Silent Circle. De beslissing kwam nadat e-mailprovider Lavabit had aangekondigd ermee op te houden. Bij dit bedrijf had NSA-klokkenluider Edward Snowden een e-mailaccount. Zeer waarschijnlijk hadden de Amerikaanse autoriteiten Lavabit om informatie van gebruikers gevraagd, waar het bedrijf niet aan wilde meewerken.

In de aankondiging van Silent Circle stelde CTO Jon Callas dat e-mail zoals het nu bestaat, met SMTP, POP3 en IMAP, niet veilig is. Iets wat Zimmermann in een interview met Forbes herhaalt. "Ik gebruik e-mail niet zoveel. Een van de redenen is dat PGP niet zo goed werkt op een Mac. Symantec heeft het niet bijgehouden, dus ik gebruik nog zelden PGP."

Instant Messaging

Als mensen Zimmermann een versleutelde e-mail sturen moet hij allerlei moeite doen om het te ontsleutelen. "Als het van een vreemde komt, vraag ik hem om het in platte tekst opnieuw te versturen. Wanneer ik iets veilig wil versturen, gebruik ik Silent Text." Dit is de versleutelde chatdienst van Silent Circle.

Zimmermann stelt dat instant messaging minder onhandig is dan e-mail. E-mail heeft wel zijn plek, merkt de PGP-bedenker op. Met name in het geval bedrijven een audit trail willen. "Maar als je iets veilig wil versturen, zijn er meer gestroomlijnde oplossingen.

ZTE gaat Firefox smartphone op eBay verkopen
Tor belooft gebruikers automatische updates
Reacties (14)
12-08-2013, 10:34 door Fwiffo
Wat Phil Zimmermann bedoelt, is dat hij een andere computer moet opstarten om vercijferde e-mail te lezen, omdat dat met PGP onder Mail in Mountain Lion niet kan. Verder heeft Mac OS X full disk encryptie, dus daar ga je ook PGP van Symantec niet voor aanschaffen.

Berichten headers van e-mail lijken mij niet zo'n probleem. Voor het onderwerp van je mailtje kun je gewoon iets onzinnigs invullen dat niets met je bericht te maken heeft. Of je zet er gewoon 'geheim' in of laat het leeg.

Blijft nog wel het probleem bij het gebruik van GnuPG hoe je de fingerprint van je publieke sleutel uitwisselt als je iemand alleen van internet kent...
12-08-2013, 10:56 door [Account Verwijderd]
[Verwijderd]
12-08-2013, 10:57 door wizzkizz
Door Fwiffo: Wat Phil Zimmermann bedoelt, is dat hij een andere computer moet opstarten om vercijferde e-mail te lezen, omdat dat met PGP onder Mail in Mountain Lion niet kan. (..) Blijft nog wel het probleem bij het gebruik van GnuPG hoe je de fingerprint van je publieke sleutel uitwisselt als je iemand alleen van internet kent...
Werkt GnuPG niet op de Mac?

Voor het fingerprint probleem heb je het Web of Trust. Niet per definitie WoT zelf, maar wel het idee er achter. Jij woont bij iemand in de buurt, dus jullie controleren elkaars identiteit mbv een officieel document en ondertekent dan de sleutel. Op keysigning parties gebeurt dit in het groot. Op grond van het aantal ondertekeningen kun je dan een inschatting maken hoe groot de kans is dat hij/zij het daadwerkelijk is. En misschien ken je wel een van de ondertekenaars, dan kun je daar contact mee opnemen. Ik geef toe, het is wel wat omslachtig, maar er naar toe reizen om zelf te controleren is ook omslachtig.
12-08-2013, 11:12 door johanw - Bijgewerkt: 12-08-2013, 11:13
Nee, PGP werkt niet goed op de Mac. Ik heb Zimmerman nog nooit over afgeleide open source product GnuPG horen praten. En dat hele WoT is leuk in theorie, maar zo werkt het in de praktijk niet is mijn ervaring, daarvoor is het te klein. Het is echter veel makkelijker, de mensen met wie ik vertrouwelijke data uitwissel ken ik persoonlijk dus kan ik de keys ook persoonlijk uitwisselen. Officiele documenten zijn nergens voor nodig, als er _iets_ is dat overheden juist makkelijk kunnen "vervalsen" is het dat wel. En anders een fingerprint verificatie via de telefoon (key fingerprints zijn toch geen geheime informatie), een man in the middle attack is in de praktijk vrijwel onmogelijk als je realtime iemand ertussen moet zetten met een stem die ik niet van de echte kan onderscheiden.
12-08-2013, 13:21 door Anoniem
Door johanw: Nee, PGP werkt niet goed op de Mac. Ik heb Zimmerman nog nooit over afgeleide open source product GnuPG horen praten. En dat hele WoT is leuk in theorie, maar zo werkt het in de praktijk niet is mijn ervaring, daarvoor is het te klein. Het is echter veel makkelijker, de mensen met wie ik vertrouwelijke data uitwissel ken ik persoonlijk dus kan ik de keys ook persoonlijk uitwisselen.
Het web of trust staat niet in de weg dat je persoonlijk sleutels uitwisselt. En als je het even breder dan e-mail, PGP en de precieze invulling bij PGP ziet: op basis van een web-of-trust-implementatie kunnen ook CA's hun ding doen, hun handtekening is er simpelweg een die grote bekendheid en breed vertrouwen geniet. Als SSL/TLS ooit op die basis was opgezet hadden sleutels door meerdere CA's ondertekend kunnen worden en dan was het Diginotar-debâcle een stuk minder ingrijpend geweest, een identiteit blijft namelijk te vertrouwen als naast een onbetrouwbaar gebleken CA er nog een betrouwbare is die de identieit garandeert. En meerdere CA's die elkaar bevestigen verhogen dat vertrouwen ook nog eens.

WoT is dus een model op basis waarvan je andere modellen kan implementeren, en beter dan het nu soms gedaan is. Dat WoT te lastig voor de doorsnee gebruiker is om goed mee om te gaan wil niet zeggen dat een besaler gebruik te lastig is of het te lastig is degenen die op basis daarvan bijvoorbeeld een CA-model implementeren. In plaats van als "leuk in theorie" zie ik het daarom als superieur. Niet om iedereen mee lastig te vallen, wel als basis om allerlei vertrouwensmodellen op te baseren die makkelijker te hanteren zijn voor de doorsnee-computeraar.
12-08-2013, 14:13 door wizzkizz
Ja, het uitwisselen van de fingerprints kan inderdaad wel op die manier, via de telefoon bijvoorbeeld. Je hebt alleen dan geen manier om de identiteit van de andere partij vast te stellen als je die niet op voorhand al kent. Als je elkaar kent is er in de praktijk inderdaad geen probleem.

Maar officiële documenten zijn denk ik wel de te bewandelen weg om iemands identiteit vast te stellen. Toegegeven, een geheim of undercover agent, SF operator etc. hebben allemaal wel één of meerdere "officiële" valse identiteit. Er zijn ook wel andere manieren om aan een vals paspoort te komen. Maar die mensen zullen je ook in real-life kunnen overtuigen van hun valse identiteit. Je kunt moeilijk iemand bij een kennismaking eerst gaan waterboarden om vast te stellen of diegene liegt over zijn of haar identiteit. Dus of dat nu je argumentatie moet zijn om iets als WoT af te schieten. (Ik geef trouwens toe dat het in de prakijk niet echt wijdverbreid is.) Het gaat er maar om hoe zeker je er van wilt zijn dat degene aan de andere kant van de lijn is wie hij/zij zegt te zijn.

Bij elke beveiliging(smaatregel) moet je altijd voor ogen hebben wat je wilt bereiken en waar de bedreigingen vandaan komen. Dus voor het uitwisselen van vertrouwelijke data geldt dit ook.
12-08-2013, 16:14 door Anoniem
Door johanw: Nee, PGP werkt niet goed op de Mac. Ik heb Zimmerman nog nooit over afgeleide open source product GnuPG horen praten. En dat hele WoT is leuk in theorie, maar zo werkt het in de praktijk niet is mijn ervaring, daarvoor is het te klein. Het is echter veel makkelijker, de mensen met wie ik vertrouwelijke data uitwissel ken ik persoonlijk dus kan ik de keys ook persoonlijk uitwisselen. Officiele documenten zijn nergens voor nodig, als er _iets_ is dat overheden juist makkelijk kunnen "vervalsen" is het dat wel. En anders een fingerprint verificatie via de telefoon (key fingerprints zijn toch geen geheime informatie), een man in the middle attack is in de praktijk vrijwel onmogelijk als je realtime iemand ertussen moet zetten met een stem die ik niet van de echte kan onderscheiden.

Inderdaad GnuPG werkt prima met Apple mail en Mac.
Zo is SMIME en PGP/GnuPG goed cross platform te gebruiken (PGP is er ook voor iOS en Android naast Windows en Linux).
Het werkt nog niet zo eenvoudig als SMIME maar het begint er wel te komen.
12-08-2013, 20:36 door [Account Verwijderd] - Bijgewerkt: 12-08-2013, 20:38
[Verwijderd]
13-08-2013, 21:01 door [Account Verwijderd] - Bijgewerkt: 13-08-2013, 21:01
[Verwijderd]
14-08-2013, 11:27 door [Account Verwijderd] - Bijgewerkt: 14-08-2013, 11:35
[Verwijderd]
14-08-2013, 21:57 door [Account Verwijderd] - Bijgewerkt: 14-08-2013, 22:00
[Verwijderd]
14-08-2013, 22:36 door [Account Verwijderd] - Bijgewerkt: 15-08-2013, 09:52
[Verwijderd]
15-08-2013, 15:58 door [Account Verwijderd]
[Verwijderd]
16-08-2013, 09:42 door [Account Verwijderd] - Bijgewerkt: 16-08-2013, 09:42
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Stelling: Sociale media vormen een bedreiging voor de democratie

5 reacties
Aantal stemmen: 210
Juridische vraag: Is de AVG van toepassing op het filmen van personen in een niet-openbare ruimte?
13-02-2019 door Arnoud Engelfriet

In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...

15 reacties
Lees meer
Google Chrome en privacy
13-02-2019 door Anoniem

dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...

15 reacties
Lees meer
Ik wil stoppen met het gebruik van Whatsapp maar mijn vrienden-kennissen niet.
10-02-2019 door Anoniem

Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...

37 reacties
Lees meer
Juridische vraag: Wanneer is het hebben van een Remote Access Tool en een Keylogger strafbaar?
06-02-2019 door Arnoud Engelfriet

Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...

21 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter