image

Gratis encryptiedienst versleutelt e-mail Microsoftgebruikers

zondag 23 maart 2014, 13:24 door Redactie, 9 reacties

Een gratis encryptiedienst die door een voormalige NSA-medewerker is gestart maakt het nu mogelijk om bij meer Microsoft-producten de e-mails te versleutelen. Virtru, zoals het bedrijf heet, reageert daarmee op de onthullingen dat Microsoft in het Hotmail-account van een blogger had zitten grasduinen.

Niet zolang geleden startte Microsoft nog een campagne genaamd "Scroogled" waarbij het naar Google uithaalde omdat de zoekgigant de inhoud van e-mailaccounts automatisch zou doornemen om advertenties te kunnen verkopen. Volgens Virtru is vertrouwen alleen dan ook niet meer genoeg. "Gebruikers moeten de mogelijkheid hebben om end-to-end encryptie te gebruiken. Deze technologie kan als een controle op e-mailproviders fungeren", zo laat het bedrijf weten.

Om de gratis dienst te kunnen gebruiken moeten gebruikers op hun computer of smartphone software installeren, die de berichten lokaal met 256-bit AES-encryptie versleutelt voordat ze worden verstuurd. Elk e-mailbericht of bestand beschikt over een eigen, unieke encryptiesleutel die standaard wordt beveiligd met een keystore die in de cloud van Virtru wordt bewaard.

En daar zit meteen ook de achilleshiel van de dienst. De Amerikaanse overheid kan het bedrijf namelijk dwingen om deze encryptiesleutels af te staan. Virtru slaat zelf geen e-mailverkeer op, maar e-mails die de NSA bijvoorbeeld bij een andere partij heeft onderschept, kunnen vervolgens met de opgevraagde encryptiesleutels worden ontsleuteld. Na ondersteuning van Gmail, Yahoo Mail en Outlook.com ondersteunt de software nu ook Outlook Desktop en Microsoft Office 365.

Image

Reacties (9)
23-03-2014, 16:42 door Anoniem
Wat heb je aan een beveiligingsdienst wanneer deze niet veilig is? Ik ben benieuwd hoe veel naive managers in deze verkooppraatjes trappen. Cloudopslag van je cryptokey + NSA = security fail
23-03-2014, 21:20 door Anoniem
http://blog.virtru.com/virtru-faqs/faq-on-government-surveillance/
We won’t provide your keys to anyone without your consent — unless we are ordered to divulge them by a judge with jurisdiction over us. If we are ordered to divulge them, we will fight for you to have notice and an opportunity to object.
Ze hadden beter deze service in een ander land kunnen hosten dat betere privacywetten heeft.
En natuurlijk via een buitenlandse partner dat niet onder amerikaanse wetten valt.

Wat ik mis in dit verhaal is hoe ze met webmail omgaan.
Bij mailclients kan ik me voorstellen dat de sendknop wil afgevangen, het bericht wordt versleuteld en dan pas naar de mailserver wordt verstuurd.
Bij webmail gaat dat volgens mij niet op.
23-03-2014, 22:29 door Anoniem
Gemaakt door NSA = win!
24-03-2014, 08:22 door ThePope
Een favoriete quote van mij bij zo'n dienst: If You're Not Paying for It; You're the Product.

Het eerste wat in mij op komt: Wat is het verdienmodel van dit product? Ik zie op de site dat ze ook enterprise diensten aanbieden, dus waarschijnlijk dekken ze op die manier de kosten.

Maar zoals hierboven al vermeld, omdat het bedrijf hoogstwaarschijnlijk (mag je aannemen gezien de oprichters bij de NSA gewerkt hebben maar kan geen contactgegevens vinden) gevestigd is in de US-of-A en dus onder allerlei wetgevingen valt waardoor jou sleutel 'eenvoudig' op te vragen is en je dus al nauwelijks meer veilig bent voor de NSA en consorten.
24-03-2014, 11:23 door Anoniem
FYI: http://www.theregister.co.uk/2014/03/21/sea_analysis/
24-03-2014, 11:41 door Anoniem
Door Anoniem: Wat heb je aan een beveiligingsdienst wanneer deze niet veilig is? Ik ben benieuwd hoe veel naive managers in deze verkooppraatjes trappen. Cloudopslag van je cryptokey + NSA = security fail
Akkoord, maar het beschermt wel tegen MitM-aanvallen. Daarnaast kun je van een (ex?) NSA medewerker niet verwachten dat deze zijn best gaat doen om Amerikaanse wetgeving te omzeilen. Ook staan alle mails zelf al op Amerikaanse servers, dus wat dat betreft ;]
24-03-2014, 14:18 door linuxpro
zolang dit soort diensten door bedrijven aangeboden worden die in VS zitten heb je er niets aan. Wachten is dus tot een europese aanbieder met een dergelijke dienst komt.
24-03-2014, 19:14 door mcb
Net voor de grap even getest en een mailtje naar een van mijn testadressen gestuurd.
Het ontvangen mailtje ziet er uit als een phisingmailtje.
http://a38i.img-up.net/scrdmp-vird27d.png

geprobeerd te openen:
go.php called without legal referer. please enable browser referals for link direct to work.
En die had ik juist uit gezet.
24-03-2014, 20:53 door Anoniem
Door linuxpro: zolang dit soort diensten door bedrijven aangeboden worden die in VS zitten heb je er niets aan. Wachten is dus tot een europese aanbieder met een dergelijke dienst komt.

Want wat is er zo magisch aan een Europese aanbieder?

Alle Europese landen, NL voorop, hebben de Patriot Act ondertekend. En we weten inmiddels dat "onze" jongens net zo hard meeluisteren en -lezen.

Dat maakt de VS niet beter, maar dat is een andere discussie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.