Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Anoniem en veilig e-mailen
11-01-2013, 14:52 door Anoniem, 8 reacties
Hallo Security People!
Sinds kort houd ik me bezig met veilig e-mail verkeer, en kwam ik uit op deze site.
http://www.pgpmail.nl/
Wie maakt er gebruik van deze technologie, en hoe veilig is het nou eigenlijk het PGP principe?
Groetjes,
Subliem
Sinds kort houd ik me bezig met veilig e-mail verkeer, en kwam ik uit op deze site.
http://www.pgpmail.nl/
Wie maakt er gebruik van deze technologie, en hoe veilig is het nou eigenlijk het PGP principe?
Groetjes,
Subliem
Reacties (8)
en kwam ik uit op deze site.
Da's knap gezien het feit dat men nog maar net begint..
Zelf 'kwam ik uit op':
https://www.hushmail.com/
https://countermail.com/
Om er maar enkele te noemen..
Je zou [url=http://securitynirvana.blogspot.com/2012/05/countermail-protecting-your-privacy.html]hier[/url] is een kijkje kunnen nemen..
Wat houdt veilig e-mail verkeer precies in ?
En wat zou onveilig e-mail verkeer in kunnen houden ?
En wat zou onveilig e-mail verkeer in kunnen houden ?
Persoonlijk zie ig In de praktijk erg weinig mensen/bedrijven dit gebruiken (maar dat is mijn persoonlijke ervaring).
Als je echt vertrouwelijke informatie heen-en-weer verstuurd, dan is PGP wellicht niet je beste optie.
Het nadeel van PGP is ook dat alleen de mensen die de "sleutel" hebben het bericht kunnen ontcijferen.
Dat betekend dus dat iedereen die je een versleutelde mail wilt sturen, deze sleutel moet hebben om de mail te kunnen lezen (wordt soms ervaren als een beetje omslachtig).
Ondanks dat PGP encryptie stukken beter is als je mails in "clear-text" sturen, is het niet de meest veilige methode om je mails te versleutelen (het is te kraken).
Als je echt zeker wilt weten dat je mails veilig worden verstuurd, dan zou je je mijns inziens het beste kunnen verdiepen in het opzetten van een mailserver, daar je veel zal leren over email verkeer, versleuteling en hoe je de boel veilig kunt houden.
Ik zou het zelf belangrijker vinden dat het email (data) verkeer van "mijn" server naar een andere server versleuteld is, en vice versa.
Als je je eigen mailserver op zet, dan heb je dit voor een groot deel zelf in de hand.
Een voorbeeld van hoe je een (relatief) veilige linux mailserver kunt opzetten is: http://flurdy.com/docs/postfix/
Je zou je kunnen verdiepen in SSL/TLS beveiligde verbindingen e.d. wat ook deels wordt uitgelegd in het bovenstaande document.
Wat meer informatie mbt PGP kun je vinden door middel van deze links:
http://www.pgpi.org/doc/pgpintro/
http://www.labnet.com/irg/PGP1.HTM
http://nl.wikipedia.org/wiki/Pretty_Good_Privacy
http://home.claranet.nl/users/gigawalt/pgp.html
Ik ga niet te diep in op je vraag omdat ik niet exact weet wat je motivatie is, je doel en je kennisbereik.
Je kunt erg veel vinden over email privacy, security e.d. via google, er zijn talloze documenten, reviews en meningen te vinden over PGP e.d.
Ik hoop dat bovenstaande informatie in ieder geval een beetje helpt.
Als je echt vertrouwelijke informatie heen-en-weer verstuurd, dan is PGP wellicht niet je beste optie.
Het nadeel van PGP is ook dat alleen de mensen die de "sleutel" hebben het bericht kunnen ontcijferen.
Dat betekend dus dat iedereen die je een versleutelde mail wilt sturen, deze sleutel moet hebben om de mail te kunnen lezen (wordt soms ervaren als een beetje omslachtig).
Ondanks dat PGP encryptie stukken beter is als je mails in "clear-text" sturen, is het niet de meest veilige methode om je mails te versleutelen (het is te kraken).
Als je echt zeker wilt weten dat je mails veilig worden verstuurd, dan zou je je mijns inziens het beste kunnen verdiepen in het opzetten van een mailserver, daar je veel zal leren over email verkeer, versleuteling en hoe je de boel veilig kunt houden.
Ik zou het zelf belangrijker vinden dat het email (data) verkeer van "mijn" server naar een andere server versleuteld is, en vice versa.
Als je je eigen mailserver op zet, dan heb je dit voor een groot deel zelf in de hand.
Een voorbeeld van hoe je een (relatief) veilige linux mailserver kunt opzetten is: http://flurdy.com/docs/postfix/
Je zou je kunnen verdiepen in SSL/TLS beveiligde verbindingen e.d. wat ook deels wordt uitgelegd in het bovenstaande document.
Wat meer informatie mbt PGP kun je vinden door middel van deze links:
http://www.pgpi.org/doc/pgpintro/
http://www.labnet.com/irg/PGP1.HTM
http://nl.wikipedia.org/wiki/Pretty_Good_Privacy
http://home.claranet.nl/users/gigawalt/pgp.html
Ik ga niet te diep in op je vraag omdat ik niet exact weet wat je motivatie is, je doel en je kennisbereik.
Je kunt erg veel vinden over email privacy, security e.d. via google, er zijn talloze documenten, reviews en meningen te vinden over PGP e.d.
Ik hoop dat bovenstaande informatie in ieder geval een beetje helpt.
11-01-2013, 16:34 door
Erik van Straten
Als ze GnuPG gebruiken, hoop ik dat ze hebben geüpdate voor CVE-2012-6085 (1e melding: http://seclists.org/bugtraq/2012/Dec/151, echter uit http://lists.grok.org.uk/pipermail/full-disclosure/2013-January/089324.html zou je kunnen afleiden dat gnupg2 met een eerder Debian versienummer dan 2.0.19-2 ook kwetsbaar is).
Naast dat er soms vulnerabilities zijn, en velen te lang te korte sleutels blijven gebruiken, is het principe behoorlijk veilig.
Het grootste probleem is dat het erg lastig is om te bepalen of een gegeven public key daadwerkelijk van de bedoelde persoon is (d.w.z. degene die, als enige, toegang zou mogen hebben tot de bijbehorende private key).
Naast dat er soms vulnerabilities zijn, en velen te lang te korte sleutels blijven gebruiken, is het principe behoorlijk veilig.
Het grootste probleem is dat het erg lastig is om te bepalen of een gegeven public key daadwerkelijk van de bedoelde persoon is (d.w.z. degene die, als enige, toegang zou mogen hebben tot de bijbehorende private key).
Je moet je registreren om de gratis tools te ontvangen? Wat? Laat die website maar links liggen.
Er zijn betere, registratieloze plekken waar je gratis emailversleutelgereedschap krijgen kan. GPG (voor windows: gpg4win) en een redelijke mail client (mutt, sylpheed, thunderbird met enigmail, en zo zijn er nog wel een paar) en je komt een heel eind. Nu nog weten hoe je ze gebruiken moet, maar omdat je zegt dat je je "ermee bezig houdt" neem ik aan dat je zaken als het "gnu privacy handbook" wel kan vinden. Hoewel zulke transparant verdachte sites als waar je mee aan komt zetten natuurlijk wel een zorgelijke zaak zijn, op meerdere niveaux.
Als je weten wil hoe de onderliggende mechanismen werken, kijk bijvoorbeeld naar http://crypto-class.org voor een introductie.
Er zijn betere, registratieloze plekken waar je gratis emailversleutelgereedschap krijgen kan. GPG (voor windows: gpg4win) en een redelijke mail client (mutt, sylpheed, thunderbird met enigmail, en zo zijn er nog wel een paar) en je komt een heel eind. Nu nog weten hoe je ze gebruiken moet, maar omdat je zegt dat je je "ermee bezig houdt" neem ik aan dat je zaken als het "gnu privacy handbook" wel kan vinden. Hoewel zulke transparant verdachte sites als waar je mee aan komt zetten natuurlijk wel een zorgelijke zaak zijn, op meerdere niveaux.
Als je weten wil hoe de onderliggende mechanismen werken, kijk bijvoorbeeld naar http://crypto-class.org voor een introductie.
11-01-2013, 17:23 door
Fwiffo
Het is belangrijk je te realiseren dat PGP niet ontworpen is met als doel anoniem te zijn. Zo voegt PGP aan elk vercijfert bericht een 'KeyID' toe die verwijst naar de sleutel om het bericht te ontsleutelen. Verder moet de ontvanger ook PGP gebruiken.
Wat PGP wel toevoegt is encryptie (privacy) en een digitale handtekening (authentication).
Voor anonimiteit zou je je moeten verdiepen in 'nym servers' icm 'cypherpunk type i' remailers. Maar perfect (veilig en betrouwbaar) is deze oude techniek niet. Ook geen idee of er nog type i remailers zijn. Verder heb je nog diens opvolger mixminion, die echter ook niet veilig bleek te zijn. Dus anoniem wordt heel erg lastig. Misschien iets icm Tor??
Wil je verder verbergen dat je Tor gebruikt dan wordt het nog moeilijker om anoniem te zijn. Volgens mij onmogelijk. Een groot probleem is hoe je je sleutels anoniem naar je eigen computer krijgt. En als dit kan, waarom stuur je je bericht dan ook niet op die manier?!
Wat PGP wel toevoegt is encryptie (privacy) en een digitale handtekening (authentication).
Voor anonimiteit zou je je moeten verdiepen in 'nym servers' icm 'cypherpunk type i' remailers. Maar perfect (veilig en betrouwbaar) is deze oude techniek niet. Ook geen idee of er nog type i remailers zijn. Verder heb je nog diens opvolger mixminion, die echter ook niet veilig bleek te zijn. Dus anoniem wordt heel erg lastig. Misschien iets icm Tor??
Wil je verder verbergen dat je Tor gebruikt dan wordt het nog moeilijker om anoniem te zijn. Volgens mij onmogelijk. Een groot probleem is hoe je je sleutels anoniem naar je eigen computer krijgt. En als dit kan, waarom stuur je je bericht dan ook niet op die manier?!
PGP is inderdaad super veilig, echter veel mensen gebruiken het niet, ik denk te veel werk in opzetten met sleutels e.d.
Wil je met anderen op een veilige en redelijke manier toch veilig kunnen mailen, dan heb je een aantal opties.
De sleutel moet je wel niet versturen via e-mail of via het web. Kan wel, maar dan zou ik het via een chat kanaal doen dat HTTPS ondersteund, en dan via een prive-bericht.
https://thismessagewillselfdestruct.com/
https://encipher.it/
http://www.seabreezecomputers.com/encrypter/
Dan zijn er ook enkele kleine programma's waarmee je versleutelde berichten mee kunt maken, ook hier geld weer
spreek van te voren een wachtwoord af om de teksten weer mee te kunnen ontsleutelen.
https://code.google.com/p/immediatecrypt/
https://ctiencrypt.codeplex.com/
Gebruik lange wachtwoorden, of liever wachtzinnen voor de key's (met key's bedoelen we het wachtwoord om de berichten mee te kunnen ontsleutelen)
Je hoeft niet eens mail te hebben want het kan ook via je smartphone.
https://encipher.it/ios#
Alles kan op vandaag, dus gezond verstand gebruiken en Google.
Nadeel voor zover dat er een is dat je met alle mensen met wie je dit wilt doen, een wachtwoord moet afspreken.
Maar ook dat hoeft geen probleem te zijn want daar hebben we ook weer van die programma-tjes voor.
Ik gebruik dit al geruime tijd en het werkt prima.
Voor "anoniem" van 15:23
https://www.security.nl/artikel/17346/1/Hushmail_verstrekt_e-mail_van_gebruikers_aan_overheid_VS.html
Wil je met anderen op een veilige en redelijke manier toch veilig kunnen mailen, dan heb je een aantal opties.
De sleutel moet je wel niet versturen via e-mail of via het web. Kan wel, maar dan zou ik het via een chat kanaal doen dat HTTPS ondersteund, en dan via een prive-bericht.
https://thismessagewillselfdestruct.com/
https://encipher.it/
http://www.seabreezecomputers.com/encrypter/
Dan zijn er ook enkele kleine programma's waarmee je versleutelde berichten mee kunt maken, ook hier geld weer
spreek van te voren een wachtwoord af om de teksten weer mee te kunnen ontsleutelen.
https://code.google.com/p/immediatecrypt/
https://ctiencrypt.codeplex.com/
Gebruik lange wachtwoorden, of liever wachtzinnen voor de key's (met key's bedoelen we het wachtwoord om de berichten mee te kunnen ontsleutelen)
Je hoeft niet eens mail te hebben want het kan ook via je smartphone.
https://encipher.it/ios#
Alles kan op vandaag, dus gezond verstand gebruiken en Google.
Nadeel voor zover dat er een is dat je met alle mensen met wie je dit wilt doen, een wachtwoord moet afspreken.
Maar ook dat hoeft geen probleem te zijn want daar hebben we ook weer van die programma-tjes voor.
Ik gebruik dit al geruime tijd en het werkt prima.
Voor "anoniem" van 15:23
https://www.security.nl/artikel/17346/1/Hushmail_verstrekt_e-mail_van_gebruikers_aan_overheid_VS.html
13-01-2013, 11:00 door
spatieman
er bestaat toch al zo iets als pgpmail om je mail te versleutel...
dus dit is niet echt nieuw.
dus dit is niet echt nieuw.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.