image

Mozilla: moet Thunderbird end-to-end-encryptie krijgen?

woensdag 26 augustus 2015, 15:44 door Redactie, 8 reacties

Sinds de onthullingen van klokkenluider Edward Snowden is er veel aandacht voor het versleutelen van data gekomen, zoals e-mail. Zo zijn er de afgelopen jaren verschillende diensten verschenen die versleuteld e-mailen aanbieden. De meeste mensen e-mailen echter nog steeds onversleuteld.

End-to-end-encryptie zorgt ervoor dat e-mail volledig versleuteld is en alleen door de afzender en ontvanger kan worden gelezen. Opensourceontwikkelaar Mozilla vraagt zich nu af of het end-to-end-encryptie aan e-maiclient Thunderbird moet toevoegen. Naast Firefox houdt Mozilla zich ook bezig met de ontwikkeling van Thunderbird, dat inmiddels de dominante opensource-mailapplicatie is.

Gebruikers

Recentelijk was Kent James, een ontwikkelaar van Thunderbird, bij een conferentie in Portland. Daar legde hij het idee voor om end-to-end-encryptie te ondersteunen. Volgens de meeste mensen was het echter een non-issue, zo laat hij weten. Het verlies van functionaliteit door encryptie, zoals het niet kunnen doorzoeken van webmails of het risico op het verliezen van e-mails als certificaten verloren raken, zou voor de meeste gebruikers onacceptabel zijn. Daarnaast zou een partij die in staat is om e-mails te onderscheppen de computer ook fysiek in beslag kunnen nemen.

Toch zijn er ook verschillende projecten die end-to-end-encryptie proberen te realiseren om zo online communicatie te beschermen. Om ervoor te zorgen dat end-to-end-encryptie kans van slagen heeft moeten de grote spelers het echter ondersteunen, aldus Kent. Ook Mozilla kan hier een rol in spelen bij de ontwikkeling van Thunderbird. Kent stelt nu de vraag of Mozilla hier ook aandacht aan moet geven. Inmiddels hebben 27 mensen op zijn vraag gereageerd, waarvan er veel positief over het idee zijn.

Reacties (8)
26-08-2015, 16:41 door Anoniem
End-to-end versleuteling werkt natuurlijk alleen als beide einden dezelfde methode gebruiken. Ik gebruik bij veel van mijn contacten al PGP om mail te versleutelen. Ik heb in Thunderbird zelfs bij bepaalde accounts ingesteld dat als ik de sleutel van de ontvangers ken, er automatisch versleuteld wordt.

Thunderbird ondersteunt ook X.509 voor versleuteling. Daar wordt volgens mij nog minder gebruik van gemaakt dan van PGP. Het wordt echter wel door meer clients native ondersteunt. Dus ja, ook die gebruik ik soms.

Peter
26-08-2015, 17:14 door Overcome - Bijgewerkt: 26-08-2015, 17:14
Het verlies van functionaliteit door encryptie, zoals het niet kunnen doorzoeken van webmails of het risico op het verliezen van e-mails als certificaten verloren raken, zou voor de meeste gebruikers onacceptabel zijn. Daarnaast zou een partij die in staat is om e-mails te onderscheppen de computer ook fysiek in beslag kunnen nemen.

Dit vind ik vreemde redenaties, om meerdere redenen:

(1) Je bent niet verplicht om mailversleuteling te gebruiken. Als je het niet wilt gebruiken vanwege gebruikersgemak, slecht sleutelmanagement of wat voor reden dan ook: prima. Er zijn echter aanzienlijk wat mensen die het wel handig vinden en waarvoor de genoemde redenen niet zwaar wegen. Door het toevoegen van versleuteling kun je mensen in ieder geval de keuze geven om gericht berichten te versleutelen (denk aan auditrapporten, gevoelige dossiers die met leveranciers worden uitgewisseld etc).

(2) Het klopt dat een computer in beslag kan worden genomen. Maar het gaat ook om de moeite die moet worden gedaan om achter informatie te komen. Vergelijk het met de beveiliging van een huis. Zet ik geen sloten op mijn deur omdat de politie of geoefende inbrekers toch wel binnen komen? Er kan in ieder geval een drempel worden opgeworpen, en dat geldt ook voor e-mail.

(3) Wie vormt precies de bedreiging die met e-mailversleuteling gepareerd moet worden? Als het de overheid is, dan zou ik juíst versleuteling toepassen. Snowden gaf al aan dat geode versleuteling momenteel niet te kraken is. Als het de overheid niet is, dan houdt het argument aangaande inbeslagname geen stand
27-08-2015, 07:26 door johanw
Hoe moet ik dat begrijpen? Ik heb nu al een GnuPG plugin geinstalleerd bij Thunderbird, gaan ze die dan in het pakket zelf toevoegen samen met GnuPG en een optie om keys te genereren?
27-08-2015, 10:47 door Anoniem
Door johanw: Hoe moet ik dat begrijpen? Ik heb nu al een GnuPG plugin geinstalleerd bij Thunderbird, gaan ze die dan in het pakket zelf toevoegen samen met GnuPG en een optie om keys te genereren?
Kent James vermeldt helemaal achteraan zijn blog-artikel "interesting conversations with Volker Birk of Pretty Easy Privacy about working with them". De link naar PEP (http://pep-project.org/2015-08/) leidt naar een website waaruit wel (rechts in het kadertje) meldt dat het onder meer op GPG gebaseerd is, maar verder is die website ongelofelijk non-informatief. Het lijken een soort korte nieuwsberichtjes te zijn en ik zie geen enkele link naar een uitleg van wat hun software doet, kennelijk hebben ze niet door dat bezoekers van hun website dat mogelijk nog niet weten en baat hebben bij een inleiding. Dat roept bij mij de vraag op of die mensen wel in staat zijn om iets "pretty easy" voor een ander te maken.
27-08-2015, 11:25 door Anoniem
Het verlies van functionaliteit door encryptie, zoals het niet kunnen doorzoeken van webmails of het risico op het verliezen van e-mails als certificaten verloren raken, zou voor de meeste gebruikers onacceptabel zijn.
Toen ik voor het eerst kennismaakte met PGP, ergens halverwege de jaren '90, legde (zo herinner ik het mij althans) Phil Zimmerman op zijn website het nut van PGP uit door het met een envelop om een brief te vergelijken: de encryptie voorkwam in die vergelijking de e-mail onderweg niet leesbaar was voor anderen. Als je het zo gebruikt dan zou je na ontvangst de envelop moeten kunnen weggooien en alleen de plain-text-versie met digitale handtekening van de verzender moeten kunnen bewaren.

En zo zou ik het willen gebruiken. Ik gebruik momenteel claws als e-mail-client en alle e-mails, mijn adresboek en instellingen staan in een met encfs versleutelde directory. De GPG-plugin van claws biedt helaas geen mogelijkheid om na ontsleutelen een e-mail door de plain-text-versie te vervangen. Ik geloof dat het in Thunderbird met enigmail was (dat gebruikte ik inmiddels heel wat jaren geleden) dat die mogelijkheid in een menu wel aanwezig leek te zijn, alleen deed hij niets (het kan zijn dat hij crashte) en kon ik geen documentatie vinden van hoe hij verondersteld werd te werken.

Afhankelijk van de situatie kan het natuurlijk ook noodzakelijk zijn om de e-mail alleen met de originele versleuteling te bewaren. Maar als je versleuteling als het equivalent van een envelop gebruikt moet je niet verplicht worden om de brief in die envelop te bewaren, je moet de envelop makkelijk permanent kunnen verwijderen. Sommige mensen denken dat het gebruik van GPG impliceert dat de inhoud permanent als top-secret behandeld moet worden en dat onversleuteld bewaren taboe is. Ik meen me te herinneren dat bij een ontwikkelaar van een GPG-plugin te zijn tegengekomen. Die houding blokkeert de mogelijkheid dat je GPG als degelijke envelop en meer niet gebruikt. Heel jammer.

Mensen die hun e-mail bij een provider laten staan moeten zich natuurlijk afvragen wat dat voor consequenties heeft voor het al dan niet versleuteld willen bewaren van die e-mails. Maar dat is een ander probleem dat je altijd hebt met data "in de cloud".
28-08-2015, 08:12 door Anoniem
Leuk idee, waartegen beschermen ? Afluisteren van communicatie: dus beschermen van de communicatie is van belang.
Dus wat is er mis met PGP of SSL mail aanbieders?
Of gebruik daarnaast een veilig web-interface, zoals Tutanota
28-08-2015, 17:56 door Anoniem
Doen!
01-09-2015, 17:36 door PJW9779
De Enigmail-plugin werkt prima, dus waarom out-of-the-box toevoegen?
De mailencryptie-discussie loopt inmiddels al zo'n 30 jaar - óók binnen de overheid - dus de ins-en-outs mogen wel bekend zijn (encrypted mail valt onder briefgeheim, non-encrypted mail (vgl. briefkaart) niet, met alle consequenties van dien).
Niemand verplicht je je mail te encrypten, maar dan kun je achteraf niet klagen dat iemand anders dan de geadresseerde je mail heeft gelezen. Maar je had tóch al niets te verbergen, toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.