image

Onderzoek: PGP-tools nog steeds ongeschikt voor de massa

maandag 2 november 2015, 17:25 door Redactie, 9 reacties

PGP-tools voor het versleutelen van e-mailberichten bestaan al jaren, maar zijn nog steeds ongeschikt voor de massa om te gebruiken. Dat hebben onderzoekers van de Brigham Young University geconcludeerd aan de hand van eigen onderzoek (pdf).

Voor hun onderzoek lieten ze proefpersonen Mailvelope proberen, een browserextensie voor het versleutelen van webmail. De reden dat er voor Mailvelope werd gekozen was dat het de enige oplossing is die door de Amerikaanse burgerrechtenbeweging EFF wordt genoemd en met bestaande webmaildiensten overweg kan. Ook krijgt het positieve reacties in de Chrome Web Store. Aan het onderzoek deden 20 deelnemers mee, verdeeld over 10 paren. De deelnemers kregen de opdracht om binnen één uur versleuteld via Mailvelope met elkaar te e-mailen. Slechts één paar slaagde hierin.

"Dit laat zien dat het versleutelen van e-mail met PGP, zoals geïmplementeerd in Mailvelope, nog steeds ongeschikt voor de massa is", aldus de onderzoekers. De meestgemaakte fout tijdens het onderzoek was het versleutelen van een bericht met de publieke sleutel van de afzender. Iets wat zeven paren overkwam, waaronder het paar dat uiteindelijk er toch in slaagde een versleuteld bericht te versturen. Verder genereerden drie paren een 'key pair' met informatie van hun vriend, en probeerden vervolgens die publieke sleutel te gebruiken om hun bericht te versleutelen.

Verbeterpunten

Ondanks de kritiek zien de onderzoekers ook verbeterpunten. Zo pleitten ze voor geïntegreerde handleidingen om nieuwe gebruikers te begeleiden. Verder kan een eenvoudige uitleg van cryptografie via publieke sleutels gebruikers helpen om hun eigen sleutels goed te beheren en zouden PGP-gebaseerde tools kunnen aanbieden om voor onbekende ontvangers automatisch een e-mail te genereren met het verzoek om de PGP-software te installeren, een publieke sleutel te genereren en die met de afzender te delen.

Reacties (9)
02-11-2015, 17:57 door Anoniem
PGP voor de massa? Epic fail! Sinds PGP voor de massa beschikbaar was, ruim 20 jaar geleden, ach, laat ook maar! Nog een fail: nationaal coördinator terrorismebestrijding Dick Schoof! Etc. etc. etc. ad infinitum helaas.
02-11-2015, 18:47 door Anoniem
Te vroeg ? Misschien even waten tot dat Google/Gmail en Yahoo hun code klaar hebben:
https://github.com/google/end-to-end
https://github.com/yahoo/end-to-end
03-11-2015, 01:11 door Anoniem
Niemand, maar dan ook niemand uit mijn (e-mail)kring is hier in geïnteresseerd. Teveel gedoe.
03-11-2015, 08:49 door Anoniem
Prachtig onderzoek naar iets wat iedereen allang weet.

Juiste vraag moet zijn, is PGP noodzakelijk voor de massa? En het antwoord is uiteraard nee.
Je moet privacy of vertrouwelijkheid niet aan mensen gaan opdringen of ze er zelf verantwoordelijk voor maken, geen reet geven om je privacy moet ook een keuze zijn.
Verder moeten de Googles en Facebooks van deze wereld zelf zorgen voor privacy by design zodat hun datastromen van en naar de applicaties goed beveiligd zijn.

De mensen die echt super vertrouwelijk willen communiceren leren zelf wel hoe ze PGP moeten gebruiken.
03-11-2015, 09:10 door Overcome
Door Anoniem: Prachtig onderzoek naar iets wat iedereen allang weet.

Juiste vraag moet zijn, is PGP noodzakelijk voor de massa? En het antwoord is uiteraard nee.
Je moet privacy of vertrouwelijkheid niet aan mensen gaan opdringen of ze er zelf verantwoordelijk voor maken, geen reet geven om je privacy moet ook een keuze zijn.
Verder moeten de Googles en Facebooks van deze wereld zelf zorgen voor privacy by design zodat hun datastromen van en naar de applicaties goed beveiligd zijn.

De mensen die echt super vertrouwelijk willen communiceren leren zelf wel hoe ze PGP moeten gebruiken.

Helemaal mee eens. Waarom zouden mijn ouders versleuteld of gesigneerd moeten e-mailen? Als ik rare mailtjes van ze krijg bel ik ze wel op en dan komen we er vlug genoeg achter dat ze de e-mail niet hebben verstuurd. De bedreigingen waar de gemiddelde internetter mee te maken krijgt heeft weinig tot niets te maken met het mailen van vertrouwelijke bijlagen. Het benodigde blijft veelal steken bij "klik niet op onbetrouwbare links", "installeer geen willekeurige software op je PC", "installeer je patches op tijd", "installeer een virus-/malwarescanner" etc. Ik ben bovenmatig geïnteresseerd in cryptografie, maar ook ik heb geen PGP geïnstalleerd. Ik ZIP vertrouwelijke documenten en SMS het Winzip wachtwoord toe, en ook dat alleen nog maar uit hoofde van mijn werk.
03-11-2015, 11:57 door Anoniem
Door Anoniem: Je moet privacy of vertrouwelijkheid niet aan mensen gaan opdringen of ze er zelf verantwoordelijk voor maken, geen reet geven om je privacy moet ook een keuze zijn.
Waar haal je opdringen vandaan? Het gaat hier om een browser-plugin die je kan installeren om PGP via een nieuwe interface te gebruiken, en om een onderzoekje naar de bruikbaarheid ervan. Aan wie wordt er iets opgedrongen hier?

En geen reet geven om privacy werkt bij e-mail niet helemaal. E-mailen doe je namelijk met een ander. Het gaat ook om de privacy van die ander, en het doet er dus ook toe of die ander het geen reet kan schelen. Of vind je dat privacy niet aan mensen opgedrongen mag worden maar gebrek aan privacy wel?

En weet je eigenlijk wel wat privacy is? Ik heb de indruk dat je geen millimeter verder hebt gedacht dan het al dan niet afschermen van persoonlijke gegevens. Privacy is veel meer, het is het recht om met rust gelaten te worden, om je leven op je eigen manier te kunnen leiden, het recht op een persoonlijke levenssfeer. Je privacy wordt geschonden als iets of iemand je daarin hindert op een manier die voor jou te ver gaat. Iemand die zegt dat het hem geen reet kan schelen heeft misschien ruime grenzen, maar er is niemand die helemaal geen grenzen heeft. Een paar voorbeelden om het te verduidelijken.

Britse jongeren gingen op vakantie in de VS. Op sociale media meldden dat ze Amerika onveilig gingen maken, of een equivalent daarvan in hun Brits-Engelse jongerentaaltje. Onschuldig zat, behalve in de ogen van Amerikaanse veiligheidsdiensten, die namen de uitspraak letterlijk. Bij aankomst op een Amerikaans vliegveld werden ze verhoord en zonder pardon weer op het vliegtuig terug gezet. Dát is de privacyschending hier, het zinloos belemmeren van een paar jongeren in een vakantie die een feestje had moeten worden. Zou de keuze van die jongeren om zich openlijk op hun eigen manier te uiten een keuze zijn geweest om hun vakantie in het honderd te laten lopen? En om in de toekomst misschien niet meer naar de VS te kunnen voor hun werk omdat er nu een rood vlaggetje bij hun naam staat? Je hebt helaas niet alleen te maken met je eigen keuzes maar ook met de keuzes van anderen, privacyschendingen zitten juist in hoe de ander ermee omgaat.

Als een roekeloze automobilist je in een rolstoel doet belanden dan gooit die de manier waarop jij je leven kan leiden ernstig overhoop. Dat is een zware aantasting van hoe jij je leven kan leiden, van je persoonlijke levenssfeer, van je privacy. Als iemand zegt geen reet te geven om privacy bedoelt die vast niet dat hij daar geen reet om zou geven. En ik vermoed dat jij niet zal vinden dat iemand die graag roekeloos rondscheurt maar onbelemmerd anderen (jou dus ook) in gevaar mag brengen. Maar dat is tegelijk weer een beperking op hoe hij zijn leven kan leiden, en daarmee een aantasting van zijn privacy. Vind je dat dit meer over veiligheid dan over privacy gaat? Fout. Privacy is ook veiligheid en veiligheid is ook privacy, die dingen zijn met elkaar verweven. Iedereen die ze tegenover elkaar zet (zoals laatst nog het hoofd van een van onze inlichtingendiensten) creëert een valse tegenstelling en voert geen zuivere discussie.
03-11-2015, 16:11 door [Account Verwijderd]
[Verwijderd]
03-11-2015, 22:08 door Anoniem
Het probleem is dat email verkeer het gewone briefpost verkeer verdringt en daarmee de beveiliging ondermijnt voor onze burgerlijke communicatie. Die is ontworpen voor briefpost. Het briefgeheim kan niet gelden voor email want bij het briefgeheim gaat men uit van een verzegelde envelop. Email is niet in staat tot het versturen van een verzegelde envelop.
Desondanks willen overheden email verplicht stellen. Een vergelijking met het electronische stemmen ligt voor de hand: bescherming voor burgerlijke communicatie is voor overheden onbelangrijk net als het kiesgeheim of burgercontrole van de telling.
04-11-2015, 01:53 door Anoniem
Door Anoniem: Prachtig onderzoek naar iets wat iedereen allang weet.

Juiste vraag moet zijn, is PGP noodzakelijk voor de massa? En het antwoord is uiteraard nee.
Je moet privacy of vertrouwelijkheid niet aan mensen gaan opdringen of ze er zelf verantwoordelijk voor maken, geen reet geven om je privacy moet ook een keuze zijn.
Verder moeten de Googles en Facebooks van deze wereld zelf zorgen voor privacy by design zodat hun datastromen van en naar de applicaties goed beveiligd zijn.

De mensen die echt super vertrouwelijk willen communiceren leren zelf wel hoe ze PGP moeten gebruiken.

Nee hoor. Hoewel de massa iets als PGP meestal niet nodig heeft, gebeurd het genoeg mensen dat ze een kopie van een paspoort moeten doormailen, zelf als doorgeefluik voor medische gegevens dienen of bv vanaf hun werkplek met hun advocaat mailen over een dispuut mbt die werkgever, enz, enz. In die gevallen zou het normaal moeten zijn om wel PGP te gebruiken. Afspreken wanneer die BBQ wordt gehouden leidt niet tot identiteitsdiefstal of chantage en daarom heeft het ook weer weinig zin om altijd alles te versleutelen.

Maar het is wel merkwaardig dat waar mensen vroeger enveloppen dichtplakten of brieven aangetekend verzonden, nu iedereen zijn post tegen het raam van zijn woonkamer of bedrijfsvitrine plakt om door iedereen gelezen te worden, zolang de geadresseerde dat uiteindelijk ook maar doet.

En als zelfs die bedrijven en vertrouwenspersonen het teveel gedoe vinden kun je niet stellen dat mensen die veilige communicatie nodig hebben er toch wel op uit komen...

Een breed draagvlak (Gmail, Hotmail) en een duidelijke instructie of howto en PGP zou binnen no time mega populair kunnen zijn. Maar toch maar van tijdelijke aard. Quantumcomputing is niet meer ver weg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.