Riseup gaat e-mails gebruikers versleuteld opslaan wegens FBI
E-mailprovider Riseup gaat alle e-mails van gebruikers voortaan versleuteld opslaan, zodat het die niet kan overhandigen als de FBI hier om vraagt. De Amerikaanse opsporingsdienst had de provider vorig jaar om informatie over twee e-mailadressen gevraagd, zo is nu bekendgemaakt.
De rechter had daarnaast een zwijgbevel opgelegd zodat Riseup hier niets tegen de betreffende gebruikers of de buitenwereld mocht vertellen. De periode dat het zwijgbevel van kracht was is nu afgelopen, waarop de provider besloten heeft om naar buiten te treden. De twee e-mailadressen in kwestie werden gebruikt door een groep die ddos-aanvallen uitvoerde en voor ransomware. Activiteiten die volgens Riseup in strijd zijn met het sociale contract dat het met gebruikers heeft.
Dat neemt niet weg dat de provider geen toegang meer wil hebben tot de accounts van gebruikers. Alle nieuwe e-mailaccounts bij Riseup worden daarom voortaan versleuteld opgeslagen. Alleen de gebruiker heeft zodoende toegang tot zijn e-mails. De provider benadrukt dat het hier niet om end-to-end-encryptie gaat. Daarvoor is nog steeds een client met OpenPGP vereist, zo laat het weten. Dit jaar wil Riseup echter een uitgebreider "endot-endsysteem" uitrollen.
Doet de FBI eens iets om afpersers op te sporen en dan komt dit soort zelfbenoemde privacybeschermers in actie
om dat onmogelijk te maken.
De hele status van privacy wordt kapot gemaakt door dit soort acties.
Doet de FBI eens iets om afpersers op te sporen en dan komt dit soort zelfbenoemde privacybeschermers in actie
om dat onmogelijk te maken.
De hele status van privacy wordt kapot gemaakt door dit soort acties.
Daarbij, voor 2 personen de privacy van de rest opgeven is natuurlijk wel een erg zwaar middel
Daarbij, voor 2 personen de privacy van de rest opgeven is natuurlijk wel een erg zwaar middel
De privacy van de gemeenschap is gediend door het uitsluiten van de criminelen (per definitie tegen die gemeenscha) middels handhaving. Als je die vraag niet weet op te lossen ga je enkel in een polariserende escalatie met slechts vele verliezers geen winnaars.
Als samenleving zijn we er juist van gediend dat we de rotte appels kunnen aanspreken op hun gedrag. In dit geval ging het om twee personen die doelbewust hun medemens schade hebben berokkend.
Door deze actie wordt de wereld dus weer een stukje minder veilig.
[...]
Door deze actie wordt de wereld dus weer een stukje minder veilig.
1) Als het waar zou zijn dat Riseup, door opgeslagen mailboxes van haar klanten te versleutelen, de inhoud (of delen daarvan) niet meer aan de FBI zou kunnen geven, zouden haar medewerkers, third parties en succesvolle digitale inbrekers daar ook niet meer zomaar bij kunnen. Net zoals ik tegen de voorgenomen aftapwet ben, denk ik ook dat in zo'n geval de voordelen (beschermen van onschuldigen) op zouden wegen tegen de nadelen.
2) Maar het gaat hier om een reclameboodschap. Als een derde partij (een cloudboer zoals Riseup) versleutelde data van jou bewaart, die zij moet ontsleutelen voordat jij daarbij kunt (d.w.z. de door jou gebruikte software, in dit geval webmail en/of IMAP), zul jij die derde partij (in het veiligste geval elke keer dat je die data wilt benaderen) de sleutel moeten geven, en hopen dat zij die meteen daarna "vergeten". Criminelen maar ook onterecht verdachten kunnen natuurlijk hopen dat de FBI dit niet zal inzien...
Zoals ik al zo vaak geschreven heb, versleuteling is zinloos als je niet weet wie de sleutel hebben (of in handen kunnen krijgen).
Aanvulling: IMAP ondersteunt (voor zover ik weet) geen versleutelde data (wel versleutelde verbindingen), dus zul je de sleutel aan Riseup moeten geven als je IMAP gebruikt. Echter in het geval van webmail is het denkbaar dat je de sleutel niet aan Riseup zelf geeft, maar aan van Riseup afkomstige code in jouw webbrowser - en dat die sleutel binnen jouw webbrowser blijft. Aangezien het hierbij om dynamische code van een Riseup webmailserver gaat, is het wellicht een goed idee om deze elke keer te inspecteren (of deze de sleutel niet verzendt) vóórdat je jouw sleutel invoert. In theorie is webmail dus iets veiliger dan IMAP in deze situatie...
En dat Riseup het e-mail end-to-end encryption varkentje binnenkort wel even zal wassen, waar alle andere pogingen daartoe tot nu toe gefaald hebben, geloof ik (om fundamentele redenen) ook niet.
Ik neem aan dat je hiermee bedoelt dat een kort wachtwoord (zoals een pincode van 4 cijfers voor een bankpas) voldoet voor toegangscontrole mits er een degelijk account-lock-out systeem wordt toegepast, maar natuurlijk een lachertje is als brute force mogelijk is (wat het geval zou zijn als Riseup een versleutelde mailbox aan de FBI zou overhandigen, evt. in combinatie met de wachtwoordhash, salt en toegepast wachtwoordverhaspelingalgoritme).
Wat m.i. een non-issue is zodra de FBI Riseup dwingt om ook jouw wachtwoord erbij op te leveren. Hetgeen doodsimpel is de eerstvolgende keer dat jij IMAP gebruikt, en (alleen als versleutelen en ontsleutelen in de browser plaatsvinden) een eenmalige aanpassing van de naar jouw webbrowser gestuurde code vereist. Overigens, mocht Riseup een "betere PGP" uitvinden, geïmplementeerd middels een tool op jouw PC (of smartphone), dan is het nog steeds een Amerikaans bedrijf dat gedwongen kan worden om een permanente backdoor in te bouwen - of jou persoonlijk een update te sturen met zo'n achterdeurtje.
Nb. als je niet wilt dat geheime diensten jouw mail lezen (omdat je een crimineel bent, omdat je mogelijk een verdachte bent of omdat geheime diensten al jouw mails willen lezen om daaruit af te kunnen leiden dat jij een verdachte bent en/of daar fun or profit voordelen mee te behalen - voor hun land of privé), dan lijkt het mij niet verstandig om bestanden te versleutelen met software van hetzelfde bedrijf waar die versleutelde bestanden worden opgeslagen. Wellicht is het een goed idee om de wetgeving en trends (Trump?) ook een rol te laten spelen bij dit soort keuzes. Hint: "grappig" in dit kader is wellicht dat Microsoft, in haar nieuwe privacy statement van deze maand, nog steeds verwijst (onderaan) naar het hartstikke dode "Safe Harbor" verdrag met de EU [1].
Of bedoel je iets anders (dat ik niet uit jouw bijdrage opmaak)?
[1] https://privacy.microsoft.com/en-us/privacystatement
Dat klinkt wat zot en misschien onbegrijpelijk voor leespubliek als u daamee eigenlijk de logincredentials (het inlog wachtwoord, eventueel gecombineerd met inlognaam) bedoelt.
Riseup zou deze inlogcredentials eventueel nog kunnen verfuzzelen met een algoritme (vaak: SHA1) en daarmee AES-encryptie kunnen toepassen op uwen mailaccount bij Rise-up.
Maar zoals u het vertelt klinkt het wat moeilijk met sleutels en zo.
In geval van end-to-end encryption vind ik het wel terecht om over sleutels te spreken, maar in geval van mailbestandsencryptie klinkt het mij wat zot. Verstaat ge?
Ben daarbij geen crimineel of verdachte , zoals ge lijkt te suggereren in:
"omdat je een crimineel bent, omdat je mogelijk een verdachte bent of omdat geheime diensten al jouw mails willen lezen om daaruit af te kunnen leiden dat jij een verdachte bent en/of daar fun or profit voordelen mee te behalen - voor hun land of privé".
Men hoeft geen crimineel te zijn om een encrypted e-mail account te waarderen.
Immers ook als het hackers lukt om bij Rise-up binnen te komen wordt het er moeilijker van om mailberichten te lezen.
Verder welbedankt voor uwen reactie.
Riseup zou deze inlogcredentials eventueel nog kunnen verfuzzelen met een algoritme (vaak: SHA1) en daarmee AES-encryptie kunnen toepassen op uwen mailaccount bij Rise-up.
Maar zoals u het vertelt klinkt het wat moeilijk met sleutels en zo.
In geval van end-to-end encryption vind ik het wel terecht om over sleutels te spreken, maar in geval van mailbestandsencryptie klinkt het mij wat zot. Verstaat ge?
This plugin adds individually encrypted mail storage to the Dovecot IMAP server.
[...]
How it works:
1. On IMAP log in, the user's cleartext password is passed to the plugin.
Mijn zorg is dat Riseup, net zoals Yahoo! destijds, gedwongen wordt (door de FBI bijvoorbeeld) om ook van klanten die niet onder ernstige verdenking staan (bijv. alle niet-Amerikaanse staatsburgers en/of Moslims), een kopietje van het wachtwoord bij stap 1 hierboven, aan de spooks over te dragen. Maar kwaadwillende Riseup sysadmins kunnen hier natuurlijk ook bij.
"omdat je een crimineel bent, omdat je mogelijk een verdachte bent of omdat geheime diensten al jouw mails willen lezen om daaruit af te kunnen leiden dat jij een verdachte bent en/of daar fun or profit voordelen mee te behalen - voor hun land of privé".
[1] https://0xacab.org/riseuplabs/trees
Daarbij, voor 2 personen de privacy van de rest opgeven is natuurlijk wel een erg zwaar middel
Daar is een gerechterlijk bevel voor nodig waarbij dat bevel aan het slachtoffer bekend gemaakt moet worden. Dit is geheim en zonder verdere controle.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Digital Forensic Researcher Mobile Device Hacking
Netherlands Forensic Institute (NFI)
As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.