Facebook versleutelt notificatiemails aan gebruikers met pgp

Gebruikers die daarvoor kiezen, kunnen Facebook notificatiemails aan hun adres laten versleutelen met behulp van pgp. Daartoe moeten ze wel zelf pgp configureren en hun publieke sleutel toevoegen aan hun Facebook-account.

Gebruikers kunnen de pgp-sleutel toevoegen op de about-pagina van hun Facebook-profiel en daarbij de mogelijkheid inschakelen om notificatiemails te versleutelen. Vervolgens moeten ze bewijzen dat ze de versleutelde e-mail daadwerkelijk kunnen openen om ervoor te zorgen dat Facebook ze in de toekomst versleutelde notificatiemails stuurt. De nieuwe functionaliteit is per direct te gebruiken, blijkt uit de aankondiging van Facebook.

Als een gebruiker een pgp-sleutel toevoegt aan zijn Facebook-profiel, heeft dat als voordeel dat andere gebruikers de pgp-sleutel op zijn 'Over'-pagina kunnen zien. Daarbij kunnen ze zowel de fingerprint als de integrale sleutel zien. Het gaat daarbij enkel om de publieke sleutel, die de gesprekspartner nodig heeft om een bericht te versleutelen.

Gebruikers moeten wel zelf een pgp-installatie configureren en een pgp-sleutelpaar aanmaken. Daarbij moeten ze wel opletten dat ze niet per ongeluk de privésleutel uploaden naar Facebook; met behulp van die sleutel is mail voor die gebruiker immers te ontsleutelen.

Facebook PGPFacebook PGPFacebook PGP

Door Joost Schellevis

Redacteur

Feedback • 01-06-2015 14:29 81

01-06-2015 • 14:29

81

Lees meer

Security-expert Schneier: e-mail is in beginsel niet te beveiligen
Security-expert Schneier: e-mail is in beginsel niet te beveiligen Nieuws van 13 november 2015
Protonmail voegt ondersteuning voor versleutelde Facebook-mails toe
Protonmail voegt ondersteuning voor versleutelde Facebook-mails toe Nieuws van 23 september 2015
Facebook past nieuwsfeed aan op basis van tijd gespendeerd aan posts
Facebook past nieuwsfeed aan op basis van tijd gespendeerd aan posts Nieuws van 13 juni 2015
Facebook doneert tienduizenden euro's aan GnuPG-project
Facebook doneert tienduizenden euro's aan GnuPG-project Nieuws van 6 februari 2015
Authenticatiestandaard als alternatief voor wachtwoorden is klaar
Authenticatiestandaard als alternatief voor wachtwoorden is klaar Nieuws van 9 december 2014
Yahoo gaat end-to-end-encryptie voor mail aanbieden
Yahoo gaat end-to-end-encryptie voor mail aanbieden Nieuws van 8 augustus 2014
Google komt met pgp-plug-in voor Chrome
Google komt met pgp-plug-in voor Chrome Nieuws van 4 juni 2014
Meer producten en artikelen
Websites en community's Privacy Netwerk en systeembeheer

Reacties (81)

-Moderatie-faq
81
78
60
4
0
0
Wijzig sortering
Snake 1 juni 2015 14:35
Ik zie 2 voordelen:
1: 1 plek voor je PGP publieke sleutel, dan kan ik 'm gemakkelijk opzoeken. Niet interessant voor de mensen die geen FB hebben, maar wel voor de rest. En voor FB, want nu kunnen zij het primaire netwerk worden daarvoor
2: een boost in apps die het ondersteunen.

Ik vrees wel dat GMail en Outlook terughoudend gaan zijn, zij scannen namelijk de mails.

Misschien toch terug naar native clients gaan?
Devion @Snake1 juni 2015 14:39
<AluHoedje> En FBI en CIA kunnen zonder problemen een PGP sleutel nu matchen aan een profiel op FB..
curumir @Devion1 juni 2015 15:22
Ze hebben niks aan die key. Het is niet voor niets de publieke key...
Devion @curumir1 juni 2015 15:42
Daarom.. Jij zet op een obscuur forum ergens je publieke key, wordt ergens door een systeempje opgepikt.. en matched 'm vrolijk tegen de FB DB want daar heb je 'm ook staan... en voila... obscuur forum (anonieme) username gematched aan FB account.

maw; 't gaat 'm niet over decoderen maar matching van data.
curumir @Devion1 juni 2015 15:47
Daar heb je goed punt, eigenlijk is PGP ook niet om anoniem te communiceren, maar om de communicatie geheim te houden. Maar ja, zoals al ergens geopperd kun je zoveel public/private key-paren maken als je wilt. Eentje voor FB, eentje voor het obscure forum, eentje voor vrienden, etc.
ILUsion @Devion1 juni 2015 18:58
Eén van de redenen om PGP juist te gebruiken is om meer zekerheid te hebben dat enkel een bepaalde persoon (of bepaalde personen) je bericht kunnen lezen.
Als je doel is om anoniem te communiceren moet je ook gewoon een aparte key gebruiken voor je communicatie die je niet gelinkt wilt zien aan jouw fysieke persoon.

Er bestaan al jaren keyservers die als voornaamste doel hebben om het publieke deel van je sleutel te delen met andere mensen en ook gewoon bij te houden wat je naam is voor een bepaalde key.
Maar opeens als Facebook betrokken is, schiet iedereen direct in een paniekreactie "maar onze privacy dan??".
robvanwijk
@Devion1 juni 2015 20:49
maw; 't gaat 'm niet over decoderen maar matching van data.
Als ik een bericht naar jou stuur dan kan ik het zelf óók niet meer lezen (als ik het bijvoorbeeld probeer te openen vanuit mijn sent items). De gewoonte om alle verzonden berichten te versleutelen met zowel de key van de ontvanger, als met de key van de afzender, maakt een traffic analysis attack echter kinderspel.

PGP verbergt alleen wat je zegt, niet tegen wie je het zegt! Tom Ritter heeft op DEFCON21 een presentatie gehouden over "De-Anonymizing Alt.Anonymous.Messages" waarin dit punt zeer duidelijk behandeld wordt.
Bron van die link: https://www.defcon.org/ht...chives/dc-21-archive.html
wankel @Devion2 juni 2015 10:05
Daarom.. Jij zet op een obscuur forum ergens je publieke key, wordt ergens door een systeempje opgepikt.. en matched 'm vrolijk tegen de FB DB want daar heb je 'm ook staan... en voila... obscuur forum (anonieme) username gematched aan FB account
Je hóeft natuurlijk je obscure-forum-emailadres niet ook voor Facebook te gebruiken; los daarvan: in beide gevallen zal je emailadres ook al bekend zijn.
biglia @Devion1 juni 2015 14:42
Je moet natuurlijk twee PGP sleutels aanmaken: 1 voor je sociale activiteiten en 1 voor je criminele activiteiten. Werk en privé altijd gescheiden houden.
Deem @biglia1 juni 2015 14:57
Ja, maar wat is het nut dan van het versleutelen van je notificaties als je PGP sleutel op een FB server staat op Amerikaans grondgebied.
Yggdrasil @Deem1 juni 2015 15:01
Het is alleen je publieke sleutel. Daarmee kan alleen versleuteld worden, niet ontsleuteld. Dat is een van de kernconcepten achter asymmetrische cryptografie.
Deem @Yggdrasil1 juni 2015 15:04
Dat kan wel zo zijn, maar het hele concept gaat overboord als de Amerikaanse overheid eist dat de informatie en communicatie vrijgegeven moet worden aan de staat.
Yggdrasil @Deem1 juni 2015 15:22
Men kan wél eisen dat de data wordt overgedragen vóór dat deze versleuteld wordt. Daarna is het te laat.
Snake @Deem1 juni 2015 15:19
Neen juist niet, ze hebben er niets aan.
Deem @Snake1 juni 2015 15:23
Tuurlijk wel. Het enige wat verkomen wordt is dat de informatie niet leesbaar is tussen de verschillende hops tussen jou en Facebook. Facebook weet toch ten alle tijden wat voor notificatie ze naar je moeten sturen?
robvanwijk
@Deem1 juni 2015 20:37
Het enige wat verkomen wordt is dat de informatie niet leesbaar is tussen de verschillende hops tussen jou en Facebook. Facebook weet toch ten alle tijden wat voor notificatie ze naar je moeten sturen?
Je kunt best een wet maken die FB verplicht om de plaintext van alle email die ze naar jou versturen op te slaan en over te dragen (om precies te zijn, het zou me niks verbazen als zulke wetgeving al lang bestaat).
Dat kan wel zo zijn, maar het hele concept gaat overboord als de Amerikaanse overheid eist dat de informatie en communicatie vrijgegeven moet worden aan de staat.
Als iemand mijn publieke sleutel van FB haalt, daarmee een bericht versleutelt en dat via FB naar mij verstuurt, dan heeft iemand niks aan het feit dat ze mijn publieke sleutel makkelijk kunnen vinden.
Als ik me goed herinner bevat een PGP bericht alleen de fingerprint van de key van de ontvanger, niet de volledige publieke sleutel. In theorie zou het dus net iets lastiger zijn om een bericht te kraken als je de publieke sleutel niet hebt. Maar, alleen "lastiger" op dezelfde manier waarop een kluis lastiger is te kraken als je hem in een kartonnen doos stopt: iemand die de kluis kan kraken zal bijzonder weinig moeite hebben met de doos.

http://en.wikipedia.org/wiki/Public-key_cryptography
Verwijderd @Verwijderd1 juni 2015 14:42
PGP gebruikt een publieke sleutel en een geheime sleutel. De publieke sleutel deel je met anderen, in dit geval Facebook, zodat ze jou berichten kunnen sturen. Vervolgens kun je deze met je geheime sleutel lezen.

Mocht Facebook jouw publieke sleutel verkopen dan is er niks aan de hand. Daar is die sleutel juist voor bedoelt: iedereen mag hem zien zonder dat dat kwaad kan.
MrFax @Verwijderd1 juni 2015 19:18
Lijkt mij dan dat Facebook er een backdoor in kan zetten tijdens het versleutelen om alsnog de data de decrypten?
jeff2 @MrFax1 juni 2015 19:42
Bekijk eerst maar eens hoe het werkt met prive en publieke sleutels.
Die moet je namelijk zelf aanmaken. Dat doet Facebook niet voor je.
robvanwijk
@MrFax1 juni 2015 20:17
Als je bedoelt dat ze met de publieke sleutel rotzooien en daar een aparte decryptie-sleutel voor zichzelf inklussen... Hmm, het duurt een paar minuten voordat iemand daarachter komt, het is kinderlijk eenvoudig om dat onomstotelijk te bewijzen en dan zijn ze ontzettend hard de sjaak... Ja, het is op zich wel even iets om voor de zekerheid te controleren, maar daar ben ik niet zo bang voor.

Als je bedoelt dat ze de email die ze aan jou versturen zowel met jouw publieke sleutel als met die van zichzelf versleutelen, dan is dat juist goed! Er zal vast ergens een wet zijn die zegt dat ze alle mail die ze versturen x tijd moeten bewaren; als ze iets alleen met jouw sleutel encrypten, dan kunnen ze het zelf niet meer lezen en zullen ze dus het origineel ergens (in plain text) op moeten slaan. Door zowel met jouw sleutel als die van hun te encrypten kunnen ze de plain text verwijderen.
Dan kunnen ze nog steeds gehacked worden, maar zo'n "sent-by-fb" key is óók asymmetrisch. De private key daarvan zullen ze slechts zeer zelden nodig hebben en hoeft niet op al hun servers aanwezig te zijn; die kan veilig opgeborgen worden.
Verwijderd @Verwijderd1 juni 2015 14:40
Het is het publieke deel van je sleutel.
Verwijderd @Verwijderd1 juni 2015 14:40
Thanks :)
Soldaatje @Verwijderd1 juni 2015 14:42
PGP werkt met een privé en publieke sleutel, die laatste mag iedereen hebben. Als mensen jou een bericht willen sturen versleutelen ze dat met jouw publieke sleutel.
Jij kan het bericht alleen lezen met je super-geheime privé-sleutel.
kwikstaart @Verwijderd1 juni 2015 14:43
Hoezo? Mijn publieke key is geen cent waard - als ik 'm tenminste op facebook zet, en mag overal staan en door iedereen gebruikt worden. Ik denk dat je het hele public/private systeem niet begrijpt, tenzij ik jouw opmerking natuurlijk verkeerd begrijp.

Mijn publieke key werkt maar een kant op. Je kunt er alleen mee versleutelen. Ik heb vervolgens mijn private key nodig om te ontsleutelen. Die key heb ik alleen, als het goed is.

Het is als zo'n hangslotje. Ik geef jou er een, geef er een aan Facebook (oneindig te kopieren) en iedereen mag het gebruiken om een bericht op slot te zetten. Ik heb de sleutel om het bericht te openen en te lezen.
mauritso @kwikstaart1 juni 2015 15:51
Kleine toevoeging, je kunt met je publieke key ook ontsleutelen als het met je private key is versleutelt. Zo kun je een bericht ondertekenen.
robvanwijk
@Verwijderd1 juni 2015 20:26
Wat ie bedoelt is dat je met de publieke key de signature van een bericht kunt controleren.

Achter de schermen werkt dat door "de hash van dit bericht is 123456abcdef en het is ondertekend op 2015-06-01 om 13:37:42" te decrypten met de private key (ja, plaintext decrypten; daar komt inderdaad "rotzooi" uit). Als iemand op die "rotzooi" vervolgens de bewerkingen uitvoert die je normaal gesproken gebruikt om te encrypten dan krijgt ie "de hash van dit bericht ..." terug (dan nog wél even de hash van het bericht berekenen en vergelijken, anders weet je nog niks natuurlijk!).

De verwoording "je kunt met je publieke key ook ontsleutelen als het met je private key is versleutelt" vind ik enigszins ongelukkig en behoorlijk onduidelijk, dus ik kan me voorstellen dat je het verkeerd begrepen hebt.
mauritso @robvanwijk1 juni 2015 22:50
Maar niet incorrect toch?

Bij RSA ziet encryptie en decryptie er zo uit:

encryptie = F(m,e) = m^e mod n = c
decryptie = F(c,d) = c^d mod n = m

m = het bericht
c = het versleutelde bericht
e = public key
d = private key
The Zep Man
@Snake1 juni 2015 15:28
Misschien toch terug naar native clients gaan?
Sommigen zijn daarvan nog nooit weggeweest. ;) Thunderbird doet nog steeds wat het moet doen in combinatie met Enigmail, en onder Android heb je K-9 Mail die je kan uitbreiden met Android Privacy Guard voor PGP ondersteuning.

Het gereedschap is er wel, maar het is nog niet gebruiksvriendelijk genoeg voor de alledaagse gebruiker, zoals blijkt uit dit onderzoek.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:33]

Verwijderd @The Zep Man1 juni 2015 17:37
In dit geval zou ik kiezen voor Openkeychain ipv APG. (https://play.google.com/s...fficientlysecure.keychain).
Deze app is nieuwer, zier er beter uit, kan meer en ontvangt nog wel regelmatig updates in tegenstelling tot APG die sinds 24-03-2014 geen update meer heeft gehad.
CAPSLOCK2000
@Snake1 juni 2015 22:10
Ik vrees wel dat GMail en Outlook terughoudend gaan zijn, zij scannen namelijk de mails.
Een tijdje geleden waren ze er wel mee bezig.
nieuws: 'Google wil gebruik van pgp in Gmail vergemakkelijken' Geen idee of er nog iets van is gekomen.
Thystan @CAPSLOCK20008 juni 2015 09:51
http://www.pcmweb.nl/nieu...belachelijk-broncode.html
Jaahp @Snake1 juni 2015 14:41
Gmail voegt gewoon een manier toe om je private key toe te voegen, kunnen ze de geencrypte mail meteen in hun eigen interface tonen! ;)
Verwijderd 1 juni 2015 14:32
Leuk en aardig, maar ik kan me niet voorstellen dat notificaties belangrijk genoeg zijn om deze te encrypten als ik heel eerlijk ben, en ondersteunen Android, Windows Phone en iOS default pgp zonder hier een extra app voor te hoeven downloaden? dus icm de default e-mail client
WhatsappHack
@Verwijderd1 juni 2015 14:37
Tuurlijk wel. Die notificaties kunnen gevoelige informatie bevatten, over wat voor onderwerp dan ook.
De een is wat meer teruggettrokken (of paranoide :P) dan de ander. Dat je dan in ieder geval een extra stap kan nemen om het te beveiligen, zorgt er mogelijk voor dat deze mensen weer notificatieemails durven gebruiken; en ze toch wel heel handig vinden. :)

Dan is dit natuurlijk een prima oplossing, want het geeft absoluut een behoorlijke veiligheid boost.
Vergeet niet dat je van verschrikkelijk veel zaken notificaties kan instellen... Encrypten is wel zo prettig. Ik zou het liefst alle mail encrypted zien, maarja. (En niet alleen van FB...)
Verwijderd @WhatsappHack1 juni 2015 14:39
Je kunt die e-mails ook uitzetten, hoef je ook niks te encrypten :)
WhatsappHack
@Verwijderd1 juni 2015 14:56
Ja, en als je geen boete wil, kan je er ook voor kiezen om maar helemaal niet in de auto te stappen; want stel je voor dat je per ongeluk een foutje maakt terwijl er net een agent kijkt. Zo kan je alles wel beredeneren met "Je kan het ook gewoon niet doen als je geen risico wil lopen", maar dat is natuurlijk een erg omslachtige oplossing. :P

En dat is natuurlijk geen argument. ;)
Maar dat is wel wat er *nu* gebeurt in sommige zaken. Dan is het toch mooi dat mensen toch die e-mails weer kunnen aanzetten als ze dat willen, terwijl de encryptie zorgt voor verhoogde veiligheid? :)
robvanwijk
@WhatsappHack1 juni 2015 19:58
Die notificaties kunnen gevoelige informatie bevatten, over wat voor onderwerp dan ook.
FB stuurde vroeger (ik weet niet of het nu nog steeds gebeurt) mailtjes met daarin linkjes "klik hier om alle posts / reacties / uitnodigingen / foto's / whatever te bekijken" die je automatisch inlogde. Als iemand die te pakken krijgt dan kan ie, zonder je password te kennen, inloggen en bijna alles doen met je account (alleen de allergevoeligste dingen, zoals je password veranderen, vragen nog een keer expliciet om je password).

Dus ja, deze mogelijkheid is door de stommiteit van FB en/of de idiote gemakzucht van, kennelijk, een groot deel van de FB-gebruikers sowieso nuttig!
Thystan @WhatsappHack8 juni 2015 09:53
Ik kan niet wachten...

https://www.kickstarter.c...-initiative/posts/1107895
Brummetje @Verwijderd1 juni 2015 14:33
Je weet nooit wat er in staat... Voor sommige mensen kunnen namen etc. al belangrijk zijn.
himlims_ @Brummetje1 juni 2015 14:40
idd naam "ernie sesamstraat" (mag niet)

account geblokkeerd, facebook vraagt om echte naam; stuur kopie biep/vis/bus/trein/school pas. dat gedaan (photoshoped) wel is waar :X

nieuw bericht facebook; naam "ernie sesamstraat" komt niet voor in registers, graag kopie paspoort + uitreksel volksregister

^--- knetter gek daar bij facebook, volgens mij mag dat per wet niet eens

resultaat; account + alle pagina's geblokkeerd tot ik paspoort overleg.

//edit; er zijn 100001 verschillende accounts, met uit duim gezogen naam, daarom hypocriet beleid

[Reactie gewijzigd door himlims_ op 22 juli 2024 17:33]

The Realone @himlims_1 juni 2015 14:44
Is dat zo vreemd dan? Jij wilt blijkbaar een valse naam gebruiken en dat staat Facebook simpelweg niet toe. Als het wel je echte naam blijkt te zijn kun je dat bewijzen daar de juiste documenten op te sturen. Dit mag wettelijk gezien gewoon voor zover ik weet, als jij er maar voor zorgt dat zaken als je BSN en pasfoto niet zichtbaar zijn en eventueel op de kopie vermeldt dat het om een kopie voor Facebook gaat. Dat is puur om fraude te voorkomen.

Het alternatief is je aan de regels te houden voor het gebruik van Facebook en een echte naam op te geven.
Samdolyn @himlims_1 juni 2015 15:01
even een paar linkes: je mag pseudoniemen gebruiken op facebook.

Mits je die in het dagelijks leven ook gebruikt:
nieuws: Facebook past authenticatiesysteem aan om pseudoniemen toe te staan
kassa noemt het wat minder strikt:
http://kassa.vara.nl/actu...gebruik-pseudoniemen-toe/

Ik gebruik ook een pseudoniem op facebook, eentje die ik niet in het echte leven gebruik welliswaar. Nog nergens last van gehad (account is nu ongeveer 6 maanden oud)

[Reactie gewijzigd door Samdolyn op 22 juli 2024 17:33]

Verwijderd @himlims_1 juni 2015 15:02
Sesamstraat is een geregistreerd handelsmerk, dat zal extra meewegen bij het beoordelen van je naam.
curumir @himlims_1 juni 2015 15:31
Serieus?! Je vindt het raar dat een naam als Ernie Sesamstraat niet geaccepteerd wordt als echt ondanks je gephotoshopte pasje?
Ik ken genoeg mensen die een iets aannemelijkere nep-naam gebruiken en daarmee al jaren vrolijk op Facebook zitten. Maar ja, die gebruiken niet de naam van een van de wereldwijd meest bekende kinderseries in combinatie met een van de bekendste karakters uit die serie...

En niet dat dit enigerlei raakvlak heeft met PGP...
evil kim @Brummetje1 juni 2015 14:35
Als je zo "paranoia" bent, lijkt het me dat je sowieso niet op facebook zit
Alex3 @evil kim1 juni 2015 14:49
Bedoel je paranoïde?
evil kim @Alex31 juni 2015 15:23
Lijkt me redelijk gelijk te zijn :?

Paranoia
(Grieks: para, naast; nous, verstand), achtervolgingswaan of het syndroom van Kraepelin is een overmatige achterdocht.


paranoïde
paranoïde bijv.naamw.Uitspraak: [parano'widə] 1) gezegd van iemand die lijdt aan de geestelijke stoornis paranoia en die zich dingen inbeeldt, bijvoorbeeld dat hij in de gaten wordt gehouden en belaagd medisch Voorbeeld: `Iemand die schizofreen is, kan o...
curumir @evil kim1 juni 2015 15:51
Je bent paranoïde als je lijdt aan paranoia.
Zie ook:
http://taaladvies.net/taal/advies/vraag/1395/
Zenety @Verwijderd1 juni 2015 14:34
Er zijn genoeg mensen die graag alles versleuteld willen hebben. Waaronder ik. Het is dat ik geen gebruik maak van Facebook maar vind dit gewoon belangrijk. Niemand hoeft met jou mee te kijken wanneer dan ook. Het liefste zie ik echt alles versleuteld.
Verwijderd @Zenety1 juni 2015 14:38
Dus iedereen die jij een mail stuurt ga je eerst pgp key sturen voor het encrypten van je gegevens? Zoja, hoe ga je een solicitatie doen? of een form beantwoorden op een website, dat is niet encrypted.

En iedereen een pgp key sturen lijkt me ook niet echt fijn.
Verwijderd @Verwijderd1 juni 2015 14:53
Ik denk dat je je eens moet verdiepen in PGP. PGP keys worden door je mail client automatisch opgehaald vanaf diverse key servers. Daarmee is encryptie eigenlijk volledig automatisch.

Het enige waar je wat extra moeite voor kan (niet moet!) doen is authenticatie. Als je zeker wilt weten dat de opgehaalde key legitiem is dan zijn er diverse mogelijkheden om deze te verifiëren.
Verwijderd @Verwijderd1 juni 2015 15:05
En hoe weet ik dat die "publieke key" niet wordt verkocht en dus alsnog mijn emails kunnen uitlezen?
Yinchie @Verwijderd1 juni 2015 15:16
Public key is voor IEDEREEN. Er is niks prive aan. Doorverkopen of niet het maakt helemaal niks uit! Ze helpen je alleen maar dan.

Zolang mensen je Private key niet hebben kunnen mensen je mails niet uitlezen. De Private key hou jezelf.

Zoals een ander al zei, je snapt PGP/GPG niet.
Yggdrasil @Verwijderd1 juni 2015 15:28
Het is omgekeerd. de public key is voor encryptie, de private key is voor decryptie. Iedereen mag de public key hebben, want hiermee kun je alléén maar versleutelen. Vandaar ook de naam "public key"; deze mag publiek bekend zijn zodat iedereen jou een versleuteld bericht kan sturen.

Om het bericht daarna te lezen (ook voor de verzender zelf) moet je de private key bezitten en die moet je inderdaad privé houden. Die is wel beveiligd met een wachtwoord, maar toch.

Een bericht kan overigens met meerdere keys versleuteld zijn. De verzender kan zo het bericht óók met zijn eigen public key versleutelen zodat hij zelf zijn verzonden berichten nog eens kan openen (m.b.v. zijn eigen private key).
evilution @Verwijderd1 juni 2015 15:29
Die geheime mail aan Yinchie moet je versleutelen met ZIJN publieke key, zodat hij hem kan ontsleutelen met zijn private key.
Verwijderd @evilution1 juni 2015 15:31
Maar wat gebeurt er als zijn key op internet komt te staan? of wordt geupload door een of andere vage app naar een vage server in een vaag land?

Dan heb je er geen controlle meer op en valt de hele reden voor encryptie in het water

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:33]

curumir @Verwijderd1 juni 2015 15:35
Als je private key niet meer private is, dan is de communicatie niet privaat. Dat klopt helemaal. Zaak dus om die niet rond te bazuinen. Je publieke key mag iedereen zonder enige problemen weten net als de berichten die gecrypt zijn.
Vandaar de namen public en private.
thomasie @Verwijderd1 juni 2015 16:49
Misschien moet je eerst eens opzoeken hoe PGP werkt voordat je je mening verkondigt en zegt dat PGP encryptie nutteloos is.

Het is allemaal best wel slim uitgedacht, niet perfect (metadata wordt niet versleuteld), maar een stuk beter dan je email als clear text versturen.
Verwijderd @Verwijderd1 juni 2015 15:42
Het is anders om.

private key: decryptie
public key: encryptie.

Ik versleutel een bericht wat voor jou bedoeld is met jouw public key, dat bericht is dan vervolgens alleen te decrypten met jouw private key.
ILUsion @Verwijderd1 juni 2015 19:52
Publieke en private key twee nummers die gerelateerd zijn aan een wiskundig probleem dat moeilijk is om op te lossen (welke probleem hangt af van de encryptie die je gebruikt, maar bv. ontbinden in priemfactoren, discrete logaritmes, elliptische curves, ... zijn enkele mogelijkheden).

Om e illustreren hoe het ongeveer gebeurt, zal ik ervan uitgaan dat wiskundige delingen moeilijk zijn (wat niet zo is) maar dat we wel makkelijk kunnen vermenigvuldigen of cijfers kunnen weglaten.
Als iemand dan een bericht B = 178 naar mij wil versturen met mijn publieke sleutel P = 2, vermenigvuldigt hij B en P om mijn versleutelde tekst V te bekomen: V = B * P = 356.
Vermits we even doen alsof deling moeilijk is, is het geen optie om V / P te doen om V te ontsleutelen en je ziet ook de oorspronkelijke boodschap niet meer.
Maar ik heb wél mijn geheime sleutel G = 5.
Die laat me toe om wel te ontsleutelen: als je V * G = 1780 berekent en de laatste nul weglaat, zie je de oorspronkelijke boodschap "178" terug omdat mijn beide sleutels samen P * G = 10 is.

Mijn voorbeeld is dan geen effectieve encryptie voor dagelijks gebruik, ik hoop dat je er een beetje mee inziet hoe het ongeveer werkt. De echte algoritmes werken zeer vergelijkbaar, maar dan gebaseerd op problemen die wél moeilijk zijn en typisch gebeurt dat ook met veel grotere sleutels om ervoor te zorgen dat je niet alle mogelijke sleutels kan uitproberen).
ATS @Verwijderd1 juni 2015 15:25
Hoe zie je dat voor je? Een bericht dat is geencrypt met een publieke key, kan je alleen met de private key weer decrypten en andersom. De uploader kan (en moet) controleren dat zijn publieke key correct is geupload. De keys worden vervolgens ondertekend door derden die erop vertrouwen dat de key echt is van wie er bij staat staat. Dat voorkomt manipulatie van de publieke keys.
Dorank @Verwijderd1 juni 2015 14:50
En iedereen een pgp key sturen lijkt me ook niet echt fijn.
Hoeft ook niet, daar zijn keyservers voor. MUAs met PGP support zijn slim genoeg om daarin te zoeken indien je iets wilt encrypten bij verzenden of indien je een signed bericht ontvangt.

Maar je snapt PGP/GPG schijnbaar niet. Zomaar encrypten heeft geen zin, je zult de sleuten van de andere partij eerst moeten vertrouwen, dat kan via het WoT via de keyservers of door in persoon de sleutel uit te wisselen.

BTW het is een goede gewoonte om al je mail gewoon te signen indien je PGP gebruikt. Daarmee heeft de ontvanger een mogelijkheid om te herkomst te controleren en zijn ze meteen op de hoogte van het bestaan van dingen als PGP.
curumir @Verwijderd1 juni 2015 15:22
PGP werkt andersom. Degene die jouw een email/bericht stuurt moet het crypten met de publieke key. Deze persoon weet dan zeker dat jij enige bent die het kan lezen, mits je goed gezorgd hebt voor je private key.
Ik zou een bericht aan jou met je public key gecrypt hier op tweakers kunnen zetten, wetende dat jij de enige bent die het kan ontcijferen...
Voor sollicitaties, forms op websites ben jij degene die stuurt en kun je alleen van PGP gebruik maken als dit op de website is geïmplementeerd of bij de sollicitatie is bijgevoegd. Dat laatste is eenvoudig mogelijk.

Maar, er zijn natuurlijk nog genoeg andere vormen van encryptie. Sommige message-apps claimen - al dan niet terecht- end-to-end gecrypt te zijn. Er is in dat geval geen public key nodig, maar wel een vertrouwen in de maken van de app.
Manke 1 juni 2015 15:27
Ik heb me laten vertellen dat overheden beschikking hebben over de "master key" van bepaalde encryptie services, maar bestaat dit wel?
borft @Manke1 juni 2015 16:42
nee, je private/public keypair genereer je zelf!
Vaudtje @borft1 juni 2015 18:23
Als het onderliggende algoritme een backdoor heeft, betekent dat dat men de inhoud kan ontsleutelen zonder de private key. Wie je keys gegenereerd heeft is in dat geval irrelevant.
Vziw is van PGP geen backdoor bekend, maar ff googlen kan geen kwaad :)
Verwijderd @Manke1 juni 2015 16:37
Sommige algoritmes zijn samen met de NSA ontwikkeld. Dus ja zij hebben de master key in dergelijke gevallen. Bij andere producten, wanneer van Amerikaanse makelij, wordt aangenomen dat de NSA beschikt over de master key. Op Facebook hoef je je daar echter geen druk over te maken aangezien FB al een grote privacy schendende machine is waar gebruikers graag hun hele handel en wandel aan prijsgeven.
CAPSLOCK2000
@Manke1 juni 2015 22:15
Technisch is het zeker mogelijk. Er zijn ook sterke aanwijzingen dat ze het ook echt gedaan hebben, zie bv Dual EC DRBG.
Maar dat ze het ook met PGP/GPG hebben gedaan vind ik onwaarschijnlijk. Absoluut zeker kun je dat echter niet weten, maar dat geldt voor iedere vorm van beveiliging, net zoals je niet zeker kunt weten dat je níet ziek bent.
EGM360 1 juni 2015 15:23
Ik vind het ergens wel heel ironisch dat een partij als Facebook zich nu 'bekommert' over de privacy van zijn gebruikers en hiervoor pgp gaat aanbieden. Voelt een beetje als een schijnveiligheid, zeker aangezien steeds vaker blijkt dat overheidsorganisaties toch al vaak via een andere weg toegang hebben tot de servers zelf. NSA, de Duitse inlichtingendienst, etc. etc. Ik heb zo'n vermoeden dat niet privacy maar PR hier een grote factor in is.

Echter, als dit nu een soort sneeuwbaleffect veroorzaakt bij de grote tech bedrijven kan het vast geen kwaad.
CAPSLOCK2000
@EGM3601 juni 2015 22:07
Ik vind het ergens wel heel ironisch dat een partij als Facebook zich nu 'bekommert' over de privacy van zijn gebruikers en hiervoor pgp gaat aanbieden.
Je kan het ook zien als bescherming van hun informatie. Als iemand de mails kan lezen die Facebook verstuurt (bv je ISP of emailprovider) dan is daar op zich informatie uit te halen over wat Facebook van je weet. In principe kun je die informatie weer gebruiken om zelf profielen te maken van Facebook gebruikers.
Door mail te versleutelen beschermt Facebook zichzelf tegen het lekken van informatie. Ik denk niet dat dit de reden is maar je zou het zo kunenn zien.
Voelt een beetje als een schijnveiligheid, zeker aangezien steeds vaker blijkt dat overheidsorganisaties toch al vaak via een andere weg toegang hebben tot de servers zelf. NSA, de Duitse inlichtingendienst, etc. etc.
Perfect is de vijand van goed. We weten allemaal dat bescherming tegen organisaties als de NSA erg moeilijk is. Deze encryptie gaat daar weinig aan doen. Maar er zijn genoeg andere situaties waar PGP wel helpt.

Ik gebruik PGP voor privé-mail omdat ik niet wil dat m'n collega's meelezen. Niet dat ik ze niet vertrouw maar ze hebben er niks mee te maken*. Daarvoor is PGP ruim voldoende beveiliging.

* Ik ben niet bang dat ze in m'n mailbox kijken maar ik stuur af en toe een mailtje naar het verkeerde adres of met een automatische CC: . Door PGP te gebruiken hoef ik me daar geen zorgen over te maken. Wel er aan denken dat het Subject: niet versleuteld wordt.
Tomaat 1 juni 2015 14:34
Ik denk dat het voor notificaties juist wel handig is want op deze manier zul je nooit meer last hebben van fishing naar je Facebook-accountdetails.
Trax_Digitizer 1 juni 2015 14:52
Wellicht enigszins off-topic, maar zijn er al fatsoenlijkse (gratis of niet te dure) PGP plugins voor outlook 2013 64-bit in omloop? Het ontbreken van PGP in outlook vind ik een groot gemis. SMIME is natuurlijk ook leuk, maar dan moet je vertrouwen in je CA. :P
Deem 1 juni 2015 15:00
Sorry, maar ik zie het nut hier niet van in gezien FB een Amerikaans bedrijf is en verplicht is om hun data op aanvraag te delen met de overheid.
SirBlade @Deem1 juni 2015 15:29
Ieder bedrijf of persoon is verplicht mee te werken met de overheid als die met een rechtsgeldig bevel komen. Tenzij jij of je naaste familie de verdachte is.
thomasie @Deem1 juni 2015 16:53
Je gaat wel tegen je email provider, zoals Google, je mailtjes scant en indexeert of dat iemand dmv een MITM aanval met SSLstrip je e-mailtjes kan lezen bij een wifi hotspot (dat kan bij providers zoals kpn).
biglia 1 juni 2015 14:39
Het gaat voor alle duidelijkheid over PGP (Pretty Good Privacy).

[Reactie gewijzigd door biglia op 22 juli 2024 17:33]

Verwijderd 1 juni 2015 15:11
lol slaat dit ergens op? Je zit al op Facebook. NSA kan en mag alles al inlezen, Facebook verkoopt al je info al....wat maakt pgp dan nog uit?
CAPSLOCK2000
@Verwijderd1 juni 2015 22:17
De NSA misschien wel, maar je baas/vrouw/kinderen/buurman niet.
Een slot op je voordeur helpt ook niet als de ME komt met een stormram maar het helpt wel tegen een hoop anderen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq