Protonmail voegt ondersteuning voor versleutelde Facebook-mails toe

De Zwitserse webmaildienst Protonmail heeft ondersteuning voor Facebook PGP toegevoegd. E-mails die Facebook-gebruikers met pgp versleutelen, zijn daardoor direct in de webclient of de mobiele app van Protonmail te openen, zonder plug-ins of andere stappen.

Tot nu toe moesten Facebook-gebruikers die versleuteld wilden mailen pgp installeren, sleutels genereren en plug-ins gebruiken, schrijft Protonmail. Als die gebruikers echter Protonmail hanteren, hoeven ze alleen nog maar hun publieke pgp-sleutel te importeren bij Facebook.

De methode werkt doordat zowel Facebook als Protonmail de open OpenPGP-standaard ondersteunt. "Elk pgp-bericht dat naar een Protonmail-account gestuurd wordt vanaf welke verzender dan ook, ongeacht of het om pgp/mime of inline-pgp gaat, kan nu automatisch ontsleuteld worden", meldt Protonmail.

Facebook begon in juli met de ondersteuning voor pgp. Het doel van ProtonMail is om de versleuteling met behulp van veilige implementaties van aes, rsa en openpgp zo makkelijk mogelijk te maken. De webmaildienst is gratis te gebruiken.

IT-banen

Reacties (31)

PostHEX 23 september 2015 13:27

Als ik lees "Protonmail", dan denk ik aan "crypto via Javascript". Als ik denk aan "crypto via Javascript", dan dan denk ik aan: succes met versleuteling waar je op kan vertrouwen.

PGP+Thunderbird minder makkelijk, maar de beste (echte) security is nooit het makkelijkst.

Slot @PostHEX • 23 september 2015 14:34

Sidenote: in dezelfde bron staat dat het ten tijde van publicatie van de bug het al reeds in de live versie verholpen was.

Uiteindelijk bestaat absolute beveiliging niet, je kunt het risico alleen minimaliseren, in hoeverre vergroot hun "crypto via Javascript" dit risico? Daarnaast is er ook nog het heikelpunt van de balans vinden tussen gebruiksvriendelijkheid en beveiliging - ik zie bijvoorbeeld geen massa (waaronder ikzelf) Thunderbird+PGP voor email gaan gebruiken. Op PRISM-Break kom ik ook geen waardig alternatief tegen.

Komt het uiteindelijk niet neer op het uiteindelijke doel wat men met het product wilt bereiken, voor Protonmail is dat email bouwen met verbeterde privacy wat niet vatbaar is voor grootschalige aftap-activiteiten zoals het PRISM programma - hoe gaat hen dat af? Zijn er betere alternatieven die ook hun mannetje staan qua usability tov Gmail, Outlook, etc.?

[Reactie gewijzigd door Slot op 23 juli 2024 00:53]

PostHEX @Slot • 23 september 2015 17:21

Sidenote: in dezelfde bron staat dat het ten tijde van publicatie van de bug het al reeds in de live versie verholpen was.

Dat maakt niet uit. Crypto via Javascript is vanaf het begin al een chronisch gehandicapt geboren kind. De hack was eerder een demonstratie dat dit zo is. Het is triviaal om weer de volgende exploit te vinden, vooral voor een geheime dienst die over veel resources beschikt.

Uiteindelijk bestaat absolute beveiliging niet, je kunt het risico alleen minimaliseren, in hoeverre vergroot hun "crypto via Javascript" dit risico? Daarnaast is er ook nog het heikelpunt van de balans vinden tussen gebruiksvriendelijkheid en beveiliging - ik zie bijvoorbeeld geen massa (waaronder ikzelf) Thunderbird+PGP voor email gaan gebruiken. Op PRISM-Break kom ik ook geen waardig alternatief tegen.

Ik deel met je mee dat PGP/Thunderbird niet makkelijk genoeg is, maar tot nu toe is het een van de beste opties kwa veiligheid die er zijn (een veiligere optie zou zijn PGP+degelijke mail client+privé mail server hosten met encrypted databasis, en dat over een goede VPN met de uit/ingang voor de buitenwereld geplaatst in verweggiestan). Javascript crypto daarentegen zou ik eerder onder de term security theatre plaatsen. Onderaan het artikel wordt gelinkt naar een beschrijving waarom crypto via javascript moeilijk succesvol te implementeren is:
https://www.nccgroup.trus...raphy-considered-harmful/

Komt het uiteindelijk niet neer op het uiteindelijke doel wat men met het product wilt bereiken, voor Protonmail is dat email bouwen met verbeterde privacy wat niet vatbaar is voor grootschalige aftap-activiteiten zoals het PRISM programma - hoe gaat hen dat af? Zijn er betere alternatieven die ook hun mannetje staan qua usability tov Gmail, Outlook, etc.?

Mee eens dat het grootschalig aftappen kan bemoeilijken (kan bemoeilijken, want je zal nog steeds met andere mensen moeten communiceren die geen encryptie zelf hanteren of een mail dienst gebruiken die voor hen de mail encrypt), maar wat ik zelf prefereer is een manier van communicatie waar zelfs gericht aftappen ontzettend moeilijk is, en dat laatste geld niet voor Protonmail.
Protonmail zou behoorlijk secure zijn als ze een client schrijven, of eventueel een plugin voor een mail client.

Als je het liefst het beveiligen van je mail wilt blijven outsourcen; ik heb gehoord in verschillende kringen dat Tutanota een alternatief. Tutanota heeft een plugin voor Outlook (de mail client, niet de dienst) heeft geschreven,en denken na om in de toekomst een plugin voor Thunderbird de schrijvenn. Ik kan Tutanota alleen niet persoonlijk aanraden omdat ik Tutanota niet van top tot teen ken.

Tot slot: realiseer je wel dat het gebruik voor PGP of een externe privacy gerichte mail dienst op het zelfde neer komt. Als persoon A veilig wilt communiceren met persoon B, moeten ze beide iets vooraf hebben opgezet om dat te kunnen doen. Met PGP wissel je public keys uit. Met privacy mail diensten moeten beide personen bij de zelfde mail provider zitten (of bij mail providers die samen werken), of alsnog sleutels uitwisselen als persoon A met zijn privacy mail provider wilt communiceren met persoon B die bijvoorbeeld gmail gebruikt.

GeoBeo @PostHEX • 23 september 2015 14:48

Ondanks dat lek dat je daar noemt (dat inmiddels gefixt is), is het nog steeds oneindig veel veiliger dan alle Amerikaanse webmail diensten. Bij die diensten weet je 100% zeker dat al je berichten gescanned en opgeslagen worden bij zowel het bedrijf dat de webmail host als ook bij de NSA en andere internationale security agencies die er (in de toekomst) iets mee willen...

Stoney3K @GeoBeo • 24 september 2015 11:09

Ondanks dat lek dat je daar noemt (dat inmiddels gefixt is), is het nog steeds oneindig veel veiliger dan alle Amerikaanse webmail diensten. Bij die diensten weet je 100% zeker dat al je berichten gescanned en opgeslagen worden bij zowel het bedrijf dat de webmail host als ook bij de NSA en andere internationale security agencies die er (in de toekomst) iets mee willen...

Op het moment dat de security agencies verdachte zaken gaan vinden in de onbenullige onzin die ik elke dag in mijn mail vind, is het toch al te laat en is er geen weg meer terug.

Nu is het juist gunstiger dat er veel onversleuteld gemaild wordt: Daardoor wordt de hooiberg waarin ze een speld aan het zoeken zijn alleen maar groter.

GeoBeo @Stoney3K • 24 september 2015 12:23

Op het moment dat de security agencies verdachte zaken gaan vinden in de onbenullige onzin die ik elke dag in mijn mail vind, is het toch al te laat en is er geen weg meer terug.

Dus dan is het wel best? Het gaat overigens niet alleen over hedendaagse "onbenullige onzin", maar ook over informatie die in de toekomst je leven een stuk moeilijker kan maken. Zoals: je politieke voorkeur, je religie, met wie je bevriend bent, je gezondheid (wordt die in de toekomst nog wel verzekerd als een verzekeraar weet dat je gezondheid slecht is en er een economische depressie heerst?), etc etc. Wat jij nu "onbenullige onzin" noemt kan een toekomstige Stasi wel eens als aanleiding zien om je op te pakken/martelen/verhoren. Het zou niet bepaald de eerste keer in de geschiedenis zijn dat zoiets in Nederland gebeurd. In landen als Iran, China, Cuba en Mexico zijn dit soort zaken aan de orde van de dag.

Nu is het juist gunstiger dat er veel onversleuteld gemaild wordt: Daardoor wordt de hooiberg waarin ze een speld aan het zoeken zijn alleen maar groter.

En jij denkt dat dat een probleem is voor een organisatie met een budget van meer dan 10 miljard? Die ook nog eens nauw samenwerken met alle andere internationale organisaties met eigen budgetten? Ze hebben de slimste koppen in dienst en de meest geavanceerde AI algoritmes voor hun doel. Wat Google en Facebook al lang kunnen, maar nog niet mogen doet de NSA al jaren en dan nog 10x beter. Bijvoorbeeld op basis van 1 enkele vage foto van het hoofd van iemand automatisch ALLE gegevens van die persoon vinden, inclusief: naam, familie namen, familie leden, vrienden, adres, IP adres, VPN server IP adressen, IM nicknames, forum nicknames, Tweakers.net nickname, chat logs, webcam chats, etc.

Nog even los van het feit dat alles opgeslagen wordt en het in de toekomst, met de vooruitgang van technologie, alleen nog maar makkelijker wordt om die speld in een hooiberg te vinden. Wat die speld in de toekomst ook in mag houden (zie hierboven).

[Reactie gewijzigd door GeoBeo op 23 juli 2024 00:53]

Stoney3K @GeoBeo • 24 september 2015 12:33

Nog even los van het feit dat alles opgeslagen wordt en het in de toekomst, met de vooruitgang van technologie, alleen nog maar makkelijker wordt om die speld in een hooiberg te vinden. Wat die speld in de toekomst ook in mag houden (zie hierboven).

Dat is precies het punt wat ik probeer te maken: Als de definitie van 'speld' te zeer wordt uitgebreid, dan is er al sprake van een totalitair regime en dan kunnen ze je ook pakken zonder de gegevens die van je op internet staan. In dat geval is het al lang en breed te laat, en is de enige oplossing om er wat aan te doen niet meer politiek. Dan zit je tegen een burgeroorlog aan te kijken (die het regime in zo'n geval zelf heeft uitgelokt).

Wat Google en Facebook al lang kunnen, maar nog niet mogen doet de NSA al jaren en dan nog 10x beter. Bijvoorbeeld op basis van 1 enkele vage foto van het hoofd van iemand automatisch ALLE gegevens van die persoon vinden, inclusief: naam, familie namen, familie leden, vrienden, adres, IP adres, VPN server IP adressen, IM nicknames, forum nicknames, Tweakers.net nickname, chat logs, webcam chats, etc.

Dat is een mythe die door Hollywood groot is gemaakt. Ook de NSA heeft geen magische CSI-supercomputers die binnen een fractie van een seconde door enorme hopen van data kan filteren (en nee, ook met quantumcomputers kan dat niet). De NSA en andere veiligheidsdiensten willen je dat maar al te graag doen geloven, want dan kunnen ze het volk bang en dom houden.

Mensen die vervelende dingen uit willen halen, doen dat niet via internet. Een sleepnet-methode zorgt er dus alleen maar voor dat er een hoop verkeerde mensen worden gepakt, en de mensen die ze willen pakken buiten schot blijven.

Als je al bekijkt dat het hele internet nog altijd lijdt aan de verzending van spam en malware, dan is het heel makkelijk om écht vervelende dingen in die spam of malware te verschuilen (want het wordt toch nergens opgeslagen), of het trekt compleet de profielperceptie van een inlichtingendienst scheef.

jaapzb @PostHEX • 23 september 2015 22:20

Euhm... Dat artikel gaat dus volledig niet over een probleem met cryptografie in de browser, maar gewoon over een simpele waarde wat niet goed ge-escaped wordt tijdens het renderen. Tuurlijk, het is niet netjes, maar het zegt totaal niks over "crypto via javascript".

mbb @PostHEX • 26 september 2015 17:25

Voor Firefox bestaat ook een PGP plug-in voor Webmail, ik weet niet hoever dit voor Javascript hacks vatbaar is?

Overigens - heb een artikel gelezen waarin werd uitgelegd dat hoe je het gebruikt ook bepaald of het veilig is;
-als je (veel) korte berichten verstuurd is het alsnog te ontsleutelen
-Als je je PGP public key in je signature meestuurt over Tor/vpn, kunnen je mails alsnog gevolgd worden, ook al is de inhoud zelf onbekend
- de publieke keys van andere PGPgebruikers schijnen in plain text te worden opgevraagd, waardoor bijgehouden kan worden wie je mail ontvangt

En als zoals hier Facebook en Protonmail je publieke en private keys hebben denk ik dat ze via de PATRIOT act alsnog voor de NSA op te vragen zijn.

[Reactie gewijzigd door mbb op 23 juli 2024 00:53]

OrangeTux 23 september 2015 13:49

Ik gebruik zelf Tutanota om 'veilig' te kunnen e-mailen. Functionaliteit is echter nog beperkt.

NightH4wk @OrangeTux • 23 september 2015 14:12

Tutanota is inderdaad een mooi alternatief.

Zie deze lijst voor een goede opsomming van de privacy / features / security van verschillende providers: http://www.prxbx.com/email/

jaapzb @OrangeTux • 23 september 2015 22:23

Waar haalt tutanota zijn inkomsten vandaan? Puur donaties? Of krijg je reclame in je inbox?

OrangeTux @jaapzb • 24 september 2015 10:52

Je kan betalen voor extra's. Zie Pricing.

thomasv 23 september 2015 12:51

Gratis te gebruiken, inderdaad, maar indien je niet betaald kom je op een wachtlijst.

luuj @thomasv • 23 september 2015 13:07

Ik heb me 2 weken geleden aangemeld, een week later kreeg ik mijn invite.
Zo lang hoef je dus niet te wachten

Nonstop decay @luuj • 23 september 2015 18:14

Kan ik beamen, ik heb me ook pas aangemeld en heb al een account.

Duurde ongeveer twee weken bij mij.

Eitot @thomasv • 23 september 2015 12:59

Zo kun je het ook bekijken. Van de andere kant: de dienst is nog in bèta en je betaalt er niets voor. Momenteel draait alles op donaties.

Dannydekr 23 september 2015 13:36

Ik heb momenteel een account bij Protonmail en ben van plan om binnenkort voor mijn belangrijkste e-mails volledig over te stappen. Ik heb al heel veel services omgezet om de veiligheid/privacy van mezelf te kunnen beschermen, maar Gmail werkt echt verdomd fijn. Mijn gehele administratie kan ik uit Gmail halen door de super handige en snelle zoekqueries en het is maar de vraag of Protonmail daar enigszins in de buurt kan komen.

OrangeTux @Dannydekr • 23 september 2015 13:47

Als je vanwege privay by Gmail weggaat dan kom je waarschijnlijk van een koude kermis thuis. De kans is groot dat heel veel van jou contacten wel Gmail gebruiken. Google heeft dus alle e-mails van en naar hen.

Ik las hier laatst een artikel over, maar kan het zo snel niet meer vinden.

Dannydekr @OrangeTux • 23 september 2015 14:52

Gaat mij meer om het profiel opbouwen van mijn account. Als ik mijn facturen/loonstroken in Protonmail krijg, zal men mij niet kunnen targeten op die inhoud. Wat ik naar iemand mail, is per definitie buiten mijn controle om en beschouw ik dan ook als in het publieke domein.

The Zep Man

Netwerk en systeembeheer

@Dannydekr • 23 september 2015 15:41

Gaat mij meer om het profiel opbouwen van mijn account. Als ik mijn facturen/loonstroken in Protonmail krijg, zal men mij niet kunnen targeten op die inhoud. Wat ik naar iemand mail, is per definitie buiten mijn controle om en beschouw ik dan ook als in het publieke domein.

Je weet dat om de servers van ProtonMail te bereiken emailverkeer van anderen (niet Protonmail gebruikers) ongecodeerd over knooppunten heen gaat die binnen de EU en/of US vallen?

Daarnaast, van Wikipedia:

Messages sent from one ProtonMail account to another ProtonMail account are encrypted with the public mailbox key of the recipient.

Leuk, maar de rest van de wereld gaat geen ProtonMail gebruiken. Host dan je eigen mailserver, gebruik zoveel mogelijk GnuPG en als je toch je vriendenkring van iets moet overtuigen, wijs ze dan op GnuPG zodat ze van hun huidige email providers gebruik kunnen blijven maken in plaats van te leunen op de infrastructuur van een enkele partij (=single point of failure).

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:53]

Eitot @The Zep Man • 23 september 2015 16:13

Maar het maakt wel al een verschil dat jouw hele mailbox versleuteld is. Dan kan er namelijk niemand meer bij. Wil je inzicht hebben in het volledige e-mailverkeer van iemand zul je stelselmatig e-mails moeten onderscheppen of toegang moeten krijgen tot de mailboxen van de verzenders. Ook heb je geen ProtonMail nodig om de inhoud van e-mails met OpenPGP te versleutelen, dat werkt in principe met elke provider. Het probleem is alleen dat de providers dat zelf niet ondersteunen en je dus gebruik moet maken van een e-mailclient die dat voor jou doet. Maakt de verzender gebruik van OpenPGP met de public-key van de gebruiker, zal ProtonMail de versleutelde e-mails kunnen ontcijferen. Hopelijk gebruiken dit op termijn meer aanbieders.

[Reactie gewijzigd door Eitot op 23 juli 2024 00:53]

Verwijderd @The Zep Man • 23 september 2015 16:15

Ach, als iedereen overstapt op Proton dan weer wel. Maar dat zei je zelf ook al.

Verwijderd 23 september 2015 12:57

Proton en gratis, laa me niet lachen, meteen bij registreren krijg je donatie spam en hoe meer je geeft hoe meer opties.

Zonder dat wacht je weken zoniet maanden.

Darkstriker @Verwijderd • 23 september 2015 13:11

Het is een nonprofit en servers zijn nou niet echt goedkoop en die mensen die het maken moeten ook ergens van leven. Het is dus niet gek, dat je alleen basale functionaliteit krijgt wanneer je niet betaalt. Ze moeten genoeg donaties ontvangen om meer gratis accounts mogelijk te maken. Ook niet gek. En jij als Nederland bent nou niet echt in een situatie waar eenmalig 17 voor een email service een onoverkomelijk obstakel is. Maar als je privacy je niet 17 euro waard is, dan gebruik je toch Gmail of outlook. De keuze is aan jouw. Google verdient ongetwijfeld veel meer aan jou data dan 17.

Verwijderd @Verwijderd • 23 september 2015 13:42

Ik heb slechts een paar dagen hoeven wachten. @luuj geeft hetzelfde aan. Volgens mij valt dat dus wel mee.

Dat er betaalde opties zijn vind ik alleen maar prima. Gratis aanbieders zijn er al ruimschoots voldoende. Deze dienst is nu juist voor mensen die hun prioriteiten anders hebben liggen.

Xyphoid @Verwijderd • 23 september 2015 13:56

Ik had na twee weken mijn mailadres.
Heb helemaal geen donatie spam gezien. Hoogstens op hun eigen site.

Als ik over een paar maanden nog steeds tevreden ben, dan ga ik wel doneren.

Alleen wel uitkijken met je mailbox wachtwoord. Was die na twee dagen vergeten