Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 14 reacties

De organisatie achter de opensourcetool Pretty Easy Privacy, oftewel p≡p, laat weten dat de eerste audit van de engine is afgerond. Daarbij heeft het Duitse bedrijf SektionEins bijna tienduizend regels code nagelopen.

p≡p pEp pretty easy privacyIn een persbericht schrijft de Zwitserse organisatie dat de p≡p-engine het belangrijkste onderdeel van zijn software is. Daarin vindt bijvoorbeeld het automatische sleutelbeheer plaats, naast encryptie en decryptie van berichten. De nadruk van de audit lag dan ook op dit onderdeel. De controle van de code begon al in de zomer van 2015, maar SektionEins voerde het grootste deel van het werk een jaar later uit, zo meldt de organisatie. De audit leverde in totaal zeven kwetsbaarheden met een 'gemiddeld' risico op, naast vier kwetsbaarheden met een 'hoog' risico.

Krista Grothoff, die deel uitmaakt van het p≡p-ontwikkelaarsteam, meldt dat de meeste fouten van het 'huis-tuin-en-keukensoort' waren. Toch zou het goed zijn om deze op te lossen, omdat ze gecombineerd een groter risico kunnen vormen voor gebruikers. Een ander lid van de organisatie stelt dat een beveiligingsaudit geen garantie biedt voor de totale veiligheid van een applicatie, maar dat in ieder geval alles is geprobeerd om daar zoveel mogelijk bij in de buurt te komen. De audit zou dan ook geen eenmalige gebeurtenis zijn, maar juist een proces.

Naar aanleiding van de audit heeft de Outlook-versie van p≡p direct een update ontvangen. De software kwam begin juli uit, na een succesvolle Indiegogo-campagne. Met tools voor Android, iOS en Outlook maakt p≡p het mogelijk om berichten, bijvoorbeeld e-mails en sms, te versleutelen met end-to-end-encryptie en automatisch de encryptiesleutels te beheren. Daarbij kunnen gebruikers hun bestaande e-mailclients blijven gebruiken, zoals Gmail, Exchange en Yahoo Mail. P≡p ondersteunt verschillende protocollen, waaronder OpenPGP en OTR. De software kan zowel nieuwe encryptiesleutels aanmaken als gebruikmaken van bestaande sleutels, beschrijft de white paper.

Het is de bedoeling dat na de audit van de engine de andere onderdelen van p≡p onder de loep genomen worden, waaronder de verschillende apps en add-ons.

Moderatie-faq Wijzig weergave

Reacties (14)

Benieuwd of die software een paar klassieke problemen oplost rond geencrypteerd communiceren waar ik bv met GPGmail en soortgenoten altijd tegenaan loop
- zoals een makkelijke interface voor het aanmaken van je sleutels,
- een interface die makkelijk laat blijken of je wel of niet geencrypteerd aan het communiceren bent,
- versturen naar wel/niet encryptie contactpersonen net zo makkelijk
- master password op de interface / app zelf
- gaat het zo opgezet zijn dat je eindelijk een tool hebt die ook aan non-techie volk uit te leggen is
- etc.

De technologie er achter zit meestal goed, het is de bruikbaarheid die vaak het probleem is. Nu zit ik weer met een versie van mn Mail App nalv MacOS Sierra en dan is die plugin nog niet geupdate dus werkt niets meer, ik zie dat het voor Outlook bv ook een plugin is. Dat schiet niet op als je veel geencrypteerd communiceert (en dat lijkt me de doelgroep van zo'n app).
https://www.gpg4win.org/features.html <- dat is toch een behoorlijk simpele manier van doen?

Oh wacht, even over het feit heen gelezen dat je onder OS X werkt. Heb even GPGMail opgezocht, en dat is dan wel spijtig dat het niet met Sierra werkt. Echter ben ik van mening dat je de ellende waar je nu in zit, jezelf op de hals hebt gehaald door direct naar Sierra te upgraden zonder te controleren of alle applicaties die je gebruikt al werken onder Sierra.

Ben ik blij dat ik gewoon GnuPG gebruik, in combinatie met mutt en een shell server (al heeft het verder weinig zin, want niemand met wie ik mail heeft pgp draaien :P)
Iemand moet de eerste zijn, ook bij jou in de buurt.
De meeste mensen zien er echter geen reden toe.
al heeft het verder weinig zin, want niemand met wie ik mail heeft pgp draaien :P
Precies mijn probleem. Het is zo jammer data encryptie bij e-mails nog niet mainstream is geworden.
Klinkt als een gave tool. Zou dit ook kunnen voor web content, en wat is dan de latancy? :)

Interressante ontwikkeling!
Goed om te zien dat er meer en meer aandacht komt voor het laten uitvoeren van onafhankelijke audits. Het claimen dat iets veilig is is een ding, het laten uitzoeken of die claim wel klopt is een ander ding. Hiervoor zal alleen wel een uitputtend onderzoek uitgevoerd moeten worden.

Dit is overigens niet alleen bij closed source een probleem. In de praktijk zie je dat ook bij open source software er nog veel te weinig geaudit wordt. Het kost enorm veel tijd om een redelijk uitputtende review te doen nog niet eens uitgaande van alle expertise die hierbij komt kijken. Aan een min of meer standaard programmeur (als er al zoiets bestaat) heb je nog niet voldoende. Er moet ook diepgaande kennis zijn van de architectuur, security en de onderliggende systemen.

[Reactie gewijzigd door Bor op 17 oktober 2016 13:04]

Het is me niet helemaal duidelijk in hoeverre dit open source is, weet iemand dat? Je kunt de veiligheid van een stuk software niet vertrouwen als je niet naar de code kan kijken*, dus dit is wel belangrijk... Zeker als het gaat om Android apps die automatisch updaten.


* als iets open source is kan iedereen fouten vinden of aantonen dat het onveilig is. Je hoeft dus de auteur niet te vertrouwen - je kunt afgaan op 3rd party reviews. En bij populaire software zoals Nextcloud worden er ook veel reviews gedaan, zeker als je dingen doet als tot EUR 5000 bieden voor het vinden en reporten van security issues ;-)

Bij gesloten software, zeg iOS of Windows, moet je Microsoft of Apple vertrouwen. In het algemeen hebben die niet bepaald bewezen erg goed te zijn in security, het gaat hen meer om reputatie dan daadwerkelijke veiligheid. Daarbij kunnen overheden (ALLE overheden) hen dwingen foutjes in de software in te bouwen zodat die overheden toegang hebben.

Ja, veel mensen zeggen dat die foutjes er niet in zitten of dat alleen de VS die heeft - maar wat, denk je dat China Microsoft of Apple niet kan dwingen een backdoor te geven? Beide bedrijven verdienen miljarden in die markt, het zou wel gek zijn als ze dat op willen geven...
De source is gewoon te vinden in een linkje onderaan de pagina op https://prettyeasyprivacy.com/ :)

Er is wel iets fishy met het certificaat, want Firefox en Chrome laten een melding zien.
Het is gewoon CAcert.

[Reactie gewijzigd door ikt op 17 oktober 2016 13:43]

Ja, ik had er naar zitten kijken maar ik kon zo snel niet veel details vinden.

Nu nog eens gezocht en ja, in de src folder (verassent!) zit de code. Ok ;-)
De fbi wilde het via een rechtszaak afdwingen en dat wilde apple niet.
Dat wil echter niet zeggen dat apple of the record niet meewerkt met fbi cia nsa en noem ze maar op.

Per definitie kun je deze bedrijven niet vertrouwen, closed source is en blijft closed en dus voor buitenstaanders niet te controleren. Dat de ene closed source apple dan een betere reputatie heeft dan de ander MS maakt wat dat betreft niets uit.
[off-topic]
Dat verhaal dat Apple puur een hardware verkoper is moet onderhand ook maar eens de wereld uit.
Apple heeft heel veel software en heel veel goede software-ontwikkelaars in dienst. Verhalen dat Apple niet hoeft te verdienen aan software of daarom geen gegevens van de (argeloze) Apple-gebruikers verzamelt zijn derhalve achterhaald.
[/off-topic]
Ken deze tool niet. Maar als ik even snel kijk is dit alleen voor berichten. Voor Outlook oa en ook voor Apple en Android. Het is bovendien niet gratis voor de desktop variant.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True