Pretty Easy Privacy-tool voor versleuteld communiceren krijgt eerste audit

De organisatie achter de opensourcetool Pretty Easy Privacy, oftewel p≡p, laat weten dat de eerste audit van de engine is afgerond. Daarbij heeft het Duitse bedrijf SektionEins bijna tienduizend regels code nagelopen.

p≡p pEp pretty easy privacyIn een persbericht schrijft de Zwitserse organisatie dat de p≡p-engine het belangrijkste onderdeel van zijn software is. Daarin vindt bijvoorbeeld het automatische sleutelbeheer plaats, naast encryptie en decryptie van berichten. De nadruk van de audit lag dan ook op dit onderdeel. De controle van de code begon al in de zomer van 2015, maar SektionEins voerde het grootste deel van het werk een jaar later uit, zo meldt de organisatie. De audit leverde in totaal zeven kwetsbaarheden met een 'gemiddeld' risico op, naast vier kwetsbaarheden met een 'hoog' risico.

Krista Grothoff, die deel uitmaakt van het p≡p-ontwikkelaarsteam, meldt dat de meeste fouten van het 'huis-tuin-en-keukensoort' waren. Toch zou het goed zijn om deze op te lossen, omdat ze gecombineerd een groter risico kunnen vormen voor gebruikers. Een ander lid van de organisatie stelt dat een beveiligingsaudit geen garantie biedt voor de totale veiligheid van een applicatie, maar dat in ieder geval alles is geprobeerd om daar zoveel mogelijk bij in de buurt te komen. De audit zou dan ook geen eenmalige gebeurtenis zijn, maar juist een proces.

Naar aanleiding van de audit heeft de Outlook-versie van p≡p direct een update ontvangen. De software kwam begin juli uit, na een succesvolle Indiegogo-campagne. Met tools voor Android, iOS en Outlook maakt p≡p het mogelijk om berichten, bijvoorbeeld e-mails en sms, te versleutelen met end-to-end-encryptie en automatisch de encryptiesleutels te beheren. Daarbij kunnen gebruikers hun bestaande e-mailclients blijven gebruiken, zoals Gmail, Exchange en Yahoo Mail. P≡p ondersteunt verschillende protocollen, waaronder OpenPGP en OTR. De software kan zowel nieuwe encryptiesleutels aanmaken als gebruikmaken van bestaande sleutels, beschrijft de white paper.

Het is de bedoeling dat na de audit van de engine de andere onderdelen van p≡p onder de loep genomen worden, waaronder de verschillende apps en add-ons.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 17-10-2016 12:37 14

17-10-2016 • 12:37

14

Lees meer

Onderzoekers: stop direct met gebruik pgp vanwege lekken - update
Onderzoekers: stop direct met gebruik pgp vanwege lekken - update Nieuws van 14 mei 2018
Google brengt tests uit om cryptokwetsbaarheden op te sporen
Google brengt tests uit om cryptokwetsbaarheden op te sporen Nieuws van 20 december 2016
Ontwikkelaar brengt Outlook-add-on voor mailversleuteling gpg4o als freeware uit
Ontwikkelaar brengt Outlook-add-on voor mailversleuteling gpg4o als freeware uit Nieuws van 19 oktober 2016
Onderzoek: twee derde Nederlandse jongeren zegt niets te verbergen te hebben
Onderzoek: twee derde Nederlandse jongeren zegt niets te verbergen te hebben Nieuws van 17 oktober 2016
Encryptie voor Outlook en Android in de vorm van Pretty Easy Privacy uitgekomen
Encryptie voor Outlook en Android in de vorm van Pretty Easy Privacy uitgekomen Nieuws van 4 juli 2016
Meer producten en artikelen
Privacy Netwerk en systeembeheer Encryptie

Reacties (14)

-Moderatie-faq
14
13
9
0
0
1
Wijzig sortering

Sorteer op:

Weergave:
Dasprive 17 oktober 2016 13:05
Benieuwd of die software een paar klassieke problemen oplost rond geencrypteerd communiceren waar ik bv met GPGmail en soortgenoten altijd tegenaan loop
- zoals een makkelijke interface voor het aanmaken van je sleutels,
- een interface die makkelijk laat blijken of je wel of niet geencrypteerd aan het communiceren bent,
- versturen naar wel/niet encryptie contactpersonen net zo makkelijk
- master password op de interface / app zelf
- gaat het zo opgezet zijn dat je eindelijk een tool hebt die ook aan non-techie volk uit te leggen is
- etc.

De technologie er achter zit meestal goed, het is de bruikbaarheid die vaak het probleem is. Nu zit ik weer met een versie van mn Mail App nalv MacOS Sierra en dan is die plugin nog niet geupdate dus werkt niets meer, ik zie dat het voor Outlook bv ook een plugin is. Dat schiet niet op als je veel geencrypteerd communiceert (en dat lijkt me de doelgroep van zo'n app).
cavey @Dasprive17 oktober 2016 13:13
https://www.gpg4win.org/features.html <- dat is toch een behoorlijk simpele manier van doen?

Oh wacht, even over het feit heen gelezen dat je onder OS X werkt. Heb even GPGMail opgezocht, en dat is dan wel spijtig dat het niet met Sierra werkt. Echter ben ik van mening dat je de ellende waar je nu in zit, jezelf op de hals hebt gehaald door direct naar Sierra te upgraden zonder te controleren of alle applicaties die je gebruikt al werken onder Sierra.

Ben ik blij dat ik gewoon GnuPG gebruik, in combinatie met mutt en een shell server (al heeft het verder weinig zin, want niemand met wie ik mail heeft pgp draaien :P)
BeosBeing @cavey17 oktober 2016 15:46
Iemand moet de eerste zijn, ook bij jou in de buurt.
De meeste mensen zien er echter geen reden toe.
Dr. Prozac @cavey17 oktober 2016 16:08
al heeft het verder weinig zin, want niemand met wie ik mail heeft pgp draaien :P
Precies mijn probleem. Het is zo jammer data encryptie bij e-mails nog niet mainstream is geworden.
djwice 17 oktober 2016 12:48
Klinkt als een gave tool. Zou dit ook kunnen voor web content, en wat is dan de latancy? :)

Interressante ontwikkeling!
Bor Coördinator Frontpage Admins / FP Powermod 17 oktober 2016 13:03
Goed om te zien dat er meer en meer aandacht komt voor het laten uitvoeren van onafhankelijke audits. Het claimen dat iets veilig is is een ding, het laten uitzoeken of die claim wel klopt is een ander ding. Hiervoor zal alleen wel een uitputtend onderzoek uitgevoerd moeten worden.

Dit is overigens niet alleen bij closed source een probleem. In de praktijk zie je dat ook bij open source software er nog veel te weinig geaudit wordt. Het kost enorm veel tijd om een redelijk uitputtende review te doen nog niet eens uitgaande van alle expertise die hierbij komt kijken. Aan een min of meer standaard programmeur (als er al zoiets bestaat) heb je nog niet voldoende. Er moet ook diepgaande kennis zijn van de architectuur, security en de onderliggende systemen.

[Reactie gewijzigd door Bor op 24 juli 2024 11:07]

Superstoned 17 oktober 2016 13:01
Het is me niet helemaal duidelijk in hoeverre dit open source is, weet iemand dat? Je kunt de veiligheid van een stuk software niet vertrouwen als je niet naar de code kan kijken*, dus dit is wel belangrijk... Zeker als het gaat om Android apps die automatisch updaten.


* als iets open source is kan iedereen fouten vinden of aantonen dat het onveilig is. Je hoeft dus de auteur niet te vertrouwen - je kunt afgaan op 3rd party reviews. En bij populaire software zoals Nextcloud worden er ook veel reviews gedaan, zeker als je dingen doet als tot EUR 5000 bieden voor het vinden en reporten van security issues ;-)

Bij gesloten software, zeg iOS of Windows, moet je Microsoft of Apple vertrouwen. In het algemeen hebben die niet bepaald bewezen erg goed te zijn in security, het gaat hen meer om reputatie dan daadwerkelijke veiligheid. Daarbij kunnen overheden (ALLE overheden) hen dwingen foutjes in de software in te bouwen zodat die overheden toegang hebben.

Ja, veel mensen zeggen dat die foutjes er niet in zitten of dat alleen de VS die heeft - maar wat, denk je dat China Microsoft of Apple niet kan dwingen een backdoor te geven? Beide bedrijven verdienen miljarden in die markt, het zou wel gek zijn als ze dat op willen geven...
ikt @Superstoned17 oktober 2016 13:40
De source is gewoon te vinden in een linkje onderaan de pagina op https://prettyeasyprivacy.com/ :)

Er is wel iets fishy met het certificaat, want Firefox en Chrome laten een melding zien.
Het is gewoon CAcert.

[Reactie gewijzigd door ikt op 24 juli 2024 11:07]

Superstoned @ikt18 oktober 2016 16:05
Ja, ik had er naar zitten kijken maar ik kon zo snel niet veel details vinden.

Nu nog eens gezocht en ja, in de src folder (verassent!) zit de code. Ok ;-)
bbob
@Frustus Maximus17 oktober 2016 14:33
De fbi wilde het via een rechtszaak afdwingen en dat wilde apple niet.
Dat wil echter niet zeggen dat apple of the record niet meewerkt met fbi cia nsa en noem ze maar op.

Per definitie kun je deze bedrijven niet vertrouwen, closed source is en blijft closed en dus voor buitenstaanders niet te controleren. Dat de ene closed source apple dan een betere reputatie heeft dan de ander MS maakt wat dat betreft niets uit.
Toettoetdaan @Frustus Maximus17 oktober 2016 14:39
Reputatie != veiligheid
Pietervs @Frustus Maximus17 oktober 2016 14:41
[off-topic]
Dat verhaal dat Apple puur een hardware verkoper is moet onderhand ook maar eens de wereld uit.
Apple heeft heel veel software en heel veel goede software-ontwikkelaars in dienst. Verhalen dat Apple niet hoeft te verdienen aan software of daarom geen gegevens van de (argeloze) Apple-gebruikers verzamelt zijn derhalve achterhaald.
[/off-topic]
TVL 17 oktober 2016 15:19
Ken deze tool niet. Maar als ik even snel kijk is dit alleen voor berichten. Voor Outlook oa en ook voor Apple en Android. Het is bovendien niet gratis voor de desktop variant.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq