Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ProtonMail begint met test voor ondersteuning imap en smtp

Door , 85 reacties, submitter: John_Otters

Beveiligde e-maildienst ProtonMail begint met een test voor de ondersteuning van imap en smtp. Daarmee kunnen gebruikers e-mail ontvangen in e-mailclients. De ondersteuning voor imap ontbrak tot nu toe bij de dienst.

De functie heet ProtonMail Bridge, zo heeft de dienst laten weten in een e-mail aan gebruikers. De e-maildienst heeft een pagina online gezet waar gebruikers zich kunnen aanmelden voor de bèta van Bridge. Daaruit zal ProtonMail 'enkele dozijnen' gebruikers selecteren om de functie in januari uit te proberen. Als de test succesvol verloopt, zal de functie voor alle gebruikers beschikbaar komen.

Met Bridge kunnen mailprogramma's als Outlook, AppleMail en Thunderbird de versleutelde mails ontvangen en versturen. Gebruikers moeten invullen welke client ze gebruiken en op welke architectuur de processor in hun pc draait, waardoor het voor de hand ligt dat Bridge een aparte plug-in vereist. ProtonMail ondersteunt Windows 7 en hoger, Linux en OS X. Volgens de dienst was imap-ondersteuning een veelgevraagde functie. ProtonMail laat zich niet uit over ondersteuning voor Microsoft Exchange, een ander veelgebruikt e-mailprotocol.

ProtonMail afficheert zich als veilig kosteloos alternatief voor reguliere webmaildiensten als Yahoo Mail en Gmail. De basisdienst van ProtonMail is gratis, maar het bedrijf hoopt dat gebruikers de betaalde versie nemen om de dienst te ondersteunen en in de lucht te houden. De betaalde accounts vormen de enige inkomstenbron van Proton, dat in tegenstelling tot andere maildiensten zegt niet te willen verdienen aan advertenties.

Reacties (85)

Wijzig sortering
Watvoor protocol gebruikt ProtonMail standaard dan?

Uit dit knowledge artikel kan ik enkel opmaken dat het een eigen bedacht protocol moet zijn. Hoe kan de email-dienst dan betrouwbaar zijn?

Dat ProtonMail in Zwitserland resideert en daar haar servers heeft staan in de hoop dat de Zwitserse overheid en rechtbank buitenlandse inlichtingsdiensten geen kans te geven. Prima.

Maar het gebruik van eigen protocollen en die bestempelen als veilig zonder dat er second opinion van experts op dat gebied heeft plaats gevonden, is not done als je veiligheid en betrouwbaarheid als USP wilt gebruiken.
"Time-tested and trusted encryption algorithms

We use only secure implementations of AES, RSA, along with OpenPGP. Furthermore, all of the cryptographic libraries we use are open source. By using open source libraries, we can guarantee that the encryption algorithms we are using do not have clandestinely built in back doors. ProtonMail's open source software has been thoroughly vetted by security experts from around the world to ensure the highest levels of protection."

https://protonmail.com/security-details
"We use only secure implementations of AES, RSA, along with OpenPGP."

Voor al deze protocollen geld dat er voorwaarden aan zitten wanneer deze veilig geacht worden. Daar ProtonMail geen whitepaper enzo heeft uitgebracht is het onduidelijk of dit altijd veilig is. Dat kan ook moeilijk uit de code gehaald worden.

Zo zie ik wel dat PKCS#1 v1.5 encryptie wordt gebruikt voor RSA, en 2048 bit sleutels. Hopelijk zijn er geen padding oracle attacks mogelijk op die v1.5 padding want anders zijn ze al meteen nat. 2048 bit sleutels is ook nogal minimaal (hoger is lastig want JavaScript is traag).

Sowieso is de zin "along with OpenPGP" nogal vreemd. OpenPGP is een protocol terwijl AES en RSA primitieven zijn. Die gebruik je binnen een schema, en een schema gebruik je binnen een protocol.

"Furthermore, all of the cryptographic libraries we use are open source."

That's nice, maar zonder experts is het toch lastig om te kijken of deze veilig zijn. m_crypt is ook open source, en troep. Hetzelfde geld voor NSS (etc.).

Verder zijn de iOS en Android app klaarblijkelijk geen open source (ondanks dat ProtonMail wel beweert dat deze Open Source worden).

" By using open source libraries, we can guarantee that the encryption algorithms we are using do not have clandestinely built in back doors. "

Nee, daarvoor moet ook de build-operatie en deploy operatie worden ge-audit. Open source is leuk als je het op je eigen machine compileert. Maar wie zegt dat die code ook gebruikt wordt op hun servers?

" ProtonMail's open source software has been thoroughly vetted by security experts from around the world to ensure the highest levels of protection."

Onzin. Ik zie nergens een review staan. Wat ook lastig is als je geen architectuur plaatje hebt.

Ik zie een paar jochies die denken dat ze security experts zijn. Het idee is prima, hun toewijding ook. Maar ze maken veel te veel claims die ze simpelweg niet waar kunnen maken.

Natuurlijk zijn er ook voordelen: EVP certificates, geen zelfbedachte protocollen / algoritmes en Zwitserse wetgeving. Verder geen advertenties enzo.

[Reactie gewijzigd door uiltje op 29 december 2016 15:48]

True, maar dat zegt niets over hoe de AES & RSA & OpenPGP-encrypted data over de lijn gaat.

Goed dat de data geëncrypt is, maar daar wordt niet veel mee gewonnen als de data zelf over een onveilig protocol zoals telnet (om een extreem voorbeeld te noemen) gaat. 7(8)7
Precies wat je beschrijft werkt prima en is een geval waar OpenPGP goede bescherming biedt. Waar je in jouw scenario wel bang voor mag zijn is dat je geen wachtwoorden en geheime sleutels over die lijn wil sturen.
Dus lokaal een bericht versleutelen, over telnet versturen, over telnet ophalen en lokaal ontsleutelen werkt goed en veilig.
En MITM-attacks dan?

Dat een bericht nu niet te decrypten valt. Prima.

Maar de beveiligingsdiensten kunnen geëncryptete data bewaren met de filosofie dat de gebruikte encryptiemethode in de toekomst gekraakt kan worden en dus de berichten inzichtbaar gaan worden. En dat gaat gebeuren. Hoe dan ook.

[Reactie gewijzigd door RoestVrijStaal op 29 december 2016 13:15]

Als ik een betrouwbare publieke PGP-sleutel van je heb en jij je berichten netjes ondertekend hebt, is daarmee een MiTM-aanval afgeslagen: Die kan namelijk niet jouw handtekening namaken.
TLS zou daar overigens ook niets aan toevoegen, aangezien dat dezelfde technieken op een ander niveau toepast. Hooguit met de aanpassing dat je voor de authenticiteit van een publieke TLS-sleutel vertrouwt op een centrale autoriteit in plaats van een eigen controle zoals bij PGP.

Hier wordt je wel heel paranoïde: Als jouw email interessant genoeg is om honderd jaar te bewaren tot er een zinnige technische aanval op PGP mogelijk is, moet je misschien eens ophouden met het ontwerpen van verbeterde waterstofbommen. ;)
Correct, maar de vraag is natuurlijk hoe we de public key die ProtonMail ons toe stuurt kunnen vertrouwen.
Die vorm van MitM houdt je altijd of je nu OpenPGP gebruikt over telnet of over iets met TLS. Ook TLS is aan dezelfde mogelijkheid onderhevig, dat het in de toekomst mogelijk gedecrypt kan worden.

TLS biedt wel meer mogelijkheden qua forward secrecy door de wisselende encryptie keys.

[Reactie gewijzigd door Opperpanter2 op 29 december 2016 19:50]

Het is inderdaad beter als het over iets met TLS gaat. Echter het encrypten van data (emails) wordt juist gedaan om te zorgen dat je niet meer afhankelijk bent van het onderliggende protocol.
Protonmail gebruikt OpenPGP voor encryptie en is volledig uitwisselbaar met andere OpenPGP-implementaties.

Buitenlandse inlichtingendiensten kunnen gewoon volgens de Zwitserse wetgeving verzoeken indienen en Protonmail werkt gewoon mee aan die verzoeken. Niet dat de verzoeker heel veel opschiet met wat Protonmail ze wettelijk kan bieden..
ProtonMail gebruikt PGP binnen hun eigen infrastructuur. Dat is natuurlijk wat anders dan dat je het als protocol gebruikt voor je mail messages. Dus die compatibiliteit heb je niet zo veel aan. Dat ze een veelgebruikt protocol gebruiken is op zich natuurlijk wel goed.

Verder blijft het toch zo dat je maar moet vertrouwen dat de toegestuurde PGP key wel van de juiste persoon is. Dat lijkt volledig afhankelijk van het vertrouwen van de TLS verbinding. Maar als dat het geval is dan kan je net zo goed alleen TLS gebruiken.
Protonmail draagt sowieso veel verschillende petten tegelijk in zijn dienstverlening. Vanuit veiligheidsoogpunt is dat ongewenst maar het maakt de dienst wel gebruiksvriendelijk. Op zich is de veiligheid ook wel een streepje beter dan van kale Gmail of Outlook.com. Je moet alleen wel heel veel vertrouwen in één entiteit hebben.

Ik dacht overigens dat ik wel gewoon PGP-encrypted "naar buiten" kon mailen maar blijkbaar werkt dat alleen naar binnen toe.

Op zich is er één voordeel boven alleen TLS en dat is dat Protonmail nu kan roepen dat ze de sleutel tot de opgeslagen berichten niet hebben. Het is alleen natuurlijk heel simpel voor ze om een keylogger in hun javascriptjes in te bouwen.

Met een paar kleine ingrepen zou Protonmail een stuk veiliger kunnen worden: Houd keys ver van de server, genereer ze offline of bied op zijn minst de mogelijkheid offline gegenereerde keys te gebruiken. Biedt volledige externe PGP-ondersteuning aan. Koppel het beheer van de verschillende clients los van het beheer van de dienst en maak ze in principe ook onafhankelijk van elkaar.
OpenPGP is natuurlijk goed.
Maar ook ik ben wel benieuwd hoe Protonmail tot voor kort het spul over de lijn stuurde.
Kennlijk gebruikte ze geen SMTP. Dus wat dan wel? En waarom? Waar voldeed SMTP niet aan?
ProtonMail is vooral een web service momenteel, hoewel er ook iOS en Android apps zijn. Met SMTP ben je natuurlijk aangewezen op je mail client.
Het is op dit moment niet mogelijk een eigen client te gebruiken. Mail van en naar andere providers gaat natuurlijk gewoon via smtp. In 2017 gaan ze het dus mogelijk maken een eigen client te gebruiken via de standaard protocollen smtp en imap. Op dit moment ben je gebonden aan de website op de desktop en de ProtonMail app op mobiel. De app zal mogelijk via https communiceren, of wie weet gewoon via imap. Het punt is vooral dat imap en smtp nu voor jou als gebruiker beschikbaar worden gemaakt.

De reden dat dit nu pas wordt uitgerold is dat de data versleuteld op hun server staat en client side wordt ontsleuteld. Dat maakt het een uitdaging om imap in combinatie met welke willekeurige mail client te ondersteunen zonder aan beveiliging in te boeten. Zie de uitleg van ProtonMail zelf.

[Reactie gewijzigd door makruiten op 29 december 2016 17:41]

Dat ProtonMail in Zwitserland resideert en daar haar servers heeft staan in de hoop dat de Zwitserse overheid en rechtbank buitenlandse inlichtingsdiensten geen kans te geven. Prima.
Tot je bedenkt dat de nieuwste Zwitserse wetgeving erg vriendelijk is voor de overheid als die iets wil weten. Waarom de term 'Zwitserland' voor tweakers gelijk staat aan privacy beveiliging is heel vreemd. De wetgeving in Nederland is beter!
Even los van smtp/imap, worden inkomende mails ook versleuteld door proton?
Als proton de private key niet heeft, dan lijkt me dat niet mogelijk?
Op zich heb je geen geheime (private) maar juist een publieke sleutel nodig om een bericht te versleutelen. De vraag blijft natuurlijk hoeveel toegevoegde waarde dat heeft als de mail toch al getapt is op de uitgaande verbinding van (bij wijze van spreke) Google of Yahoo.
Inderdaad. Ik zal me eens verdiepen in hoe protonmail precies werkt. Als alleen de public key gebruikt wordt om te encrypten, kan je dus alleen encrypted mails versturen naar mensen die een keypair hebben en waarvan jij dan de public key kan gebruiken.
Ik dacht eigenlijk dat proton alle mails deed encrypten, maar zoals gezegd moet ik me er eerst maars in verdiepen.
Heel kort: protonmail gebruikt PGP voor end-to-end encryption, versleuteld met de public key van de receiver. Verder wordt TLS met Extended Validation certificates gebruikt.

Verder kan je ook beveiligde mailtjes naar iemand sturen waarmee je een wachtwoord hebt gedeelt. Het mailtje wordt dan in de browser ontsleuteld (de mail is slechts een linkje).

Het belangrijkste is het procedurele gedeelte: de service gaat alleen tot actie over als er een uitspraak van de rechter is of als ze ervan overtuigd zijn dat een gang naar de rechter maar 1 uitspraak kent (bij dat laatste zijn ze zelf snelrechter).

Het laatste gaat dan vooral om kinderporno en terrorisme. Merk op dat ze dan nog steeds slechts de versleutelde mailtjes delen. Mits het wachtwoord (erg) sterk is heeft de dienst die de mailtjes ontvangt er niet veel aan. Anders wel.
De email zal in veel gevallen niet versleuteld aankomen, aangezien de verzendende partij hoogstwaarschijnlijk geen encryptie gebruikt. Neemt niet weg dat Proton de mail met de public key van de gebruiker kan versleutelen zodat deze alleen door de gebruiker gedecrypt kan worden. Het nut? Geen idee, op dat moment zijn er al onversleutelde mails over het internet gegaan.. Het enige wat je dan hebt is dat de mail in je mailbox encrypted is.
Weinig nut inderdaad en een groot probleem. Stel je gebruikt protonmail omdat je graag als ecnrypted wil versturen. Vervolgens krijg je een reply van de ontvanger die in plain text over het internet gaat. De meeste replies bevatten ook de originele email.
Aangemeld!

Precies waar ik nog op zit te wachten om andere e-mailclients echt te kunnen vervangen met Protonmail.
“ProtonMail has received about 30 warrants already with over 10 coming in the last quarter alone. We are now getting several per month. For Silent Circle to claim they have never been served with a warrant for user data beggars belief,” he tells TechCrunch.
bron: https://techcrunch.com/20...-its-a-business-decision/

Wil je echt mail gaan ontvangen bij een bedrijf die vroeg of laat failliet zal gaan door rechtszaken?

Je kunt beter gewoon je eigen mail gebruiken met GNUPG.
https://ssd.eff.org/en/module/how-use-pgp-windows

Dan weet je tenminste zeker dat jij en ontvangen en vice versa "veilig" zijn.

Ook dien je te weten dat gerechtelijk bevel aan jou of ontvanger moet worden uitgereikt bij het gebruik van GNUPG en in gevallen dat ze je PC in beslag nemen, zullen ze veel moeite hebben met je passphrase (als je private key niet los hebt opgeslagen, dan is het onmogelijk.)


Een zin zoals deze als passphrase = 33n z!n z0@l5 d3z3 @1s p@55ph@53 zullen ze wel een tijdje zoet mee zijn.

[Reactie gewijzigd door totaalgeenhard op 29 december 2016 11:41]

Als ProtonMail failliet gaat, dan is het door een gebrek aan betalende gebruikers, niet door een schamele vijftig verzoeken om gegevens waarvan 95% geen wettige basis heeft. ProtonMail houdt zich aan de wet en doet ook geen enkele moeite om zijn gebruikers meer te beschermen dan de Zwitserse wet toelaat.

Heb je in je privésituatie behoefte aan vertrouwelijkheid en kun je uitsluitend of toch minstens primair een desktop-mailclient gebruiken, dan is PGP/GPG de beste benadering. Wil je webmail gebruiken en heb je behoefte aan vertrouwelijkheid, dan is ProtonMail de beste weg.
In een bedrijfsomgeving zou ik S/MIME aanraden, bij voorkeur met centraal ondersteunde PKI maar een gratis Comodo-certificaat is een goed begin als je een wat traag bewegende werkgever (of IT-afdeling) hebt.
Comodo is al eens gehacked.

Comodo is betrokken geweest bij valse certificaten.

nieuws: Comodo geeft frauduleuze ssl-certificaten uit na hack

Eigenaar/oprichter Comodo is een Turk
https://en.wikipedia.org/wiki/Melih_Abdulhayo%C4%9Flu

En die zal Ome Erdogan best weleens van dienst willen zijn.

MiTM door overheid, zal doorsnee gebruiker niet opvallen aangezien die certificaten niet controleren.
Klopt, daarbij is Comodo in het VK opgericht en werkt het tegenwoordig vanuit de VS, dat zijn ook twee landen die niet veel ophebben met privacy, zeker niet met die van buitenlanders.
Je zal altijd een afweging moeten maken tussen werkbaarheid en veiligheid. Voor mijn situatie is Comodo betrouwbaar genoeg. Werk je aan miljarden-bids met Amerikaanse, Turkse of andere niet-Europese concurrentie of op strategisch niveau in Russische defensie, dan wil je waarschijnlijk kritischer zijn.
"ProtonMail houdt zich aan de wet en doet ook geen enkele moeite om zijn gebruikers meer te beschermen dan de Zwitserse wet toelaat.
Wel grappig, naja grappig.

Hebben we net een paar jaar lang een discussie achter de rug dat USA wetgeving niet van toepassing mag zijn voor NLD gebruikers. Gaat men nu in ene roepen dat goed is dat Zwitserse wetgeving boven die van Nederland, USA en overige gaat.
Je doet alsof het gek is, maar dat is het niet. Natuurlijk is er wel ophef over dingen die ons schaden maar zijn we blij met dingen waar we profijt van hebben.
Ik noem het ook niet gek maar wel dat het grappig of niet dat men zich beroept op wetgeving uit een ander land, waar men tevens roept dat wetgeving niet van toepassing kan zijn omdat men zich in een ander land bevindt.
Waar baseer je de stelling op dat ProtonMail hieraan failliet zal gaan? Een warrant gericht aan PM impliceert absoluut geen rechtszaak tegen PM.
Waar baseer je de stelling op dat ProtonMail hieraan failliet zal gaan? Een warrant gericht aan PM impliceert absoluut geen rechtszaak tegen PM.
User Data Access Requests
50 requests to access user data
4 requests were granted
46 requests were denied
3 legally binding requests
User Data Retention Requests
9 request to retain user data
7 requests were granted
2 requests were denied
2 legally binding request
https://protonmail.com/blog/transparency-report/

Nadat Trump verkiezingen won zijn er veel meer mensen hun diensten gaan gebruiken. Dus komende jaren zal aantal verzoeken alleen maar toenemen.

De keren dat ze verzoeken hebben afgewezen zal iemand bij een overheid dat niet leuk hebben gevonden.

Dus het is een kwestie van tijd dat ze kapot geprocedeerd gaan worden en daar kun je met betalende klanten niet tegen op.

zie ook hoe ze MegaUpload op de knieën hebben gekregen.


Vandaar ook doe encryptie in eigen beheer en zorg niet dat je afhankelijk bent van derden.

[Reactie gewijzigd door totaalgeenhard op 29 december 2016 12:42]

Dat denk ik niet. Zolang een verzoek voldoet aan de wetgeving geeft PM ook netjes alle data waarom verzocht wordt. Dat zij de sleutels niet hebben om de inhoud te ontsleutelen is niet hun probleem, maar dat van de opsporingsdienst.
Er is een gezegde "Niet tegen de wind in pissen"

Overheden hebben ongelimiteerde budgetten om doelen te bereiken. (zie b.v. megaupload).

Als je waarborgen zoals continuïteit en confidentialiteit belang vind, doe je het in eigen beheer.

Als het de bedoeling is om jezelf tegen je vrouw en je buurman te beschermen dan is dit wel een optie.
Ik vraag me dan wel af wat ze bedoelen met:
"legally binding requests", het is nogal een rare en ongebruikelijke vorm van jargon.

Als ze bedoelen "Kloppende verzoeken waaraan wij verplicht zijn mee te werken" dan wil ik wel eens weten waarom er meer verzoeken zijn goed gekeurd dan enkel die.
Huiszoeking is bindend.

Als ze aankloppen kun je formeel weigeren maar je doet de deur niet dicht omdat schade voor eigen rekening is.

Dat je formeel moet weigeren heeft te maken dat ze dan alleen mogen zoeken en in beslag kunnen nemen waar ze voor kwamen.

Als ze binnen uitnodigd (geen bezwaar) dan zal je ook geen getekend exemplaar krijgen van bevel omdat je ze gewoon hebt verzocht om te zoeken naar iets strafbaars.


Niet juridisch bindend is als er fouten inzitten spelfout in mail adres of domeinnaam. Etc..
Dit gaat dus NIET om huiszoekingen.
Een bevel tot overdracht van gegevens is nog altijd heel iets anders.

Maargoed,
Dan nog wil ik wel eens weten waarom ze aan 1 niet bindend verzoek hebben meegewerkt? (en meerdere voor het vasthouden van gegevens)

en ik wil dan ook wel eens weten of het bevel wel formeel in het juiste land is afgegeven.

Hiermee wil ik dus aangeven, dat ze wel heel tactisch spaarzaam informatie vrijgeven. maar zelfs met die spaarzame informatie duidelijk is dat ze niet alleen met een wettelijk bevel informatie verstrekken.
Er zijn aanzienlijke verschillen met Mega Upload en niet alleen geografisch.

Zelf je mailserver regelen wordt een paar keer genoemd in de reacties.

Vaak neemt men dan een dienst bij een van de handjevol grote providers (met honderdduizenden tot miljoenen klanten, vaak ik meerdere landen). Hoe weet je of die wél te vertrouwen zijn? De Amerikanen zijn niet de enigen die hun eigen en vreemde burgers aftappen.
veilig, ja. Maar het kost je wel wat overhead ivm in de gaten moeten houden of je mailserver wel whitelisted is en blijft bij google, en vooral MS.
Zolang je niet gaat spammen en je overige gebruikers ook niet dan zal je niet zomaar op een blacklist terecht komen.

Als deze partij op een blacklist kom, wat waarschijnlijker en sneller zal gebeuren dan prive server, houd het op.

Maar voor PGP (GnuPG etc..) kun je gewoon je SMTP server van je eigen kabel/adsl provider.
Ik zit al een hele tijd bij Proton. Ik heb er wel vertrouwen in en als ze toch omdonderen dan is dat jammer, zolang de data zelf veilig/gesioleerd is voldoen ze volgens mij aan hun privacybelofte.
Als je er mensen weg gaat houden op basis van de theorie dat ze kapotgeprocedeerd gaan worden (hoe eigenlijk?) door achterbakse overheden werk je die uitkomst natuurlijk ook wel in de hand, want ze hebben betalende gebruikers nodig om te overleven...
Zou ook boekdelen spreken over de staat van de wereld wat mij betreft, in specifiek de positie van overheden er in, als je niet eens meer mag zorgen voor private communicatie.

Ik gebruik protonmail overigens niet eens echt voor de privacy, ik vind het gewoon een prettige provider. Probeer bijvoorbeeld maar eens je eigen domein aan een Gmail te koppelen zonder in dat google apps oerwoud te belanden..., in Protonmail is dat een 1,2,3 tje, zeker voor een ict'er.
Ook vind ik de inhoud van mijn mailbox niet zo siginificant. De zaken met "implicaties" sla ik ergens op en de rest is eigenlijk niets meer dan "onhandig" als ik het verlies. Wat dat betreft is mail uberhaupt een beetje achterhaald als je het mij vraagt.

[Reactie gewijzigd door Ton Deuse op 29 december 2016 12:16]

Even inhakend op je comment over een eigen domein koppelen aan een Gmail (of eigenlijk Google) account.

Ik heb het voor mezelf (en ook zelf) gedaan, dat koppelen. Via de hosting provider even de MX records van Google neerzetten ipv die van de hosting provider. Zorgen uiteraard dat er een Google for Work account aanwezig is (of G Suite zoals het nu heet) en bijna klaar. Nog even de validatie emails afwerken en 't is rond.

Begin hier voor G Suite

Volg deze instructies om voor je eigen domein wel Gmail te gebruiken

Al met al was ik ongeveer een half uur bezig. Activatie ervan (dat 't dus werkt) was niet direct, maar dit lag bij mijn domein hosting provider, daar duurde het even voordat de DNS/MX records geupdate waren.

[Reactie gewijzigd door rkeet op 29 december 2016 13:52]

Dit is iets wat ze recentelijk hebben vernieuwd dan? Want toen ik het voor het laatst probeerde, zegge een jaar of twee geleden, werd ik op verschillende manieren via G apps geloodst. Daar is het ongetwijfeld ook geen hogere wiskunde als je er echt even naar kijkt maar ik vond het maar een gedoe ten opzichte van gewoon even in je persoonlijke settings van je mailaccount aan te geven wat je domein is en de DNS records er op aanpassen zoals dat bij Proton ging/gaat.

[Reactie gewijzigd door Ton Deuse op 29 december 2016 14:24]

Met zo'n wachtwoord ben je zelf ook elke keer dat je je mail checkt een tijdje zoet. Daar zou ik niet blij van worden.

Lastiger wordt het als je meerdere, mischien wel tientallen of honderden ww moet onthouden. Dan wordt een wachtwoordmanager al gauw de realistische keuze. Bij mailprogramma's wordt dat nog niet ondersteund door 1PW bijvoorbeeld.
Niets is perfect dus ik kies de veiligste oplossing. Ik sta open voor suggesties als je wat beters weet. :)

Ik heb honderden accounts van mezelf en klanten in beheer. qus FTP, mail, SQL, fora alleen al.

Ik gebruik nu een lokaal gesynchroniseerde, versleutelde pw manager database.
Hoe verhoudt zich dit tot de veiligheid en versleuteling?
Voor het gebruiksgemak gebruik ik Thunderbird en koppel deze met Protonmail zodat mails via Proton versleuteld worden verstuurd en omgekeerd ontvangen mails worden gedecodeerd.
In mijn e-mailcliënt Thunderbird staan dan alle verzonden en ontvangen berichten onversleuteld.
Wat zie ik over het hoofd?
Je kunt je natuurlijk afvragen of je dat wil. Als iemand controle over je computer krijgt, heeft hij ook gelijk je mail. Het feit dat je Protonmail gebruikt, zegt eigenlijk dat je erg goed op je mail security lijkt te letten. Daarom zou ik gewoon de web client blijven gebruiken, zodat er altijd eerst ingelogd moet worden, voor je bij mails kunt. Als je niet zo met downloaden bezig bent en denkt je computerbeveiliging goed te kunnen garanderen, zou ik het gewoon zo laten. :)
Op het eerste gezicht is Protonmail overrated. De private keys slaan hun zelf op, hun argument dat het veilig is is omdat zij niet het wachtwoord van de key hebben, maar wat mij betreft volstaat dat argument niet. Je kan gewoon een brute-force password cracker erop los laten, er zijn geen max password attempts voor zo'n key.

Volgens mij ben je veiliger bezig als je sterke PGP sleutels zelf genereert met een goed wachtwoord en die veilig zelf thuis opslaat. Dan maakt het naar mijn idee weinig uit of je dan nog Gmail gebruikt.
en dan heb je geen maximale wachtwoordlengte en gaan mensen wachtwoorden van 100 tekens gebruiken. Begin maar met bruteforcen ...
Waarom zo moeilijk doen? Als ze de sleutel hebben en de gebruiker moet de passphrase aanbieden om de slot te openen, dan pas je de software die de sleutel vrijgeeft aan zodat de passphrase ook nog ergens wordt gelogt

Ik heb niet de moeite genomen om te achterhalen of en hoe PM dit kan voorkomen. Maar ik zou het risico niet willen lopen en de sleutels inderdaad in eigen beheer houden.
Ik denk dat protonmail gebruikmaakt van PGP en door middel van je wachtwoord de private key genereerd. Hierdoor kan protonmail voor binnekomende emails je public key aan de verzender meedelen die deze dan kan gebruiken om je een versleutelde email te versturen. Ik denk dus dat deze "plugin" vooral gebruikt gaat worden om je private key te generen en deze dus te gebruiken.
Als veiligheid zo belangrijk is en je daarom Proton gebruikt, lijkt het me nuttig om je harde schijf te versleutelen (evenals alle backups van die harde schijf). Mogelijk zorgt de Protonplugin (waar in het artikel naar wordt gerefereerd) er ook voor dat de lokale versie van de mails wordt versleuteld.
Je kunt je mail in een versleutde partitie opslaan.
Een andere optie is TheBat!. Die email client kan je mails versleuteld opslaan.
https://www.ritlabs.com/en/products/thebat/
En daar heb je niets aan indien je mail nog op een server van een derde partij staat (wellicht onversleiteld).
Erg interessant. Gebruik geen standaard mailclient (Spark), dus ik ben benieuwd of de plugin ook voor de niet standaard clients gaat werken (en zo ja hoe precies). en of dat misschien ook wordt meegenomen in de beta. Anders een volgende, erg goed dat ze het toegankelijker maken voor meer mensen/systemen. Want dat is nu nog een groot nadeel: als je het niet zo doet dat je alles versleutelt/ de andere kant de boel op orde heeft, heb je er alsnog niks aan.
Dat zal moeilijk gaan, behalve als ze eindelijk het protocol ook eens open source maken. Ik zie het namelijk nergens volledig beschreven.
Hier ook opgegeven voor de Bridge-functionaliteit, hopelijk wordt ik uitgekozen want ik zit echt op deze functionaliteit te wachten.
Zit al sinds jaar en dag bij Hushmail en dat bevalt uitstekend. Hopelijk worden hierdoor meer mensen zich bewust van het verdienmodel van de 'gratis' e-mail providers! Ik schrik van het feit dat een hele generatie groot lijkt te worden met het idee dat e-mail gratis kan zijn. E-mail kan in mijn ogen niet gratis zijn, wanneer dat wel zo is (Gmail, Outlook, Yahoo, etc.) ben jij niet de klant maar het product. Dat kan voor veel mensen prima zijn maar of iedereen zich hier voldoende van bewust is, daar zet ik vraagtekens bij...
Protonmail kan sinds zijn eerste dagen rekenen op mijn (financiële)support, wanneer Bridge van de grond komt heb ik hopelijk twee volwaardige e-mailaccounts; kan niet wachten!
Het beste gebruik je gewoon PGP en GPG via de reguliere mail.
Dan weet je zeker dat de encryptie client-side gebeurt.

Een mail dienst die schermt met iets wat met reguliere mail al jaren mogelijk is hecht ik sowieso niet zo veel waarde aan. Verder, als je aan veiligheid hecht gebruik je geen webclient; Veel fragieler dan een robuuste dedicated client (immers is het dan zo veilig als de meest brakke plugin die je hebt draaien).
Verder moet je dan natuurlijk ook zorgen dat je disk encrypted is om het halen van de berichten uit je lokale client te voorkomen.

Echte veiligheid gaat verder dan een simpel dienstje.
Is IMAP niet heel erg antiek? ActiveSync zou bruikbaar zijn, maar ik zie de meerwaarde van IMAP niet zo.
Je kan versleutelde webmail nooit veilig krijgen.
Vreemde reactie, weleens ingelezen op PM's security-statements? Uiteraard berust alles op vertrouwen. Hun insteek ligt ook voornl op het beschikbaar maken van secure mailen voor de massa. Niet op het bieden van vervanging voor een eigen server met PGP-encryptie. Dat is voor de massa niet haalbaar.
Veilig bestaat niet in een absolute mate, het is altijd zo veilig als dat aanvallen noodzakelijk maken en een beetje extra.

Maximaal veilige communicatie is geen communicatie
Ze moeten mensen niet blij maken met een dooie mus. Zodra significante aantallen mensen dit gaan gebruiken gaan de autoriteiten gegevens opvragen en zullen ze eisen dat ze bijvoorbeeld de Javascripts aanpassen om de private key te achterhalen. Doen ze het niet dan wordt de tent gewoon gesloten.

Dit hele ProtonMail kan daarom nooit veiliger zijn dan webmail met een TLS verbinding.

Alleen met end-to-end encryption kan je enige zekerheid bieden, maar dat kan niet vanuit een web browser. Zie WhatsApp als voorbeeld.

Hier wordt al decennia lang over gediscussieerd overigens.

[Reactie gewijzigd door ArtGod op 29 december 2016 19:12]

Ik volg je redenering niet: omdat er
- misschien in de toekomst een wet komt
- waar het bedrijf achter PM misschien op reageert
- worden ze misschien gesloten
En daarom is het nu al een dode mus... Zitten nogal wat aannames in.

Er zit nu al E2EE in, dus is er al enige zekerheid. Waarom kan dit niet vanuit een webbrowser, heb je daarvan een bron? Wat weet je over hun huidige implementatie?
Ik ben erg benieuwd!
Ik vind dat als je dit soort encryptie toepast dat het veilig moet zijn voor alle mogelijke tegenstanders, ook politie en inlichtingendiensten. Anders is het naar mijn mening een dooie mus. Voor sommige mensen kan goede encryptie letterlijk van levensbelang zijn. Als niemand ooit onderzoek doet naar je dan kan je net zo goed 'normale' email gebruiken.

End-to-end encryption kan natuurlijk in Javascript gemaakt worden. Maar je kan nooit zeker weten dat er niet andere Javascript code wordt opgestuurd die je private key jat.

[Reactie gewijzigd door ArtGod op 30 december 2016 13:14]

Het is een bedrijf gevestigd in Zwitserland, dus ik denk dat het allemaal wel mee valt. Daarbij weet je natuurlijk niet wat er in de toekomst gaat gebeuren. Als we allemaal ophouden met proberen dan bereiken we zeker niks.
Overigens gaat het mij niet eens alleen om de encryptie, maar ook het gebrek aan alternatieve motieven, zoals bij Google het geval is. Ze willen gewoon een e-maildienst leveren, zonder winst te maken met reclames / verkopen van je informatie.

[Reactie gewijzigd door rgjleclaire op 30 december 2016 09:54]

Gebruik dan gewoon WhatsApp. Dat is nog sneller ook qua communicatie.
Niet iedereen die ik wil bereiken heeft Whatsapp natuurlijk. Daarnaast vind ik het formatteren van een e-mail bericht een stuk prettiger dan werken met iets als Whatsapp. Ik vind het hele 'altijd bereikbaar' juist niet voordelig, ook. Bij Whatsapp zit er toch al snel een aanname dat je continu beschikbaar bent en het op je telefoon hebt staan en zo. Email check ik wanneer ik daar een moment voor neem. Ik denk dat je geneigd bent teveel vanuit jouw eigen referentiekader te denken...
Bedenk me nu trouwens ook dat je argument wellicht niet helemaal op gaat, want Whatsapp is nog steeds wel van Facebook tegenwoordig. Het mag dan wel encrypted zijn, maar ik vertrouw het bedrijf Facebook niet.
En ProtonMail wel? Beetje naïef moet ik zeggen.
Waarom is dat naïef? Is er aanleiding om Facebook niet te vertrouwen. Protonmail heeft die aanleiding nog niet gegeven. Dat wil niet zeggen dat ze dus te vertrouwen zijn, maar ze hebben daarmee wel nog steeds meer basis voor vertrouwen dan Facebook, want ze hebben in ieder geval nog geen vertrouwen geschaad.
Facebook heeft WhatsApp en Messenger (met encryptie) zo gemaakt dat ook al zouden zij het willen ze de autoriteiten niet kunnen helpen met het lezen van je berichten.

Dat is met ProtonMail niet zo!!

Sinds communicatie software veilig moet zijn vind ik dat het open-source moet zijn en end-to-end encryption moet gebruiken. ProtonMail is geen van beide (al gebruiken ze wel open-source voor de uitvoering, hun eigen implementatie is dat niet). WhatsApp is tenminste nog end-to-end encrypted.
Super gave reactie. Dank.
Bij de vorige post over Protonmail was ik nog aan het zagen over het missen van SMTP support en nog geen 2 weken later dit. Ik heb me alvast aangemeld. :Y)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*