ProtonMail introduceert pgp-ondersteuning en adresverificatie

ProtonMail heeft ondersteuning voor pgp aangekondigd, samen met een functie die het zelf aanduidt als address verification of adresverificatie. Door de wijzigingen moeten gebruikers de dienst als vervanging van hun huidige pgp-client kunnen gebruiken.

ProtonMail schrijft dat hoewel zijn eigen encryptie op pgp is gebaseerd, er tot nu toe geen volledige ondersteuning voor was binnen zijn dienst. Met de release van versie 3.14 van zijn webmail en versie 1.9 van zijn mobiele clients is daar verandering in gekomen. Zo kunnen gebruikers met pgp versleutelde emails naar ontvangers sturen die niet van ProtonMail gebruikmaken. Daarvoor moeten ze de publieke sleutel importeren. Het is ook mogelijk om pgp-e-mails te ontvangen van iedere pgp-gebruiker door de eigen publieke sleutel te exporteren en te delen. Om dat te vergemakkelijken heeft ProtonMail ook een eigen keyserver in het leven geroepen.

Een tweede nieuwe functie is adresverificatie. De organisatie ziet dit als een aanvullende beveiligingsmaatregel, die moet voorkomen dat een aanvaller de publieke sleutel van een contact vervangt door een kwaadaardige sleutel, waardoor hij onderschepte communicatie kan ontcijferen. ProtonMail noemt het scenario dat het is overgenomen door een aanvaller. De functie werkt doordat gebruikers de publieke sleutel van hun contacten als 'vertrouwd' kunnen aanmerken, waarna deze wordt opgeslagen in de versleutelde contactenlijst. Dat moet de sleutel beschermen tegen aanpassing.

ProtonMail is een dienst die sinds 2014 versleutelde e-mail aanbiedt. Pgp staat voor Pretty Good Privacy en is een methode om inhoud te versleutelen op basis van een geheime privésleutel en een publieke sleutel.

IT-banen

Reacties (35)

CAPSLOCK2000

Privacy
Internet
E-mail
Encryptie

26 juli 2018 18:34

Go ProtonMail!

Het gebrek aan beveiliging voor e-mail is misschien wel het grootste beveiligingsprobleem dat we hebben. De hele wereld gebruikt dagelijks e-mail maar de beveiliging is flinterdun.

PGP helpt een hoop, maar heeft ook een paar forse nadelen die na jaren van onderzoek nog steeds niet zijn opgelost. Een alternatief is S/MIME, dat heeft helaas net zo veel (maar andere) problemen die het onmogelijk maken om het overal te gebruiken.

Ik hoop dat het ProtonMail gelukt is om een goed combinatie van veiligheid en gebruiksgemak heeft weten te vinden. Alle problemen rond dit onderwerp krijgen zij ook niet opgelost, maar een goede interface en een eenvoudig maar betrouwbaar mechanisme om sleutels te verspreiden zou al heel veel verschil maken.

Protonmail heeft als voordeel dat ze veel nogal technische gebruikers hebben. Daar kun je wat meer van verwachten als het gaat om inzicht en zelfstandigheid. Dat is een mooie groep beta-testers voor zo'n dienst. Maar als het bij die groep niet aanslaat dan is het voor de rest van de wereld kansloos.

Het is in ieder geval al een hele vooruitgang voor de gebruikers van ProtonMail dat ze nu ook met de buitenwereld versleutelde berichten kunnen uitwisselen.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 17:50]

PostHEX @CAPSLOCK2000 • 27 juli 2018 01:20

Ik hoop dat het ProtonMail gelukt is om een goed combinatie van veiligheid en gebruiksgemak heeft weten te vinden. Alle problemen rond dit onderwerp krijgen zij ook niet opgelost, maar een goede interface en een eenvoudig maar betrouwbaar mechanisme om sleutels te verspreiden zou al heel veel verschil maken.

Protonmail heeft nog een weg te gaan qua gebruiksgemak. Het grootste probleem aan Protonmail is dat automatic forwarding niet wordt ondersteund. Dit is niet mogelijk vanwege E2E (althans in de huidige vorm). Je kan dit echter wel bewerkstelligen d.m.v. een lokale email client te gebruiken i.c.m. de Protonmail Bridge (kleine lokale applicatie die naadloos E2E mail omzet naar IMAP en weer terug). Het probleem daar weer is dat je Protonmail Bridge alleen kan gebruiken als je een betaalde account hebt.

Voor je peers is er tenminste wel een auto reply feature, maar dat vangt natuurlijk emails alleen mails van je peers af.

De conclusie is dan ook dat als je met Protonmail in zee gaat, je aan Protonmail vrijwel vast zit, want de enige manier om van Protonmail af te stappen, is bij elke dienst en in elk contactlijst van je peers je email adres wijzigen. Wat bijna niet te doen is als je niet hebt bij gehouden aan wie en wat je jouw Protonmail adres hebt afgegeven.

Slonzo @PostHEX • 27 juli 2018 17:16

@PostHEX: daarom gebruik je dus een custom domain ipv @protonmail.com. Ben je PM beu, dan stap je over naar iets anders, wijzig je MX records, en klaar. Volledig transparant

Dat posteo.de geen andere domeinen ondersteunt, is voor mij reden genoeg om bij PM te blijven.

[Reactie gewijzigd door Slonzo op 22 juli 2024 17:50]

PostHEX @Slonzo • 27 juli 2018 18:17

Klopt, maar dat is geen optie voor gratis gebruikers. Maar het is een optie inderdaad.

Terzijde zou dan mijn registrar voorkeur bij Njalla liggen, en niet Namecheap of een andere prijsvechter. Immers als je voor Protonmail kiest, dan lijkt het mij dat je om anonimiteit geeft.

sumac @PostHEX • 27 juli 2018 11:46

De conclusie is dan ook dat als je met Protonmail in zee gaat, je aan Protonmail vrijwel vast zit, want de enige manier om van Protonmail af te stappen, is bij elke dienst en in elk contactlijst van je peers je email adres wijzigen. Wat bijna niet te doen is als je niet hebt bij gehouden aan wie en wat je jouw Protonmail adres hebt afgegeven.

Dat geldt toch voor iedere emaildienst die je gebruikt? Wat maakt Protonmail anders hierin?

PostHEX @sumac • 27 juli 2018 15:25

Ehm, nee? Met Gmail kan ik gewoon automatisch mijn mail laten doorsturen naar een ander adres, waardoor ik niet door het proces hoef te gaan om overal mijn adres te wijzigen, waardoor ik dus veel gemakkelijker naar een andere provider kan overstappen.

klaasje11 @PostHEX • 27 juli 2018 15:49

Dat lijkt mij een beetje 'pappen en nathouden'.
Als je, bijvoorbeeld, twee maal van provider wisselt gaan er mailtjes door drie providers heen.

PostHEX @klaasje11 • 27 juli 2018 16:15

Dat is dan je eigen verantwoordelijkheid? Mij gaat het om de optie om tenminste je mail te kunnen automatisch doorsturen. Overigens, wat is het probleem als er mails meerdere providers passeren? Ik heb liever dat, dan dat ik cruciale mails mis van instanties of mensen waar ik ooit mijn adres heb afgegeven, maar ze ben vergeten (waardoor ik dan ook niet mijn nieuw adres kan doorgeven).

klaasje11 @PostHEX • 29 juli 2018 12:31

Wanneer mails via verschillende providers gaan ben je veel kwetsbaarder.
Ook zou er onderweg ergens iets mis kunnen gaan, een inbox die te vol komt te zitten, ik noem maar iets.
Op zo'n moment duurt het een poos voordat aan het licht komt dat er iets mis is en is het een hoop zoeken naar de oorzaak.

Ik begrijp dat u het kunnen maken van een keuze hierin zou kunnen waarderen maar het lijkt mij een minder goede oplossing.

Als u van provider wisselt is het niet ineens onmogelijk om uw oude mailbox zo nu en dan te raadplegen om te kijken of u iets over 't hoofd hebt gezien.

PostHEX @klaasje11 • 29 juli 2018 16:06

Sorry maar dat plaats ik onder FUD. Ik heb bij mijn mail providers nog nooit problemen gehad met het automatisch doorsturen van mails. Tevens is het tegenwoordig redelijk gemeengoed dat je een regel aan kunt maken dat de mail na doorsturen moet worden verwijdert. Op gebied van security is dat een afweging, maar sowieso moet je in de eerste plaats nooit van een mail provider gebruik maken waarvan je de veiligheid niet vertrouwd. En zolang alle providers in de schakel TLS ondersteunen, wordt je mail voor transport niet kwetsbaarder. Overigens is de optie voor mails automatisch doorsturen van oude naar nieuwe adressen niet een alles-of-niets optie. I.e. voor je primaire zaken geef je jouw nieuw adres door, en voor minder kritieke zaken (e.g. accounts die je niet veel meer gebruikt) stuur je gewoon je mail door naar je nieuwe adres. Ik probeer aan te geven dat er scenario's zijn waar je niet aan denkt, die misschien wel relevant zijn voor anderen.

Darkstriker @CAPSLOCK2000 • 27 juli 2018 00:26

Protonmail is mooi, maar de pgp ondersteuning is echt "long overdue". Maar de toekost ligt bij systemen als autocrypt die vergelijkbaar met OTR de verbinding zonder voor de gebruiker ingewikkelde stappen toe te voegen (als ie dat tenminste niet wil). Als dat eenmaal breed uitgerold wordt verliest Protonmail toch grotendeels zijn bestaansrecht.

De "glacial pace" van ontwikkelijk en de achterlijk hoge prijzen hebben er inmiddels voor gezorgd dat ik protonmail weer heb verlaten... Wil je een aanbieder die echt vooruitstreven is met open-standaard systemen kun je beter bij bijvoorbeeld posteo.de zijn. Die hebben geen gratis variant maar zijn met 1epm veel goedkoper dan protonmail en ze hadden autocrypt binnen een maand naar de release van de specificatie in december al werkende op hun platform.

aileron @Darkstriker • 27 juli 2018 01:01

Dat is natuurlijk geen reden om af te stappen. Ja ze zijn traag, maar wat ze doen doen ze vrij goed. Ik vertrouw ze ook, hun hele business model draait om vertrouwen. Dus 1 fuckup en ze kunnen hun deuren sluiten. Dat is een behoorlijke verantwoordelijkheid wat ik niet bij andere aanbieders zie. heb zelf ook posteo gebruikt maar vind niet dat ze kunnen bieden wat protonmail biedt.

Het is ook een signaal, dat je er waarde aan hecht. Dat je er knaken aan uit geeft betekent dat het beter wordt waardoor misschien nog meer mensen er voor gaan betalen. Protonmail heeft ook de naamsbekendheid. Als een bedrijf het lukt om privacy aware email mainstream te maken is het protonmail wel, niet posteo.

Als ze op termijn een goed aanbod op "office" gebied hebben, Mail client verder ontwikkeld met meer features, proton drive. Misschien ooit calendar en andere office centred apps dan hebben privacy bewuste ondernemers tenminste een echt cloud alternatief.

Bonazzo @aileron • 27 juli 2018 09:23

Wat te denken van ZIVVER dan? Dat werkt op basis van TLS 1.2 en is wel gebruiksvriendelijk en heeft niet de nadelen van ProtonMail zoals reeds door anderen benoemd. Waarom draag je desalniettemin PM een warm hart toe?

Darkstriker @Bonazzo • 27 juli 2018 15:01

ZIVVER is gewoon "yet another closed comm system". Het is gericht op compliance voor bedrijven en niet op privacy voor gebruikers. Net als de technologie die PM zo moeizaam ontwikkelt gaat die van ZIVVER uiteindelijk geen noemenswaardige invloed hebben op de ontwikkeling van de beveiliging van decentrale communicatie als email.

Bonazzo @Darkstriker • 27 juli 2018 18:22

Dank voor je reactie. Wat bedoel je precies met "privacy voor gebruikers"?

Welke ontwikkeling hoop je op, voor de ontwikkeling van mail?

Darkstriker @Bonazzo • 27 juli 2018 19:32

Het bedrijf richt zich op compliance. Dat is voor bedrijven een steeds waardevollere functie bij communicatie en hoewel ZIVVER dus misschien onderliggend enkele open technologieen gebruikt hebben ze het eco-systeem gesloten gehouden en alles closed-source gemaakt om te voorkomen dat concurrenten de zelfde service aan bedrijven kunnen aanbieden.

Privacy voor gebruikers betekent in de context van communicatie is dat je een provider hebt die voor het versturen en ontvangen en afhankelijk van je vereisten ook de opslag van je berichten voor zijn rekening neemt maar geen toegang heeft tot de inhoud van je communicatie. PGP levert precies dat.

En de ontwikkeling van autocrypt zorgt ervoor dat dat mechanisme binnen afzienbare tijd veel gebruikersvriendelijker gaat worden. Autocrypt verzorgt daarbij de uitwisseling van de sleutels op het moment van het verzenden. En dan kunnen dus zowel leken, die er geen verstand van hebben als ook techies het gebruiken en ieder met een privacy niveau naar wens (alles tussen het huidige "provider manages all" tot "provider knows nothing" en gradaties ertussen worden dan mogelijk).

De grootste tegenstander van autocrypt zullen bedrijven als Google zijn die actief je emails lezen om een nauwkeuriger profiel van de gebruiker te maken maar mijn hoop is dat ook zij op termijn onder openbare druk mee zullen gaan. Daarnaast zie je (zelfs in "ik-heb-niks-te-verbergen" Nederland) een steeds verder groeiende bewustwording over de waarde van privé informatie en privacy en daarmee gekoppeld een hogere bereidheid om voor diensten die jouw gegevens niet door verkopen (of in mindere mate) te betalen. Daardoor komen er ook steeds meer diensten bij in die markt en daarmee en lagere prijzen en hogere kwaliteit.

Maar in het kort: gesloten diensten voor communicatie werken alleen in situaties als die van whatsapp of facebook die zo uniek waren dat ze in een "winner-takes-most" situatie terecht kwamen. Bij slow-channel communicatie via het internet (waar email toe telt) is dat helemaal niet meer mogelijk omdat iedereen al aan het gedecentraliseerde email zit. ZIVVER en Protonmail gaan daarom nooit op schaal doorbreken met hun proprietaire systemen.

Darkstriker @aileron • 27 juli 2018 14:58

Het punt bij protonmail is dat je toch weer protonmail moet vertrouwen omdat het toegrijpen op me mails alleen met hun clients kan. Ja, die zijn open source, maar ze worden ook niet deterministisch compiled waardoor je dus op geen manier kunt achterhalen of de web-interface of de mobile apps daadwerkelijk de open-source varianten zijn. Als ze vanaf begin fatsoenlijk PGP hadden gebruikt was er in veel mindere mate vertrouwen nodig en dat moet het doel zijn: niet dat je een private partij vertrouwt, maar dat ze je een systeem bieden waarin je ze zo min mogelijk hoeft te vertrouwen.

En tegelijkertijd doet protonmail aan alle hoeken en kanten aan vendor-lockin en dat geeft mij anders ook weinig vertrouwen.

Bovendien is protonmail niet fuck-up gevoeliger dan posteo of de meeste privacy-gerichte diensten. Sterker nog, een fuck-up zou hun door mediaandacht juist meer gebruikers kunnen bezorgen dus ze zijn eerder minder gevoelig.

En ze zijn met hun aanpak nog 1000 jaar verwijderd van het goed beveiligen van email. Enerzijds omdat veel mensen hun volstrekt buitensporige prijzen niet KUNNEN betalen en omdat ze maar halfhartig open standaarden gebruik.

En itt tot protonmail dat een beetje in een opwellings-hype naar de snowden-leaks werd opgericht heeft posteo ook gewoon een veel langere track-record van privacy-vriendelijk gedrag. Daar kan PM nog een puntje aan zuigen.

Cebby

@CAPSLOCK2000 • 26 juli 2018 21:00

Hoewel deze implementatie interessant is zal dit voor nu dus weinig uitmaken voor de rest van het internet, ProtonMail gebruikers kunnen nu gewoon makkelijker veilig mailen met non-ProtonMail gebruikers die PGP al gebruiken. Zolang meer gebruikte mailservices niet ook PGP gaan gebruiken zijn we nog steeds niet verder gekomen. Laten we dus maar hopen dat ze een heel goed voorbeeld neerzetten dan.

Het lijkt me overigens sterk dat een gebruiker van ProtonMail nog nooit PGP heeft overwogen/gebruikt. Voordat je begint met een betaalde service van dit kaliber zul je toch je opties bekeken hebben?

eric.1

@Cebby • 26 juli 2018 23:12

Betaalde service? Is ook gewoon gratis hoor

Slaiter @eric.1 • 27 juli 2018 07:27

Weleenswaar met een aantal beperkingen ten opzichte van de betaalde versie. Vooral kwa max aantal berichten, filters, mappen, autorespons etc zit er toch een grootbverschil in. Zie ook https://protonmail.com/support/knowledge-base/paid-plans/

Zelf ProtonMail gehad, maar de meerwaarde tegenover posteo.de is er niet voor mij persoonlijk

Verwijderd 26 juli 2018 18:47

Top! Gebruik ProtonMail al jaren en ben ook een fan van ProtonVPN. Werkt geweldig, veilig en snel.

Tevens werken ze ook aan een opslag service (ProtonDrive). De release hiervan laat helaas nog wel even op zich wachten. Dit wordt op zijn vroegst medio 2019.

Bron: https://mobile.twitter.co...status/976455956602261504

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:50]

Freekers @Verwijderd • 26 juli 2018 19:19

Wordt wel een honeypot op deze manier... Allemaal 'privacy' diensten gebundeld en ondergebracht bij 1 aanbieder.

Verwijderd @Freekers • 26 juli 2018 19:23

Dat klopt inderdaad, echter, als je hun aanbod met o.a. Google en Outlook vergelijkt is Proton zeker de beste optie op het gebied van o.a. privacy.

Proton heeft zero logging, heeft haar HQ in Zwitserland (lees: geen 5 eyes etc) enz.

nullr0ute @Verwijderd • 26 juli 2018 20:53

Het komt neer op vertrouwen. Dat Pronon 'zero logging' heeft kan je niet zelf valideren. Als je Microsoft vraagt of ze je Outlook.com mailtjes lezen zullen ze ook nee zeggen.

Verwijderd @nullr0ute • 26 juli 2018 20:57

Doen ze ook niet. "Ze" "lezen" je mail helemaal niet. De goedkoopste Indiër kan dat niet winstgevend maken.

Wat ze wel doen, is je mail scannen op keywords om je advertenties aan te bieden. En dat is wel even lekker wat anders.

kikker81 @Verwijderd • 26 juli 2018 23:53

Of je mail scannen op keywords doorgegeven door de CIA.
Of je rancuneuze ex die bij Microsoft werkt.
Weet jij veel.

Verwijderd @kikker81 • 27 juli 2018 09:58

Pff, kom op.

Als je Proton al niet vertrouwd kun je beter geen enkele VPN gebruiken. Proton is een van de zeeeeer weinige aanbieders die niet onder o.a. 5 eyes vallen (vanwege hun HQ in Zwitserland). Hierdoor kan alleen Zwitserland hun om data vragen en binnen de Zwitserse wet is dit alleen mogelijk in het geval van o.a. een acute terroristische dreiging.

Voor de meeste andere VPN aanbieders, die zich in o.a. de USA, EU, Canada etc bevinden, is het opvragen van data veel eenvoudiger vanwege de verschillende overeenkomsten en wetgevingen die de landen hebben (DMCA, 5 eyes/9 eyes/14 eyes etc).

Ik weet natuurlijk niet wat jij in je vrije tijd van plan bent, maar ik mag toch hopen dat je surfgedrag niet onder een acute terroristische dreiging valt.

Tom @Verwijderd • 26 juli 2018 19:48

Ik snap dat ze een totaalplaatje willen aanbieden, voor het bedrijf ook een slimme zet. Maar ik had liever gezien dat de focus volledig op ProtonMail lag. Ik ben er klant en ben best tevreden, maar er kunnen nog zoveel zaken verbeterd worden. Ik vind het nog niet 'af' genoeg om nu al tig andere diensten ernaast te zetten.

Vooral de app (waar je aan gebonden bent als je mobiel wilt mailen) vind ik een behoorlijk matige gebruikerservaring bieden: notificaties gaan niet weg en niet in sync over je devices (in IOS mist zelfs de afzender in de notificatie!), geen geneste mappen mogelijk, mist een fatsoenlijke zoekfunctie, en vooral veel zaken in de UI die beter kunnen. Dat laatste geldt ook voor de webmail, voelt allemaal erg 2010 aan. Het is(/was) je core-business (met best een behoorlijk prijskaartje als je het mij vraagt), zet er dan ook een f*cking awesome app/webmail tegenover.

[Reactie gewijzigd door Tom op 22 juli 2024 17:50]

Bonazzo @Tom • 27 juli 2018 09:25

ZIVVER al eens bekeken?

dabronsg @Verwijderd • 26 juli 2018 21:35

Ik heb het idee dat protonVPN te populair aan het worden is. De laatste tijd zijn de servers vaak druk bezet. Pas geleden waren er een aantal 100% belast. De snelheid vind ik ook tegenvallen. Ik blijf meestal steken rond de 2,6MBps.

Verwijderd @dabronsg • 27 juli 2018 09:49

Gebruik je de gratis versie of Premium? Persoonlijk vind ik het nog altijd een stuk beter dan het gros van de andere providers. Daarnaast is dit de enige service die niet onder 5 eyes & co valt (gezien hun HQ in Zwitserland)

avdr2 26 juli 2018 19:56

Wie de boodschap verpakt in een bestand op een meegezipte .veracrypt met een geheime salt in die bestandsnaam verwerkt die houdt het ook redelijk veilig...

Ja, je moet er wat voor doen.

The Zep Man

Encryptie
Internet
Privacy
E-mail

@avdr2 • 26 juli 2018 20:18

Ja, je moet er wat voor doen.

Zeker, omdat je er niet vanuit mag gaan dat een salt geheim is of blijft. Security by obscurity.

Qwerty-273 26 juli 2018 22:57

Even om te mierenneuken, ProtonMail basseerd zich op de OpenPGP standaard, dat is net een tikkie anders dan PGP (sinds redelijk wat tijd alweer onder de Symantec vlag) die ook de volledige OpenPGP standaard ondersteunt en daarnaast nog enkele proprietary features.

Trommelrem 26 juli 2018 20:00

Wat is het voordeel van ProtonMail t.o.v. andere RMS diensten?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: