Duitse aanbieder gecodeerde e-mail Tutanota moet toegang geven tot inhoud mails

Een rechterlijke uitspraak dwingt de Duitse encrypted-maildienst Tutanota om onderzoekers in real time toegang te geven tot de inhoud van onversleutelde mails. Ontwikkelaars van de dienst moeten daar nu functionaliteit voor inbouwen.

Een jaar geleden ontving Tutanota een brief van het Amtsgericht van Itzehoe in de Duitse deelstaat Sleeswijk-Holstein met het verzoek om de politie toegang te geven tot de inhoud van bepaalde versleutelde berichten. De politie wilde de inhoud inzien van e-mails van criminelen die malware gebruiken om bedrijven in de deelstaat te chanteren.

De criminelen gebruikten een e-mailadres van Tutanota. Deze dienst biedt end-to-endversleuteling als zowel zender als ontvanger een Tutanota-account heeft. Dat betekent dat berichten op het apparaat van gebruikers worden versleuteld en pas bij de ontvanger worden ontsleuteld. Tutanota zelf kan dan de inhoud niet inzien. Als bij een e-mailconversatie een van de twee partijen geen account bij Tutanota heeft, kan er geen sprake zijn van end-to-end-encryptie: het bedrijf versleutelt een bericht dan zodra het zijn servers bereikt. Tot deze categorie berichten moet Tutanota op verzoek toegang bieden.

Het bedrijf verklaarde niet aan het verzoek van de rechtbank te willen voldoen. "Ik dacht dat de eis verkeerd was toen we de brief ontvingen en ik denk dat het vandaag de dag nog steeds verkeerd is", zegt Tutanota-directeur Matthias Pfau tegen de Süddeutscher Zeitung. Eerder dit jaar oordeelde het Duitse gerechtshof dat Tutanota de gegevens moet verstrekken en een boete van duizend euro moet betalen. Ontwikkelaars van de dienst maken nu een functie die kopieën van e-mails maakt die de politie kan lezen als er een geldig bevel van een Duitse rechtbank binnenkomt. Het gaat hierbij dus niet om berichtenverkeer tussen twee Tutanota-gebruikers dat beschermd is met end-to-end-encryptie: daartoe kan geen toegang gegeven worden.

De maildienst gaat niet tegen de beslissing in beroep, omdat dit juridisch nagenoeg geen kans van slagen zou hebben. De oorzaak ligt bij het Duitse Telekommunikationsgesetz, dat te ruime regels voor toegang tot communicatie zou bevatten. Die regels zouden hun oorsprong hebben in het toegang geven tot telefoonlijnen door telecomaanbieders, maar volgens jurisprudentie zijn ze breder van toepassing.

Vorig jaar probeerde de Berlijnse e-mailprovider Posteo zich bijvoorbeeld te verweren tegen de overdracht van ip-adressen van klanten aan het Openbaar Ministerie. Posteo sloeg deze adressen helemaal niet op, maar eind januari 2019 oordeelde de rechter dat de dienst dit wel moet gaan doen en gegevens op verzoek van autoriteiten moet vrijgeven.

Reacties (134)

mmjjb 12 november 2019 13:24

it asked Tutanota to release all the contents of the emails that are not end-to-end encrypted

Toegang tot de onverleutelde inhoud van de emails niet de versleutelde emails. Ze moeten dus meewerken, geld dat niet voor elke email provider?

"the company can additionally create a copy of the e-mails, which the investigators can also read. They still cannot read emails with end-to-end encryption"

[Reactie gewijzigd door mmjjb op 22 juli 2024 20:00]

Aegir81 @mmjjb • 12 november 2019 13:58

Ondertussen staat er ook een reactie van Tutanota op Reddit: https://www.reddit.com/r/...ider_tutanota_to_release/

Hi there, we came across this discussion and just wanted to point out some facts for clarification:
End-to-end encrypted emails are not affected.
End-to-end encrypted data (calendar, contacts, etc) are not affected.
This applies only to non-encrypted emails.
A valid German court order is required for this, 4 have been issued in the first half of 2019.

Falcon @Aegir81 • 13 november 2019 08:23

@Olaf

WhatsappHack

Encryptie
Duitsland
Beveiliging en antivirus

@mmjjb • 12 november 2019 13:34

Het artikel is wel een beetje onduidelijk inderdaad, ik dénk dat @Olaf bedoelde dat ze toegang tot de plain-text variant van een encrypted email moeten geven? Als ze enkel toegang moeten geven tot onversleutelde mail dan is dat niets anders dan wat andere bedrijven ook moeten en is er weinig reden tot ophef - dat de overheid data mag opvragen is immers niets nieuws.

Verder is het mij ook niet duidelijk of ze nou een backdoor moeten inbouwen voor die end-to-end encrypted mailtjes OF dat ze enkel een kopie moeten bewaren van emails die pas op hun eigen servers worden versleuteld (als zender/ontvanger niet beiden Tutanota hebben, zoals in ‘t artikel omschreven.). Ook dat zou ergens nog logisch zijn, immers kennen ze dan toch de sleutels al.

Het is pas een probleem als ze werkelijk een backdoor in de E2EE hebben moeten inbouwen en daar plain-text kopietjes van moeten bewaren. Maar dat is mij niet duidelijk uit het artikel hier of dát het geval is. En ik zou het ergens raar vinden als dat zo is, immers zou ‘t dan bizar zijn als ze achter Tutanota aangaan maar niet achter bijvoorbeeld WhatsApp en FB Messenger (in secret modus).

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 07:59]

mmjjb @WhatsappHack • 12 november 2019 13:45

Ik ben het met u eens dat het artikel onduidelijk is, het geeft de indruk dat Tutanota een backdoor moet inbouwen. Zoals u aangeeft zou het bijzonder zijn als Tutanota dit zou moeten integreren terwijl WhatsApp en ProtonMail er nog steeds mee wegkomen.

Spiegel.de verwoord het als:

"The request involved inbound and outbound email that is not encrypted end-to-end, but which is protected from outside access by Tutanota servers using corporate-grade encryption. On the other hand, Tutanota can not decrypt the contents of messages that use end-to-end encryption because both parties are using the service."

"Tutanota reacted to the conflict with the district court Itzehoe with a new function, it is said in the media reports: If an account for a valid order of a German court is present, the enterprise could in addition a copy of not end-to-end encrypted emails that investigators can read. Retroactively, however, such copies could not be created - and the contents of end-to-end encrypted mail remained unreadable for Tutanota and investigators."

Het geeft de indruk dat het enkel over de unencrypted mails gaat, niet over een backdoor

[Reactie gewijzigd door mmjjb op 23 juli 2024 07:59]

WhatsappHack

Encryptie
Duitsland
Beveiliging en antivirus

@mmjjb • 12 november 2019 13:49

Ja dat lijkt helder, dank! Al snap ik dat die laatste zin wat verwarring kan veroorzaken als je hem snel leest.

Aegir81 @mmjjb • 12 november 2019 13:50

Dat is wel een belangrijk stukje informatie dat onbreekt in het artikel hierboven. Ik zat helemaal op het verkeerde spoor. Ik dacht dat het ook over alle versleutelde mails ging.

CAPSLOCK2000

Beveiliging en antivirus
Encryptie
Duitsland

@mmjjb • 12 november 2019 16:22

Ik ben het met u eens dat het artikel onduidelijk is, het geeft de indruk dat Tutanota een backdoor moet inbouwen. Zoals u aangeeft zou het bijzonder zijn als Tutanota dit zou moeten integreren terwijl WhatsApp en ProtonMail er nog steeds mee wegkomen.

Ik zou het wel degelijk een backdoor willen noemen. Misschien is een technisch definitie te bedenken waarom het geen backdoor is, maar de bedoeling is duidelijk: zonder medeweten van de gebruikers inzage hebben in e-mail terwijl de gebruikers denken dat het om beveiligde communicatie gaat.

Auteur

Olaf @WhatsappHack • 12 november 2019 14:01

Ik heb het een en ander verduidelijkt @WhatsappHack Het gaat inderdaad expliciet om het berichtenverkeer dat Tutanota afhandelt en dat niet e2e versleuteld is. Het bedrijf versleutelt berichten tussen partijen pas op zijn servers als een van de twee geen Tutanota-account heeft, die versleuteling moet op verzoek achterwege blijven, dan wel ongedaan gemaakt worden.

kwakzalver @Olaf • 12 november 2019 14:25

Waar expliciet niet over wordt gesproken, maar wat impliciet de status is:
Dat bepaalde Duitse overheidsinstanties toegang kunnen eisen tot alle email. Zowel versleuteld als onversleuteld. Daar wordt 'bewust' met geen woord over gerept.

Hier gaat het specifiek om de berichten die door Tutanota versleuteld worden.
Lijkt erop dat Tutanota deze gewoon in versleutelde vorm ter beschikking stelde aan de politie en dacht dat daarmee de kous af was.
Tutanota moet deze nu in onversleutelde vorm ter beschikking stellen.

WhatsappHack

Encryptie
Duitsland
Beveiliging en antivirus

@kwakzalver • 12 november 2019 14:29

Dat wordt toch uitgelegd met:
“het bedrijf versleutelt een bericht dan zodra het zijn servers bereikt. Tot deze categorie berichten moet Tutanota op verzoek toegang bieden.” En met “toegang bieden” wordt plain-text bedoeld, immers begint het artikel ermee om dat duidelijk te maken.

WhatsappHack

Encryptie
Duitsland
Beveiliging en antivirus

@Olaf • 12 november 2019 14:20

Dank, stuk duidelijker zo!

Daan574 @mmjjb • 13 november 2019 13:14

Dus de criminelen die hier specifiek voor encrypted mail verkeer zorgen hebben privacy en de gewone Jantje of Pietje wordt de privacy weer compleet ontnomen.
En het argument dat andere providers ook toegang moeten geven bewijst dit punt des te meer.
We gaan meer en meer naar een wereld waar alleen de criminelen privacy hebben.

Anoniem: 957473 12 november 2019 13:00

Zeg maar dag tegen je product niemand zal hier dan nog gebruik van willen maken. Je kan hierdoor net zo goed geen encryptie gebruiken.

Anoniem: 63072 @Anoniem: 957473 • 12 november 2019 13:12

Klopt, maar de zwakte zit in het product zelf koppelen aan een dienst, die ook nog toestaat dat er geen end-2-end encryptie is.

De enige juiste optie is 100% end-2-end encryptie over standaard verbindingen. Bijvoorbeeld Thunderbird met Enigmail. Enigmail is open source, dus als de Duitse overheid iemand verplicht daar een backdoor in te bouwen, wordt die patch simpelweg niet geaccepteerd. Als hij er toch inkomt, omdat bijvoorbeeld de beheerder in duitsland zit, dan verwijdert iemand anders buiten duitsland het wel en is het gedaan met die duitse beheerder.

[Reactie gewijzigd door Anoniem: 63072 op 23 juli 2024 07:59]

N8w8 @Anoniem: 63072 • 12 november 2019 13:54

Bingo. Men lijkt vooral sinds Facebook (en vervolgens Whatsapp, Signal* etc.) vergeten te zijn dat er andere opties zijn dan gecentraliseerde diensten met volledige autoriteit over de clients.
Als je als gebruiker een (open source) client hebt met e2e crypto, dan heeft de server of overheid niks te vertellen over wat je client zou mogen doen, maar beslis je daar zelf over.
Als men verplicht dat een server e2e crypto weigert, kan je nog steganografie gebruiken. Of je eigen server draaien waarbij je wederom zelf bepaalt wat ie doet.
Enige risico is dan nog dat autoriteiten het verbieden dat je als gebruiker crypto gebruikt, maar dan heb je iig wel in de gaten wanneer zij zich daarmee bemoeien zodra je wordt gedagvaard. Of ze moeten het zien te kraken.
edit: @Anoniem: 63072, inderdaad, dus dat enige risico is bovendien vooralsnog klein

* Ja die ook, op de Signal server mag je (ook nu al, zonder dat wetgeving daartoe verplicht) alleen de officiele client gebruiken, dus niet een waarbij je de source hebt aangepast.

[Reactie gewijzigd door N8w8 op 23 juli 2024 07:59]

Anoniem: 63072 @N8w8 • 12 november 2019 14:15

"Enige risico is dan nog dat autoriteiten het verbieden dat je als gebruiker crypto gebruikt, maar dan heb je iig wel in de gaten wanneer zij zich daarmee bemoeien zodra je wordt gedagvaard. Of ze moeten het zien te kraken."
Dat verbod zou meteen een nekslag voor online commercie zijn en lost helemaal niets op. Alleen politici zijn zo dom dat ze denken dat wij allemaal geloven dat als zij encryptie verbieden, criminelen zich wel aan die wet gaan houden als ze andere weten overtreden.

veltnet @Anoniem: 63072 • 12 november 2019 14:34

Als autoriteiten encryptie gaan verbieden dan moeten we misschien steganografie gaan gebruiken zodat het niet aantoonbaar is dat er encryptie wordt gebruikt.

Anoniem: 63072 @veltnet • 12 november 2019 15:13

Dat is een oplossing, gemanipuleerde vakantie foto's sturen

Maar waar het ze zogenaamd om gaat is dat ze criminelen willen afluisteren. Dat is een onzin reden, omdat die criminelen zich echt niet aan een ecryptie verbod gaan houden en open over hun criminele activiteiten gaan communiceren.

Dat doen alleen de domme criminelen die het nu ook al doen.

En als e-mail providers encrypted mail gaan rapporteren, wat let een crimineel om een eigen server op te zetten en alleen via die server encrypted te communiceren. Beveilig de server tegen toegang voor onbevoegden en men kan niet eens zien dat die communicatie encrypted is.

CAPSLOCK2000

Beveiliging en antivirus
Encryptie
Duitsland

@veltnet • 12 november 2019 16:28

Als autoriteiten encryptie gaan verbieden dan moeten we misschien steganografie gaan gebruiken zodat het niet aantoonbaar is dat er encryptie wordt gebruikt.

Het leuk van goede crypto is dat die niet te onderscheiden is van random ruis. Als je het goed doet valt dus eigenlijk niet te bewijzen dat je crypto hebt gebruikt. Het is wellicht verdacht dat je gigabytes aan random dat bewaard en dat je ook crypto-software hebt geïnstalleerd, maar hard bewijzen is erg lastig. (Uiteraard heb je daar niks aan als er een dictator aan de macht komt zonder respect voor mensenrechten of hard bewijs, of als er genoeg andere aanwijzingen zijn dat de rechter ook wel snapt wat er aan de hand is).

Gerrit T. @CAPSLOCK2000 • 13 november 2019 09:22

Als een rechercheur ZIET dat je illegaal materiaal op je mobieltje hebt, voordat je 'm snel lockt, is het bewijsmateriaal en geldt al snel "manipuleren van bewijsmateriaal" als je het wist, corrumpeert of wat dan ook.

Tenminste dat is me verteld en heb ik als waarheid aangenomen.

Geim @veltnet • 12 november 2019 18:42

Of encrypte berichten op usenet zetten. Voldoende opties.

Lennart-IT @Anoniem: 63072 • 13 november 2019 04:00

Tutanota dit zou moeten integreren terwijl WhatsApp en ProtonMail er nog steeds mee wegkomen.

Daar is echter niets bijzonder aan. Verschillende landen dus verschillende wetgeving. Protonmail werkt gewoon mee met gerechtsbevelen tot inzage. Echter protonmail werkt met versleutelde mailboxen en stuurt gewoon de gesloten mailbox copy naar de verzoeker met een gerechtsbevel op. De verzoeker moet dan de mailbox gaan kraken, men krijgt hiermee een soort moment opname van de mailbox. Tevens wordt de gebruiker van de mailbox geïnformeerd dat hun mailbox is opgevraagd door een bepaalde instantie.

Tevens werkt ProtonMail met sommige verzoeken ook gewoon mee zonder gerechtsbevel en informeert daar de gebruiker niet van, vaak nadat ProtonMail personeel van de details is geïnformeerd zoals bijvoorbeeld Pedofielen/terrorisme enzovoort.

CaDje

@Anoniem: 957473 • 12 november 2019 13:03

Of je moet je dienst en servers verplaatsen naar een land die strengere privacy regels heeft.

bbob

Duitsland
Encryptie

@CaDje • 12 november 2019 13:07

Het zijn in dit geval geen privacy regels maar land met minder strenge telecom regels. Als ik het goed begrijp val email verkeer in Duitsland onder de telecomwetgeving, valt het daar onder zal afluisteren mogelijk gemaakt moeten worden. Je moet dus kijken naar een land waar deze regels niet zo zijn.

Met privacy heeft het in dit geval niets te maken.

Anoniem: 63072 @bbob • 12 november 2019 13:15

Daarom moet de encryptie software ook niet aangeboden worden door de communicatie provider. De wet is van toepassing op de communicatie provider, als jij slechts encryptie plugins voor mail software maakt, val je niet onder de telecom wet. Nog los van het feit dat je die software vanuit een ander land kan leveren en gebruiken p duitste telecommunicatie netwerken. Je encyptie is zo buiten het bereik van de overheid.

MrMonkE @Anoniem: 63072 • 12 november 2019 13:49

Als SMTP een manier zou faciliteren om de keys uit te wisselen met een ontvanger zou het volgens mij al waterdichte communicatie kunnen opleveren. Met clients zou het ook kunnen, dan wordt eerst een email met een key offer & request gestuurd en dan als de response door de zender ontvangen wordt kan het bericht ge-encrypt worden en verstuurd naar de ontvanger. Klinkt zo simpel, zo iets is er vast al.

(Even PGP bekeken, het lijkt erop dat je daar de public key van de ontvanger al moet hebben voor je kunt versturen.)

begintmeta @MrMonkE • 12 november 2019 15:16

...
(Even PGP bekeken, het lijkt erop dat je daar de public key van de ontvanger al moet hebben voor je kunt versturen.)

Zonder key geen encryptie inderdaad, maar het ophalen van de key en het vervolgens versleutelen kan je in principe zo scripten dat het automatisch gebeurt (zodra je het doel-emailadres invoert wordt de key bijvoorbeeld van een keyserver opgehaald waarme het bericht voor verzending wordt versleuteld), als men dat dan standardiseert, is het op zich heel laagdrempelig mogelijk (hetzelfde geldt voor s/mime).

Als men naast encryptie ook authenticatie nodig heeft, wordt het natuurlijk een stuk lastiger, uiteindelijk is de key-exchange op afstand altijd een probleem, als er nog geen volledig geauthenticeerd en vertrouwd kanaal beschikbaar is, bij welke communicatie per encryptie dan ook.

[Reactie gewijzigd door begintmeta op 23 juli 2024 07:59]

GekkePrutser @bbob • 12 november 2019 13:39

Met privacy heeft het in dit geval niets te maken.

Het heeft wel degelijk impact op de privacy natuurlijk. En het levert een spanningsveld op met de privacywetten die in Duitsland ook behoorlijk strict zijn. Ze geven dit spanningsveld zelf in hun blogs beter aan: https://tutanota.com/blog/posts/data-protection-germany/

Ze krijgen trouwens behoorlijk veel verzoeken, niet alleen nu maar ook in het verleden:
https://tutanota.com/blog/posts/transparency-report/

Persoonlijk zou ik het bedrijf gewoon verhuizen naar Zwitserland ofzo. Protonmail lijkt geen problemen te hebben op dit gebied.

Ynst2003 @GekkePrutser • 12 november 2019 13:46

Proton has been using the office space, CEO, and app signing keys of Tesonet (a data mining company)

Hoeft niets te betekenen. Maar misschien ook wel. Lastig om hier een goed oordeel over te vellen.

logion @Ynst2003 • 12 november 2019 20:17

Dit lijkt over ProtonVPN te gaan, niet over ProtonMail (wat enkel servers in CH heeft). Bemerk dat de OP geschreven is door een werknemer van een competitor van ProtonVPN, PIA en dat Proton op zijn claims geantwoord heeft.

Verschillen in de Duitse en Zwitserse wetgeving daargelaten, moet Protonmail ook gewoon voldoen aan de Zwitserse wetgeving. Zie https://protonmail.com/blog/protonmail-threat-model/: "However, if presented with a valid order from a Swiss court involving a case of criminal activity that is against Swiss law, ProtonMail can be compelled to share account metadata (but not message contents or attachments) with law enforcement."

Ethirty @CaDje • 12 november 2019 13:08

Het kromme alleen is dat wetgeving rondom clouddiensten nogal streng is in Duitsland.

Bijna elke grote aanbieder heeft dedicated locaties in dat land om aan de regels te voldoen.

Gropah @CaDje • 12 november 2019 13:05

Dat is leuk en aardig, maar als Duitse onderneming val je alsnog onder de Duitse wet en jurisdictie. Dus zolang de onderneming in Duitsland is gevestigd zal het toch mee moeten werken.

ATS @Gropah • 12 november 2019 13:32

En dus vertrek je uit Duitsland.

SuperDre @ATS • 12 november 2019 13:42

beetje onrealistisch als je duitser bent.

AmigaWolf @SuperDre • 12 november 2019 14:38

Niet als je in die sector geld wil verdienen, dan zit er niks op om uit Duitsland te gaan als Duitser.

Of het bedrijf gewoon in het buitenland opzetten, en het Duitse personeel "remote" laten werken in Duitsland, zo als i7x al zij.

[Reactie gewijzigd door AmigaWolf op 23 juli 2024 07:59]

i7x @SuperDre • 12 november 2019 13:48

Zijn heus wel trucjes voor hoor, je kunt het bedrijf gewoon in het buitenland opzetten, en het Duitse personeel "remote" laten werken in Duitsland, om maar een voorbeeld te geven.

Hackus @Anoniem: 957473 • 12 november 2019 13:10

Zeg maar dag tegen je product niemand zal hier dan nog gebruik van willen maken. Je kan hierdoor net zo goed geen encryptie gebruiken.

Ontwikkelaars van de dienst maken nu een functie die kopieën van e-mails maakt die de politie kan lezen als er een geldig bevel van een Duitse rechtbank binnenkomt.

Zolang jij geen criminele activiteiten uitvoert, die ervoor kunnen zorgen dat er voor jou e-mailverkeer een bevel van een Duitse rechtbank wordt uitgegeven, hoef je je weinig zorgen te maken.

Edit: Zal het wat duidelijker weergeven aan alle die mij quoten:

Het gaat om niet encrypt e-mail verkeer op aanvragen van de Duitse Rechtbank.
Het is niet zo dat encrypt(end-to-end) verkeer wordt opgevraagd dus dat is nog steeds 'veilig'.

[Reactie gewijzigd door Hackus op 23 juli 2024 07:59]

antonvdijk @Hackus • 12 november 2019 13:14

het gaat ook niet om de rechtbank en data naar de politie,
maar om het feit dat er bij een end-to-end encryptie een leesbare kopie wordt gemaakt voor een derde partij, in dit geval de politie.

ik zou me dan dus alsnog zorgen maken, want het is niet meer nodig om mijn account te hacken, maar om toegang te krijgen tot de leesbare kopies.

Zer0 @antonvdijk • 12 november 2019 13:40

ik zou me dan dus alsnog zorgen maken, want het is niet meer nodig om mijn account te hacken, maar om toegang te krijgen tot de leesbare kopies.

Welke leesbare kopieen? Zolang je niet onderzocht wordt door de Duitse politie, met toestemming van de rechtbank, bestaan die niet.

Aaargh! @Zer0 • 12 november 2019 13:45

Als er end-to-end encryptie toegepast wordt kan die leesbare kopie niet gemaakt worden. De enige mogelijkheid om die feature in te bouwen is dus end-to-end encryptie eruit halen. In dat geval is elk bericht dat door de dienst gaat te decrypten. Hoe verwacht je dat ze dit implementeren ? De klant een mailtje sturen met het verzoek of ze even een andere versie v/d software willen installeren zodat de politie kan meelezen ?

antonvdijk @Zer0 • 12 november 2019 13:50

edit:
blijkbaar is het artikel van Tweakers wat onduidelijk.
we hebben ongeveer dezelfde discussie als hier:
mmjjb in 'nieuws: Duitse aanbieder gecodeerde e-mail Tutanota moet toegang ge...

[Reactie gewijzigd door antonvdijk op 23 juli 2024 07:59]

Anoniem: 957473 @Hackus • 12 november 2019 13:19

[...]

Ontwikkelaars van de dienst maken nu een functie die kopieën van e-mails maakt die de politie kan lezen als er een geldig bevel van een Duitse rechtbank binnenkomt.

Zolang jij geen criminele activiteiten uitvoert, die ervoor kunnen zorgen dat er voor jou e-mailverkeer een bevel van een Duitse rechtbank wordt uitgegeven, hoef je je weinig zorgen te maken.

Als er geen criminele activiteiten uitvoert worden dus je maakt een aannamen dat ze alleen e-mails lezen wanneer er een criminele activiteit is?

Je hebt niet voor niets een encryptie op je dienst je wilt je gebruikers beschermen tegen het lezen van de e-mails die via hun dienst verstuurd worden. Ik vindt dat je hierdoor net zo goed geen encryptie kan gebruiken andere kunnen het ook zien ook al dient er eerst een bevel te komen.

Anoniem: 160587 @Hackus • 12 november 2019 13:21

Het punt daarbij is dat om een dergelijke functie aan te kunnen bieden, ze al een key moeten hebben van jou om die berichten überhaupt te kunnen kopiëren of, nog erger, altijd ergens "plain-text" een kopie wegschrijven. En dat verslaat dus het principe van encryptie in de eerste plek, namelijk dat de communicatie echt helemaal is afgeschermd tussen jou en de ontvanger.

Liberteh @Hackus • 12 november 2019 13:40

Waar hebben we dat ook al weer nog meer gehoord? Geldig bevel e.d.?

Oja! https://en.wikipedia.org/...ass_surveillance_projects

TlighT @Hackus • 12 november 2019 13:53

Op de eerste plaats wordt Tutanota nu verplicht een (extra) sleutel op hun server te hebben voor het decrypten van e-mails, in ieder geval tot het moment dat de kopie gemaakt is. Ik neem aan dat ze dit voor alle e-mails moeten gaan doen (niet alleen voor de e-mails die de polite wil lezen) omdat het voor de client geheim moet blijven welke gebruikers in de gaten worden gehouden.

[update] Artikel niet goed gelezen, ze hoeven (voorlopig) alleen toegang te geven tot de niet end-to-end versleutelde emails.

Tevens is dit een glijdende schaal. Het is bekend dat politie en geheime diensten, als ze de mogelijkheid daartoe hebben, onder het mom van terrorisme en kindermisbruik allerlei visexpedities uitvoeren en dus niet alleen specifieke e-mails lezen. Met dit vonnis kan dit nog niet, maar het komt wel weer een stap dichterbij.

[Reactie gewijzigd door TlighT op 23 juli 2024 07:59]

RefriedNoodle @Hackus • 12 november 2019 13:35

Ontwikkelaars van de dienst maken nu een functie die kopieën van e-mails maakt die de politie kan lezen als er een geldig bevel van een Duitse rechtbank binnenkomt.

Wat ik me afvraag: mogen zij (Tutanota) jou op de hoogte stellen van het feit dat er een dergelijk bevel voor jouw account is binnengekomen? Of is dat in het kader van een lopend onderzoek misschien niet eens toegestaan?

Zolang jij geen criminele activiteiten uitvoert, die ervoor kunnen zorgen dat er voor jou e-mailverkeer een bevel van een Duitse rechtbank wordt uitgegeven, hoef je je weinig zorgen te maken.

Hoe weet je dat zeker? Wat als er alleen een verdenking is, of zelfs maar een vermoeden? Voor je het weet wordt de terrorisme- of KP-kaart getrokken, en "weegt de veiligheid van de maatschappij zwaarder dan jouw individuele privacy", en wordt er alsnog over je schouder meegelezen? Al dan niet met jouw medeweten?

doubleotwo @Anoniem: 957473 • 12 november 2019 13:11

Je moet je core business er maar op gericht hebben. Door dit issue is zijn markt helemaal... weg.
Ik vraag me af of dit op een manier kon behandeld worden zonder dat dit zon grote gevolgen heeft voor zijn firma.

CivLord

@Anoniem: 957473 • 12 november 2019 16:19

Het is maar net met welke reden je de berichten wilt versleutelen. Alleen wanneer je activiteiten verricht waarvan een Duitse rechter kan vinden dat die mogelijk strafbaar zijn, moet je een alternatief gaan zoeken.
Voor de overige gevallen, wat het merendeel zal zijn, blijft de bescherming behouden.

stijn12 12 november 2019 13:07

Vreemd dat de overheid je kan dwingen om je product aan te passen. Is echt dan geen andere weg? Hoe deden zit dit vroeger dan toen er nog geen mail/telefoon verkeer was? Of zijn de opsporingsambtenaren gewoon lui tegenwoordig?

SuperDre @stijn12 • 12 november 2019 13:46

Lui omdat men gericht versleutelde emails wil in kunnen kijken? Het is een lastig punt, want van de ene kant wil je dat de opsporingsdiensten fatsoenlijk hun werk kunnen doen (wat dus niet kan dmv versleutelde informatie) en de andere kant wil je ook je privacy hebben.. Het is in iedergeval lang niet zo zwart wit als dat menig tweaker hier vindt.

Cowamundo @stijn12 • 12 november 2019 13:17

De overheid kan je van alles dwingen te doen. Eerst krijg je een “vrije” optie om iets wel of niet te doen. Als je gekozen hebt om het niet te doen krijg je vervolgens een vriendelijk doch dwingend verzoek het geen alsnog door te voeren. En anders regelt de overheid het zelf wel.

Eigendom is eigenlijk niks zeggend... u krijgt 200.000 euro om uw huis te verkopen aan de staat zodat wij een snelweg kunnen bouwen.
Nee, mijn huis is €500.000 waard dus ik doe het niet.
Ok, dan bieden wij €250.000 en andere maken wij het huis ons eigendom, gooien we het plat en krijgt u €0.-

[Reactie gewijzigd door Cowamundo op 23 juli 2024 07:59]

Jelle Brolnir @Cowamundo • 12 november 2019 13:27

Alhoewel het klinkt alsof je uit persoonlijke ervaring is wat je schrijft wel precies hoe het gaat. Je word zo onteigend. Geen probleem.

Cowamundo @Jelle Brolnir • 12 november 2019 21:17

Geen eigen ervaring gelukkig!
Wel genoeg verhalen gehoord, gelezen en “levenservaring” om in te schatten hoe de overheid in bepaalde situaties te werk gaat.

AOC @Cowamundo • 12 november 2019 13:30

Hier ook een snelweg over ons eigendom. Waardeloos geregeld.

Honderd duizenden burgers, duizenden bedrijven en een aantal directeuren/managers/ceo's die hier enorm van profiteren. De +-30 omwonende krijgen vrijwel niks behalve een schamele prijs voor snelweg grond maar wel onrust/overlast voor de rest van hun leven, en wat je aan geld krijg moet je direct investeren anders gaat het naar de belasting.

Oh, en degene die volledig uitverkocht werden, omdat de snelweg daar geplaatst werd, hadden het zeker niet verkeerd (8ton voor een slecht onderhouden grote woning met beetje grond bijvoorbeeld) en die zitten niet met de rest van hun leven met overlast. Die kunnen een compleet nieuw bestaan opstarten.

Diegene die nu naast de snelweg zitten zien hun inkomsten dalen uit hun bedrijf vanwege vervuiling/overlast/lawaai/verlichting etc.

Ze hebben wel 1000m x 100m aan bomen moeten ontginnen voor de snelweg. Dat terwijl het perceel ernaast volledig uit gras bestond. Soms snap ik bepaalde overwegingen niet.

[Reactie gewijzigd door AOC op 23 juli 2024 07:59]

Memori @stijn12 • 12 november 2019 13:26

Je als ontwikkelteam verzuimen om deze aanpassing te doen. Het kan je niet verplicht worden. Bedrijf is verantwoordelijk, maar dan is er sprake van overmacht. Je moet als ontwikkelaar ethisch zijn en voet bij stuk kunnen houden. Het kan je baan kosten of heel veel respect opleveren; maar als ontwikkelaar heb je al gauw een nieuwe baan gevonden.

Een beetje off-topic, maar helaas zijn er ook heel veel ontwikkelaars die niet zo ethisch zijn en alles het liefst plain-tekst op slaan met de reden om de data in te kunnen zien (dan wel het stalken van gebruikers).

Anoniem: 310408 @Memori • 12 november 2019 15:26

Als jij voor een firma werkt zal je moeten doen wat je baas je vraagt. Doe je dat niet verlies je je baan. Het kan je dus wel zeker verplicht worden.

AOC 12 november 2019 13:07

Wat als je in de ruimte satellieten plaatst, of op de maan een datacenter, kan je dan onder dit soort privacy dingen uitkomen?

[Reactie gewijzigd door AOC op 23 juli 2024 07:59]

Anoniem: 63072 @AOC • 12 november 2019 13:19

Nee, is in outerspace treaty van 1967 al geregeld.

Ruimte is van niemand, maar objecten die gelanceerd zijn blijven vallen onder de jurisdictie van het land waar ze geregistreerd zijn.

Geen enkele launch provider lanceert ongeregistreerde satelieten, conform the registration convention van 1974.

Anoniem: 30722 @Anoniem: 63072 • 12 november 2019 13:56

En wat als je ze vanaf je kantoor op de maan of mars lanceert?

Ik bedoel, er moet een manier zijn. Wellicht moet je ze alleen daar in elkaar zetten zodat je ze als onderdelen vanaf de aarde kun lanceren.

Anoniem: 63072 @Anoniem: 30722 • 12 november 2019 14:10

Er is één manier: zelf een raket lanceren vanuit een land dat de verdragen niet geratificeerd heeft.

Alleen zijn die verdragen geratificeerd door alle landen die nu de mogelijkheid hebben een sateliet in een baan om de aarde te brengen.

Als je die landen gaat helpen om zelf een raket te ontwikkelen heb je vrij grote problemen om nog te reizen, het zijn niet de meest frisse landen.

Zelf lanceren vanuit een verdragsland is geen optie. Dan sluiten ze je simpelweg op voor een illegale niet geregistreerde lancering.

Fabriceren en lanceren vanaf de maan werkt niet, omdat de basis die je daarvoor gebruikt aan een land toebehoort obv het verdrag en alles wat je vanaf daar lanceert valt onder datzelfde land.

begintmeta @Anoniem: 63072 • 12 november 2019 15:27

Lanceren vanaf een ongeregistreerd, vlagloos schip in internationale wateren?

Anoniem: 63072 @begintmeta • 12 november 2019 15:45

Leuk bedacht, maar het zee recht is duidelijk. In principe zijn de wetten van het land van herkomst van toepassing. Zelfs als je geen vlag hebt geregistreerd komt het schip ergens vandaan. Iemand is eigenaar en die is inwoner van een land.

Daarnaast sluit ik niet uit dat de landen die het outerspace treaty hebben ondertekend je aanpakken op basis van universal jurisdiction.

Heel leuk allemaal die pogingen om je aan alle jurisdictie te onttrekken, maar misschien moet je eens aan de gekkies die zich souverein burger noemen hoe goed dat voor ze uitpakt.

Anoniem: 30722 @AOC • 12 november 2019 13:17

Alleen als je je hele bedrijf ook vanaf de maan of mars runt...
Anders val je altijd onder wetten van een land.
Mars en de Maan hebben nog geen wetten

Zapato @Anoniem: 30722 • 12 november 2019 13:45

Ze hebben de Wetten van Kepler.

Anoniem: 30722 @Zapato • 12 november 2019 13:55

Ja, natuurkundige wetten genoeg, maar niemand die er iets regelt...

Gymnasiast @AOC • 12 november 2019 13:14

Dat is niet waarschijnlijk. Je bent zelf immers nog inwoner van een bepaald land en je onderneming is ook nog op aarde gevestigd. Bovendien: zelfs als de onderneming of de directie niet gegrepen kan worden, dan is er altijd nog het middel om het domein/IP te blokkeren (zoals bij The Pirate Bay is gebeurd).

SuperDre @AOC • 12 november 2019 13:44

De ruimte boven het land is nog steeds onderdeel van het land, en het kost natuurlijk wel heel HEEL veel geld om dat allemaal voor elkaar te krijgen, zeker een datacenter op de maan, immers moet die data toch ergens op aarde binnen komen en uit gaan..

Aegir81 12 november 2019 13:27

"Een rechterlijke uitspraak dwingt de Duitse encrypted-maildienst Tutanota om onderzoekers in real time toegang te geven tot de onversleutelde inhoud van mails. Ontwikkelaars van de dienst moeten daar nu functionaliteit voor inbouwen."
Is dan niet gewoon alle e-mail mogelijk toegankelijk omdat zo'n functionaliteit mogelijk (ongewild) verspreid geraakt? Mijn vertrouwen in Tutanota is alvast weg, ik heb er een gratis (test)account, maar koos uiteindelijk voor ProtonMail. Daar ben ik nu wel blij om, al doet dit me nu wel vrezen dat het dan wachten wordt tot de Zwitserse rechters met een gelijkaardig 'verzoek' komen.

[Reactie gewijzigd door Aegir81 op 23 juli 2024 07:59]

OxWax @Aegir81 • 12 november 2019 14:22

"Een rechterlijke uitspraak dwingt de Duitse encrypted-maildienst Tutanota om onderzoekers in real time toegang te geven tot de onversleutelde inhoud van mails. Ontwikkelaars van de dienst moeten daar nu functionaliteit voor inbouwen."
Is dan niet gewoon alle e-mail mogelijk toegankelijk omdat zo'n functionaliteit mogelijk (ongewild) verspreid geraakt? Mijn vertrouwen in Tutanota is alvast weg, ik heb er een gratis (test)account, maar koos uiteindelijk voor ProtonMail. Daar ben ik nu wel blij om, al doet dit me nu wel vrezen dat het dan wachten wordt tot de Zwitserse rechters met een gelijkaardig 'verzoek' komen.

"End-to-end encrypted emails are not affected".

Aegir81 @OxWax • 12 november 2019 14:36

Inderdaad, ik las het ook. In het initiële bericht werd dit echter niet duidelijk vermeld.

don spike @OxWax • 12 november 2019 15:11

"End-to-end encrypted emails are not affected"

Leuk, maar is dit alleen de e-mails waarbij de ander (ontvanger cq. verzender) dit ook ondersteund? Welke niet inzichtelijk zijn voor de politie en andere.

Ik ben zelf een ProtonMail gebruiker, de mails tussen familie en diverse vrienden zijn daar end-to-end encrypted, maar als je mailt naar iemand zoals Gmail of zo, of veel bedrijven, dan is het geen end-to-end meer, wat ik begrijp.

Bij Protonmail staan alle mails wel encrypted op de server. Als ik bijvoorbeeld het wachtwoord hersteld, kan ik zelf nog steeds niet mijn oude e-mails inzien.

OxWax @don spike • 12 november 2019 16:33

[...]

Bij Protonmail staan alle mails wel encrypted op de server. Als ik bijvoorbeeld het wachtwoord hersteld, kan ik zelf nog steeds niet mijn oude e-mails inzien.

Hoe krijg je die dan alsnog te zien?

don spike @OxWax • 13 november 2019 06:02

Alleen als je je oude wachtwoord nog weet, kan je ze later alsnog ontsleutelen. Dit geeft juist aan de ProtonMail zonder jouw ww de mails zelf ook niet kan lezen..

Anoniem: 63072 12 november 2019 13:34

Wat ik niet snap, buiten de webmail dan, is hoe?

Tutanota publiceert zijn client apps als open source. Een backdoor in die client is dus zo verwijderd.

Als je de sleutel voor e2e encryptie buiten tutanota om op een veilige manier verkrijgt dan moeten ze in de client gaan rommelen. Bijvoorbeeld je public key naar je correspondentie partner sturen en hem zijn public key naar jou laten versturen via een andere partij als tutanota of zelfs in person en ze kunnen serverside niet eens iets doen en in de client kan je het zo verwijderen.

Als de sleutel voor de e2e encryptie van tutanota van of verplicht via hun server komt, in plaats van direct van degene waar je mee communiceert, dan was de dienst al niet veilig omdat je kwetsbaar was voor een mitm aanval door tutanota en had je er nooit op moeten vertrouwen.

WhatsappHack

Encryptie
Duitsland
Beveiliging en antivirus

@Anoniem: 63072 • 12 november 2019 13:41

Het lijkt er op dat het artikel hier wat onduidelijk is, volgens het bronartikel wordt er blijkbaar niet getoornd aan de E2EE als ik @mmjjb mag geloven, maar gaat dit uitsluitend over plain-text emails en de emails die Tutanota zelf op de server encrypt en waar ze dus de sleutels van in bezit hebben. Er zou vermeend geen sprake zijn van een backdoor in de end-to-end encrypted communicatie. Het is even wachten of Olaf dat misschien kan bevestigen en ‘t wat duidelijker omschrijven in het artikel hier, want dat suggereert nu bij de meeste lezers dat het om een backdoor in de E2EE zou gaan getuige de reacties (incl die van mijzelf

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 07:59]

Byron010 12 november 2019 13:07

En de eindeloze discussie over versleuteling vs 'veiligheid' gaat door. Het is een 'email provider' dus misschien houden ze genoeg klanten over (concurrentie gmail, hotmail etc), maar als het gross van de klanten de diesnt gebruikt voor de end-to-end encryptie dan is bij deze het bedrijf zo goed als failliet verklaard door de overheid in duitsland.

HellFury @Byron010 • 12 november 2019 13:24

Het bedrijf gebruikt dan ook een Beveiliging die in strijd is met de Duitse wet.

Byron010 @HellFury • 12 november 2019 14:49

Het artikel is wat duidelijker gemaakt, het gaat niet om de emails die end-to-end encrypted zijn maar om de mails naar andere providers die dus niet end-to-end encrypted zijn. Vond het al ver gaan dat ze een backdoor in de E2EE zouden moeten bouwen.

Zapato 12 november 2019 13:04

Beveiligde mail voor iedereen! staat er op hun site. Dat is nu wel erg letterlijk.

Anoniem: 1075425 12 november 2019 13:08

Oke.. dus nu staat deze mail dienst ook op de zwarte lijst bij criminelen. Ik denk dat je als verkeerde bedoelingen heb je het best een mail address kan pakken waar niet europese rechten gelden. maak gebruik van een mail dienst in rusland, afrika, iran, panama of zwitserland met eigen gemaakte encryptie en stenografie.
of een ander land dat in conflict ligt met europa en waar geen verdragen liggen

[Reactie gewijzigd door Anoniem: 1075425 op 23 juli 2024 07:59]

Anoniem: 63072 @Anoniem: 1075425 • 12 november 2019 13:21

Een crimineel die dit gebruikte was al niet bijster slim. Je kan elke e-mail provider, zelfs gmail, gebruiken icm Thunderbird+enigmail om volkomen veilig te communiceren.

Stoelpoot 12 november 2019 13:15

Uiteindelijk is er maar 1 oplossing om echt het privacyideaal te bereiken, en dat is het stoppen met "handige" diensten waarmee je mail kan beveiligen als je de aanbieder meehelpt met hun marketing, en gewoon een cultuur van encryptie te kweken waarin mensen je raar aankijken als je geen PGP-sleutel op je visitekaartje hebt. Dan zijn we af van de gekheid dat gratis mailproviders zoals Gmail je berichten scannen, dan kan je je mail gewoon plaintext versturen, want alle encryptie wordt gewoon uitgevoerd op je apparaat zonder dat er een extra dienst aan te pas komt om dat te faciliteren.

.SnifraM @Stoelpoot • 12 november 2019 16:13

PGP zou inderdaad al veel meer gebruikt moeten worden.

Op dit item kan niet meer gereageerd worden.

Duitse aanbieder gecodeerde e-mail Tutanota moet toegang geven tot inhoud mails

Lees meer

Minister wil achterdeur in encryptie

Reacties (134)

Sorteer op:

Weergave: