Nederlanders tonen eerste versie van dienst die versleutelde bestanden verstuurt

Het Nederlandse hostingbedrijf ProcoliX en stichting Privacy by Design werken samen met softwarebedrijf Tweede Golf aan de gratis dienst Cryptify. Hiermee kunnen versleutelde bestanden van maximaal 2GB worden gedeeld tussen twee gebruikers.

De ontwikkelaars zeggen dat de dienst nog volop in ontwikkeling is, maar dat er al een eerste versie klaar is voor gebruik. Zowel de zender als de ontvanger hebben de authenticatieapp IRMA nodig, die ook is ontworpen door Privacy by Design. Hiermee kunnen zij hun identiteit bevestigen, zonder gevoelige gegevens af te geven. De zender selecteert de bestanden die hij wil delen en sleept ze naar het daarvoor bestemde vlak op de pagina. Vervolgens voert hij het e-mailadres van de ontvanger en die van zichzelf in. Dan kiest de zender voor "Versleutelen & verzenden", waarna de versleutelde bestanden worden verzonden.

De ontvanger ontvangt een e-mail met de melding dat er een bestand met hem is gedeeld. Door de qr-code in de mail te scannen met de IRMA-app, kan hij de bestanden ontsleutelen. De app onthult alleen het e-mailadres van beide gebruikers om de identiteit te bevestigen.

De ontwikkeling van de dienst is gefinancierd door het SIDN-fonds, dat grote internetprojecten financiert. Het platform komt voort uit de gewoonte van universitair docent en onderzoeker bij Privacy by Design Hanna Schraffenberger om e-mails te versleutelen. "Het doorontwikkelen en volledig gebruiksvriendelijk maken van e-mailencryptie is een langlopend project, maar we wilden encryptie ook op korte termijn beschikbaar maken voor gebruikers. Zo kwamen we uit op iets wat door veel mensen dagelijks wordt gedaan: het online delen van bestanden”, zegt Schraffenberger in een interview met de SIDN.

“Het mooie aan Cryptify is dat bestanden direct in de browser van de verzender worden versleuteld, voordat ze naar een server worden gestuurd. Op die manier kunnen kwaadwillenden niet bij de bestanden, zelfs niet als ze de server hacken.”, legt Tweede Golf-ontwikkelaar Arjen uit in het interview met SIDN.

Volgens het privacybeleid op de site van Cryptify zijn zowel ProcoliX en Privacy by Design verantwoordelijk voor de gegevensverwerking. Het e-mailadres van de ontvanger en de versleutelde bestanden worden maximaal 2 weken bewaard en dan automatisch verwijderd.

"ProcoliX slaat tijdelijk de versleutelde bestanden op die door gebruikers worden gestuurd, maar kan de inhoud van deze bestanden niet zien. De cryptografische sleutels waarmee de bestanden zijn versleuteld, liggen bij Privacy by Design. Daardoor kunnen beide partijen nooit zelf de bestanden van gebruikers ontsleutelen.", legt Arjen uit.

IT-banen

Reacties (104)

kodak

Nederland
Privacy

29 november 2021 21:16

Ik twijfel niet aan de goede bedoelingen, maar als drie organisaties die van elkaar afhankelijk lijken elkaars diensten gaan promoten zonder dat er duidelijk antwoord is op de meest belangrijke vragen over die diensten dan heb ik wel mijn twijfels.

Ten eerste worden er beweringen gedaan over veilig en privacy-vriendelijk zijn van de diensten. Iets is niet veilig of privacy-vriendelijk omdat iemand een bewering doet, het zal duidelijk moeten blijken.
Die duidelijkheid krijgen gebruikers nauwelijks. Bij de dienst om bestanden te versturen doen ze enkele beweringen of verwijzen ze door naar de app. Bij de app is er uitleg gegeven, maar dat gaat vooral over de app. Er is ook geen uitleg hoe dat samen veilig of privacy-vriendelijk is. Daarbij roepen de kritische opmerkingen van mede-tweakers en het bekijken van de broncode (en gebrek aan ontwerp en documentatie) meer vragen op waarom ze er geen duidelijkheid over geven.

Ten tweede is dit niet de eerste dienst om bestanden te kunnen delen op basis van een email en een telefoonnummer. Dus wat is er nu werkelijk zo bijzonder aan dat je deze combinatie waar gebruikers behoefte aan hebben?
Het bijzondere lijkt er meer om te gaan dat de makers graag hebben dat je die app gaat gebruiken om later ook voor andere zaken (lees de wens over wat gemeenten er ook met bsn mee kunnen) gaat gebruiken. En dat bij de bewering dat het app een middel zou zijn en geen doel opzich. Dat botst. Daarbij lijkt het niet duidelijk in te spelen op een wens van gebruikers, waaruit zou blijken dat dit dan makkelijk of beter is dan alternatieven.

Ten derde is de dienst 'gratis. Niets is gratis, dus iemand betaald. Dat daar grote gevolgen aan kunnen zitten is wel duidelijk met social media. Maar ook daar krijgt de mogelijke gebruiker nog geen antwoord op.

Het wekt de indruk dat het voor het bedrijf meer gaat om geld krijgen voor ontwikkelen, dat het de stichting te doen is om de app niet als middel maar als doel te promoten en dat het SIDN fonds te doen is om geld uit te geven en daar aandacht voor krijgen. Anders had de nadruk wel op de genoemde meest belangrijke punten gelegen. Zowel bij het ontwikkelen als bij het presenteren.

laurens0619 29 november 2021 16:26

Leuk initatief maar een beetje jammer dat ze geen verificatie op het afzender adres doen
Nu kun je dus deze dienst misbruiken om iets te spoofen:
Bij de from vul je email van de ceo in, bv ceo@tweakers.net
Bij de to vul je de email van het slachtoffer in, bv finance@tweakers.net

Dan krijgt medewerker een email van noreply@criptify.nl met als subject:
ceo@tweakers.net sent you files via Cryptify

Beetje ironisch dat een dienst als cryptify dit niet op orde heeft en Wetransfer wel...

[Reactie gewijzigd door laurens0619 op 26 juli 2024 00:24]

HKLM_ @laurens0619 • 29 november 2021 16:35

haha inderdaad, mail komt ook lekker in de spam...

[Reactie gewijzigd door HKLM_ op 26 juli 2024 00:24]

laurens0619 @HKLM_ • 29 november 2021 16:41

jup hier ook, kan alleen niet ontdekken waarom. Alles gaat qua authenticatie goed.
Wellicht low reputation smtp server.

edit:
https://senderscore.org/r...185.35&authenticated=true

lijkt het wel op. Beetje onhandig van ze...

[Reactie gewijzigd door laurens0619 op 26 juli 2024 00:24]

GertMenkel @laurens0619 • 29 november 2021 17:07

Mijn spamfilter pakt hem niet op, dit lijkt momenteel puur een gevolg van Google danwel Microsoft die kleine mailservers pesten.

Senderscore geeft 3 metrics: nummer één is dat hun filter nog geen mail van ze heeft gezien (dat zegt natuurlijk helemaal niks), nummers twee en drie zijn zo te zien betaalde services. Alle relevante spammetrics zijn negatief, zo te zien.

Ik vind het absurd dat je eerst een groot volume mail moet sturen voor spamfilters je van de lijst halen. Het loont bijna om onnodige nieuwsbrieven te sturen zodat de spamfilters je server oppikken en je een score toewijzen. Wat een stom systeem.

moonlander @GertMenkel • 29 november 2021 18:35

En als het aan Microsoft ligt, dan succes met oplossen. Microsoft biedt totaal geen oplossingen om te achterhalen waarom mails in spam komen bijvoorbeeld.

Twanekel @moonlander • 29 november 2021 21:12

Message trace in Exchange?

Platpoot @Twanekel • 29 november 2021 21:44

Er zit nog een stuk voor als we het over exchange online hebben (exchange protection). En als je mail daar wordt gedropped, dan wens ik je veel succes. En als dat het publieke outlook.com is dan is het schier onmogelijk om een case aan te maken, want ander ontwikkelteam, geen communicatie bij MS intern. Frustratie alom aan mijn kant.

Twanekel @Platpoot • 29 november 2021 21:50

Ohhh ja, ik dacht je bedoelt de spam map in het account van de user zelf. Publieke outlook kun je inderdaad niks mee.

moonlander @Platpoot • 29 november 2021 22:16

Precies, echt drama. En echt soms een raadsel waarom het in spam terecht komt. Enige oplossing wat ik dan die is van smtp provider wijzigen voor alleen Microsoft adressen. Daarom hekel ik ook Outlook en probeer vaak mensen over te halen om te switchen naar gmail

HKLM_ @laurens0619 • 29 november 2021 16:43

Ze mailen zo te zien vanaf hun eigen mailserver inderdaad die zal inderdaad nog niet zo hoog in reputation zitten.

Rob Coops @laurens0619 • 29 november 2021 22:42

Wow dat is niet een klein foutje dat is gewoon een hele goede reden om de service nog niet eens te willen proberen en het vooral aan te merken als spam want je kunt nooit met zekerheid weten of de mail en het bestand wel echt van de geclaimde afzender komt of niet.

Leuk idee belabberde uitvoering, je zou toch denken dat als je om privacy geeft dat je ook graag zeker weet dat de persoon met wie je denkt te communiceren ook echt de persoon is met wie je communiceert.

Waar ik ook wat moeite mee heb is dat de sleutels bij Privacy by Design liggen, waarom is dat nodig waarom niet in de app die iedere individuele gebruiker toch nodig heeft? Die moet ook een internet verbinding hebben en die zou dus ook een key kunnen leveren die dan dus weer uniek per gebruiker kan zijn waardoor ik niet hoef te vertrouwen op een clubje goed bedoelende mensen die er over een paar jaar op eens achter komen dat hun beveiliging toch niet zo heel erg goed was.
Natuurlijk is een individuele telefoon kwetsbaarder voor een aanval maar dan is dat een aanval op een persoon en niet op de gehele dienst. Het lijkt me dat het een stuk minder kans op problemen op zou leveren mocht mijn telefoon gehackt worden en iemand mijn sleutels stelen ten opzichte van de server(s) van Privacy by Design waarna de sleutels van iedereen op straat liggen.

kodak

Nederland
Privacy

@laurens0619 • 29 november 2021 16:47

Ik neem aan dat je dat dan ook bij de makers al hebt aangegeven als beveiligingsproblemen?

diondokter 29 november 2021 16:27

Het staat ook op github: https://github.com/privacybydesign/cryptify/

Skit3000

Nederland

29 november 2021 19:15

Het bericht klopt niet helemaal. Zodra een bestand gecodeerd is kan inderdaad niemand (behalve de bedoelde ontvanger) dit bestand openen, zelfs niet iemand die toegang tot het gecodeerde bestand op de server heeft. Echter, iemand met toegang tot de server kan natuurlijk wel gewoon de code die het bestand ver/ontsleutelt aanpassen om daarbij een reeds bekende sleutel te gebruiken of nog simpeler, om het versleutelen compleet over te slaan zodat het bestand alsnog ongecodeerd op de server terecht komt.

dtilo 29 november 2021 16:43

privacy by design is toch dezelfde organisatie die zit achter de .nl qr corona check app ?

GertMenkel @dtilo • 29 november 2021 17:33

Nee. Privacy By Design heeft IRMA gemaakt, een project om privacyvriendelijk met cryptografische tokens te werken. Zo kan met het idee achter IRMA bijvoorbeeld een versleutelde token worden afgegeven die zegt "deze persoon is 18+" waar websites gebruik van kunnen maken zonder de volledige geboortedatum op te vragen. Deze informatie kan worden ondertekend door allerlei partijen, zoals de overheid of IRMA zelf, en de andere kant kan kiezen welke partijen wel of niet worden vertrouwd.

Ik ken ze alleen van talks, de echte details van het systeem staan hier beter uitgelegd.

Het QR-systeem is gedeeltelijk hierop gebaseerd omdat het eigenlijk een perfecte toevoeging zou zijn aan de app. De stichting wilde echter niet geassocieerd worden met de overheid om hun onafhankelijkheid te kunnen waarborgen, dus heeft het verzoek om IRMA te gebruiken afgewezen.

[Reactie gewijzigd door GertMenkel op 26 juli 2024 00:24]

Beerebeest 29 november 2021 16:14

De cryptografische sleutels waarmee de bestanden zijn versleuteld, liggen bij Privacy by Design. Daardoor kunnen beide partijen nooit zelf de bestanden van gebruikers ontsleutelen.

Maar als Grapperhaus graag wil zien wat ik aan mijn contacten verstuur, (of dit nu pikante foto's van mezelf zijn, of van minderjarigen of plannen om een aanslag te plegen) kan hij dus de sleutels bij Privacy by Design opeisen, of begrijp ik dit nu verkeerd?

downtime @Beerebeest • 29 november 2021 16:31

Maar als Grapperhaus graag wil zien wat ik aan mijn contacten verstuur, (of dit nu pikante foto's van mezelf zijn, of van minderjarigen of plannen om een aanslag te plegen) kan hij dus de sleutels bij Privacy by Design opeisen, of begrijp ik dit nu verkeerd?

Ik denk niet dat het de bedoeling van Privacy by Design was om een veilige haven voor criminelen, makers van kinderporno en terroristen te worden.

En waarom zou je plannen om een aanslag te plegen willen versturen? Wat ben je van plan?

-jacQues- @downtime • 29 november 2021 17:08

Dat vind ik persoonlijk een omgekeerde redenatie. Het uitgangspunt dat je hier maakt is namelijk dat privacy (in dit geval) ondergeschikt is aan veiligheid. Maar 100% veilig ben je nooit. Dus wat doen we dan? Het zo veilig mogelijk maken ten koste van privacy? Die balans is een lastig vraagstuk. Vroeger was er veel kwaadsprekerij over het Oostblok, want daar had je als burger bitter weinig privacy. Maar wanneer zowel de sleutels alsmede de bestanden door de overheid op te vragen zijn, kun je heus wel praten over de omstandigheden waarbij dat mogelijk is. Maar dat lijkt me toch echt wel problematisch. In de toeslagenaffaire heeft onze belastingdienst zeker 18 grondwetten overtreden. Dus hoe zeker kunnen we zijn dat de overheid altijd een geldige reden heeft om mee te kijken naar pikante foto's van Beerebeest? Ik twijfel niet aan intenties hier, maar je weet nooit wie er hoe mee omspringt in de toekomst.

Het is niet de bedoeling van de overheid om criminelen, makers van kinderporno en terroristen zonder straf, vrij op straat rond te laten lopen. Daarom is er politie en recherche. Die kunnen methodes inzetten zoals volgen/schaduwen/etc. en daarmee bewijslast verzamelen. Je gaat ook niet uit voorzorg overal in Nederland camera's ophangen, zodat je iemand desgewenst kan volgen. Desgewenst is wanneer? Als een rechter dat goedkeurt? Of als een politieagent dat vind? Dus gewoon per situatie toetsen, waarbij ik opmerk dat de mogelijkheden zonder overal camera's zeker afdoende zijn. Dus er is geen noodzaak voor. Wanneer je dit correct toepast op computerbestanden. Kun je net zo goed (mits er hele goede toetsbare gronden zijn) een computer confisqueren en onderzoeken. Wanneer er alternatieve methodes zijn, hoe houdt de noodzaak dan stand? Is het dan niet mogelijk dat het gewoon gemak is voor justitie. Is dat gemak alle bijkomende risico's waard? Jij wellicht wel; ik vind van niet.

Weet ook dat een derde partij per definitie een probleem kan vormen, ook zonder medewerking of medeweten ervan. Een hacker die zich toegang verschaft tot alle camera's op straat, kan daar de nodige misbruik van maken. Hetzelfde is dubbel waar voor een hacker die Pivacy by design en ProcoliX binnendringt. Want buitgemaakte bestanden kunnen (te) eenvoudig met wat kunstmatige intelligentie doorzocht worden. Dan kun je in de toekomst toch best wat kamerleden proberen te chanteren voor wat ze ooit privé gestuurd of ontvangen hebben. Leuk om vervolgens toegang te verschaffen voor mogelijkheden die soortgelijke wetgevingen bieden. Of gewoon Beerebeest geld eisen om eerdere an sich onschuldige pikante foto's niet aan zijn nieuwe partner te appen. Zomaar enkele voorbeelden. Ongetwijfeld zijn criminelen creatiever dan ik.

downtime @-jacQues- • 29 november 2021 17:17

Nee, ik stel niet dat privacy ondergeschikt is aan veiligheid, want dat leidt te gemakkelijk tot het idee dat we voor een beetje extra veiligheid heel veel privacy moeten opgeven.
Ik stel dat bedrijven zich aan de wet moeten houden. De afweging hoeveel privacy we opofferen voor veiligheid ligt bij het parlement en niet bij een willekeurig bedrijf wat een dienst aanbiedt. Als dat parlement vindt dat justitie encryptiesleutels moet kunnen opeisen, en jij hebt daar een probleem mee, dan moet je bij het parlement aankloppen en niet bij een bedrijf wat zich alleen maar aan de wet houdt.

-jacQues- @downtime • 29 november 2021 17:34

Dat had ik niet uit je bericht gehaald. Dank voor de verduidelijking. Gelukkig kun je ervoor kiezen om bestanden gewoon met 7-zip te versleutelen en dan te versturen. Daar is niks illegaals aan. De grap is, dat criminelen zich doorgaans goed laten informeren en dit gebruiken. Dus die zullen zoiets ook doen. Wat nu als het parlement dat ook gaat inperken?

Het blijft het een probleem wanneer we er straks anders over denken dan 'nu' (bij mijn weten zijn we nog niet zo ver afgegleden). De bestanden kunnen dan al onversleuteld zijn opgeslagen door criminelen. Je weet wel, degene die we juist wilde tegenwerken. Cynisch, maar helaas desalniettemin een mogelijkheid.

downtime @-jacQues- • 29 november 2021 17:50

Gelukkig kun je ervoor kiezen om bestanden gewoon met 7-zip te versleutelen en dan te versturen. Daar is niks illegaals aan. De grap is, dat criminelen zich doorgaans goed laten informeren en dit gebruiken.

De zwakte van die methode is juist dat je dan een manier moet vinden om de sleutel veilig bij de ontvanger te krijgen. Dat is nu juist het probleem wat dit soort online diensten oplost.

-jacQues- @downtime • 29 november 2021 18:57

Ik zie geen probleem daarin.

1) Het is een vreemde. Dan download ik de bestanden niet. Grote kans namelijk, dat er iets niet pluis is.

2) Het is een bekende. Kleine moeite om de sleutel even te appen. Aangezien dat een compleet ander medium is, met E2E-encryptie, is dat veilig, simpel en effectief. Bij echt privé dingen het liefst een willekeurige sleutel genereren.

Uiteraard kun je pleiten voor "3) Andere situaties". Maar dat lijkt me zeldzaam.

FijneKnul @downtime • 29 november 2021 16:42

In diezelfde lijn: ik denk ook niet dat het de bedoeling van versleuteling is om derden, niet geautoriseerde/bedoelde partijen, toegang te laten hebben tot de versleutelde data.

Wat is dan de meerwaarde van versleuteling?

downtime @FijneKnul • 29 november 2021 17:04

In diezelfde lijn: ik denk ook niet dat het de bedoeling van versleuteling is om derden, niet geautoriseerde/bedoelde partijen, toegang te laten hebben tot de versleutelde data.

Het is ook niet de bedoeling dat bedrijven de wet negeren. Als de wet vereist dat sleutels overgedragen worden dan kun je niet verwachten dat zij dat weigeren omdat dat hun niet uitkomt. Dan moet je maar gewoon je eigen encryptie regelen en daarvoor niet op een bedrijf vertrouwen.

leuk_he @downtime • 29 november 2021 16:46

Privacy is privacy voor alle partijen. Soms is een aanslag plegen verboden. soms is kinderporno verboden, soms is praten over een zeker plein in in china verboden, Staat belediging van de koning nog in de wet, in sommige landen zeker wel. Ook een verbod op enkele (bedreigende?) wappie groepen op telegram geeft aan dat privacy belangrijk kan zijn en dichtbij is.

Privacy wil zeggen dat anderen daar niks mee te maken hebben. Als je een achterdeur inbouwt door deze sleutels bij een bepaalde organisatie te leggen dan hoor ik justitie al juigen.

Beerebeest @leuk_he • 29 november 2021 17:08

Dat is dus mijn hele punt, ik ben geenzins van plan een aanslag te plegen, kinderporno te hebben, laat staan versturen, maar als ik, ik noem even wat, de behoefte zou hebben om pikante foto's van mezelf aan iemand te sturen dan is het mijn keuze om dat aan diegene te sturen en daar heeft Grapperhaus niks in te zoeken, want als hij dat kan is het afwachten tot iemand anders dat ook in kan zien...
Mijns inziens is dit vragen om problemen, is het niet gewoon mogelijk om, net als bij Signal, gewoon end to end encryptie toe te passen op de bestanden die verstuurd worden?

xvoid @Beerebeest • 1 december 2021 09:34

Ach..als het belangrijke data is dan encrypt je het een keer extra met een sleutel die de tussenpartij niet kan hebben. Dan weet je ook zeker dat de encryptie op een goede manier gebeurt.

Als je encryptie overlaat aan anderen dan moet je er maar op vertrouwen dat het goed gebeurt.

Tom Paris @downtime • 29 november 2021 16:39

Ik denk dat het punt van @Beerebeest is dat Justitie/overheid onder het motto van kinderporno en terrorisme graag privacy en encryptie wil afzwakken, om daarna voor hele andere misdrijven toegang tot de data te eisen. Daar heeft Justitie nogal een slecht track record op, waar bovendien vooral gewerkt lijkt te worden met de insteek 'het is beter om achteraf vergeving te vragen, dan vooraf toestemming'.

downtime @Tom Paris • 29 november 2021 17:00

Je mist het punt: Uiteindelijk bepaalt het parlement wat in Nederland legaal is en wat niet. Daar moet je aankloppen als je niet wilt dat Grapperhaus jouw bestanden leest. Je moet niet van een willekeurig bedrijf of stichting verwachten dat zij de wet negeren.

Beerebeest @downtime • 29 november 2021 17:12

Maar als het eenmaal al gebeurd is kan ik wel aankloppen bij het parlement maar dan is toch mijn privacy geschonden en als de overheid het kan, dan is het wachten tot een willekeurige andere persoon/groep het ook kan en waar mijn bestanden dan blijven is maar de vraag...

jbhc @downtime • 29 november 2021 19:53

Jammer maar als een overheid(sfunctionaris) iets doet wat niet mag zal daar zelden een echte consequentie aan hangen anders dan misschien een promotie.

Phazx @downtime • 29 november 2021 16:43

Ook maar encryptie van whatsapp af, en ssl in de ban doen, toch? Zouden immers niet willen dat iemand plannen voor een aanslag deelt.

i-chat @downtime • 29 november 2021 16:45

Ik denk niet dat het de bedoeling van Privacy by Design was om een veilige haven voor criminelen, makers van kinderporno en terroristen te worden.

ik denk dat je daar wel gelijk in hebt

En waarom zou je plannen om een aanslag te plegen willen versturen? Wat ben je van plan?

ik geloof dat het sarcasme je enigszins ontgaat
Dergelijke wat heb je te verbergen retoriek gaat erg goed bij sommige mensen

Vroeger stond je geloof in je paspoort dus ook of je joods was want waarom eigenlijk niet, daar hoef je je niet voor te schamen toch

Hopelijk worden er nu niet te veel onschuldige dingen over mij geregistreerd 2040-2045 nadert rap

Frame164 @Beerebeest • 29 november 2021 19:27

Dat zel net zo moeilijk of makkelijk gaan als een ander huiszoekingsbevel. Als er een verdenking is dat jij iets doet wat niet door de beugel kan, kan de politie een huiszoekingsbevel vragen de officier van Justitie. Dat zal voor het opvragen van de sleutel hetzelfde gaan. Uiteindelijk is er geen verschil tussen iets wat jij in de la heb liggen of wat je ergens digitaal hebt.

Beerebeest @Frame164 • 29 november 2021 20:17

Volgens mij, maar ik ben daar niet 100% zeker van hoef ik nog steeds niet mee te werken aan het ontgrendelen van bestanden of een telefoon die ik versleuteld heb, en ik wil helemaal geen kinderporno of wat dan ook thuis hebben maar ik wil wel gewoon privacy hebben, dus ook als ik dingen over internet verstuur, net zoals mijn berichten in Signal...

BugBoy @Beerebeest • 30 november 2021 00:44

Je hoeft nooit mee te werken aan je eigen veroordeling. Dus je hoeft je sleutels dan ook niet af te geven. Overigens zijn er genoeg diensten die je data niet kunnen ontsleutelen, omdat ze de sleutel gewoon niet hebben.

-jacQues- 29 november 2021 16:24

Dus een service voor het gemak. Want niks weerhoud je ervan, om met bijvoorbeeld 7-zip bestanden te beveiligen en tegelijkertijd kleiner te maken en dan die via welke methode dan ook te versturen. Dat is niet alleen veilig(er), maar ook hou je zelf (ok, samen dan) volledige controle over de versleuteling, zonder dat je bang hoeft te zijn dat Privacy by design gehackt is. (Wanneer jij gehackt bent, maakt het überhaupt niet uit.)

downtime @-jacQues- • 29 november 2021 16:34

Ja, natuurlijk een service voor het gemak, want het grote probleem bij encryptie is vaak de veilige uitwisseling van de sleutels. Hoe verstuur je die op een veilige manier aan de ontvangers van jouw encrypted 7-zip bestanden? Dit soort diensten biedt daar een simpele oplossing voor.

FreshMaker @downtime • 29 november 2021 17:05

Wat is er mis mee, om ALS het al zo gevoelig is, om de bestanden dan zelf af te leveren ?
Of een totaal andere route voor de decryptiesleutels ?

Ik hoef de route niet te verzinnen, sterker nog ....
Het hele item komt bij mij binnen als een écht tweakers ( gebruikers ) probleem.

Ik zie ergens een issue, het is geen probleem, maar ik maak er een goed verhaal van, om het toch een probleem te maken.
zie GOT, burentopics, of webshops die niet aan de verwachting voldoen
Hier kan ik een oplossing verzinnen die ZO out of band is, dat het interessant genoeg lijkt om iets te maken.
Vervolgens is het niet niet gecompliceerd genoeg, want er moeten wat buzz-words in komen
* privacy
* encryptie
* retentie

En je dan over een jaar afvragen waarom die Nederlandse aanbieder zo populair is om (illegaal) wat files mee te delen in een vaag groepje .....
"Want je KAN er toch ook legaal iso's mee delen"
( torrents, of encrochat waar ook 'legalle' gebruikers zoals tandartsen gebruik van maakten .... )

[Reactie gewijzigd door FreshMaker op 26 juli 2024 00:24]

Mic2000 @FreshMaker • 29 november 2021 17:15

Niet iedereen is een tweaker, niet iedereen snapt de werking.

Ik ken mensen die met een soortgelijke dienst mij een mail sturen met een link er in om de bestanden te download mits ik de sleutel heb, en met direct een tweede mail krijg ik de sleutel binnen... ja dat schiet lekker op...

Ofwel diensten die goed ingericht zijn, de gebruiker duidelijk wijst op hoe versleuteling moet werken, hoe je een sleutel via een andere dienst / medium overdraagt is wel degelijk van belang in de samenleving.

Voor een tweaker misschien minder, die kan idd 7zip gebruiken...

amigob2 @Mic2000 • 29 november 2021 17:48

als je het goed doet werk je met een public key om het te encripte en een private key om het te decripten. en de gene die iets wil ontvang maakt dan een key set aan en kan vrij de public key rond sturen.

uiltje @amigob2 • 30 november 2021 00:39

Hoewel "cipher" en "cypher" allebei correct zijn (hoewel het laatste ouderwets is) is het wel "encrypten" en "decrypten".

FreshMaker @Mic2000 • 29 november 2021 17:22

Niet iedereen is een tweaker, niet iedereen snapt de werking.

Ik ken mensen die met een soortgelijke dienst mij een mail sturen met een link er in om de bestanden te download mits ik de sleutel heb, en met direct een tweede mail krijg ik de sleutel binnen... ja dat schiet lekker op...

Het ligt geheel van de gevoeligheid af.
Ik stuur vanaf mijn synology regelmatig links met daarin een download(set) ( muziek album oid )
De nas gebruikt mijn mailadres als afzender, dus als ik dan een WW verstuur, komt dat van hetzelfde mailadres.
Ook handiger om bij elkaar te houden, adres1@mail met link, en adres2@mail met WW is alleen maar verwarrend.

Stuur ik zakelijk een bestand, gebruik ik 99% van de tijd de onedrivefuncties, met, jawel hetzelfde mailadres als afzender EN ontvanger.

Zoals ik al zei, er is misschien een kleine usecase ( klokkenluiders ) maar imho een héél omslachtige manier om iets op te lossen wat eigenlijk alleen maar heel oppervlakkig een probleem is

Frame164 @FreshMaker • 29 november 2021 19:21

Als het geen probleem is waarom lekt er dan nog zoveel uit omdat veel mensen niet weten hoe ze een groot bestand veilig kunnen transporteren?

vrow @Frame164 • 29 november 2021 19:38

Tja, dan moeten we beginnen met ondoorzichtige hoesjes en je rugtas niet afdoen in de trein :-)

FreshMaker @Frame164 • 30 november 2021 08:56

Denk je werkelijk dat 'lekken' hiermee worden voorkomen ?

Ten eerste moet je al bepalen OF een lek een ongeluk is, of opzet ...

SinergyX @downtime • 29 november 2021 17:06

Deze verstuur je namelijk ook niet tussen verzender en ontvanger, deze blijft altijd bij PbD aanwezig. Enige wat van A naar B gaat is dat jij PdB laat weten dat jij de juiste ontvanger bent en de unencrypted data wil zien.

BugBoy @-jacQues- • 30 november 2021 00:38

Of je gebruikt https://transferxl.com dat minstens 5 jaar exact dit doet. Client-side encryptie met AES-256 en uitpakken met 7-zip.

xvoid @BugBoy • 30 november 2021 15:48

Of je gebruikt https://transferxl.com dat minstens 5 jaar exact dit doet. Client-side encryptie met AES-256 en uitpakken met 7-zip.

Ik gebruik helemaal geen meuk van dubieuze bedrijven waarvan ik niet weet hoe ze met privacy omgaan,.
Het is makkelijker/sneller om het zelf te regelen en bovendien weet je dan wat er gebeurt,

Of het nu pbd, wetransfer or een andere partij is, je kunt nooi zeker weten of ze te vertrouwen zijn

BugBoy @xvoid • 30 november 2021 21:07

Het is niet makkelijker/sneller om het zelf te regelen. Dan moet je toch echt iets gaan hosten en dat is niet voor iedereen haalbaar. Ik breng de auto ook wel naar de garage, ondanks dat ik weet dat het daar niet altijd goed gaat. Maar ik heb niet de tijd en kennis om het zelf te doen. Dus ik vertrouw er toch maar op...

TransferXL vertrouw ik helemaal, want ik heb er zelf aan meegewerkt

Veel mensen denken dat wij verdienen aan gebruikersdata of het verkopen van e-mailadressen. Dat is niet waar. Het business-model is volledig gericht om mensen te verleiden een abonnement te nemen (100% freemium model dus). Verdienen aan de gebruikersdata kan alleen uit als je heel veel data hebt (zoals Google, Facebook, ...). Het kost ook best wat effort om goed te verzamelen en dan moet je het ook nog zien te verkopen.

PS: WeTransfer is volgens mij ook geen dubieuze club (heb er geen enkele relatie mee). Die hebben het heel knap gedaan. Perfecte timing, precies genoeg functionaliteit en goed imago. Technisch wellicht wat achterhaald, maar wel degelijk en betrouwbaar (in de zin dat het gewoon werkt).

xvoid @BugBoy • 1 december 2021 09:27

Het is niet makkelijker/sneller om het zelf te regelen. Dan moet je toch echt iets gaan hosten en dat is niet voor iedereen haalbaar. Ik breng de auto ook wel naar de garage, ondanks dat ik weet dat het daar niet altijd goed gaat. Maar ik heb niet de tijd en kennis om het zelf te doen. Dus ik vertrouw er toch maar op...

Ik ben een nerd/Tweaker en geen doorsnee consument. Zelf regelen is dan de regel ;-)

TransferXL vertrouw ik helemaal, want ik heb er zelf aan meegewerkt Veel mensen denken dat wij verdienen aan gebruikersdata of het verkopen van e-mailadressen. Dat is niet waar. Het business-model is volledig gericht om mensen te verleiden een abonnement te nemen (100% freemium model dus). Verdienen aan de gebruikersdata kan alleen uit als je heel veel data hebt (zoals Google, Facebook, ...). Het kost ook best wat effort om goed te verzamelen en dan moet je het ook nog zien te verkopen.

PS: WeTransfer is volgens mij ook geen dubieuze club (heb er geen enkele relatie mee). Die hebben het heel knap gedaan. Perfecte timing, precies genoeg functionaliteit en goed imago. Technisch wellicht wat achterhaald, maar wel degelijk en betrouwbaar (in de zin dat het gewoon werkt).

Het is dat jij het zegt.....maar het blijft uiteindelijk een kwestie van vertrouwen.
Je gaat toch ook je email niet bij Google of Microsoft laten hosten? ;-)

GertMenkel @-jacQues- • 29 november 2021 17:26

Het gebrek aan verificatie van de afzender is wel dubieus. Aangezien het gebruik van IRMA hier wordt vereist, lijkt het me een relatief kleine stap om ook de afzender te authenticeren voordat het bestand wordt verzonden. Dat scheelt een hoop spam via de servers van de stichting.

Schwin 29 november 2021 16:11

Is het FOSS? Nee? Liever niet dan..
"De cryptografische sleutels waarmee de bestanden zijn versleuteld, liggen bij Privacy by Design."
What could wrong..

FateTrap @Schwin • 29 november 2021 16:50

Een goede FOSS app voor geëncrypteerde bestandsoverdracht is Magic Wormhole. Het enige nadeel is dat de twee computers online moeten zijn tijdens een overdracht. Maar Magic Wormhole heeft geen bestand limiet van 2GB en je kunt eigenlijk meer dan 50 GB aan data doorsturen in één enkele overdracht met deze app. Ik gebruik het vaak om data te verzenden van een FreeBSD desktop naar een Ubuntu laptop, of om data te verzenden van mijn FreeBSD desktop naar familieleden die Linux gebruiken. Het werkt normaal ook op windows10, maar dat heb ik nog niet geprobeerd want ik weet dat Python en windows10 een nachtmerrie kunnen zijn op gebied van implementatie.

GertMenkel @Schwin • 29 november 2021 17:15

Huh? De code staat toch op Github?

Er staat weliswaar geen licentie bij dus FOSS is het niet, maar je kunt wel zelf de code downloaden en draaien als je wilt (of het ook mag is een tweede punt natuurlijk, dus wellicht is het niet slim om daar als bedrijf een eigen server van op te zetten).

Het sleutelprobleem kun je voorkomen door alleen versleutelde bestanden te versturen (archieven met de juiste versleuteling zijn niet te kraken). Elk ander systeem waarbij de sleutel in je browser wordt gegenereerd of gedeeld, zoals die van Mega, is onveilig aangezien de server waar je de data naartoe stuurt je ook de code voert die de bestanden versleutelt. Een backdoor in een sleutelgeneratiealgoritme is niet makkelijk te vinden, helemaal niet als je het gewoon gebruikt!

PdeBie @Schwin • 29 november 2021 16:39

FOSS?

glennoo @PdeBie • 29 november 2021 16:41

Free and Open Source Software.

PdeBie @glennoo • 29 november 2021 16:42

Check, thanks

HKLM_ 29 november 2021 16:14

Een gratis dienst is nooit gratis

bvdbos @HKLM_ • 29 november 2021 17:24

Die wordt hier betaald door de eigenaren van domeinnamen, mede gefinancierd door SIDN

Frame164 @bvdbos • 29 november 2021 19:22

En die halen het van hun winst af? Of gaan ze de tarieven verhogen?

moonlander @bvdbos • 29 november 2021 18:37

Niks is gratis! En uiteindelijk willen de financiers ook geld zien

jurroen @moonlander • 29 november 2021 21:57

SIDN is een stichting én het beheerorgaan van de .nl TLD. Het is dus geen venture capital firma

Ze doen best toffe dingen en sponsoren ook andere toffe projecten

BugBoy @jurroen • 30 november 2021 00:48

Laat SIDN doen waar ze voor zijn opgericht (domein beheren). Feitelijk is dit oneerlijke concurrentie voor de commerciële partijen die dit ook aanbieden.

familyman @moonlander • 29 november 2021 20:16

Sidn is een stichting?

laurens0619 29 november 2021 16:52

Ik snap dit initiatief niet helemaal:
- Als ik een bestand wil versturen, dan moet de ontvanger hem ontsleutelen met de IRMA app. De irma app installeer je en activeer je dmv een ontvangen code die je ontvangt via je email

Aanval met bv Wetransfer:
- Je mailbox is gehackt en een hacker onderschept een wetransfer linkje
- Hacker klikt op linkje en kan het bestand downloaden.

Aanval met bv Cryptify:
- Je mailbox is gehackt en een hacker onderschept een Cryptify linkje
- Hacker klikt op linkje en krijgt melding dat IRMA app nodig is
- Hacker installeert IRMA app, onderschept de activatiecode op de gehackte mailbox
- Hacker download bestand

In beide gevallen leidt mailbox toegang tot het ontsleutelde bestand.
Als ze de server hacken dan kunnen ze alleen bij encrypted data, dat is een voordeel, voor historische data (neem aan dat die snel verwijderd wordt).

Een MFA app die je louter via het gelinkte email account kan activeren maakt de aanval trager, maar niet anders. Of mis ik iets?

[Reactie gewijzigd door laurens0619 op 26 juli 2024 00:24]

kodak

Nederland
Privacy

@laurens0619 • 29 november 2021 17:24

Het probleem wat je noemt is niet de app, maar dat je al een probleem hebt met een communicatiemiddel. Als de code per post komt kan je klagen dat iemand al bij je brievenbus kan, als het per sms is dat iemand toegang tot je sms heeft, als je het aan een ander zou vertellen dat het te horen is. Het is dus hoe dan ook dus belangrijk dat je voor privacy op het communicatiemiddel kan vertrouwen.

laurens0619 @kodak • 29 november 2021 17:31

Als de code per post of sms zou komen dan is het een apart kanaal van de link die via mail komt, out of band. Dat is significant veiliger omdat de aanvaller eerst moet uitdokteren wat bij wat hoort (welk post of sms bij welk email) en daarna het 2e kanaal moet hacken.

Nu lijkt het door de app een soort mfa te hebben maar door de manier van activatie is het wat mij betreft geen mfa

[Reactie gewijzigd door laurens0619 op 26 juli 2024 00:24]

kodak

Nederland
Privacy

@laurens0619 • 29 november 2021 19:04

Laten we de twee problemen uit elkaar houden. Jij stelde dat als een communicatiemiddel gehackt is er iets mee te doen is door een crimineel. Daar gaat mijn antwoord over.
Nu stel je dat als er twee kanalen zijn het veiliger is. Ik ben het er mee eens dat dat veiliger kan zijn. Maar dan hangt het er alsnog vanaf op welke middelen je kan vertrouwen. Iemand met toegang tot je mail kan dat bijvoorbeeld hebben omdat die toegang heeft tot je account waarmee je zowel je mailclient als browser gebruikt. Het is bij MFA dus net zo goed bekangrijk te beseffen tegen welk problewm je het nu wil gebruiken.

laurens0619 @kodak • 29 november 2021 19:27

Ow nee

Ik stelde alleen dat die hele qr code constructie met die app onzinnig is en ze net zo goed de code naar de mail kunnen sturen

Op dit item kan niet meer gereageerd worden.

Nederlanders tonen eerste versie van dienst die versleutelde bestanden verstuurt

Lees meer

IT-banen

Reacties (104)

Sorteer op:

Weergave: