Proton na externe audit: betaalde VPN-dienst houdt geen logs bij

Proton heeft een audit laten uitvoeren op zijn ProtonVPN-dienst. Een onafhankelijk securitybedrijf concludeert daarin dat de dienst inderdaad geen logs bijhoudt van verkeer van gebruikers. Bij de gratis dienst wordt er wel een netwerkinspectie gedaan om bittorrentverkeer tegen te gaan.

Proton liet de audit uitvoeren door beveiligingsbedrijf Securitum. Volgens het bedrijf zijn de resultaten daarvan goed, al zijn alleen de conclusies openbaar en niet het hele rapport. Securitum onderzocht alle applicaties van Proton, waaronder ProtonMail en ProtonVPN. Een belangrijke conclusie uit het rapport is dat de vpn-dienst van het bedrijf geen logs bijhoudt van waar een gebruiker naartoe surft. Er wordt zowel geen inhoudelijke data verzameld als geen metadata zoals dns-verkeer.

Bijna alle serieuze vpn-diensten zeggen een no-loggingbeleid te hebben, maar er zijn er maar weinig die dat bewijzen aan de hand van audits door derde partijen. ProtonVPN werd eerder wel in een rechtszaak gevraagd logs te overhandigen maar gaf toen geen informatie prijs vanwege het vermeende beleid.

Securitum concludeert wel dat de gratis vpn-dienst van het bedrijf aan netwerkinspectie doet. ProtonVPN biedt die gratis dienst naast de betaalde service aan. Bij die gratis dienst inspecteert het moederbedrijf wel het netwerkverkeer. "Deze inspectie vindt plaats om bittorrentverkeer te blokkeren die de werking van de gratis servers kan beïnvloeden", schrijft het auditbedrijf. Proton gebruikt daarvoor nDPI, maar houdt er geen logs van bij. "Naar de mening van Securitum beïnvloedt deze inspectie de privacy van gebruikers niet omdat het geen logs bijhoudt van welke gebruikers bittorrentverkeer gebruiken."

Door Tijs Hofmans

Nieuwscoördinator

13-04-2022 • 16:42

93

Submitter: Anonymoussaurus

Reacties (93)

93
92
35
7
0
39
Wijzig sortering
Er zijn recent nog wat meer ontwikkelingen binnen Proton, die overigens nog niet allemaal allemaal 'officieel' zijn aangekondigd door Proton:

WireGuard configs zijn sinds deze week los te downloaden, je hebt dus niet de ProtonApp meer nodig: https://reddit.com/r/Prot..._files_are_now_available/

Ze hebben vorige maand Port Forwarding uitgerold, voor betere Torrent prestaties, die in de Beta beschikbaar is: https://protonvpn.com/support/port-forwarding/

ProtonMail heeft sinds vorige week een nieuwe email domeinnaam in gebruik genomen, namelijk: @proton.me. https://protonmail.com/blog/protonme-domain/

Een van de redenen hiervoor is om ervoor te zorgen dat er nieuwe namen geregistreerd kunnen worden die nu in 'beslag' zijn genomen door inactieve gebruikers. Zo kan de naam JohnDoe@proton.me geregistreerd worden door een andere gebruiker wanneer JohnDoe@protonmail.com inactief is. Als je account niet inactief is of als je premium bent heb je hier geen 'last' van. Wel even inloggen op Protonmail en je @proton.me naam claimen. Dit dus in tegenstelling tot het protonmail.com, protonmail.ch en pm.me domein die wel automatisch gekoppeld zijn.

Sinds vandaag is de Kalender app als stable voor Android vrijgegeven: https://protonmail.com/blog/

Ze hebben in september een audit gedaan op hun Mail, VPN, Calendar en Drive applicatie en de resultaten hiervan in februari gepubliceerd https://protonmail.com/blog/security-audit-all-proton-apps/.
Helaas hadden ze de ProtonVPN app versie met Wireguard ondersteuning net niet meegenomen in de audit.

Een andere opvallende verschijning is dat gebruikers die van de gratis VPN servers gebruik maken in NL en USA soms te zien krijgen dat ze zich in Rusland bevinden. De reden hiervoor is dat sommige diensten de telefoon locatie gegevens gebruiken om een locatie vast te stellen en door het flink gestegen gebruik in Rusland dus denkt dat alle gebruikers met dat IP zich in Rusland bevinden.

Hier is een Road Map te zien met wat er op de planning staat voor 2022:
https://protonmail.com/blog/2022-roadmap/
Het allemaal mooi en fantastisch maar de prijs is voor mij ook een punt, zit nu bij een VPNDienst waar ook! geen logs worden bijgehouden en dat al voor 1 jaar en kan zeggen dat het allemaal goed werkt.

Nu zag ik bij ProtonVPN dat het €6.63 per maand kost bij een 2 jarig abbo. Dus denk ongeveer (misschien) € 4,25 per maand als het een 3 jarig abbo zou zijn.

Betaal nu voor een 3 jarig abbo €45.00 dus €1,25 per maand, proton zal best goed zijn, zijn prijs ook :)
Anoniem: 454358 @djfox74113 april 2022 22:10
Ja genoeg von aanbieders die van alles beloven, maar wel apps op je of installeren die diep in je netwerk instellingen zitten, constant (background) processen. En niemand die weet wie die bedrijven zijn, wie hun eigenaren precies zijn en hoe ze zoveel geld verdienen voor de enorme promotie die ze doen.
Onbegrijpelijk dat die diensten massaal vertrouwd worden, enkel omdat ze zeggen dat ze niks loggen.
genoeg aanbieders die ook gewoon openvpn opties aanbieden...
Het allemaal mooi en fantastisch maar de prijs is voor mij ook een punt, zit nu bij een VPNDienst waar ook! geen logs worden bijgehouden en dat al voor 1 jaar en kan zeggen dat het allemaal goed werkt.
Mogen we weten de welke?
45 voor een 3 jaar? Dat zal wel een grote naam zijn zoals Nord, Wind, IPvanish kan ik zo opnoemen, deze stunten nog best wel met hun prijzen.
Tuurlijk, dacht alleen dat ik geen reclame mocht maken.

https://www.5eurovpn.com/nl

O, zie dat het duurder is geworden, ja dat kan alles is duurder geworden.

[Reactie gewijzigd door djfox741 op 23 juli 2024 16:29]

Waarom niet Mullvad dan?

[Reactie gewijzigd door StrongArmLance op 23 juli 2024 16:29]

Ik weet niet hoe jij aan de prijs van € 45 voor 3 jaar komt. Op de site die jij noemt staat onder prijzen het volgende voor jouw keus:
3 jaar abonnement
€180.00 €90.00 voor 3 jaar, betaling elke drie jaar
Waarschijnlijk een black friday actie. VPN aanbieders willen dan nog wel eens stunten met hun prijzen.
VPN aanbieders stunten 24/7 met hun prijzen, pak een random tech youtube kanaal er bij en de aanbiedingen vliegen je om het hoofd.
Als je verder had gekeken dan had je mijn antwoord op @OxWax gelezen maar zet die inhoud nog even neer.....

Tuurlijk, dacht alleen dat ik geen reclame mocht maken.
O, zie dat het duurder is geworden ja dat kan, alles is duurder geworden.
Zo kan de naam JohnDoe@proton.me geregistreerd worden door een andere gebruiker wanneer JohnDoe@protonmail.com inactief is.
De grootste reden dat @proton.me er bij is gekomen is omdat een korter domein een veel gevraagde functie was, dus er zullen veel gebruikers zowel als protonmail.com als proton.me claimen, puur om een korter mail te hebben.

Maar wat als JohnDoe@protonmail.com weer actief is, wat gebeurd er dan aangezien zij niet willen dat er twee verschillende gebruikers met de zelfde 'gebruikersnaam' actief zijn?
De grootste reden dat @proton.me er bij is gekomen is omdat een korter domein een veel gevraagde functie was
En @pm.me dan? Die is nóg korter en hadden ze al.
Interessant, wel weer vreemd dat het claimen van @pm.me weer heel anders gaat daan @proton.me.

Daarnaast is een korter domein een veel gevraagde functie geweest, zie: https://protonmail.com/blog/2022-proton-survey-insights/

En ze introduceren proton.me als:
Today, we’re happy to introduce proton.me, an additional email domain you can use to send and receive email securely! A shorter email domain was one of the most requested features from the Proton 2022 survey, so we’re pleased to provide this option to you.
Zie: https://protonmail.com/blog/protonme-domain/

Snap er dan helemaal niks meer van, aangezien @pm.me al perfect kort is.
Zit er een verschil tussen @proton.me(Identity) & @pm.me (Onder general settings)
Bovendien is Proton bij mijn weten de enige VPN dienst die TCP BBR gebruikt om de effecten van hoge latency te beperken. Als je Starlink gebruikt, of je gebruikt vaak servers aan de andere kant van de oceaan, dan is Proton wel de GoTo VPN dienst.
Met WireGuard (UDP) heb je daar sowieso niet zo’n last van denk ik?
Nee, TCP applicaties binnen de UDP tunnel ondervinden nog steeds dezelfde latency en packet loss.
Stel je activeert het korte adres niet, loop je dan het risico dat mensen er van uit gaan dat naam@proton.me jouw alias is. Maw een milde vorm van identiteitsfraude mogelijk gemaakt door een bedrijf dat op privacy gericht is?
Meh, dat kan toch met elk adres? Wat is het verschil hier tussen proton.me en Gmail.com?
Omdat ze door het eenvoudig claimen de kans groot maken dat het een alias betreft.
Hebben ze ook obfuscation over hun WireGuard protocol heen zitten of is het "puur" WireGuard?

Zonder obfuscation is WireGuard redelijk waardeloos binnen (te) strenge bedrijfsnetwerken of landen als China: die herkennen gewoon dat een datastroom/poort/fingerprint WireGuard is en blokkeren die vervolgens.
Leuk zo'n onderzoek naar loggings, maar vraag mij af of ook alle source code is ge-audit op backdoors (bedankt rbr320 ;) ). Het is een publiek geheim dat via allerhand vage constructies VPN-diensten beïnvloed worden/opgezet zijn door inlichtingendiensten. En nee ik ben absoluut geen complotdenker!

[Reactie gewijzigd door MazDaMan1970 op 23 juli 2024 16:29]

In de tijd dat je deze reactie hebt getikt had je ook wel kunnen googelen natuurlijk.

Eerste hit bij "protonvpn source code audit": All ProtonVPN apps are now open source and audited
Maar niemand kan garanderen dat de intern gebruikte versie een directe build van die code is. Dus de vraag blijft staan.
Maar omdat het open-source is staat niets je in de weg om het zelf te controleren...
-

[Reactie gewijzigd door mbo op 23 juli 2024 16:29]

Ik begreep je inderdaad verkeerd, ik had er even niet bij stil gestaan dat er op een server ook nog software draait... 8)7
My bad...
Ehh ja dat is dan ook juist de code die van belang is natuurlijk. Wat je op de client draait gaat uiteraard geen dingen lekken, dat is makkelijk te achterhalen door iedereen met een beetje technische kennis.
Dat hebben ze blijkbaar 2 jaar geleden al laten doen: All ProtonVPN apps are now open source and audited
Ok, dat had ik nog niet gezien. Zegt natuurlijk nog niet alles, maar het geeft iig wel een stuk meer vertrouwen!
Ik zie niet in waarom dat meer vertrouwen geeft. Er is niets dat kan aantonen dat de software die ze zelf gebruiken identiek is aan diegene waarvan ze de broncode publiceren.
Met de hash van de opensource code zou je dat moeten kunnen controleren, maar echt helemaal handig is dat niet (Je hebt volledig identiek systeem + compiler nodig als je het echt wil checken)
Maar je hebt geen toegang tot het systeem, dus hoe controleer je of dan of die hash wel bij de actieve software hoort?
Standaard hashes zijn te faken, oftewel je moet al naar de geavanceerdere hashes toe gaan.
Alleen dan zit je weer met het probleem dat als jij de toegang hebt om hashes te trekken van draaiende systemen, dat je dan vrijwel zeker ook het verkeer kan inzien en loggen.

Het probleem is simpelweg dat dit soort claims nooit te bewijzen zijn (/je kan hooguit de letterlijke tekst pakken, niet de geest van de tekst)
En dat mag je dan bij elke app update opnieuw doen. Bovendien moet ook elke gebruiker dat dan telkens doen. Je weet immers niet of een geheime dienst Apple dwingt om een gemodificeerde versie van de app naar specifieke gebruikers te pushen.
Vandaar ook mijn opmerking
Zegt natuurlijk nog niet alles
;)
Dat mag dan wel zo zijn dat ze niets loggen, maar dat betekent niet dat ze wel degelijk gaan loggen als er een gerechtelijk bevel komt waarin staat dat ze daar aan moeten voldoen.

Dat is nou net het punt. Er zullen vast meerdere aanbieders van VPN niets loggen. Maar ze moeten wel meewerken aan gerechtelijke bevelen van het land waarin ze zijn gevestigd en van landen waarmee zijzelf en/of het land waarin ze zijn gevestigd gerechtelijke samenwerkingen zijn aangegaan.

Bij Proton zullen ze vast gaan protesteren tegen zo'n bevel, maar ook zij zullen er eerst gehoor aan moeten geven, voordat het kan worden betwist.
Dat klopt, ProtonVPN geeft ook gewoon toe dat ze gewoon meewerken met een gerechtelijk bevel, ze moeten tenslotte aan de wet voldoen. Wel gaan ze pas loggen nadat dit gerechtelijke bevel op de juiste manier bij ze is binnen gekomen, niet daarvoor al. Dit is ook in andere reacties al gezegd en ging ik dus niet nog een keer herhalen, mijn reactie was puur op de twijfel die @MazDaMan1970 uitte over de betrouwbaarheid van de software.
Dat klopt, ProtonVPN geeft ook gewoon toe dat ze gewoon meewerken met een gerechtelijk bevel, ze moeten tenslotte aan de wet voldoen. Wel gaan ze pas loggen nadat dit gerechtelijke bevel op de juiste manier bij ze is binnen gekomen, niet daarvoor al.
Waardoor dus het hele "no-logging" verhaal vervalt tot een lege reclame-kreet.

Feitelijk is het enige wat ze zeggen dus : Wij loggen niets van de klant zolang er geen interesse voor is.
Wat zolang het loggen niet je moneymaker is, gewoon een ordinaire kostenbesparing is en niets zegt over hoe veilig je daar bent.
Ik vind dat er nogal een verschil zit tussen "interesse" en meewerken met de arm der wet. Als je dat laatste niet doet bestaat er heel snel geen ProtonVPN meer. Je wilt niet met je dienst criminaliteit faciliteren.
Anoniem: 334725 @rbr32013 april 2022 17:49
Persoonlijk vind ik dit niet zo relevant, omdat we helemaal niet weten wat er daadwerkelijk op de Proton servers draait. Uiteindelijk vertrouw je het bedrijf, en niets anders. Voor echte privacy en veiligheid moet je denken aan decentrale systemen.
Voor echte privacy en veiligheid moet je denken aan decentrale systemen.
Juist niet, met een centraal systeem kan je simpelweg alles tracen.
Terwijl je met een decentraal systeem enkel iets over het protocol kan zeggen en niets over de inhoudelijke afhandeling op elke decentrale node.

Aangezien elke node aangepast kan zijn. Enkel input en output hoeft gelijk te zijn om het te laten werken.
Voor een willekeurige VPN-dienst zou ik daar wel in meegaan. Proton is net iets breder in de opzet van haar diensten en komt voort uit de basis van de Proton Maildienst.

Hun fundament is 'secure' diensten, ook als dat gebruiksvriendelijkheid net iets in de weg zit.

Wat dat betreft heeft Proton ook een goed track record opgebouwd, waardoor ik het meer credit geeft dan de eerste beste VPN-dienst die vooral adverteert met hoe makkelijk ze je het maken om geoblocks te ontlopen.

Dus ja, er zijn vage dingen denkbaar. Maar hun track record is aardig.
hun track record is aardig
Klopt, ik wilde hiermee ook niet direct beweren dat ze een onbetrouwbare partij zijn. Maar ik kan mij niet aan de indruk onttrekken dat er veel louche VPN-boeren er tussen zitten. Het is iig heel gemakkelijk om zelf een VPN dienst te beginnen & er zitten daardoor best wel wat "Cowboys" er tussen.
Het probleem is dat er wereldwijd menige wetten zijn die eisen dat een dienst niet secure is.

Dus of je houdt je aan de wet, of je beperkt je tot een beperkte regio, of je biedt gewoon simpelweg niet de security aan. Veel andere keuzes heb je niet echt.

Of tenminste, dat is als je uitgaat van de geest van de uitspraak, technisch gezien kan je best een machine bouwen die secure dingen afhandelt terwijl alle in- en output 24/7 gemonitord wordt, waardoor je een papieren-security verkoopt.
Proton, dat bedrijf dat ondanks hun anonimiteitsbelofte user-IPs kon overhandigen van een ProtonMail user nadat daar naar gevraagd werd?

Edit: nieuws: Protonmail verstrekt IP-adres van activist na bevel Zwitserse autorit...

[Reactie gewijzigd door HenkEisDS op 23 juli 2024 16:29]

Het ligt iets genuanceerder:
"Het bedrijf begint naar eigen zeggen pas met het loggen van het IP-activiteiten van specifieke accounts nadat het bedrijf een bindend gerechtelijk bevel daartoe ontvangt van Zwitserse autoriteiten, zoals ook wordt vermeld in de privacy voorwaarden van Protonmail. Daarbij keuren Zwitserse autoriteiten alleen verzoeken goed wanneer de Zwitserse wet wordt overtreden door een verdachte, schrijft Protonmail."
Ok, ze moeten zich aan de wet houden, dus op zich is dat ook niet vreemd dat dat gebeurt. Ik heb daar persoonlijk ook geen enkele moeite mee!
In Rusland is de wet dat iedereen gemonitord moet worden en putin heeft vast wel een rechter die dat wil bevestigen.... Zouden ze dat bevel ook opvolgen? :)
Maar ook Amerika is niet vies van burgers en regeringleiders van bevriende naties bespioneren.

Uiteindelijk ben je nooit 100% zeker. Advies: Hou je aan de wet ;)
Anoniem: 1532362 @bzuidgeest13 april 2022 17:25
Zolang je niets doet waar Putin moeite mee heeft, zijn de russische ProtonVPN servers misschien dus juist een veilige keuze als EU burger, Rusland zal niet snel meewerken met een onderzoek van een EU lidstaat.
Maakt dat uit waar die servers staan? Follow the money! Als America zegt geeft onze de gegevens van iemand die een of andere aanval doet van een Russische server, en Proton zegt nee, dan zegt America dat Proton geen service mag leveren na America als ze niet willen meewerken met Amerikaanse wetten.
In Rusland is de wet dat iedereen gemonitord moet worden en putin heeft vast wel een rechter die dat wil bevestigen.... Zouden ze dat bevel ook opvolgen? :)
Nee, ze vallen onder de Zwitserse wet, niet de Russische.
Advies: Hou je aan de wet ;)
Hier is dat inderdaad een goed idee en niet eens moeilijk.
Als je ziet wat er nu in Rusland gebeurt is het een heel ander verhaal natuurlijk. Spreken over "de oorlog" kan je al 10 jaar cel kosten.
Proton heeft in zweden ook geen optie om er tegen in te gaan helaas.

There was no legal possibility to resist or fight this particular request. Aldus Proton.
Het ligt zelfs nóg genuanceerder: de locatie van de dienst wordt als marketing materiaal gebruikt terwijl Zweden Zwitserland niet bepaald perfect is. Ja, ze werder bij wet gedwongen, nee dat maakt het niet ineens goed. Ze zitten bijvoorbeeld in tegenstelling tot CTemplar in een land waar geen bezwaar gemaakt kan worden tegen zo'n bevel.

Edit: correctie, vergissing, als ik ze vergelijk blijf punt wel hetzelfde overigens.

[Reactie gewijzigd door nst6ldr op 23 juli 2024 16:29]

Zweden? In het voorbeeld ging het toch om Zwitserland?
En zo… onstaat “fake news”. Pas toch op met wat je op het internet schrijft.
Het grote probleem bij VPN providers is dat logs bijhouden helemaal niks betekend, immers als er een verzoek komt om mee te werken kunnen ze gewoon live kijken en de informatie doorgeven. Daar zijn geen logs voor nodig.
Het is vrij duidelijk dat Proton daar echt geen andere keuze had. Ze werden gedwongen deze informatie te loggen om vervolgens door te spelen naar de autoriteiten. Het is niet zo dat deze standaard al opgeslagen werden.

Je kan zeggen wat je wilt, maar Proton heeft hier echt al veel meer gedaan dan menig ander bedrijf zou doen. Er zijn zelfs zat bedrijven die alles wat ze van je weten overhandigen als een agent daarom vraagt, zonder bevel van de rechter.
Wat heeft dat hiermee te maken? In dit geval is Proton VPN niet verplicht te loggen, tenzij ze daartoe verplicht worden door een rechter. Iets dat ze standaard niet doen, en in dit geval dus onder wettelijke dwang hebben gedaan voor deze ene gebruiker.

Ik ben niet bekend met de wetgeving op dat gebied binnen NL of de VS, maar ik kan mij enigszins voorstellen dat binnen Nederland VPN aanbieders onder de telecommunicatiewet vallen. In dat geval zullen ze inderdaad verplicht zijn bepaalde zaken te loggen, en deze op verzoek van de rechter te overhandigen.

Dus ja, mocht bovenstaande kloppen, dan hebben VPN aanbieders geen enkele andere keuze mochten ze zich aan de wet willen houden.

Of bedoel je dat Proton fout heeft gehandeld door mee te gaan in de verplichting opgelegd door de rechter, en dat aanbieders binnen NL/VS dat niet gedaan zouden hebben? Zo ja, zou jij mij dan voorbeelden kunnen laten zien waarbij VPN aanbieders hun eigen bedrijf op het spel zetten door minachting van de rechtbank?

[Reactie gewijzigd door Hatsjoe op 23 juli 2024 16:29]

Ik ben geen fan meer van proton... Mullvad FTW :) Voor VPN dan, Mullvad heeft geen email dienst. Echter heb ik op het gebied van email toch al geen verwachting van privacy. Email is gewoon passe.

Protonmail heeft nogal wat kritiek gekregen zoals hier en ze hebben geprobeerd dat met advocaten te blokkeren. In plaats van gewoon openheid van zaken te geven als het niet zo zou zijn.

Ik weet zelf ook niet precies wat er van waar is, sommige beweringen lijken me wat sterker dan anderen. Maar de handelswijze qua advocaten vind ik niet correct, met name omdat die site doorspekt is van bronvermeldingen. Dat ze het liever stilletjes zien verdwijnen in plaats van het actief ontkrachten vind ik geen fijne werkwijze.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 16:29]

Email is passe?

Niet in mijn optiek. Email is nog altijd relevant, vooral voor personen die tot op de letter nauwkeurig verzoeken, documentatie, work-arounds, commentaren enz. moeten reproducren. Zelfs als dat allemaal jaren terug heeft gespeeld.

Probeer dat eens te doen met eenderwelke chat-applicatie. Deze hebben zeker hun nut, want het vaak directer. Maar het is vaak knudde gesteld met het terugzoeken van inhoud in die chat-applicaties.

Er zijn echt al meerdere pogingen ondernomen om een alternatief op te zetten voor email met kwaliteiten van chat applicaties ingebouwd. Of chat applicaties met kwaliteiten van email ingebouwd. Whatever je meer aanspreekt. Toch zitten we nog altijd met aparte applicaties, want zo simpel blijkt het toch allemaal niet te zijn.

Dat jij persoonlijk email hebt afgeschreven, prima. Als dat voor jou werkt, dan werkt dat voor jou. Maar om dan gelijk te stellen dat email passe is, dat is dan weer teveel van het goede.

Voor werk heb ik echter een mail archief waarin 15 jaar aan data zit. En ik moet dat archief nog altijd regelmatig raadplegen. Ik geloof dus niet dat email passe is. En ik denk ook dat ik niet de enige ben die daar zo over denkt.
Ik vind het vooral passe omdat het een grote rommelbak is geworden met alle spam, en omdat het geen E2E biedt.

Hierdoor is een moderne mailbox eigenlijk verworden tot een ouderwetse notificatiedienst. "Je hebt 1 nieuw bericht, log in op onze portal!". Je kan niet zorgen dat meelezers het niet kunnen lezen dus niemand vertrouwt het meer voor gevoelige gegevens. Je kan de afzender niet valideren dus niemand vertrouwt een mailtje meer om op te klikken. Legitieme emails komen om de haverklap in spamfilters terecht en omgekeerd. Het is gewoon kapot. Het wordt nog een beetje gebruikt omdat er niks beters is, maar het doet gewoon niet meer wat het moet doen.

Ik vind dat er wel nog een plaats is voor een email dienst. Maar email als zijnde SMTP is gewoon door en door verrot omdat het met de naieve blik van de jaren '70 is uitgevonden. De uitbreidingen om spam tegen te gaan zijn niet meer dan lapmiddeltjes. Voor het detecteren van malware leiden we mensen op om te kijken naar foutjes van de email schrijvers zoals fout taalgebruik, dingen die in principe helemaal geen relatie hebben met het legitiem zijn of niet.

Het heeft gewoon een rewrite vanaf 0 nodig. Helaas is daar niemand mee bezig, en als het al gebeurde dan zou het een commerciele partij zijn die het geen open standaard zal maken.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 16:29]

Je kan niet zorgen dat meelezers het niet kunnen lezen dus niemand vertrouwt het meer voor gevoelige gegevens
Daar zijn aparte oplossingen voor. Veilig mailen bestaat wel degelijk. Zo heb je PGP bv. Oplossingen zoals Zorgmail of Cryptshare dat eigenlijk een soort digitale fax is. Zelfs de Rechtspraak is fax achter zich gaan laten, wat alleen gebruikt werd voor de ontvangst zekerheid.

Verder kan je bijlages natuurlijk in zip bestanden met wachtwoorden versturen.

Het zijn een beetje houtje-touwtje pleister oplossingen, maar je gaat mail niet vervangen krijgen door het brede gebruik en de vele implementaties. Zie maar eens een paar miljard gebruikte mail adressen zonder horden of stoten over te zetten naar een nieuw systeem dat net zo algemeen gebruikt wordt en dat net zo onafhankelijk is, zodat niet een commerciële partij er mee wegloopt.

Er zijn ook veiligere oplossingen dan HTTPS, want zo heel veilig is dat ook niet, zelfs met de houtje-touwtje oplossingen eromheen. Het is gewoon lastig zulke legacy weg te krijgen.
Mullvad komt uit Zweden. Dat is 14-eyes territory. Maar is naar mijn idee wel een van de besten/veiligsten. Ik gebruik zelf liever IVPN nadat wat Mullvad gateways het af lieten weten.
Ik had een blog van die Securitum over het auditrapport geloofwaardiger gevonden dan dat enkel Proton zelf over het auditrapport bericht :|

Nu voelt het nog steeds aan als de slager die zijn eigen vlees keurt.
Het hele rapport staat gelinkt (in het artikel):

Dus lees zelf.

https://protonvpn.com/blo...onvpn-nologs-20220330.pdf
Waarom staat het gehost op protonvpn.com en niet op securitum.pl?

In de huidige situatie heeft de gekeurde nog steeds invloed op het rapport IMO.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 16:29]

Omdat het in opdracht van Proton is uitgevoerd.

Dit is overigens vrij normaal bij dit soort audits. Jij als opdrachtgever ontvangt het rapport en dan mag je doen wat je wilt ermee. Publiek maken, in een la stoppen. Het is de uitvoerder verder vaak worst wat je met de resultaten doet.*

Maar het is het rapport van Securitum (waar ik overigens verder nog nooit van gehoord had). Vandaar dat het ook hun omslagje heeft.

*Overigens is dit uberhaupt een inherent probleem met audits. De opdrachtgever is een belanghebbende bij de uitkomst. Je moet dus op de onafhankelijkheid van de auditor maar vertrouwen.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 16:29]

In de huidige situatie heeft de gekeurde nog steeds invloed op het rapport IMO.
Praktisch gezien niet echt, alhoewel ik securitum niet ken is het vrij standaard dat een auditor zich het recht voorbehoud om foutieve quotes etc te mogen corrigeren op hun eigen site/blog.

Puur om te voorkomen dat men alle lofquoten uit het voorwoord publiceert om daarna in het rapport afgemaakt te worden en dat niet te publiceren.
Volgens het bedrijf zijn de resultaten daarvan goed, al zijn alleen de conclusies openbaar en niet het hele rapport.
vanwaar is dit? is dit verdacht?
Best wel, zo mist er nuancering.
Niet echt en zeker niet op korte termijn.

Met een beetje audit wordt er bijna altijd wel wat gevonden (zo zeggen ze in het rapport zelf dat er geen kritieke veiligheidspunten zijn gevonden, maar zwijgen ze over de niet-kritieke punten)
En in het meest ideale geval wil je minimaal je procedures etc aanpassen en dat kost simpelweg tijd.
En tot die tijd wil je niet het complete rapport vrijgeven, anders bedenkt er wel iemand een manier om het kleine gaatje open te breken naar een groot gat.

Ik weet van audit-methodes waarin ze dan ook expliciet meenemen hoe iemand omgaat met het audit-rapport.
Toeter jij van te voren van de daken dat je het rapport compleet zal vrijgeven, dan is dat gewoon een Security-risico omdat je niet weet wat erin gaat komen.
Bijna alle serieuze vpn-diensten zeggen een no-loggingbeleid te hebben, maar er zijn er maar weinig die dat bewijzen aan de hand van audits door derde partijen
is dit een reden voor jullie om te switchen naar protonvpn? (als je bij een andere vpn provider zit)
Wat zegt de Zwitserse wet hierover?

In veel landen is het namelijk wettelijk verplicht voor internet providers of Over The Top Providers om te loggen.

Daarnaast vertrouw ik versleutelde email via een centrale server voor geen meter. Veel landen hebben wetgeving aangenomen waarbij jij als provider als de opsporing- en inlichtingendiensten dat nodig achten de code aan moet passen zodat je bijvoorbeeld een extra JavaScript meestuurt die de private key of wachtwoord naar hen opstuurt.

[Reactie gewijzigd door Godson-2 op 23 juli 2024 16:29]

Dit is toch geen Provider?
Wat zegt de Zwitserse wet hierover?

In veel landen is het namelijk wettelijk verplicht voor internet providers of Over The Top Providers om te loggen.
Wat is het verschil volgens jou dan exact?
De ene levert (provides) internet, de andere niet? :)
@Bender
De VPN's waar we hier over praten leveren toch echt internet.
Dat is juist hun USP, je verkrijgt toegang tot internet vanuit een bepaalde lokatie en ip-adres wat niet direct aan jou te relateren is.
Kan je zonder een eigen provider gebruik maken van een VPN? :)
In theorie ja (je zou een fiber richting een VPN kunnen nemen, of een inbelverbinding, of desnoods kan je internet geblokkeerd zijn voor alles behalve die VPN).

Maar belangrijker, is dat relevant?

Bij een Ziggo etc gaat je communicatie eerst over een LAN voordat het naar het internet gaat.
Bij een VPN is enkel het LAN vervangen door een WAN.
Ik vermoed van wel, gezien ze via hun dienst ook toegang tot internet bieden.
(ook al heb je er internet voor nodig)
Een onafhankelijk securitybedrijf concludeert daarin dat de dienst inderdaad geen logs bijhoudt van verkeer van gebruikers. Bij de gratis dienst gebeurt dat wel, naar eigen zeggen om bittorrentverkeer tegen te gaan.
Wat word er precies met die logs gedaan? is het nog wel interessant voor een gebruiker (als het geen bittorrent gebruikt) om een gratis vpn van proton te nemen dan?
Als je zo nu en dan eens noodzaak hebt aan een ander IP adres, zijn de gratis diensten prima.
Er zal echter hier en daar wat logging gebeuren ( zonder log is het lastig te controleren hoeveel je hebt verbruikt )
Sommige aanbieders zijn beperkter dan anderen, uiteindelijk is het doel wat de keuze maakt.

Ik zie soms hele commentaren voorbij komen dat men het gehele thuisnetwerk achter een (commerciële ) VPN hangt, 'voor de privacy'
Maar ondertussen voor een hoge snelheid internetverbinding betalen, die juist door die VPN enorm gehandicapt wordt ( meer captcha's, bepaalde sites die je niet laten inloggen )

Voor 99% van de gebruikers is zo'n commerciële partij vrijwel altijd om grijs gebied te verkennen.
Torrents, vage sites whatever.
Persoonlijk vertrouw ik mijn ISP meer, dan een onbekende aanbieder die me voor amper 5€/m privace aanbied.
Ik gebruik al enkele jaren naar tevredenheid ProtonVPN. Recentelijk echter lijkt de snelheid nog maar een kwart van wat ik voorheen had. Ik gebruik ProtonVPN via de NAS met een OpenVPN client, via een landenconfiguratie op servers in Nederland en/of Duitsland. Maar alles lijkt tegenwoordig heel traag.

Op dit item kan niet meer gereageerd worden.