Beveiligde e-maildienst biedt achterdeurtje aan politie

De cryptografisch beveiligde e-maildienst Hushmail van de Canadese provider Hush Communications blijkt niet bepaald waterdicht. Hoewel in reclame het tegendeel wordt beweerd, is Hush zelf in staat de mails te lezen.

Het lek kwam aan het licht bij de vervolging in de Verenigde Staten van een handelaar in verboden spierversterkende middelen, die gebruik maakte van Hushmail. In de aanklacht wordt gemeld dat Hushmail 12 cd's vol met e-mails van de verdachte heeft afgegeven, na een bevel van een Canadese rechtbank naar aanleiding van een rechtshulpverzoek uit de VS.

Omdat de mails via een Java-applet gecodeerd worden op de computer van de gebruiker, zijn ze al onleesbaar op het moment dat ze de servers van Hushmail bereiken en zelfs de provider kan ze dan niet meer ontcijferen, iets wat ook in de advertenties wordt beweerd:

not even a Hushmail employee with access to our servers can read your encrypted e-mail, since each message is uniquely encoded before it leaves your computer.

Hushmail logo Om hiervan gebruik te maken moeten de gebruikers echter eerst Java en het applet installeren, wat relatief veel werk is. Sinds 2006 biedt Hushmail daarom ook een andere manier van coderen aan. De gebruiker maakt daarbij via een ssl-verbinding gebruik van de Hushmail-servers, waarop vervolgens het coderen en decoderen plaatsvindt. De zwakke plek van deze methode is dat de sleutel naar de server wordt gestuurd, waar hij kan worden onderschept.

In een briefwisseling met de hoofdredacteur van Wired gaf Hushmail toe dat dit inderdaad wel eens gebeurt als een Canadese rechtbank hiertoe een bevel afgeeft. De conclusie is dan ook dat encryptie alleen veilig is, indien deze op de computer van de gebruiker zelf plaatsvindt.

IT-banen

Reacties (65)

Michali 8 november 2007 10:37

Klinkt mij niet echt in de oren als een achterdeurtje. Althans, ze weten dat er een zwakke plek is, waar ze dan gebruik van maken om de mails alsnog te kunnen lezen, maar dit is er niet met opzet in verwerkt. Juist dat laatste zou het naar mijn definitie een achterdeurtje maken. Sterker nog, ze gebruiken de normale methode van ontcijferen, gewoon via de key van de gebruiker.

CabezaDelZorro @Michali • 8 november 2007 13:08

Inderdaad, bij een achterdeurtje had ik toch wel iets ergers in gedachten dan wat in deze nieuwspost wordt beschreven. De titel is hier toch wat misleidend, iets wat tegenwoordig wel vaker gebeurt hier op tweakers maar ook op vele andere nieuws sites.

Maar even ontopic:

Dit lijkt me een typisch gevalletje 'vergeten' de reclame aan te passen nadat de nieuwe encryptie feature was geimplementeerd. Is het trouwens voor de politie niet nog steeds mogelijk om de encryption key van de computer van de gebruiker te halen als ze deze in beslag zouden nemen?

Verwijderd @Michali • 8 november 2007 13:08

maar dit is er niet met opzet in verwerkt.

Waar lees je dat?

wizzkizz @Michali • 8 november 2007 16:13

Om die e-mails te decoderen heb je (als het goed is) altijd de private key van de ontvanger nodig. Een private key moet je nooit ofte nimmer afstaan, dus dan kunnen ze niets met dat bericht.

Wat ik hierin lees, is dat je de berichten naar de server stuurt, die daar vervolgens gecodeerd en daarna verzonden worden. Maar stiekem blijft er ergens een plain-tekst versie achter in de database, zodat de berichten gewoon te lezen zijn voor iedereen die daar toegang toe heeft. En dat is gewoon een backdoor, hoe je het ook wendt of keert.

Michali @wizzkizz • 8 november 2007 17:37

Dan lees je het toch niet goed. Lees deze quote uit het artikel namelijk maar eens:

De zwakke plek van deze methode is dat de sleutel naar de server wordt gestuurd, waar hij kan worden onderschept.

Er wordt dus gezegd dat de sleutel voor het coderen naar de server wordt gestuurd, waarmee de berichten op de server worden geencodeerd en gedecodeerd. Dit is dus waarschijnlijk die private key die je noemt. Die wordt dan onderschept om te gebruiken voor het lezen van de berichten.

Verwijderd 9 november 2007 10:06

Alle huidige conventionele e-mail systemen zijn onveilig, via de "voordeur" of de "achterdeur", bijvoorbeeld omdat de source email's ergens in het communicatie kanaal tussen de zender en ontvanger "gecached" worden; of omdat er publieke keys en certificaten gebruikt worden waarmee de encrypte email's gedecrypt kunnen worden door de instantie welke de keys/certificaten uitgeeft; of omdat er pseudo randomness gebruikt wordt in plaats van true-randomness; Elk van de bovengenoemde redenen afzonderlijk is al genoeg om deze systemen bewijsbaar "onveilig" te laten zijn.

Op de URL http://picasaweb.google.com/freemovequantumexchange is de beschrijving van een operationeel email / document / file sharing systeem te vinden dat Informatie-Theoretisch End-to-End bewijsbaar veilig is dus bewijsbaar onkraakbaar (zelfs niet met een Quantum Computer).

BaRF 8 november 2007 10:30

Tja nu komen er allemaal reacties in de zin van 'blaah geen privacy' enzo, maar zo zie je maar dat het toch niet zo erg is: criminelen worden er mee gepakt.

Wanneer je sneaky vreemd gaat en je gebruikt een dergelijk mail systeem, dan zullen je gegevens toch wel veilig zijn. Je moet alleen geen criminele shit uitvoeren

Tukk @BaRF • 8 november 2007 10:33

Ik vind het erger dat ik geen privacy heb, dan dat niet elke crimineel gepakt wordt.
Ik vermoed dat dat de basis is van het verschil tussen onze meningen.

If you want to do it right, do it yourself, oftewel, wil je echt veilig, richt je eigen ge-encrypte server in.

[Reactie gewijzigd door Tukk op 24 juli 2024 05:29]

YopY @Tukk • 8 november 2007 10:35

Of haal je e-mails gewoon door een encryptieprogramma, zodat iedereen die de mail leest een lading willekeurige, ge-encrypte tekst krijgt.

s463042 @YopY • 8 november 2007 10:40

Precies... gewoon PGP gebruiken... en dan over zo'n dienst als die van Hushmail. Dan wordt het toch lastig voor ze.

[Reactie gewijzigd door s463042 op 24 juli 2024 05:29]

wizzkizz @s463042 • 8 november 2007 16:06

Dan heb je hushmail niet eens nodig. Als jij je emails encrypt met GPG/PGP, kan zelfs iemand die over je wachtwoord voor je mail-account beschikt je mail niet eens lezen. Natuurlijk is het wel altijd beter om je gebruik te maken van SSL om je wachtwoord veilig te houden.

Als je het echt goed wilt doen, maar je ook nog gebruik van een anonieme remailer die je in eigen beheer hebt (als je dat zelf veilig kunt houden tenminste).

[Reactie gewijzigd door wizzkizz op 24 juli 2024 05:29]

Fuzzillogic @BaRF • 8 november 2007 10:36

Je haalt dingen door elkaar. Aftappen is natuurlijk al zo oud als de uitvinding van de telegraaf. Maar men gaat tot dusver pas tot aftappen over als een rechter daar redenen voor ziet. Met de nieuwe en komende regelgeving wordt het veel makkelijker om af te tappen, zonder tussenkomst van goed opgeleide en beëdigde personen. Sterker nog: ALLES wordt afgetapt, ook als er helemaal geen gegronde reden voor is. Maar wie garandeert jou dat de afgetapte gegevens zorgvuldig worden bewaard?

[Reactie gewijzigd door Fuzzillogic op 24 juli 2024 05:29]

n4m3l355 @Fuzzillogic • 8 november 2007 10:44

Gezien de wekelijkse berichten die in het nieuws komen kunnen ze dat nooit. Wat ik kwalijker vindt is dat men bij het aftappen van nog een aanvraag moet doen via de rechtbank (iets wat blijkbaar ook niet altijd gebeurd) echter als alles getapt wordt, is het goed mogelijk dat het inlezen van deze data enkel een kwestie is van even in te loggen om te zien wat er gebeurd. Iets wat misbruik van de gegevens enkel maar in de hand werkt.
Persoonlijk vind ik het een beetje krom dat de politie met name zo afhankelijk is naar hun zegge van de digitale data. Ik kan me moeilijk voorstellen dat het niet mogelijk is om ook nog op de traditionele wijze iemand achter slot en grendel te krijgen.

killercow @Fuzzillogic • 8 november 2007 11:10

Maar men gaat tot dusver pas tot aftappen over als een rechter daar redenen voor ziet

Dat was zo idd, tegenwoordig mag er in de states gewoon zonder warrant afgetapt worden.

BlaTieBla @BaRF • 8 november 2007 11:54

Op dit moment is vreemdgaan geen misdrijf (volgens de wet). Maar wat als er een regime aan de macht komt dat vreemdgaan wel (zwaar) bestraft? Dan ben jij ook opeens een crimineel (met terugwerkende kracht).
Je kan nu eenmaal niet op anderen vertrouwen als het om je privacy gaat. Helaas ontkom je er niet aan in de huidige maatschappij. Daarom is het ook zo belangrijk om te weten wat er met je gegevens gebeurd.

* BlaTieBla zet zijn aluhoedje weer op

bbob

Internettoegang
Rechtszaak
Politiek en recht
Politie

8 november 2007 10:38

Zelf als je het op jou pc codeerd is de vraag of de provider geen master key heeft.

Het beste kun je nog steeds open source gebruiken waarbij iedereen kan checken of er achterdeurtjes in de software zitten.

Quacka @bbob • 8 november 2007 10:41

Maar zelfs dan heb je geen zekerheid. Met open source kan iedereen wijzigingen aanbregen, ook de overheid dus... Zolang de achterdeurtjes niet ontdekt worden, blijven de achterdeurtjes werken.

deadinspace @Quacka • 8 november 2007 11:44

Met open source kan iedereen wijzigingen aanbregen, ook de overheid dus...

Iedereen kan wijzigingen aanbrengen, maar dat betekent niet dat iedereen die wijzigingen gebruikt!

Neem nou gnupg (een vrije PGP vervanging). De overheid pakt gnupg en voegt er een achterdeur aan toe. Daarmee zit die achterdeur nog niet in de officiele versie van gnupg. De overheid kan dan twee dingen doen:

Mensen overtuigen de overheid-aangepaste versie te gebruiken
Zorgen dat hun achterdeur in de officiele versie komt, door hun veranderingen aan te bieden aan het gnupg team

In beide gevallen zullen de bijdragen van de overheid met argusogen bekeken worden. In het eerste geval kunnen mensen de versie van de overheid vergelijken met de originele, in het tweede geval worden de veranderingen zelf uitgeplozen.

En zelfs mocht de overheid dit lukken, dan nog kan iedereen met kennis en motivatie zelf de source inspecteren op dit soort backdoors.

[Reactie gewijzigd door deadinspace op 24 juli 2024 05:29]

killercow @Quacka • 8 november 2007 11:13

Dan implementeer je het PGP algoritme toch zelf, kom tis echt geen rocket science.

ATS @killercow • 8 november 2007 11:42

Nou... cryptografie is ook bepaald geen kinderspel. Hoewel de algoritmes op zich nog wel te overzien zijn, is het heel moeilijk om een goede implementatie te maken die niet aan alle kanten kwetsbaar is. Er zijn heel veel valkuilen bij het maken van goede cryptografische applicaties.

[Reactie gewijzigd door ATS op 24 juli 2024 05:29]

]Byte[ @ATS • 8 november 2007 11:59

Ik weet niet of je PGP kent of niet, maar zoals killercow al zei...
Het is GEEN rocket science! (als je PGP kent weet je wat cow bedoeld)
Als je van menig bent dat je mail om wat voor reden dan ook beveiligd moeten worden tegen pottekijkers, dan zal je daar wat voor moeten doen.
Als je een vooledige transparate omgeving wil hebben die zonder het te vragen alles encrypt wat er over de lijn gaat zal je daar tijd in moeten steken!
Heb je daar geen zin in, zal je of niet moeten gaan encrypten of een "off the shelf package" moeten gaan aanschaffen die dat voor je doet.
Er zijn 1001 redenen te verzinnen waarom je het wel wilt hebben, maar ook 1001 redenen om het niet te doen.

Verwijderd @]Byte[ • 8 november 2007 14:46

@Byte/ATS:

Het installeren en gebruiken van PGP is doffe ellende. Theoretisch kan het, maar je moet echt wel technisch aangelegd zijn en dan nog moet je hopen dat je het een beetje bruikbaar werkend krijgt, afhankelijk van je mail client.

Neem de instructies voor Apple Mail bijvoorbeeld:
http://www.sente.ch/softw...nglish.lproj/GPGMail.html

Zolang PGP de gebruikersvriendelijkheid heeft van Linux applicaties uit de vorige eeuw is het vrij kansloos

[Reactie gewijzigd door Verwijderd op 24 juli 2024 05:29]

Blaise @Verwijderd • 8 november 2007 15:34

Zo ingewikkeld ziet dat er niet uit:

Download and install gpg; binaries are available from MacGPG.

Create a PGP key if necessary (see GnuPG documentation, or use GPG Keychain Access)

Launch the Installer

[Reactie gewijzigd door Blaise op 24 juli 2024 05:29]

Verwijderd @Blaise • 8 november 2007 15:56

Alle tools bevatten wagonladingen technische/cryptografische termen en/of werken brak. Ook start dat 'GPG Keychain Access' voor bijna alles de command-line tool op, iets waardoor je 99% van de niet-techies wegjaagd en deze techie ook vermoeid kijkt.

Dat je sleutels moet uitwisselen, okee. Maar nu is het een hoop knip/plakwerk tussen gebruikers-onvriendelijke tools en geklooi met keyservers voordat het werkt. En dat schiet gewoon niet op. En dat allemaal om sleutels uit te wisselen en berichtjes te coderen. Meer wil een mens toch doorgaans niet.

Ik krijg echt niemand aan de PGP als ik moet toegeven hoeveel werk ze zullen moeten verrichten om een simpel e-mailtje van me te kunnen decoderen. De PGP hoort volledig geintegreerd in de e-mail client. Gebruikersvriendelijk zonder ooit sleutels te hoeven zien. Een knop voor 'stuur hem m'n sleutel', 'importeer de sleutel in dit emailtje' en 'codeer en onderteken dit emailtje', bijvoorbeeld.

Zelfs bij techies is PGP extreem zeldzaam, waar zaken als SSL en SSH gemeengoed zijn. Dan moet er toch wel een belletje gaan rinkelen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 05:29]

killercow @Verwijderd • 8 november 2007 21:45

@sangdrax,

Het integratie scenario dat jij bechrijft is PRECIES wat de pgp extentie van thunderbird doet, er komen netjes knopjes bij, en je kunt simpel en snel al dat soort dingen aangeven.

ATS @]Byte[ • 8 november 2007 12:54

Ja, ik ken PGP, en ik weet dat het geen rocketscience is om het toe te passen. Waar killercow het over had is het zelf implementeren van (de algoritmes in) PGP, en hoewel dat ook geen rocketscience is, is het ook bepaald niet triviaal.

* ATS heeft de "Why do you need PGP" tekst van Phil Zimmerman ooit eens vertaald

regmaster @bbob • 8 november 2007 10:47

Ahum, weer zo'n dooddoener voor Open Source. Ja, het is mogelijk omdat de source 'open' is. Maar wie controleerd alle code dan? Jij? Dus niet. Dus wie wel en hoe betrouwbaar is dat dan? Open Source is uiteraard perfect maar de zwakste schakel is de controle erop.

deadinspace @regmaster • 8 november 2007 12:02

Ja, het is mogelijk omdat de source 'open' is. Maar wie controleerd alle code dan? Jij? Dus niet. Dus wie wel en hoe betrouwbaar is dat dan?

Niemand controleert alle code, en niet iedereen die source code bekijkt is betrouwbaar. Maar dat hoeft ook niet.

Het hele punt is dat er wel degelijk mensen zijn die naar de source code kijken, en dat er maar één iemand hoeft te zijn die een achterdeur (of een security hole) ontdekt en bekend maakt.

Stel dat er (buiten het gnupg team) twintig mensen zijn die wel eens naar de source code van gnupg (een vrije PGP vervanging) kijken. Als er een achterdeur in zit, dan hoeft maar één van die twintig mensen dat te melden en dan gaat dat als een lopend vuurtje rond. Het maakt daarbij niet uit dat die andere negentien mensen corrupt zijn, toevallig niet naar de code in kwestie keken, of de achterdeur gewoon niet zagen/snapten.

In de vrije software wereld is reputatie en vertrouwen belangrijk, dus een bekendmaking van een achterdeur in gnupg zou het project ernstige schade toebrengen vanwege verloren vertrouwen. Het is heel belangrijk om dat soort sociale weerwerkingen te begrijpen, want het is een belangrijke motivatie voor het gnupg team om goed op te letten dat hun software veilig en achterdeurvrij is.

De vraag is vervolgens of er wel zoveel mensen zijn die wel eens naar de gnupg source kijken. Voor onbekende projecten kan dat inderdaad een probleem zijn (wie gaat de source van een programma inspecteren dat uberhaupt door maar 4 mensen gebruikt wordt?), maar bij zoiets bekends en privacy-gevoeligs als gnupg is het wel degelijk aannemelijk dat de source genoeg bekeken wordt.

Open Source is uiteraard perfect maar de zwakste schakel is de controle erop.

Ik zou eerder willen zeggen dat het de sterkste schakel is, omdat het voor iedereen met genoeg kennis of motivatie mogelijk is om de source te (laten) controleren. Dit in tegendeel tot closed source software, waar je weinig andere keuze hebt dan de maker ervan te geloven.

[Reactie gewijzigd door deadinspace op 24 juli 2024 05:29]

Verwijderd @deadinspace • 8 november 2007 13:00

En het werkt, want er zijn op die manier ook enkele fouten in GnuPG opgespoort en verholpen: een injectiebug in de zip code en een fout in de generatie van gecombineerde ElGamal sign/encrypt keys kan ik me zo nog herinneren.

The Zep Man

Politie
E-mail
Internettoegang
Politiek en recht

@regmaster • 8 november 2007 11:09

Open Source is uiteraard perfect maar de zwakste schakel is de controle erop.

Dat is ook meteen een sterke schakel: je hebt tenminste de mogelijkheid om het te (laten) controleren. Bij closed-source heb je dit zowieso niet. Of met closed-source heb je niet de zekerheid dat de broncode die de fabrikant aanlevert (ter controle) dezelfde broncode is als die in jouw programma gebruikt wordt.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 05:29]

Verwijderd @regmaster • 8 november 2007 11:00

Wie garandeert dat de code die je leest daadwerkelijk actief is?
Dat is een veel groter punt dan het wel of niet begrijpen van de code.

i-chat @Verwijderd • 8 november 2007 11:32

jij zelf /make config && make install

ATS @i-chat • 8 november 2007 11:44

Je weet dat er een proof of concept is waarbij een achterdeurt wordt ingebouwd door de compiler zelf, toch? Die ga je dus niet terug vinden in de sources, en uiteraard zit die backdoor vervolgens ook in de compiler die je bouwt met die compiler. Succes om die te vinden.
Natuurlijk is dat praktisch gezien een lastige aanval, maar het is wel mogelijk en je eigen binairy bouwen is dus niet automatisch veilig.

MneoreJ @ATS • 8 november 2007 12:06

Da's geen proof of concept maar een hele oude hack. Aldus de Jargon File.

Uiteraard toont dit alleen maar aan dat een veilig systeem er een is waar je alle binaries zelf gebouwd hebt, van source die te vertrouwen is. Lastig en tijdrovend om voor elkaar te krijgen, maar niet onmogelijk, en eenmaal gemaakt isoleer je dat systeem natuurlijk en gebruikt het exclusief voor het bouwen van andere dingen.

Als je dit soort dingen echt goed wilt aanpakken ben je wel even bezig, ja. Uiteindelijk komt het altijd neer op wie je vertrouwt. De mensen die binaries verspreiden? De source repositories? Alleen jezelf?

killercow @Verwijderd • 8 november 2007 11:13

je compiler?

Echt serieus, je kunt prima een pgp implementatie zelf schijven, compilen.

Wiskundig bewijzen dat het allemaal idd waterdicht is, dat is inderdaad lastig, maar laten daar allerlei mensen toch ook al naar gekeken hebben.

Het blijkt in ieder geval fenomenaal veel betrouwbaarder dan deze "100% secure" oplossing waarvan je de source, nog de wiskunde hebt kunnen controleren.

ATS @regmaster • 8 november 2007 11:46

De bekendste open source programma's zijn gereviewed door hoog aangeschreven cryptografen. En nee, dat doe je dus inderdaad niet zomaar zelf, maar als je wil kan je wel iemand anders het voor je laten doen.

dexter07051982 8 november 2007 11:15

Leuk open source, maar als ik kwaad zou willen doen en een fout(je) vind, denk je toch niet dat ik dat aan de grote klok ga hangen? Daar zou ik dan lekker gebruik van maken tot een ander het vind en het oplost/meld.

Wat dat betreft is open source dus niet vieliger. Ik denk zelfs dat het onveiliger is doordat iedereen die kwaat wil zo makkelijk aan de fouten kan komen.

BlaTieBla @dexter07051982 • 8 november 2007 11:58

inderdaad... security through obscurity is veel beter.

dexter07051982 @BlaTieBla • 8 november 2007 12:26

Ook daar ben ja afhankelijk van klokkeluiders.

Ben met je eens dat het vinden van beveiligingslekken dan moelijker is. Maar dit geld altijd voor zowel de klokkeluiders als de hackers.

Open source zou beter kunnen zijn als iedereen goede bedoelingen heeft.

Daarnaast is het natuurlijk wel zo dat de programeur moelijker te controleren is. Maarja, hoe lang ben je als programmeur voor een bedrijf aan het werk als je expres fouten maakt om er misbruik van te maken.

[Reactie gewijzigd door dexter07051982 op 24 juli 2024 05:29]

killercow @dexter07051982 • 8 november 2007 14:25

Er is een verschil tussen klokkenluiders die ibj de code kunnen omdat ze voor een bedrijf werken (en met he luiden van de klokken hun baan kwijt zijn), en mensen zoals gebruikelijk is in de opensource wereld het foutje aanmelden en er de nodige credits voor krijgen.

Open source zou beter kunnen zijn als iedereen goede bedoelingen heeft.

Dat is juist met opensource zo mooi, niet iedereen hoeft goede bedoelingen te hebben, als er een paar met goede bedoeldingen zijn, dan is het al vrijwel zeker erg goed.

Daarnaast is het natuurlijk wel zo dat de programeur moelijker te controleren is. Maarja, hoe lang ben je als programmeur voor een bedrijf aan het werk als je expres fouten maakt om er misbruik van te maken.

Je bent als programmeur erg lang aan het werk, zolang je het maar niet snel misbruikt
Je bent als programmeur Niet door derden te controlleren bij closed source software.
Wie zegt dat het de programmeur is die deze "foutjes" inbouwt, ik gok er op dat in 90% van de gevallen het gewoon een van de features is die management in de software wil hebben.

[Reactie gewijzigd door killercow op 24 juli 2024 05:29]

terror538 @dexter07051982 • 8 november 2007 14:38

Indefenitely als dat bedrijf/overheid jou de opdracht geeft om die bugs/lekken/achterdeurtjes in te bouwen

Electr0n 8 november 2007 10:28

De eerste instantie van beveiliging klinkt goed.
je moet wel wat acties uitvoeren maar het werkt.

Maar wat ik me afvraag, met de 2e actie.
Kunnen ze het dus nog lezen, maar is er dan geen recht van Privacy?

Olaf van der Spek @Electr0n • 8 november 2007 10:38

De eerste instantie van beveiliging klinkt goed.

Natuurlijk niet. Gebruik gewoon een fatsoenlijke oplossing als PGP.

Freeaqingme @mschol • 8 november 2007 13:49

Nee. Toen PGP eenmaal een beetje bekend werd in de Verendigde Staten (het werd toen nog ontwikkeld in de VS), eiste de Amerikaanse overheid dat ze toegang tot een backdoor kregen. Wettelijk gezien, mochten zij het ook niet verspreiden naar het buitenland, wat dus internationale downloads zou verbieden.

Na wat juridisch topwerk bleek er een maas in deze wet te zitten. Men heeft alles uitgeprint, en dat papierwerk mee naar Nederland te nemen (ik geloof Universiteit van Tilburg), waar alles weer werd ingescanned.

Het lijkt me niet dat ze al deze moeite doen, om vervolgens alsnog een backdoor in te bouwen...

mschol @Freeaqingme • 8 november 2007 20:16

dat weet ik (van die maas in de wet) maar stel dat OM van het bedrijf een sleutel wil om gegevens te benaderen zal het bedrijf daar voor moeten gaan zorgen..... (meewerken met onderzoek naar eventuele criminele activiteiten) kunnen c.q willen ze dit niet is het waarschijnlijk gauw over met de pret voor ze...

Freeaqingme @mschol • 8 november 2007 20:21

Het niet geven van iets dat niet bestaat, of het doen van iets dat niet kan, is niet verboden

En zolang iemand met juridische kennis dat aan het OM zal laten weten en onderbouwen, zal je heus niet beschuldigd worden van obstructie, laat staan hiervoor veroordeelt worden..

IJsbeer @Electr0n • 8 november 2007 10:31

De eerste klinkt ook niet goed. Wie zegt dat ze niet ondertussen (onderwater) die sleutel ook niet naar 'huis' sturen?

YopY @IJsbeer • 8 november 2007 10:35

Het leuke daarvan is is dat iemand met een programmaatje wat het netwerkverkeer daar gemakkelijk achter kan komen. Indien dat waar is, kan die gebruiker vervolgens de provider aanklagen wegens het niet nakomen van beloftes e.d.

IJsbeer @YopY • 8 november 2007 10:39

De informatie zal versleuteld verstuurd worden, dus je zal het hele protocol en security moeten kennen voordat je het zeker kan weten. Het kan ook verstopt zitten in de datastream. En om het hele protocol en dataverkeer uit te gaan zoeken lijkt me wel een erg tijdrovend en specifieke klus (en niet te doen voor de meeste mensen)

Verwijderd @YopY • 8 november 2007 11:12

daar heb je wat aan als je een paar jaar de bak in moet wegens handel in verboden middelen, zoals bij deze man hoogstwaarschijnlijk het geval zal zijn.

roeleboel @YopY • 8 november 2007 12:13

Totdat ze jouw sleutel pgp/gpg coderen met de publieke sleutel van de hushmail-servers & hem zo doorsturen...
Je ziet wel dat er iets over de lijn gaat, maar wat het is heb je het raden naar...

Electr0n @IJsbeer • 8 november 2007 10:35

Mja dat is natuurlijk ook weer zo.
Het is en blijft een goedkope actie.

Het is natuurlijk goed dat ze criminelen zo kunnen vinden.
maar het is wel een naai streek als je met jemeidje aan het mailen bent, en dat aan de andere kant van de servers, mensen aan het lachen zijn.

Verwijderd @Electr0n • 8 november 2007 13:05

Dat zal niet gebeuren, maar je kan jezelf niet "hushmail" noemen, beweren beveiligde mail te versturen die niemand kan lezen terwijl je de politie aan t voeden bent.
Laten we eerlijk zijn, je gebruikt zoiets niet om je buurman te vertellen wat een lekker weer het in spanje is...

Mr4000 8 november 2007 10:31

Ik zeg: DUH. Als je dit gaat doen -weet- je dat je het risico loopt dat de service provider als bedrijf gerechtelijk gedwongen kan worden medewerking te verlenen. Het is dus eigen verantwoordelijkheid om te zorgen dat hun medewerking niet tot jouw veroordeling kan leiden.

Simkin 8 november 2007 10:34

Wat is de toegevoegde waarde van deze service dan? Om data te encrypten heb je toch zeker geen betaalde applicatie nodig?

Wat ik me ook afvraag is wat voor encrypted mails deze handelaar verstuurde, en naar wie? Ik zie afnemers niet de moeite nemen om mails te decoderen.

BlaTieBla @Simkin • 8 november 2007 11:56

De theorie was dat je PGP versleutelde e-mail kan versturen en ontvangen zonder zelf PGP geinstalleerd te hebben. Je kon dus in theorie vanuit ieder internet cafe veilig e-mailen.

wizzkizz @BlaTieBla • 8 november 2007 16:10

Dan kun je beter een eigen webapp gebruiken die het coderen/decoderen middels PGP/GPG mogelijk maakt (is niet zo heel moeilijk). Alleen weet je niet wat ze aan keyloggers in het internetcafé hebben, dus is dat dan je zwakke punt.

Ben ik nou de enige die 12 Cd's aan mail veel vind? Dat is gewoon 8,5 GB aan mail...

Nee, ik vroeg me precies hetzelfde af. Dat is nogal wat mail, wetende dat een mailtje in principe niet meer dan een tekstbestandje is - en dus slechts enkele kilobytes aan ruimte in beslag hoeft te nemen. Het enige wat ik me kan voorstellen is dat daar ook uitgaande spamruns (o.i.d.) bijzitten, of héél véél mails met grote bijlages.

HeldereM

8 november 2007 12:30

Zijn er echt zoveel mensen die geen Java hebben geïnstalleerd...?

killercow @HeldereM • 8 november 2007 14:27

Ja, windowsXP bevat het niet meer by default omdat MS dat niet meer mag van de VS. Ze hebben de rechtzaak van Sun geschikt die aangespannen was door SUN omdat Ms java met allerlei incompatibele versies de nek probeerde om te draaien.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: