Yahoo gaat end-to-end-encryptie voor mail aanbieden

Yahoo wil zijn gebruikers end-to-end-encryptie gaan aanbieden op zijn maildienst. Dat heeft het bedrijf bekendgemaakt op de Black Hat-beveiligingsbeurs in Las Vegas. Onlangs kwam Google al met een pgp-plugin voor Google Chrome.

yahoo Vanaf deze herfst kunnen Yahoo-gebruikers versleuteld mailen, zo heeft Yahoo bekend gemaakt op de Black Hat-beveiligingsconferentie. Daarbij wordt pgp gebruikt, een techniek die de facto de standaard voor versleuteld mailen is maar nog niet is doorgedrongen tot de gemiddelde internetgebruiker.

Beveiligingsonderzoeker Alex Stamos, die sinds de NSA-onthullingen door Yahoo is aangesteld als hoofd beveiliging, zegt tegenover Forbes dat pgp automatisch zal worden ingeschakeld zodra de ontvanger en verzender beide pgp geconfigureerd hebben.

Pgp-encryptie is end-to-end, wat wil zeggen dat Yahoo niet bij de inhoud van de e-mail kan. Dat betekent ook dat Yahoo de inhoud van de e-mail niet kan scannen, maar daar maakt Stamos zich geen zorgen over: het soort mails dat zal worden versleuteld, bijvoorbeeld tussen activisten, heeft volgens de beveiligingsdeskundige toch weinig commerciële waarde.

Yahoo is bovendien van plan om zijn implementatie te laten samenwerken met die van Google. Google kiest ervoor om pgp niet direct in Gmail te implementeren; gebruikers moeten eerst een Chrome-plug-in downloaden om versleuteld te kunnen mailen. De plugin is vooralsnog enkel voor testers te gebruiken, en is nog niet verkrijgbaar in de Chrome Web Store.

Yahoo zegt niet bang te zijn voor juridische problemen, zoals Lavabit, de e-mailprovider van NSA-klokkenluider Edward Snowden, die kreeg. Lavabit moest zijn privésleutels van de Amerikaanse rechter overhandigen, zodat de mails van Snowden konden worden ontsleuteld. "Dat voorbeeld verschilt van een beursgenoteerd miljardenbedrijf met een leger aan advocaten dat er naar uitziet om deze zaak naar het Hooggerechtshof te brengen", aldus Stamos tegenover The Wall Street Journal.

IT-banen

Reacties (47)

The Zep Man

Websites en community's
Netwerk en systeembeheer

8 augustus 2014 11:37

"Dat voorbeeld verschilt van een beursgenoteerd miljardenbedrijf met een leger aan advocaten dat er naar uitziet om deze zaak naar het Hooggerechtshof te brengen", aldus Stamos tegenover The Wall Street Journal.

Dus alleen de grote bedrijven mogen veilige oplossingen aanbieden aan hun gebruikers. Een aparte manier om bestaande partijen in een markt te beschermen.

Yahoo heeft ondersteuning voor IMAP en SMTP. Als je daar een account hebt, kan je natuurlijk Thunderbird+Enigmail (desktop) of K-9 Mail+APG (Android) gebruiken om hetzelfde voor elkaar te krijgen, maar dan open-source en mailprovider onafhankelijk.

[Reactie gewijzigd door The Zep Man op 29 juli 2024 16:57]

Verwijderd @The Zep Man • 8 augustus 2014 11:44

Een belangrijker verschil is dat met PGP Yahoo de sleutel niet heeft. Ze kunnen dus ook de sleutel niet afgeven.

Enige bezwaar is dat je hun implementatie van PGP gaat gebruiken die je niet kan controleren op backdoors. Eigenlijk is een desktop mailclient met PGP de beste oplossing. Het zou mooi zijn als dit in navolging van Yahoo standaard in de open source clients zou worden ingebakken.

The Zep Man

Websites en community's
Netwerk en systeembeheer

@Verwijderd • 8 augustus 2014 11:49

Een belangrijker verschil is dat met PGP Yahoo de sleutel niet heeft. Ze kunnen dus ook de sleutel niet afgeven.

Er zijn veroordelingen in landen omdat een sleutel niet opgeleverd kon worden, ondanks dat de verdachte de sleutel niet in eigen bezit had. Yahoo kan gedwongen worden om sleutelmateriaal af te staan ondanks dat zij het sleutelmateriaal niet hebben. Dan zouden zij verplicht dit systeem weer aan moeten passen.

Enige bezwaar is dat je hun implementatie van PGP gaat gebruiken die je niet kan controleren op backdoors. Eigenlijk is een desktop mailclient met PGP de beste oplossing. Het zou mooi zijn als dit in navolging van Yahoo standaard in de open source clients zou worden ingebakken.

PGP is niet (meer) open-source. GnuPG (GPG) wel, wat onderhuids wordt gebruikt door bijvoorbeeld Enigmail.

[Reactie gewijzigd door The Zep Man op 29 juli 2024 16:57]

Bacchus @The Zep Man • 8 augustus 2014 13:23

PGP is nooit onder een opensource licentie beschikbaar geweest, wel is (of was) de broncode voor peer-review inzichtelijk.

bogy @Bacchus • 8 augustus 2014 14:13

PGP niet, maar GPG wel ... en die werken feilloos samen met elkaar, alleen moet je voor de laatste wel een pinguin in je computer hebben zitten...

Bacchus @bogy • 8 augustus 2014 14:20

Zowel PGP als GPG implementeren de publieke OpenPGP-standaard, vandaar dat ze zo goed samenwerken.

GPG werkt prima op Windows. Met Enigmail integreert het bijzonder mooi in Thunderbird. Outlook-integratie is helaas een beetje wisselend maar volgens mij biedt GPG4Win dan wel weer redelijke shell-plugins. (Maar eerlijk is eerlijk: het is lang gelden dat ik het gebruikt heb)

Verwijderd @Verwijderd • 8 augustus 2014 12:04

Waarschijnlijk wordt het "leger van advocaten" gebruikt om een backdoor in te bouwen zodat deze niet zichtbaar is voor gebruikers en dat Yahoo nooit aansprakelijk gesteld kan worden. Ik heb er weinig vertrouwen in. Ook al zou je Yahoo vertrouwen, het zal zich moeten houden aan de wet van de VS en die stelt heel simpel dat je systemen afluisterbaar moeten zijn.

gjmi @Verwijderd • 8 augustus 2014 13:49

De wet gaat over afluisteren en dat kan nog steeds. Het bericht is alleen gecodeerd. De provider heeft geen zeggenschap over de gebruiker en kan de gebruiker niet dwingen om in plain-text te mailen.
De gebruiker bepaalt of hij pgp gebruikt of niet. Dat is jaren al zo, want je kan pgp al jaren gebruiken, het word nu alleen makkelijker gemaakt.

Verwijderd @The Zep Man • 8 augustus 2014 12:19

Nee, de bedoeling is dat Yahoo de zaak uitlokt en voor het hooggerechtshof brengt, en daarmee een precedent schept. Dit ontlast ook kleinere bedrijven. Enige nadeel is dat we even moeten wachten voor de uitspraak.

gjmi @Verwijderd • 8 augustus 2014 13:53

Jammer dat het op die manier moet, dat eerst meerdere kleine bedrijven de kop heeft gekost. Het zou niet uit moeten maken hoeveel advocaten je hebt om gelijk te hebben.

jeroen79 @The Zep Man • 8 augustus 2014 12:00

Dus alleen de grote bedrijven mogen veilige oplossingen aanbieden aan hun gebruikers. Een aparte manier om bestaande partijen in een markt te beschermen.

Dat is eerder een kwestie van kunnen in plaats van mogen.
Een klein bedrijf met weinig middelen zal eerder stoppen met procederen dan een groot bedrijf dat het zich kan veroorloven om zoiets tot het eind uit te vechten.

watercoolertje @jeroen79 • 8 augustus 2014 12:04

Tuurlijk is dat de reden maar dat neemt niet weg dat je blijkbaar niet in je recht kan staan (door financiële middelen die ontbreken) als beginnend/klein bedrijf...

gjmi @watercoolertje • 8 augustus 2014 13:52

Ja, zo werkt dat nu eenmaal in onze "geweldige" kapitalistische rechtsstaat. Diegene met het meeste geld/macht wint in dit soort zaken.

Jaap-Jan @The Zep Man • 8 augustus 2014 11:50

Helaas doen gebruikers dat te weinig nog.

[Reactie gewijzigd door Jaap-Jan op 29 juli 2024 16:57]

Niemand_Anders @The Zep Man • 8 augustus 2014 14:26

Nee, hij bedoelt dat Yahoo een zeer groot leger van advocaten heeft en anders dan Snowden veel eenvoudiger de juridische procedures kan volhouden. Zowel financiaal als op human resources vlak.

Snowden is geen miljonair en kan dus slechts enkele weken het gevecht volhouden. Yahoo kan datzelfde gevecht zonder problemen rekken over meerdere jaren.

Toch denk ik dat de oplossing van Google op dit punt minder problemen geeft. Maar volgens mij ondersteund elke (bekende) mailclient toch inmiddels wel s/mime of gpg/pgp..

TranQuilNL @The Zep Man • 8 augustus 2014 14:27

[...]
Dus alleen de grote bedrijven mogen veilige oplossingen aanbieden aan hun gebruikers. Een aparte manier om bestaande partijen in een markt te beschermen.

Ik denk niet dat ze het zo bedoelen, maar meer dat zij wel de financiële middelen hebben om het aan te vechten als dat nodig blijkt. Lavabit had niet echt de financiële middelen om het uit te vechten. Yahoo geeft aan dat zij het wel hebben en ook zullen doen. Zeg niet dat ze na een lange rechtzaak niet alsnog gedwongen kunnen worden, maar ze zullen het zo lang mogelijk bevechten.

blorf 8 augustus 2014 11:40

Pgp-encryptie is end-to-end, wat wil zeggen dat Yahoo niet bij de inhoud van de e-mail kan. Dat betekent ook dat Yahoo de inhoud van de e-mail niet kan scannen

Alles leuk en aardig, maar het is toch een interactieve webbased mailservice? Volgens mij houdt dat min of meer in dat alle content die ooit in de gebruiker zijn mail-account heeft gestaan voor de server zelf sowieso een keer leesbaar is geweest.

Verwijderd @blorf • 8 augustus 2014 11:57

Stamos suggereert dus dat Yahoo deze emails dus niet meer leest en dat bovendien de content van deze emailberichten voor Yahoo geen commerciële waarde heeft.

Bij client-side encriptie lijken er nog genoeg attack-vectors beschikbaar om Yahoo-PGP inzichtbaar te maken voor overheidsdiensten.

Saillante details:
- PGP is tegenwoordig van Symantec
- Zimmerman, de bedenker van PGP, runt tegenwoordig Silenct Circle en dat bedrijf is complient met de VS en zet in op transparency (zoals vele andere techbedrijven).

[Reactie gewijzigd door Verwijderd op 29 juli 2024 16:57]

Verwijderd @Verwijderd • 8 augustus 2014 23:27

Als je je beveiliging cliënt side niet op orde hebt, is encryptie sowieso zinloos. Een keylogger is dan al voldoende om je mail te onderscheppen. Daar is geen aanval op je encryptie tool voor nodig.

Voor zover mij bekend wordt het protocol van PGP geïmplementeerd, dus wie de eigenaar van de tool nu is of wat de bedenker nu doet is vrij irrelevant.

Veel van de negatieve reacties lijken er op gericht om alles in diskrediet te brengen. Wat vervolgens een goede reden is om maar niets te doen. Want iets doen is toch zinloos.

Tweakers lijkt steeds meer een zwart-wit klaagmuur, waar de meest populistische opmerking de meeste plusjes krijgt.

Verwijderd @blorf • 8 augustus 2014 11:46

Dat moet ook wel, want de mail wordt gescanned op keywords om advertenties beter te targetten, dat is althans hoe gMail werkt. De inbox op de servers van Google is unencrypted, het betreft alleen het transport van de mailtjes; niet de storage. Dus de NSA kan niet meer afluisteren op het transport maar Google kan nog steeds mailtjes indexeren op keywords en er reclamebanners op selecteren.

Verwijderd @Verwijderd • 8 augustus 2014 23:14

Dat is natuurlijk feitelijk onjuist. De plug in moet juist end to end encryptie mogelijk maken. Dus van eindgebruiker naar eindgebruiker. Als het unencrypted naar de inbox zou gaan is encrypteren volstrekt nutteloos. De NSA kan dan al tussen jouw verbinding en Google meeluisteren.

Jammer dat je dit soort onzin überhaupt verzint.

Kul @blorf • 8 augustus 2014 11:56

Als Yahoo dit zo implementeert dat alle ver- en ontsleuteling op de computer van de gebruiker gebeurt (en dat is wat end-to-end impliceert) zal de server nooit de content kunnen lezen.

Hoe je dan weer vaststelt dat het ook echt zo loopt is dan weer een heel ander verhaal.

Verwijderd @blorf • 8 augustus 2014 23:03

De plug in draait op de cliënt, dus het is prima mogelijk dat de data pas na encryptie server side terecht komt. Zo werd het tenminste wel beschreven.

Fuzzillogic 8 augustus 2014 11:51

Waarom PGP en niet S/MIME, icm de gratis certificaten van CACert.org? S/MIME zit standaard in de clients. Voor PGP moet dikwijls nog een aparte plug-in worden geïnstalleerd.

The Zep Man

Websites en community's
Netwerk en systeembeheer

@Fuzzillogic • 8 augustus 2014 12:13

Waarom PGP en niet S/MIME, icm de gratis certificaten van CACert.org? S/MIME zit standaard in de clients. Voor PGP moet dikwijls nog een aparte plug-in worden geïnstalleerd.

S/MIME heeft dezelfde zwakte als SSL: een afhankelijkheid van een lijst van vertrouwde certificate authorities door het gebruik van een public key infrastructure. Eén gecompromitteerde en niet opgemerkte CA is voldoende om het systeem om zeep te helpen.

(Open)PGP maakt gebruik van het web of trust concept. Dit heeft weer zijn eigen problemen, maar niemand is daarmee exclusief afhankelijk van specifieke derde partijen.

[Reactie gewijzigd door The Zep Man op 29 juli 2024 16:57]

Verwijderd @The Zep Man • 8 augustus 2014 12:21

Kleine aanvulling om de verschillen tussen OpenPGP en S/MIME aan te geven: fsfe.org, 23-12-2013.

Dorank @Fuzzillogic • 8 augustus 2014 12:21

Waarom zou je CAs vertrouwen (en dat geldt zeker voor cacert.org)? Een Web of Trust opbouwen kost wat werk/tijd maar is het waard (kan je natuurlijk ook met S/MIME).

Fuzzillogic @Dorank • 8 augustus 2014 12:47

Je hoeft geen CA te vertrouwen. Self-signed is altijd een optie. Je zou dat weer kunnen koppelen aan een WoT.

S/MIME werkt met mime (goh). Het is wat beter ingericht op gebruik in e-mail dan PGP.

Dorank @Fuzzillogic • 8 augustus 2014 13:57

Je hoeft geen CA te vertrouwen

Waarom draag je dan uberhaupt cacert.org aan? Waarom draag je niet aan dat cacert.org juist een Web of Trust is?

Maar het probleem is juist dat standaard een hele zooi CAs "Trusted" zijn. Om de haverklap is het weer raak dat een CA (of intermediate) een onterecht certificaat uitgeeft.

S/MIME werkt met mime (goh). Het is wat beter ingericht op gebruik in e-mail dan PGP.

Vertel. PGP gebruikt ook gewoon MIME: rfc3156.

Ik gebruik geen S/MIME maar als ik dergelijke mail ontvang sta ik altijd verstelt over het feit dat de signature (het smine.p7s attachment) groter is dan de gesignde content.

Verwijderd 8 augustus 2014 11:37

Mooi, hoop dat Microsoft het in outlook.com gaat integreren zonder het nodig hebben van een browser plugin. Hoop ook dat het naar Windows Phone komt in de mail app.

Vraag: Hoe veilig is PGP, is het al gekraakt???

hackerhater @Verwijderd • 8 augustus 2014 12:28

Mits sterk genoege sleutel + je private key goed beschermen is het heel veilig.

erikmeuk3 @hackerhater • 8 augustus 2014 13:51

Gekraakt is niet het juiste woord.
Als je het op je android zet, heb je zoveel app's die theoretisch alles uit kunnen lezen.
Je privé sleutel is dan ook snel uitgelezen.

Om een mailtje te versturen met PGP/GPG heb ik Yahoo niet nodig.

Ik denk eerder dat deze ontwikkeling een gevoel van veiligheid geeft, die er niet is.

Bacchus @Verwijderd • 8 augustus 2014 13:32

Het is tekenend voor de lange en woelige geschiedenis van PGP dat het zijn beveiligingsprobleempjes gehad heeft maar tegenwoordig heeft het niet voor niets de naam de de facto standaard voor email-encryptie te zijn. Technisch behoort PGP tot het beste dat er is.
De grootste bedreiging is sleutelbeheer. De werking van het netwerk van vertrouwen en sleutel-geldigheid is veel te ingewikkeld en nodigt uit tot onveilig gedrag.

Nix_R 8 augustus 2014 11:39

Ik zal er niets aan hebben want ik probeerde gister nog een e-mail account te maken bij Yahoo!
En ik werd verplicht om een telefoonnummer op te geven, dat vind ik persoonlijk schandalig!

Verwijderd @Nix_R • 8 augustus 2014 11:45

Dat vragen ze allemaal. Google en Microsoft ook.

Pgp-encryptie is end-to-end, wat wil zeggen dat Yahoo niet bij de inhoud van de e-mail kan. Dat betekent ook dat Yahoo de inhoud van de e-mail niet kan scannen, maar daar maakt Stamos zich geen zorgen over: het soort mails dat zal worden versleuteld, bijvoorbeeld tussen activisten, heeft volgens de beveiligingsdeskundige toch weinig commerciële waarde.

Uhuh, totdat iedereen het standaard aanzet. Dan stort je markt wel in lijkt me?

Nix_R @Verwijderd • 8 augustus 2014 11:51

Ja bij Google geloof ik wel maar bij Microsoft-outlook in ieder geval niet, daar is het niet een verplichte optie want je kunt een tweede e-mail adres opgeven die je vervolgens niet hoeft te verifiëren!

Enai @Nix_R • 8 augustus 2014 12:41

En je hebt een telefoonnummer nodig om dat tweede adres aan te maken bij een andere dienst?

zipje_en_zopje @Enai • 8 augustus 2014 12:54

Ik heb nog nooit een telefoonnummer opgegeven en al jarenlang een microsoft mail account. Als het enkel maar is om een nieuwe account te verifiëren kun je eenmalig wel gebruik maken van het adres dat je krijgt van je ISP of gewoon een wegwerp maildienst gebruiken.

Nix_R @Enai • 8 augustus 2014 13:21

Je zou eventueel ook een nep e-mail kunnen opgeven ik heb zelf een ander oud e-mail adres van mijzelf opgegeven!

Sfynx @Verwijderd • 8 augustus 2014 12:16

Ik heb nooit m'n telefoonnummer aan Google gegeven, en kan gewoon gebruik maken van e-mail.

Tha_Butcha 8 augustus 2014 11:53

"Dat voorbeeld verschilt van een beursgenoteerd miljardenbedrijf met een leger aan advocaten dat er naar uitziet om deze zaak naar het Hooggerechtshof te brengen", aldus Stamos tegenover The Wall Street Journal.

afgezien van het feit dat dat klassejustitie van jewelste zou zijn, heb jij helemaal niks aan je miljarden met een leger advocaten, als je een gag order krijgt 'in het kader van nationale veiligheid'. Kijk maar naar al het gekloot wat Apple, Google, Facebook en MS hebben met de gegevens die zij beschikbaar moesten stellen en daar niks over mogen zeggen.

Verwijderd @Tha_Butcha • 8 augustus 2014 12:04

Je zou deze reactie van Stamos ook kunnen interpreteren als dat Ladar Levison (baas van Lavabit) zich niet goed heeft laten adviseren (lees: hij maakte er een potje van).

citaat Stamos: “It’s not clear the Lavabit example actually scales up,” he said. “That’s very different from a publicly traded multibillion dollar company with an army of lawyers who would love to take this argument all the way to the Supreme Court.”(wjs.com, 7-8-2014~)

[Reactie gewijzigd door Verwijderd op 29 juli 2024 16:57]

TheBlackbird 8 augustus 2014 13:03

Alles valt of staat met hoe de private key gegenereerd wordt. Als er niet voldoende randomness in zit, of één of andere veiligheidsdienst heeft een stuk van de sleutel (zoals het geval was bij de encryptie van Internet Explorer vroeger) dan is het weer een stuk minder veilig. Ideaal zou zijn dat je met een eigen te kiezen PGP-programma een keypair kan aanmaken en dat kunt gebruiken in Yahoo.

Anderzijds, als je 100% veilig wilt zijn is geen enkele beveiliging goed genoeg. Zelfs al is de encryptie waterdicht, veiligheidsdiensten als de NSA hebben voldoende middelen om op elfendertig andere manieren aan de info te komen die ze nodig hebben, als ze dat willen (router hacken, malware op je pc via 0-day exploits die enkel zij kennen, Facebook-servers die ze manipuleren om je data te ontfrutselen,... the sky is the limit voor die gasten).

Op zich wel een goeie evolutie. In het beste geval ben je beveiligd tegen de meeste vormen van eavesdropping, en kan de NSA zijn dragnettechniek van dataverzamelikng niet zo vlot meer toepassen.

[Reactie gewijzigd door TheBlackbird op 29 juli 2024 16:57]

Dorank @TheBlackbird • 8 augustus 2014 14:05

Anderzijds, als je 100% veilig wilt zijn is geen enkele beveiliging goed genoeg. Zelfs al is de encryptie waterdicht, veiligheidsdiensten als de NSA hebben voldoende middelen om op elfendertig andere manieren aan de info te komen die ze nodig hebben, als ze dat willen (router hacken, malware op je pc via 0-day exploits die enkel zij kennen, Facebook-servers die ze manipuleren om je data te ontfrutselen,... the sky is the limit voor die gasten).

Offline (en|de)cryptie is het antwoord hierop (en de unencrypted content offline houden natuurlijk). Moet je verder alleen even zorgen dat je machine geen straling meer uitzend en je bent veilig zolang de TLAs zich geen fysieke toegang verschaffen.

Stevie-P 8 augustus 2014 14:11

PGP werkt uiteraard al met Yahoo, wanneer je een geschikte mailclient gebruikt. Ik kan me niet voorstellen dat activisten hun private key naar Yahoo gaan uploaden zodat ze voortaan hun mail in een browserschermpje kunnen ontsleutelen/signen.

Uchy 8 augustus 2014 19:09

Voorlopig zet ik nog in (als het gaat om niet zelf-beheerde mail) op www.protonmail.ch.

Die gasten lijken enorm transparant over hun motieven en doelen, en posten elke week/2 weken een update over welke nieuwe security-functionaliteit ze hebben verbeterd. Bieden ook encrypted mailoplossingen aan voor mensen die zelf geen de/encryptiesoftware gebruiken.

Nog wel in beta, maar wel een aanbieder waar ik op over zal gaan, en waarschijnlijk reclame voor ga maken.
Maar, ontopic, wel een mooie ontwikkeling. Zou wel willen weten hoe ze die encryptie gaan implementeren, voornamelijk waar de private keys en ww's zitten.

Jebus007 8 augustus 2014 13:00

Heel slim, net na de berichten over MS en Google die e-mails scannen...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: