Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties

Yahoo wil zijn gebruikers end-to-end-encryptie gaan aanbieden op zijn maildienst. Dat heeft het bedrijf bekendgemaakt op de Black Hat-beveiligingsbeurs in Las Vegas. Onlangs kwam Google al met een pgp-plugin voor Google Chrome.

yahooVanaf deze herfst kunnen Yahoo-gebruikers versleuteld mailen, zo heeft Yahoo bekend gemaakt op de Black Hat-beveiligingsconferentie. Daarbij wordt pgp gebruikt, een techniek die de facto de standaard voor versleuteld mailen is maar nog niet is doorgedrongen tot de gemiddelde internetgebruiker.

Beveiligingsonderzoeker Alex Stamos, die sinds de NSA-onthullingen door Yahoo is aangesteld als hoofd beveiliging, zegt tegenover Forbes dat pgp automatisch zal worden ingeschakeld zodra de ontvanger en verzender beide pgp geconfigureerd hebben.

Pgp-encryptie is end-to-end, wat wil zeggen dat Yahoo niet bij de inhoud van de e-mail kan. Dat betekent ook dat Yahoo de inhoud van de e-mail niet kan scannen, maar daar maakt Stamos zich geen zorgen over: het soort mails dat zal worden versleuteld, bijvoorbeeld tussen activisten, heeft volgens de beveiligingsdeskundige toch weinig commerciële waarde.

Yahoo is bovendien van plan om zijn implementatie te laten samenwerken met die van Google. Google kiest ervoor om pgp niet direct in Gmail te implementeren; gebruikers moeten eerst een Chrome-plug-in downloaden om versleuteld te kunnen mailen. De plugin is vooralsnog enkel voor testers te gebruiken, en is nog niet verkrijgbaar in de Chrome Web Store.

Yahoo zegt niet bang te zijn voor juridische problemen, zoals Lavabit, de e-mailprovider van NSA-klokkenluider Edward Snowden, die kreeg. Lavabit moest zijn privésleutels van de Amerikaanse rechter overhandigen, zodat de mails van Snowden konden worden ontsleuteld. "Dat voorbeeld verschilt van een beursgenoteerd miljardenbedrijf met een leger aan advocaten dat er naar uitziet om deze zaak naar het Hooggerechtshof te brengen", aldus Stamos tegenover The Wall Street Journal.

Moderatie-faq Wijzig weergave

Reacties (47)

"Dat voorbeeld verschilt van een beursgenoteerd miljardenbedrijf met een leger aan advocaten dat er naar uitziet om deze zaak naar het Hooggerechtshof te brengen", aldus Stamos tegenover The Wall Street Journal.
Dus alleen de grote bedrijven mogen veilige oplossingen aanbieden aan hun gebruikers. Een aparte manier om bestaande partijen in een markt te beschermen.

Yahoo heeft ondersteuning voor IMAP en SMTP. Als je daar een account hebt, kan je natuurlijk Thunderbird+Enigmail (desktop) of K-9 Mail+APG (Android) gebruiken om hetzelfde voor elkaar te krijgen, maar dan open-source en mailprovider onafhankelijk.

[Reactie gewijzigd door The Zep Man op 8 augustus 2014 11:50]

Een belangrijker verschil is dat met PGP Yahoo de sleutel niet heeft. Ze kunnen dus ook de sleutel niet afgeven.

Enige bezwaar is dat je hun implementatie van PGP gaat gebruiken die je niet kan controleren op backdoors. Eigenlijk is een desktop mailclient met PGP de beste oplossing. Het zou mooi zijn als dit in navolging van Yahoo standaard in de open source clients zou worden ingebakken.
Een belangrijker verschil is dat met PGP Yahoo de sleutel niet heeft. Ze kunnen dus ook de sleutel niet afgeven.
Er zijn veroordelingen in landen omdat een sleutel niet opgeleverd kon worden, ondanks dat de verdachte de sleutel niet in eigen bezit had. Yahoo kan gedwongen worden om sleutelmateriaal af te staan ondanks dat zij het sleutelmateriaal niet hebben. Dan zouden zij verplicht dit systeem weer aan moeten passen.
Enige bezwaar is dat je hun implementatie van PGP gaat gebruiken die je niet kan controleren op backdoors. Eigenlijk is een desktop mailclient met PGP de beste oplossing. Het zou mooi zijn als dit in navolging van Yahoo standaard in de open source clients zou worden ingebakken.
PGP is niet (meer) open-source. GnuPG (GPG) wel, wat onderhuids wordt gebruikt door bijvoorbeeld Enigmail.

[Reactie gewijzigd door The Zep Man op 8 augustus 2014 11:52]

PGP is nooit onder een opensource licentie beschikbaar geweest, wel is (of was) de broncode voor peer-review inzichtelijk.
PGP niet, maar GPG wel ... en die werken feilloos samen met elkaar, alleen moet je voor de laatste wel een pinguin in je computer hebben zitten...
Zowel PGP als GPG implementeren de publieke OpenPGP-standaard, vandaar dat ze zo goed samenwerken.

GPG werkt prima op Windows. Met Enigmail integreert het bijzonder mooi in Thunderbird. Outlook-integratie is helaas een beetje wisselend maar volgens mij biedt GPG4Win dan wel weer redelijke shell-plugins. (Maar eerlijk is eerlijk: het is lang gelden dat ik het gebruikt heb)
Waarschijnlijk wordt het "leger van advocaten" gebruikt om een backdoor in te bouwen zodat deze niet zichtbaar is voor gebruikers en dat Yahoo nooit aansprakelijk gesteld kan worden. Ik heb er weinig vertrouwen in. Ook al zou je Yahoo vertrouwen, het zal zich moeten houden aan de wet van de VS en die stelt heel simpel dat je systemen afluisterbaar moeten zijn.
De wet gaat over afluisteren en dat kan nog steeds. Het bericht is alleen gecodeerd. De provider heeft geen zeggenschap over de gebruiker en kan de gebruiker niet dwingen om in plain-text te mailen.
De gebruiker bepaalt of hij pgp gebruikt of niet. Dat is jaren al zo, want je kan pgp al jaren gebruiken, het word nu alleen makkelijker gemaakt.
Nee, de bedoeling is dat Yahoo de zaak uitlokt en voor het hooggerechtshof brengt, en daarmee een precedent schept. Dit ontlast ook kleinere bedrijven. Enige nadeel is dat we even moeten wachten voor de uitspraak.
Jammer dat het op die manier moet, dat eerst meerdere kleine bedrijven de kop heeft gekost. Het zou niet uit moeten maken hoeveel advocaten je hebt om gelijk te hebben.
Dus alleen de grote bedrijven mogen veilige oplossingen aanbieden aan hun gebruikers. Een aparte manier om bestaande partijen in een markt te beschermen.
Dat is eerder een kwestie van kunnen in plaats van mogen.
Een klein bedrijf met weinig middelen zal eerder stoppen met procederen dan een groot bedrijf dat het zich kan veroorloven om zoiets tot het eind uit te vechten.
Tuurlijk is dat de reden maar dat neemt niet weg dat je blijkbaar niet in je recht kan staan (door financiŽle middelen die ontbreken) als beginnend/klein bedrijf...
Ja, zo werkt dat nu eenmaal in onze "geweldige" kapitalistische rechtsstaat. Diegene met het meeste geld/macht wint in dit soort zaken.
Helaas doen gebruikers dat te weinig nog.

[Reactie gewijzigd door Jaap-Jan op 8 augustus 2014 11:51]

Nee, hij bedoelt dat Yahoo een zeer groot leger van advocaten heeft en anders dan Snowden veel eenvoudiger de juridische procedures kan volhouden. Zowel financiaal als op human resources vlak.

Snowden is geen miljonair en kan dus slechts enkele weken het gevecht volhouden. Yahoo kan datzelfde gevecht zonder problemen rekken over meerdere jaren.

Toch denk ik dat de oplossing van Google op dit punt minder problemen geeft. Maar volgens mij ondersteund elke (bekende) mailclient toch inmiddels wel s/mime of gpg/pgp..
[...]
Dus alleen de grote bedrijven mogen veilige oplossingen aanbieden aan hun gebruikers. Een aparte manier om bestaande partijen in een markt te beschermen.
Ik denk niet dat ze het zo bedoelen, maar meer dat zij wel de financiŽle middelen hebben om het aan te vechten als dat nodig blijkt. Lavabit had niet echt de financiŽle middelen om het uit te vechten. Yahoo geeft aan dat zij het wel hebben en ook zullen doen. Zeg niet dat ze na een lange rechtzaak niet alsnog gedwongen kunnen worden, maar ze zullen het zo lang mogelijk bevechten.
Pgp-encryptie is end-to-end, wat wil zeggen dat Yahoo niet bij de inhoud van de e-mail kan. Dat betekent ook dat Yahoo de inhoud van de e-mail niet kan scannen
Alles leuk en aardig, maar het is toch een interactieve webbased mailservice? Volgens mij houdt dat min of meer in dat alle content die ooit in de gebruiker zijn mail-account heeft gestaan voor de server zelf sowieso een keer leesbaar is geweest.
Stamos suggereert dus dat Yahoo deze emails dus niet meer leest en dat bovendien de content van deze emailberichten voor Yahoo geen commerciŽle waarde heeft.

Bij client-side encriptie lijken er nog genoeg attack-vectors beschikbaar om Yahoo-PGP inzichtbaar te maken voor overheidsdiensten.

Saillante details:
- PGP is tegenwoordig van Symantec
- Zimmerman, de bedenker van PGP, runt tegenwoordig Silenct Circle en dat bedrijf is complient met de VS en zet in op transparency (zoals vele andere techbedrijven).

[Reactie gewijzigd door hieper op 8 augustus 2014 11:59]

Als je je beveiliging cliŽnt side niet op orde hebt, is encryptie sowieso zinloos. Een keylogger is dan al voldoende om je mail te onderscheppen. Daar is geen aanval op je encryptie tool voor nodig.

Voor zover mij bekend wordt het protocol van PGP geÔmplementeerd, dus wie de eigenaar van de tool nu is of wat de bedenker nu doet is vrij irrelevant.

Veel van de negatieve reacties lijken er op gericht om alles in diskrediet te brengen. Wat vervolgens een goede reden is om maar niets te doen. Want iets doen is toch zinloos.

Tweakers lijkt steeds meer een zwart-wit klaagmuur, waar de meest populistische opmerking de meeste plusjes krijgt.
Dat moet ook wel, want de mail wordt gescanned op keywords om advertenties beter te targetten, dat is althans hoe gMail werkt. De inbox op de servers van Google is unencrypted, het betreft alleen het transport van de mailtjes; niet de storage. Dus de NSA kan niet meer afluisteren op het transport maar Google kan nog steeds mailtjes indexeren op keywords en er reclamebanners op selecteren.
Dat is natuurlijk feitelijk onjuist. De plug in moet juist end to end encryptie mogelijk maken. Dus van eindgebruiker naar eindgebruiker. Als het unencrypted naar de inbox zou gaan is encrypteren volstrekt nutteloos. De NSA kan dan al tussen jouw verbinding en Google meeluisteren.

Jammer dat je dit soort onzin Łberhaupt verzint.
Als Yahoo dit zo implementeert dat alle ver- en ontsleuteling op de computer van de gebruiker gebeurt (en dat is wat end-to-end impliceert) zal de server nooit de content kunnen lezen.

Hoe je dan weer vaststelt dat het ook echt zo loopt is dan weer een heel ander verhaal.
De plug in draait op de cliŽnt, dus het is prima mogelijk dat de data pas na encryptie server side terecht komt. Zo werd het tenminste wel beschreven.
Waarom PGP en niet S/MIME, icm de gratis certificaten van CACert.org? S/MIME zit standaard in de clients. Voor PGP moet dikwijls nog een aparte plug-in worden geÔnstalleerd.
Waarom PGP en niet S/MIME, icm de gratis certificaten van CACert.org? S/MIME zit standaard in de clients. Voor PGP moet dikwijls nog een aparte plug-in worden geÔnstalleerd.
S/MIME heeft dezelfde zwakte als SSL: een afhankelijkheid van een lijst van vertrouwde certificate authorities door het gebruik van een public key infrastructure. Eťn gecompromitteerde en niet opgemerkte CA is voldoende om het systeem om zeep te helpen.

(Open)PGP maakt gebruik van het web of trust concept. Dit heeft weer zijn eigen problemen, maar niemand is daarmee exclusief afhankelijk van specifieke derde partijen.

[Reactie gewijzigd door The Zep Man op 8 augustus 2014 12:15]

Kleine aanvulling om de verschillen tussen OpenPGP en S/MIME aan te geven: fsfe.org, 23-12-2013.
Waarom zou je CAs vertrouwen (en dat geldt zeker voor cacert.org)? Een Web of Trust opbouwen kost wat werk/tijd maar is het waard (kan je natuurlijk ook met S/MIME).
Je hoeft geen CA te vertrouwen. Self-signed is altijd een optie. Je zou dat weer kunnen koppelen aan een WoT.

S/MIME werkt met mime (goh). Het is wat beter ingericht op gebruik in e-mail dan PGP.
Je hoeft geen CA te vertrouwen
Waarom draag je dan uberhaupt cacert.org aan? Waarom draag je niet aan dat cacert.org juist een Web of Trust is?

Maar het probleem is juist dat standaard een hele zooi CAs "Trusted" zijn. Om de haverklap is het weer raak dat een CA (of intermediate) een onterecht certificaat uitgeeft.
S/MIME werkt met mime (goh). Het is wat beter ingericht op gebruik in e-mail dan PGP.
Vertel. PGP gebruikt ook gewoon MIME: rfc3156.

Ik gebruik geen S/MIME maar als ik dergelijke mail ontvang sta ik altijd verstelt over het feit dat de signature (het smine.p7s attachment) groter is dan de gesignde content.
Mooi, hoop dat Microsoft het in outlook.com gaat integreren zonder het nodig hebben van een browser plugin. Hoop ook dat het naar Windows Phone komt in de mail app.

Vraag: Hoe veilig is PGP, is het al gekraakt???
Mits sterk genoege sleutel + je private key goed beschermen is het heel veilig.
Gekraakt is niet het juiste woord.
Als je het op je android zet, heb je zoveel app's die theoretisch alles uit kunnen lezen.
Je privť sleutel is dan ook snel uitgelezen.

Om een mailtje te versturen met PGP/GPG heb ik Yahoo niet nodig.

Ik denk eerder dat deze ontwikkeling een gevoel van veiligheid geeft, die er niet is.
Het is tekenend voor de lange en woelige geschiedenis van PGP dat het zijn beveiligingsprobleempjes gehad heeft maar tegenwoordig heeft het niet voor niets de naam de de facto standaard voor email-encryptie te zijn. Technisch behoort PGP tot het beste dat er is.
De grootste bedreiging is sleutelbeheer. De werking van het netwerk van vertrouwen en sleutel-geldigheid is veel te ingewikkeld en nodigt uit tot onveilig gedrag.
Ik zal er niets aan hebben want ik probeerde gister nog een e-mail account te maken bij Yahoo!
En ik werd verplicht om een telefoonnummer op te geven, dat vind ik persoonlijk schandalig!
Dat vragen ze allemaal. Google en Microsoft ook.
Pgp-encryptie is end-to-end, wat wil zeggen dat Yahoo niet bij de inhoud van de e-mail kan. Dat betekent ook dat Yahoo de inhoud van de e-mail niet kan scannen, maar daar maakt Stamos zich geen zorgen over: het soort mails dat zal worden versleuteld, bijvoorbeeld tussen activisten, heeft volgens de beveiligingsdeskundige toch weinig commerciŽle waarde.
Uhuh, totdat iedereen het standaard aanzet. Dan stort je markt wel in lijkt me?
Ja bij Google geloof ik wel maar bij Microsoft-outlook in ieder geval niet, daar is het niet een verplichte optie want je kunt een tweede e-mail adres opgeven die je vervolgens niet hoeft te verifiŽren!
En je hebt een telefoonnummer nodig om dat tweede adres aan te maken bij een andere dienst? :)
Ik heb nog nooit een telefoonnummer opgegeven en al jarenlang een microsoft mail account. Als het enkel maar is om een nieuwe account te verifiŽren kun je eenmalig wel gebruik maken van het adres dat je krijgt van je ISP of gewoon een wegwerp maildienst gebruiken.
Je zou eventueel ook een nep e-mail kunnen opgeven ik heb zelf een ander oud e-mail adres van mijzelf opgegeven!
Ik heb nooit m'n telefoonnummer aan Google gegeven, en kan gewoon gebruik maken van e-mail.
"Dat voorbeeld verschilt van een beursgenoteerd miljardenbedrijf met een leger aan advocaten dat er naar uitziet om deze zaak naar het Hooggerechtshof te brengen", aldus Stamos tegenover The Wall Street Journal.
afgezien van het feit dat dat klassejustitie van jewelste zou zijn, heb jij helemaal niks aan je miljarden met een leger advocaten, als je een gag order krijgt 'in het kader van nationale veiligheid'. Kijk maar naar al het gekloot wat Apple, Google, Facebook en MS hebben met de gegevens die zij beschikbaar moesten stellen en daar niks over mogen zeggen.
Je zou deze reactie van Stamos ook kunnen interpreteren als dat Ladar Levison (baas van Lavabit) zich niet goed heeft laten adviseren (lees: hij maakte er een potje van).

citaat Stamos: “It’s not clear the Lavabit example actually scales up,” he said. “That’s very different from a publicly traded multibillion dollar company with an army of lawyers who would love to take this argument all the way to the Supreme Court.”(wjs.com, 7-8-2014~)

[Reactie gewijzigd door hieper op 8 augustus 2014 12:09]

Alles valt of staat met hoe de private key gegenereerd wordt. Als er niet voldoende randomness in zit, of ťťn of andere veiligheidsdienst heeft een stuk van de sleutel (zoals het geval was bij de encryptie van Internet Explorer vroeger) dan is het weer een stuk minder veilig. Ideaal zou zijn dat je met een eigen te kiezen PGP-programma een keypair kan aanmaken en dat kunt gebruiken in Yahoo.

Anderzijds, als je 100% veilig wilt zijn is geen enkele beveiliging goed genoeg. Zelfs al is de encryptie waterdicht, veiligheidsdiensten als de NSA hebben voldoende middelen om op elfendertig andere manieren aan de info te komen die ze nodig hebben, als ze dat willen (router hacken, malware op je pc via 0-day exploits die enkel zij kennen, Facebook-servers die ze manipuleren om je data te ontfrutselen,... the sky is the limit voor die gasten).

Op zich wel een goeie evolutie. In het beste geval ben je beveiligd tegen de meeste vormen van eavesdropping, en kan de NSA zijn dragnettechniek van dataverzamelikng niet zo vlot meer toepassen.

[Reactie gewijzigd door TheBlackbird op 8 augustus 2014 13:14]

Anderzijds, als je 100% veilig wilt zijn is geen enkele beveiliging goed genoeg. Zelfs al is de encryptie waterdicht, veiligheidsdiensten als de NSA hebben voldoende middelen om op elfendertig andere manieren aan de info te komen die ze nodig hebben, als ze dat willen (router hacken, malware op je pc via 0-day exploits die enkel zij kennen, Facebook-servers die ze manipuleren om je data te ontfrutselen,... the sky is the limit voor die gasten).
Offline (en|de)cryptie is het antwoord hierop (en de unencrypted content offline houden natuurlijk). Moet je verder alleen even zorgen dat je machine geen straling meer uitzend en je bent veilig zolang de TLAs zich geen fysieke toegang verschaffen.
PGP werkt uiteraard al met Yahoo, wanneer je een geschikte mailclient gebruikt. Ik kan me niet voorstellen dat activisten hun private key naar Yahoo gaan uploaden zodat ze voortaan hun mail in een browserschermpje kunnen ontsleutelen/signen.
Voorlopig zet ik nog in (als het gaat om niet zelf-beheerde mail) op www.protonmail.ch.

Die gasten lijken enorm transparant over hun motieven en doelen, en posten elke week/2 weken een update over welke nieuwe security-functionaliteit ze hebben verbeterd. Bieden ook encrypted mailoplossingen aan voor mensen die zelf geen de/encryptiesoftware gebruiken.

Nog wel in beta, maar wel een aanbieder waar ik op over zal gaan, en waarschijnlijk reclame voor ga maken.
Maar, ontopic, wel een mooie ontwikkeling. Zou wel willen weten hoe ze die encryptie gaan implementeren, voornamelijk waar de private keys en ww's zitten.
Heel slim, net na de berichten over MS en Google die e-mails scannen...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True