Encryptie en realiteit

[Christine]

Soms zegt iemand over een product "oh, maar dat is er toch al lang" of "daar hoef je niks voor te kopen want dat kan zo met windows/mac/etc. ook al". Waarom is er dan toch een markt voor nieuwe software en hardware producten? Omdat mensen niet overweg kunnen met wat er is, of het niet handig vinden.

 

Voorbeeld: de auto is nutteloos, want duur, en je kunt toch al gratis van Amsterdam naar Maastricht lopen?

 

Ik zit regelmatig in die discussie, want email encryptie is beschikbaar in de meeste mail programma's. Waarom zijn er dan toch commerciele producten - zoals Izemail? Omdat mensen liever de auto of de trein nemen van Amsterdam naar Maastricht.

 

Zie hier of hier.

 

 

[R.I.P. - Benm]

Ik denk dat er aan beide kanten van de discussie wel iets zit, maar dat het lage gebruik van email encryptie toch vooral komt omdat men niet bekend is met handige oplossingen daarvoor.

 

Groter probleem is wellicht een gebrek aan installed base, want het is en blijft voorlopig is dat je aan beide kanten moet gebruiken. Als eerste encryptie adopteren is daarom weinig aantrekkelijk, want je kunt er pas mee als je mailgenoten het ook doen.

 

Overigens heeft het me altijd een beetje verbaasd dat het hele internet eigenlijk 'standaard' niet-encrypted is opgezet, en ook zo is gebleven. Vrijwel alle pagina's die we bekijken doen we non-secure, waarom eigenlijk?

 

Misschien realiseren we ons met zn allen hoe gemakkelijk dat allemaal door tussenpartijen te bekijken is, of wordt er gewoon weinig misbruik van gemaakt zodat men er niet bang voor is?

[R.I.P. | Peter Bonjernoor]

Waarom zijn er dan toch commerciele producten - zoals Izemail?

 

Zoals je zelf al aangeeft op "Why Izemail" - omdat het meer mogelijkheden biedt dan de standaard implementaties. Degenen die die extra mogelijkheden niet nodig hebben zullen het voordeel niet zien en het als nutteloos bestempelen. Dat zullen dus ook nooit klanten worden.

 

Er ontbreekt trouwens een 'e' in 'guidlins'... ;)

[Christine]

Er ontbreekt trouwens een 'e' in 'guidlins'... ;)

 

Dank je. Nu niet meer :-)

 

 

[Gast Verwijderd account]

Voor de gewone man is er niet echt noodzaak voor encryptie. De informatie is vaak niet belangrijk genoeg, de kans op uitlekken is niet extreem groot en voor anderen meestal waardeloos. We maken er ook niet echt een probleem van om informatie openbaar te bespreken in restaurants of in treinen waar iedereen het kan horen. Waarom dan wel als het om mail gaat?

[Christine]

Waarom dan wel als het om mail gaat?

 

bijvoorbeeld omdat er een wet is die zegt dat artsen niet zonder encryptie mogen emailen. Bijvoorbeeld omdat het vervalsen van een afzender adres zo gemakkelijk is dat advocaten niet zonder digitale ondertekening zouden moeten mogen mailen; de european bar association verplicht advocaten ook om te encrypten. Banken emailen niet met clienten omdat het onveilig is, met encryptie kunnen ze wel emailen. Amerikaanse bedrijven willen bijna allemaal encrypten vanwege Sarbanes Oxley.

 

Je maakt de vergelijking met een gesprek in de trein. Dat wordt hooguit door een paar mensen gehoord, en bovendien als het vertrouwelijk is dan praat je wat zachter. Email kan routinematig gescand worden op trefwoorden, dat is iets heel anders dan een toevallige voorbijganger.

 

Je hebt blijkbaar geen idee wie jouw email allemaal kunnen lezen?

 

Christine

[Henk]

Voor de gewone man is er niet echt noodzaak voor encryptie. De informatie is vaak niet belangrijk genoeg, de kans op uitlekken is niet extreem groot en voor anderen meestal waardeloos. We maken er ook niet echt een probleem van om informatie openbaar te bespreken in restaurants of in treinen waar iedereen het kan horen. Waarom dan wel als het om mail gaat?

 

Encryptie of codering kan een paradoxaal begrip zijn.

Ik moet hierbij denken aan WW2 en de Enigma machine en zijn codering.

Op zo'n moment is het net aan welke kant je staat, de U boten enz hadden veel belang voor een onkraakbare codering hun tegenstanders juist weer niet.

Zou alles wat gecodeerd wordt zuiver op de graad zijn, "wat je wel kunt vergeten" dan zou het mooi zijn. Alleen de persoon of instantie die dit aan gaat leest dit en anderen hoeven hier geen kennis van te nemen. Kan dan waarschijnlijk ook geen kwaad, maar kan ook net zo goed wel minder goede bedoelingen hebben. Dit kan zowel in oorlogen, zakelijke en persoonlijke situaties voorkomen. Dit is dus de paradox, en ja is het misschien ook niet jammer als we later gecodeerde mailtjes vinden die ons niets zeggen en we toch graag zouden willen kunnen lezen? Als we allemaal overgaan op encryptie kan dit misschien ook een bron van informatie (geschiedenis) verlies worden. Misschien encryptie gebruiken maar wel kraakbaar houden ;) Gelukkig was er in WW2 Bletchley park met codekrakers. En wat gaat er nu niet over het net?

 

Ja encryptie is realiteit soms goed soms niet..

 

 

 

 

[R.I.P. - Benm]

Voor de gewone man is er niet echt noodzaak voor encryptie. De informatie is vaak niet belangrijk genoeg, de kans op uitlekken is niet extreem groot en voor anderen meestal waardeloos.

 

Ik denk dat dat vies tegenvalt... veel mensen zouden niet heel blij zijn als alles wat ze het afgelopen jaar per mail of website/forum/chat uitwisselden in 1 klap op straat zou liggen. Daarvoor hoef je geen ongewone man te zijn of duistere geheimen te hebben, een beetje privacy is voor iedereen wel prettig denk ik.

 

Overigens weet ik uit de praktijk dat mensen behoorlijk schrikken als blijkt dat een ander hun communicatie kan meelezen. Ik heb zelf een tijdje beheer gedaan aan een campusnetwerk, en daar zag je de complete conversaties van programma's als ICQ voorbij vliegen. Als je vervolgens iemand confronteerd met het meest triviale (maar naar hun idee private) gesprek, kijken ze toch wel even heel angstig.

 

Als we allemaal overgaan op encryptie kan dit misschien ook een bron van informatie (geschiedenis) verlies worden.

 

Ik denk dat dat best mee valt... als we het over historisch onderzoek naar onze periode vanuit de verre toekomst hebben althans. Door doorgroeiende computerkracht en innovaties in cryptografie zullen methoden die nu praktisch onkraakbaar zijn dat niet altijd blijven.

 

Encryptie kan zorgen voor onleesbaarheid voor de komende decennia, maar ik betwijfel of dat daarna nog te garanderen is.

[Christine]

Misschien encryptie gebruiken maar wel kraakbaar houden ;)

 

Dat is een heel slecht idee. Dan kan de mafia en de geheime diensten de mail lezen maar anderen niet.

 

Gelukkig was er in WW2 Bletchley park met codekrakers.

 

Dat ligt toch wel wat anders. Dat was oorlog met vijandelijke partijen die elkaars encryptie kraakten. Dat is er de hele geschiedenis al geweest. Als de encryptie van Bloody Mary beter was geweest, was ze niet onthoofd. Als Marnix van St Aldegonde de berichten van de spanjaarden niet had ontcijferd voor Willem van Oranje, was Nederland nu Spaans geweest.

 

Encryptie betekent niet dat een bericht alleen nog maar encrypted beschikbaar is. Het is bij de afzender en vaak bij de ontvanger normaal leesbaar, of beveiligde met netwer- of disk-encryptie. Alleen onderweg waar het door anderen kan worden onderschept, is het versleuteld.

 

 

[Gast Verwijderd account]

bijvoorbeeld omdat er een wet is die zegt dat artsen niet zonder encryptie mogen emailen. Bijvoorbeeld omdat het vervalsen van een afzender adres zo gemakkelijk is dat advocaten niet zonder digitale ondertekening zouden moeten mogen mailen; de european bar association verplicht advocaten ook om te encrypten. Banken emailen niet met clienten omdat het onveilig is, met encryptie kunnen ze wel emailen. Amerikaanse bedrijven willen bijna allemaal encrypten vanwege Sarbanes Oxley.

Hoeveel mails zou de gemiddelde Nederlander krijgen van artsen, advocaten en banken als zij beveiligd zouden e-mailen? Zij leveren allemaal diensten waar geen e-mail aan te pas komt. Encryptie en mailen zijn geen doelen op zich.

 

Je hebt blijkbaar geen idee wie jouw email allemaal kunnen lezen?

Zeker wel, maar het boeit me niet altijd. 99 % van de mensen kan het niet, misschien 1 % wel. Ik ga mails pas encrypten als ze te vertrouwelijk zijn. Verder moet er een onaanvaardbaar risico bestaan dat de 1 % die kan sniffen, hacken en op andere manieren mails kan lezen dat bij mij gaan doen.

 

Ja encryptie is realiteit soms goed soms niet..

Ik vind encrytie altijd een goede zaak. Privacy is een groot goed. Alleen ben ik niet bereid om veel moeite te doen om alles maar te encrypten uit pure angst dat er mensen zijn die het kunnen lezen.

 

Ik denk dat dat vies tegenvalt... veel mensen zouden niet heel blij zijn als alles wat ze het afgelopen jaar per mail of website/forum/chat uitwisselden in 1 klap op straat zou liggen. Daarvoor hoef je geen ongewone man te zijn of duistere geheimen te hebben, een beetje privacy is voor iedereen wel prettig denk ik.

Niemand is daar blij mee, maar de kans dat het gebeurt bepaalt in welke mate mensen bereid zijn daar maatregelingen tegen te nemen. Veel mensen ervaren die kans als klein en welbeschouwd is die kans ook niet zo extreem groot.

 

Overigens weet ik uit de praktijk dat mensen behoorlijk schrikken als blijkt dat een ander hun communicatie kan meelezen. Ik heb zelf een tijdje beheer gedaan aan een campusnetwerk, en daar zag je de complete conversaties van programma's als ICQ voorbij vliegen. Als je vervolgens iemand confronteerd met het meest triviale (maar naar hun idee private) gesprek, kijken ze toch wel even heel angstig.

Natuurlijk vinden mensen dat niet prettig. Van een beheerder verwachten ze een professionele en discrete houding. Beheerders kunnen prima hun werk doen zonder de informatie daadwerkelijk te lezen. In uw geval laat u de mensen weten dat u uw positie hebt "misbruikt" om kennis te nemen van hun gesprek. Hadden ze maar moeten encrypten als ze dat niet hadden gewild?

 

Ik zou het ook niet prettig vinden als u me tegen de schenen zou schoppen. En al weet ik dat heel Nederland het kan, toch ben ik niet van te voren zo sceptisch dat ik scheenbeschemers draag. Is het mijn schuld als iemand me dan toch confronteert en schopt? Moeten we er in deze wereld per definitie vanuit gaan dat er overal mensen op de loer liggen die kwaad willen?

[R.I.P. - Benm]

Natuurlijk vinden mensen dat niet prettig. Van een beheerder verwachten ze een professionele en discrete houding. Beheerders kunnen prima hun werk doen zonder de informatie daadwerkelijk te lezen. In uw geval laat u de mensen weten dat u uw positie hebt "misbruikt" om kennis te nemen van hun gesprek. Hadden ze maar moeten encrypten als ze dat niet hadden gewild?

 

Het vervelende aan die kwestie was dat vrijwel iedereen op dat netwerk die berichten kon lezen (ouderwets opgebouwd)... geen idee in welke mate dat gebeurde, want dat was verder nauwelijks na te gaan. Maar je bekenden waarschuwen voor zo'n gevaar door ze even met de neus op de feiten te drukken werkt soms uitstekend ;)

 

Wat veel mensen zich niet realiseren is dat hun internetverkeer op heel veel plaatsen onderschept kan worden - niet alleen bij hun LAN, provider of bij de 'andere kant', maar ook bij alle nodes ertussen. Tussen mijn pc en higherlevel zijn dat er momenteel 10, kun je die allemaal vertrouwen?

 

Hoeveel mails zou de gemiddelde Nederlander krijgen van artsen, advocaten en banken als zij beveiligd zouden e-mailen? Zij leveren allemaal diensten waar geen e-mail aan te pas komt.

 

Dat lijkt me een beetje een kip/ei verhaal... als voldoende veilig e-mail gemeengoed was, zou er denk ik veel van dergelijke communicatie per email gaan. Zeker tussen advocaat en client lijkt het me juist een uitgelezen middel om zowel snel als nauwkeurig te communiceren.

[Christine]

Hoeveel mails zou de gemiddelde Nederlander krijgen van artsen, advocaten en banken als zij beveiligd zouden e-mailen? Zij leveren allemaal diensten waar geen e-mail aan te pas komt. Encryptie en mailen zijn geen doelen op zich.

 

Ehm, de gemiddelde Nederlander niet. Onze klanten zijn ziekenhuizen die willen emailen met artsen, en huisartsen die met een collega willen mailen over een second opinion. Bellen is lastig omdat ze of spreekuur hebben of visites lopen. Email doen ze tussendoor, maar dat moet dan wel veilig. Ze ontvangen ook lab-uitslagen via email. Je wilt niet dat jouw lab-uitslag zomaar via een onbeschermd mailtje gaat, toch?

 

 

[Christine]

Het vervelende aan die kwestie was dat vrijwel iedereen op dat netwerk die berichten kon lezen

 

Voor test en statistiek laten veel systeembeheerders scriptjes draaien die de mail monitoren. Dat doen ze zonder kwade bijbedoelingen en zonder er misbruik van te maken. Althans, dat hoop je dan maar.

 

 

 

[Hans v N]

Zie best de voordelen van encryptie in maar vraag ook af in hoeverre de

gemiddelde consument het nodig heeft. Je mag toch van je provider verwachten dat hij misbruik voorkomt en bovendien zijn er wettelijke regels op de privacy.

 

Het leven zit vol risico's. We schatten ze in en nemen wel of geen maatregelen.

 

Wie verdenkt zijn postbode dat hij eerst thuis alle brieven open stoomt en leest om ze daarna met een lach op zijn gezicht in de brievenbus te gooien?

Wie denkt dat zijn telefoon wordt afgeluisterd door de AIVD?

Wie durft met zijn pinpas te betalen als er weer ergens pinautomaten gepimpt zijn?

Wie durft nog op de fiets als je leest dat er honderden (216! in 2006) het leven laten?

Wie kan er nog rustig slapen als ze TV laten zien dat het kinderlijk eenvoudig is om in te breken?

 

Om eerlijk te zijn staat de zorg om de vertrouwelijkheid van mijn Email op een zeer laag niveau.

[ExTax!]

Ik wil uiteraard niemand op slechte gedachten brengen, maar is niet eerst een schandaal nodig?.... ;D

[Christine]

Zie best de voordelen van encryptie in maar vraag ook af in hoeverre de

gemiddelde consument het nodig heeft.

 

Een aspect van encryptie is het signen van mail. Een mail die niet ondertekend is kan overal vandaan komen. Een mail die begint met "Lieve postbank klant" hoeft helemaal niet van de Postbank te komen. Als je mail ondertekent, werken dat soort truuks in ieder geval niet meer.

 

In de zorg is encryptie van email verplicht, en terecht.

 

 

[Gast Verwijderd account]

Voor mail-encryptie zal altijd een markt zijn omdat er ook altijd mensen zullen zijn die voor e-mail kiezen als communicatiemiddel. Wel wijs ik op een belangrijk verschil in opvatting. Encryptie is niet nuttig en verplicht omdat iemand e-mail moet gebruiken. Encryptie is hooguit verplicht als men al gekozen heeft voor e-mail en het professioneel gebruikt voor privacygevoelige informatie zoals patiëntgegevens.

 

Een van de vragen in deze topic is waarom mensen zo verschillend reageren op het product. Een verklaring kan zijn dat er verschillende gebruikersgroepen bestaan. 1) Een groep die e-mail kiest om relatief onbelangrijke informatie te sturen en onder normale risico's het nut van encryptie niet inziet. 2) Een groep professionals die voor e-mail heeft gekozen en om privacywetgeving encryptie gebruikt. Maar er is nog een andere groep die een groot deel van de opvatting op zich neemt. 3) Een groep professionals die voor bepaalde zaken nooit mail gaat gebruiken en daarom encryptie voor mail niet (altijd) nuttig vindt.

 

Een bank hoeft mij nooit en te nimmer te mailen. Ook niet met encryptie. Zij bieden namelijk een volledig beveiligd internetplatform aan waarmee klanten kunnen internetbankieren. Hetzelfde kan gelden in de zorg. Natuurlijk moeten artsen geen dossiers onbeveiligd gaan mailen, maar impliceert dat de combinatie encryptie en e-mail? Nee, wat mij betreft niet. Dossiers en labgegevens zie ik liever in een gestructureerde database. Bij voorkeur in een goed beveiligd systeem. Niet ongestructureerd in de inbox van een arts. Encryptie of niet.

 

Mijn eerste vraag is altijd: zal ik überhaupt e-mail gaan gebruiken voor deze informatie of geef ik de voorkeur aan iets anders. Het is niet: gegeven dat ik e-mail moet gebruiken, moet ik daar ook encryptie bij gebruiken.

[Christine]

Natuurlijk moeten artsen geen dossiers onbeveiligd gaan mailen, maar impliceert dat de combinatie encryptie en e-mail? Nee, wat mij betreft niet.

 

Artsen denken daar anders over. Die vragen "waarom mag iedereen emailen en wij niet?". Met ons mogen ze het wel, bijvoorbeeld voor intercollegiale consulten. Waarbij email van de specialist in het ziekenhuis niet "ongestructureerd in de inbox" komt, maar netjes in het elektronische patient dossier.