Absoluut onkraakbare e-mail: gewenst?

[Peter Laroche]

Hello all,

 

Er ligt sinds 2004 een encryptie-techniek in m'n bovenste bureaula die op uiterst eenvoudige wijze absolute privacy kan bieden in e-mail conversaties, maar aangezien er best een paar centen inmoeten heb ik het nog even laten liggen. Tegelijkertijd is er wereldwijd een steeds maar voortschrijdende wens (vanuit de overheden) om zoveel mogelijk electronische informatie te verzamelen (hoe nutteloos in sommige gevallen ook, de bewaarplicht is daar het meest bekende voorbeeld van) dus ik wil toch graag toetsen voor ik investeer of er interesse bestaat en leg de casus derhalve aan jullie voor:

 

Product: absolute privacy v.w.b. e-mail conversaties, maar voor gebruikers stukken eenvoudiger dan hetgeen nu verkrijgbaar is (Izecom et cetera). Er wordt dus ook niet met (wel degelijk kraakbare) S/MIME of certificaten gewerkt. Bij "onze" toepassing download een gebruiker een kleine applicatie (source wordt openbaar gemaakt) en verandert eventueel een paar eenvoudige instellingen. Encryptie vindt vervolgens automatisch plaats bij verzending, decryptie bij ontvangst en sleutelbeheer wordt automatisch afgehandeld ("oma-proof"; gebruiker hoeft dus niets te doen)

 

Techniek: niet zo relevant voor de vraagstelling, maar deze wordt uiteraard openbaar gemaakt zodra we zouden gaan lanceren (zodat bewijs ook inzichtelijk is voor gebruikers). Kern: absoluut onbreekbaar in de komende 34,92 miljoen jaar (wiskundig bewezen door diverse hoogleraren). Sleutelbeheer uiteraard op externe drager te zetten voor extra veiligheid (bijv. USB), desnoods te combineren met 2 sleutels (dus bericht uitsluitend leesbaar door toestemming van 2 mensen).

 

SWOT:

 

S: Unieke combinatie van technieken, patenteerbaar, maakt encryptie eindelijk mainstream, techniek relatief makkelijk te begrijpen en bewijzen, relatief kleine investering, zelfs met gestolen sleutels geen inzicht in eerdere communicaties

W: Onbekende factor: Begrijpt de wereld wel dat e-mail open en bloot leesbaar is voor iedere systeembeheerder op de zaak en bij de ISP's? Is de wereld toe aan absolute privacy?

O: Bijzonder eenvoudige wereldwijde uitrol na eerste lokale gebruikers, mainstream afhankelijkheid (a la Google)

T: Overheden gaan stuiteren (en da's eigenlijk waarom ik het heb laten liggen, eerlijkheidshalve)

 

Lancering:

 

-- Time-to-market ca. 4 maanden na start, investering ergens rond de 40k (+ operationeel 15k/maand)

-- Gebruikers: in eerste instantie vnl. advocatenkantoren (met dank aan OM stuntjes de laatste tijd), overheid zelf, octrooibureau's, keuze genoeg.

-- Grote publiek: natte vingerwerk, maar geschat uiteindelijk max (1 op 200 internetters: iedereen heeft wel 'ns iets uiterst confidentieels te melden) 0.5% breedbanders (maar wereldwijd zijn dat er dan nog steeds 5 miljoen).

 

Vragen:

 

(geloof bij de beantwoording even dat de onkraakbaarheid al bewezen is, anders zou ik e.e.a. niet eens hebben durven posten):

 

-- Zouden jullie het gaan gebruiken? Waarom wel of niet?

-- Indien wel; zou een tarief van 10 euro per jaar die beslissing veranderen?

-- Indien niet; bij ontvangen versleuteld en onleesbaar bericht: zou je het gaan proberen?

 

Met bijzondere dank voor alle input,

Groet,

Peter

[Frans Sijtsma]

OFF-TOPIC

 

Ik heb peter in het bericht over Christine een kneus gegeven. De tekst komt in mijn ogen denigrerend over en is niet gepast en niet nodig in dit topic, vooral niet van iemand die redelijk goed uit zijn woorden kan komen.

 

Schijnbaar is het dan direct noodzakelijk een kneus terug te geven. Het zij zo

Wel verbaas ik me over het hoge kneuzen- en reuzengehalte in dit draadje, vaak om redenen en motivaties die niet in verhouding staan tot de acceptatiegraad die in andere draadjes wordt getoond.

Wellicht kunnen de kneuzenverstrekkers hier toelichten waarom zo heetgebakerd wordt gereageerd op ogenschijnlijk normale berichten of berichten met een knipoog

 

/OFF-TOPIC

 

Edit: dit is trouwens geen halfslachtige compensatiesmeekbede maar gewoon verwondering

[R.I.P. | Peter Bonjernoor]

En ik noem het verder opmerkelijk, dat hier op HL, de laatste tijd herhaaldelijk serieuze kwesties al snel met ridicuul en spot tegemoet worden getreden. Er is dan dikwijls wel erg snel een oordeel klaar, zonder dat er ook maar een seconde dieper is nagedacht.

 

Dat is net zo kort door de bocht als je anderen verwijt te zijn.

 

De TS laat redelijk duidelijk blijken dat hij niet in een echte discussie geinteresseerd is, maar meer bevestiging van zijn visie zoekt. Als hij dan op een gegeven moment allerlei vage en naar paranoia neigende motivaties gaat aanhalen, dan kan ik het niet meer serieus nemen. En zoals Norbert hierboven terecht aangeeft - daar mag ik die mening over hebben.

[R.I.P. | Peter Bonjernoor]

Jij hebt recht op die visie, maar ik denk dat je iets over het hoofd ziet: er spelen steerds vaker zaken, voornamelijk strafzaken maar ook civiel, waarbij het OM er alles aan de haren bij zal slepen om te bewerken dat het tot een veroordeling komt.

 

"Er spelen"..."bij zal slepen" - da's tegenwoordige tijd en toekomstige tijd samengevoegd in 1 daardoor niet kloppende zin.

 

In de VS is dit fenomeen al een tijdje aan de gang, voornamelijk omdat correspondentie opeisbaar is.

 

En encryptie helpt je als verdachte hierbij want...? "Oh, uw email is beveiligd? Nou, jammer voor ons dan. Gaat u maar weer naar huis, sorry voor de overlast!"

 

Zodra er in jouw omgeving een bekende is geconfronteerd met het feit dat hij/zij uit moest leggen waarom hij vond dat, grappig gezegd, "autodieven eigenlijk best een economische waarde hadden" (totaal uit z'n verband gerukt, maar de rest is uiteraard weggelaten) dan wijzigt je visie vanzelf...

 

Hmm...

 

*zet voor de zekerheid aluminiumfolie hoedje op*

 

Ik maak me daar eerlijk gezegd absoluut geen zorgen over, en de ellende die jij in de al of niet nabije toekomst hier in Nederland voorziet deel ik ook niet met je. Ik denk/vind dat je een volslagen surrealistische kijk op onze samenleving en haar toekomst hebt, en dat maakt het ook gelijk volslagen zinloos om deze discussie verder te voeren.

 

Maar ik schrjf je bij als "nee, dank je" :)

 

Maak daar maar "eet liever zijn eigen sokken op" van! :)

[Not to be taken seriously]

...

[Peter Laroche]

Waarom lanceer je het niet gewoon? Gewoon gratis maken en er business solutions bij verkopen zoals een server net zoals Google doet waarmee je een complete Exchange in 1x kan beveiligen bijvoorbeeld.

 

Omdat, maar daar krijg ik dus geen antwoord op ;D, ik nog steeds niet zelfs maar 1 antwoord heb "Man, natuurlijk zou ik dat gebruiken, geweldig" ;D

(en ik niet gewend ben om geld over de balk te gooien waarvan ik niet zeker weet dat het 'n keer terugkomt, in welke vorm dan ook)

 

Overigens, 'n Exchange beveilingen (als je MS bedoelt trouwens) kan (nog) niet, 't werkt nu alleen nog maar tussen verzender en ontvanger(s)

[Peter Laroche]

 

(.) Ik heb er persoonlijk en zakelijk absoluut geen behoefte aan,

en ik denk dat situaties waarin het essentieel is dat de emails niet door anderen gelezen kunnen worden redelijk beperkt zijn.

 

Een echt grote markt zul je er dus in mijn optiek nooit mee bereiken, je zult je meer op niche-markten moeten richten.

 

Jij hebt recht op die visie, maar ik denk dat je iets over het hoofd ziet: er spelen steerds vaker zaken, voornamelijk strafzaken maar ook civiel, waarbij het OM er alles aan de haren bij zal slepen om te bewerken dat het tot een veroordeling komt. In de VS is dit fenomeen al een tijdje aan de gang, voornamelijk omdat correspondentie opeisbaar is. Totaal irrelevante standpunten uit e-mails aan vrienden (zelfs bij zaken die door de IRS worden gevoerd) worden aangevoerd.

 

Ook het recht dezerzijds van de grote plas gaat die kant op, helaas overigens. Zodra er in jouw omgeving een bekende is geconfronteerd met het feit dat hij/zij uit moest leggen waarom hij vond dat, grappig gezegd, "autodieven eigenlijk best een economische waarde hadden" (totaal uit z'n verband gerukt, maar de rest is uiteraard weggelaten) dan wijzigt je visie vanzelf...

 

En daarbij is de niche - advocatenkantoren maar ook de overheid niet te vergeten die steeds vaker een probleempje heeft met het betrouwbaar communiceren zonder dat het in de openbaarheid komt - vooralsnog groter dan je denkt....

 

Maar ik schrjf je bij als "nee, dank je" :)

[martijn_brinkers]

Ik wens je veel succes maar ik acht de kans op slagen nihil. Waarom? omdat zelf verzonnen cryptografische algoritmes altijd als onveilig worden gezien. Pas nadat alle knappe koppen op cryptografiegebied er minstens 10 jaar op hebben kunnen schieten (en dat dus ook hebben gedaan) wordt het pas serieus genomen.

 

[renep]

Technisch gezien is het bewijsbaar (ook die x-miljoen jaar)

 

Ik denk dat je dan beter voor de Nobelprijs voor de wiskunde kunt gaan, dan voor een e-mailversleutelingsproduct. Ik zie uit naar de publicatie!

[R.I.P. - Fred Wiersma]

 

Bel en klepel: broncode gaat over compressie, niet over encryptie. Het lijkt me verstandiger het daar maar bij te laten. Dank voor je reactie!

 

 

Toch is er een overeenkomst: 'onkraakbare' encryptie en 'oneindige' compressie hebben beiden de eigenschap dat dat nog niet aantoonbaar mogelijk is. ;D

 

[Norbert Bakker]

Dit draadje is onderhand een kneuzen en reuzen festival geworden; trieste zaak?

En ik noem het verder opmerkelijk, dat hier op HL, de laatste tijd herhaaldelijk serieuze kwesties al snel met ridicuul en spot tegemoet worden getreden. Er is dan dikwijls wel erg snel een oordeel klaar, zonder dat er ook maar een seconde dieper is nagedacht.

 

Zeker trieste zaak, waarin ik ook mijn eigen moment van zwakte had (geen reuzen of kneuzen overigens, maar mijn reactie op de PM van Topicstarter). Maar het komt dan ook niet iedere dag voor dat iemand je per PM uitmaakt voor dommig en "duidelijk geen verstand van zaken" omdat ik durf te twijfelen aan een vermeend 100% wiskundig bewezen stelling dat die zelfde wiskundige wetenschap de komende 34,92 miljoen jaar niet nog zo'n dergelijke doorbraak kan forceren.

 

Nee daarvoor hoeft je geen 20 jaar in de IT hebben gezeten zoals Topicstarter. Zelfs geen 10 jaar expertise in de informatiebeveiliging, genootschap voor informatiebeveiliging en universitair docent Risicomanagement te zijn: het is gewoon elementaire logica dat je geen - al dan niet wiskundig bewezen - beweringen kunt en moet doen over toekomstige wetenschappelijke ontwikkelingen, en zeker niet over een zo absurde tijdspanne als 34,92 miljoen jaar. Tot nu toe kon iedere tijdspanne vroeg of laat toch verkort worden, o.a. door het parrallel benutten van rekenkracht. Als dit op dit algoritme ook van toepassing is (of door toekomstige wetenschappelijke doorbraken mogelijk wordt) is uiteindelijk ook dit algoritme te kraken, alleen tegen mogelijk absurd hoge kosten. En dat is m.i. de essentie van encryptie-veiligheid: niet dat het per definitie onkraakbaar is, maar dat er een extreem hoge drempel qua tijd en/of kosten is.

 

En het is ook doorgeslagen marketing taal. Natuurlijk bekt "de komende 35 miljoen jaar onkraakbaar" beter dan "de komende 10 jaar met aan zekerheid grenzende waarschijnlijkheid onkraakbaar". En toch is dat laatste meer dan genoeg voor mensen die er gebruik van willen of moeten maken. Over 10 jaar zien we wel weer verder met andere technieken, zoals quantumencryptie.

 

Jammer is het ook omdat uit het oorspronkelijke topic (met een vermeend aluhoedjes karakter) een paar veel interessantere discussies naar voren zijn gekomen die m.i. best een eigen draad zouden mogen krijgen: o.a. de door Benm zeer terecht geplaatste opmerkingen over de onbekendheid van 99,99% van de gebruikers met de onveiligheid van mailverkeer.

 

Daardoor kan ik Benm ook makkelijk "vergeven" ;) voor zijn reactie op mijn persoonlijke meing dat 100% privacy nastreven m.i. onwenselijk is i.v.m. misbruik. Dat mijn motivatie volgens Ben "waanzinnig is" beschouw ik als "zijn mening" , die net zo bruikbaar is in de door mij gewenste brede maatschappelijke discussie hierover.

 

Wat wel erg frappant en IMHO grappig is is de oneliner "if you outlaw encryption, only outlaws will use encryption". De oorspronkelijke tekst luidt "if you outlaw guns, only outlaws will use guns"" en is een van de lijfspeuken van de NRA, de Amerikaanse wapenlobby. Grappig is dat wat de een "waanzinnig" noemt door een ander juist als beoogd resultaat wordt gezien: als alleen criminelen wapens gebruiken vergemakkelijkt dat de opsporing en handhaving aanzienlijk: niet het gebruik maar alleen al het bezit ervan is immers al strafbaar. Frappant is dat met name de V.S. encryptie beschouwen als een wapen.

 

Ik wil met het bovenstaande wapens overigens niet gelijkstellen met encryptie en streef al helemaal geen verbod op of restrictie ten aanzien van het gebruik ervan na. Wat ik op persoonlijke titel wel zou willen inbrengen in de brede maatschappelijke discussie is Wetgeving die het in bepaalde sitaties mogelijk maakt iemand te dwingen de sleutel openbaar te maken of - bij weigering - in hechtenis genomen te worden. Mijn motivatie is dat ik het kunnen opbergen van pedofielen en ander gespuis dat encrypytie gebruikt voor laagbijdegrondse activiteiten belangrijker vindt dan 100% privacy.

 

Vloeken in de kerk voor de echte privacy-nastrevers, dat begrijp ik maar dat is nou precies mijn punt: ieder heeft recht op zijn of haar mening, dus ik ook op de mijne. Respecteer dat a.u.b. en/of komt met goede argumenten in plaats van kneuzen en catchy oneliners.

 

[Not to be taken seriously]

...

[martijn_brinkers]

Mensen, de eerste absoluut onkraakbare methode is al in 1917 bedacht (Google "wiki otp 1917"), alleen is die sindsdien nooit mainstream geworden omdat er geen oplossing voor betrouwbaar sleutelbeheer was: en die is er nu wel.

 

Bruce Schneier "Warning Sign #6: One-time pads." http://www.schneier.com/crypto-gram-9902.html#snakeoil

 

"One-time pads don't make sense for mass-market encryption products. They may work in pencil-and-paper spy scenarios, they may work on the U.S.-Russia teletype hotline, but they don't work for you. Most companies that claim they have a one-time pad actually do not. They have something they think is a one-time pad. A true one-time pad is provably secure (against certain attacks), but is also unusable. "

 

Jij claimt dat je dat dus wel goed hebt opgelost. Ik heb sterk mijn twijfels of dat ook zo is.

 

[R.I.P. - Benm]

Encryptie maakt hoogstens verdacht als het geen gemeengoed is. Als er een fatsoenlijke standaard voor end-to-end encryptie voor e-mail wordt uitgerold, lijkt me het gebruik daarvan niet verdachter dan, pakweg, je gegevens doorgeven aan een webshop middels een https verbinding.

[R.I.P. - Fred Wiersma]

Encryptie maakt hoogstens verdacht als het geen gemeengoed is. Als er een fatsoenlijke standaard voor end-to-end encryptie voor e-mail wordt uitgerold, lijkt me het gebruik daarvan niet verdachter dan, pakweg, je gegevens doorgeven aan een webshop middels een https verbinding.

 

Dat klopt ook weer.

 

Aan de andere kant: hoeveel encryptie hebben we uberhaupt nodig? Wordt de wereld daar een betere plek van? Gaan we meer geld verdienen? Een betere wereld voor onze kinderen nalaten? Ik persoonlijk waag dat te betwijfelen.

 

Dat wil niet zeggen dat ik tegen encryptie ben. Voor mensen en bedrijven zijn er al dan niet commerciele systemen beschikbaar die een bepaalde mate van veiligheid bieden. Niet onkraakbaar, maar voor de meesten voldoende.

 

Tot slot, dat er iets technisch mogelijk is, wil nog niet zeggen dat het ook zinvol is of maatschappelijk gewenst is. Nieuwe technologie kan ook schadelijk zijn (denk bijv aan kernenergie, genetische manipulatie).

 

Voor 'total mass' encryptie zie ik de noodzaak niet, en de nadelen van een onkraakbaar systeem zijn er, of de topic starter dat nou leuk vindt of niet. Ik vind ook dat iemand die iets totaal nieuws op de markt wil gooien, zich ook wel mag buigen over mogelijk negatieve consequenties. Maatschappelijke verantwoordelijkheid, heet dat.

[R.I.P. - Benm]

Aan de andere kant: hoeveel encryptie hebben we uberhaupt nodig? Wordt de wereld daar een betere plek van? Gaan we meer geld verdienen? Een betere wereld voor onze kinderen nalaten? Ik persoonlijk waag dat te betwijfelen.

 

Het is maar hoe je dit benaderd. Je kunt je ook afvragen wat de nadelige gevolgen zoal (kunnen) zijn van het gebrek aan encryptie. Nu zal de gemiddelde mens wellicht niet te maken krijgen met de gevolgen, maar wat als iemand, om maar even iets geks te noemen, even zijn telebanking username en wachtwoord, of creditcard gegevens per email aan zn partner stuurt? Er zijn genoeg mensen die dat gerust zouden doen, niet wetende dat die email eenvoudig onderschept kan worden met een geplunderde rekening als gevolg.

 

Ik weet niet op welke schaal dergelijke fraude voorkomt, maar wel dat het absoluut mogelijk is dat zoiets gebeurd.

[DDJ]

Prima, geen gmail, geen outlook of hotmail. Wat dan wel? Daarnaast moet je toch uiteindelijk langs de grote jongens. Dat non-argument is ook erg simplistisch echter, ik neem aan dat je begrijpt wat ik bedoel. Sommige info waarvan je nu niet het belang inziet om deze veilig te bewaren of te versturen kan in deze wereld snel belastend worden.

 

Ik ben een doemdenker of complettheorie fanaat maar denk wel na over dat soort zaken. Ik ga er overigens ook veel te nonchalant mee om.

[R.I.P. | Peter Bonjernoor]

Prima, geen gmail, geen outlook of hotmail.

 

Je haalt nu twee essentieel verschillende dingen door elkaar. Gmail en hotmail zijn webmail providers en Outlook is een stuk software waarmee je email via welke provider dan ook kan versturen, beheerd op je eigen PC. In het geval van de eerste twee staat alles op hun servers, en gaat alles via hun servers. In het geval van Outlook bepaal je zelf welke provider je gebruikt. Dat kan dus ook je eigen mailserver zijn.

 

Daarnaast moet je toch uiteindelijk langs de grote jongens.

 

Waarom?

 

Dat non-argument is ook erg simplistisch echter, ik neem aan dat je begrijpt wat ik bedoel. Sommige info waarvan je nu niet het belang inziet om deze veilig te bewaren of te versturen kan in deze wereld snel belastend worden.

 

Nee, ik begrijp niet wat je bedoelt. Als je iets ge-encrypt verstuurd aan je vrienden kan het over 10 jaar door hen nog steeds gelezen worden. Het moment waarop de beslissing moet vallen om iets wel of niet te delen met anderen is het moment dat je op 'Verzenden' drukt. Of dat dan op een beveilige manier gebeurt of niet verandert niets aan het feit dat de ander, met wie je dat blijkbaar op dat moment wilt delen, het ontvangt en kan lezen.

 

Wat veilig bewaren betreft - daar gaat dit draadje niet over.

 

Overigens is het frappant hoe gemakkelijk mensen hun passwords afstaan: ludiek onderzoek toonde aan dat de overgrote meererheid van kantoorwerkers hun wachtwoord afgaf, op en metrostation, in ruil voor een gratis balpen (!). Wat dat betreft is er nog genoeg voor te lichten ;)

 

Wat dacht je van al die mensen die gebruik maken van 'handige tools' voor MSN of Twitter, en die voor de betreffende dienst zonder een seconde te twijfelen hun login-gegevens aan die website afgeven? Dan kun je encrypten wat je wilt, maar dat helpt dan geen donder.

 

Edit:

 

Peter Laroche, ik zie dat je je discussie/monoloog in reusjes aan het voortzetten bent, en geen deel meer neemt aan het onderwerp dat je zelf gestart bent. Ik wil je bij deze even vertellen dat ik dat ontzettend slap vind, en van mening ben dat je daarmee in feite aangeeft dat je hele verhaal niet bestand is tegen wat gezonde kritiek.

 

Mocht je het daar niet mee eens zijn, dan neem ik aan dat je dat met alle plezier inhoudelijk wilt toelichten.

[DDJ]

Prima, geen gmail, geen outlook of hotmail.

 

Je haalt nu twee essentieel verschillende dingen door elkaar. Gmail en hotmail zijn webmail providers en Outlook is een stuk software waarmee je email via welke provider dan ook kan versturen, beheerd op je eigen PC. In het geval van de eerste twee staat alles op hun servers, en gaat alles via hun servers. In het geval van Outlook bepaal je zelf welke provider je gebruikt. Dat kan dus ook je eigen mailserver zijn.

 

Daarnaast moet je toch uiteindelijk langs de grote jongens.

 

Waarom?

 

Dat non-argument is ook erg simplistisch echter, ik neem aan dat je begrijpt wat ik bedoel. Sommige info waarvan je nu niet het belang inziet om deze veilig te bewaren of te versturen kan in deze wereld snel belastend worden.

 

Nee, ik begrijp niet wat je bedoelt. Als je iets ge-encrypt verstuurd aan je vrienden kan het over 10 jaar door hen nog steeds gelezen worden. Het moment waarop de beslissing moet vallen om iets wel of niet te delen met anderen is het moment dat je op 'Verzenden' drukt. Of dat dan op een beveilige manier gebeurt of niet verandert niets aan het feit dat de ander, met wie je dat blijkbaar op dat moment wilt delen, het ontvangt en kan lezen.

 

Wat veilig bewaren betreft - daar gaat dit draadje niet over.

 

Ik heb het quote-unquote nog niet helemaal door. Ga ik nog wel onder de knie krijgen. Verder moet ik zeggen dat ik online discussies voeren nogal moeilijk vind. Verbaal met elkaar sparren is toch wel iets anders dan een lang epistel moeten schrijven niet? Bij voorbaat excuus voor te korte gedachtenkronkels dus mijnerzijds.

 

1. Ik dacht dat de versleuteling bedoeld is om van zender naar ontvanger iets te krijgen zonder dat een 3e partij bij de informatie kan (overheid, ISP, spyware). Dan zou het niet ter zake moeten doen of dat via eigen server of 3e partijserver gaat. Tenzij het nodig is om iets op de mailserver te installeren voordat je de "sleutel" kan gebruiken. In dit geval zou je angst kunnen hebben voor een overheid die (even overdrijven nu) straks jouw afwijkende gedrag kan aantonen of achterhalen door een eerdere email. In dit geval moet je er van uit kunnen gaan dat je vrienden je niet verlinken uiteraard.

2. Je komt altijd langs de grote jongens? Zonder grote jongens kom je toch het net niet op? Althans, niet als je een gewone, simpele sterveling bent zoals ik. Ik ben geen IT goeroe met satalietverbindingen enzo.

3. Wederom: In dit geval zou je angst kunnen hebben voor een overheid die (even overdrijven nu) straks jouw afwijkende gedrag kan aantonen of achterhalen door een eerdere email. In dit geval moet je er van uit kunnen gaan dat je vrienden je niet verlinken uiteraard. Het zou nu geen enkel probleem zijn om aan iemand te melden dat je homosexueel bent maar dat zou volgens Donner (laten we in godesnaam een politieke discussie niet gaan inzetten) best wel eens kunnen veranderen als een meerderheid voor de wijziging van de grondwet is. Het kan raar lopen. Ik vertrouw mijn vrienden wel, de providers echter niet voor 100%. Laat staan de overheid. Laat helemaal staan de veiligheid van mijn gegevens bij de overheid...

 

En ik ben nog niet eens para ;D. Zolang zij USB sticks verliezen krijgen ze zo min mogelijk van mij ;D.

 

Anyway. De vraag was volgens mij: Is er behoefte aan zo'n sleutel? Ik denk het wel. Zou ik er voor willen betalen... sja... ben ook Hollander. ::)

[Jeroen Bakker]

Mag ik vragen wat jouw achtergrond is Peter?

[R.I.P. - Benm]

-- Indien niet; bij ontvangen versleuteld en onleesbaar bericht: zou je het gaan proberen?

 

Dat gaat natuurlijk wel het probleem worden. Stel dat ik het zou aanschaffen, dan heeft het pas nut als iedereen waarmee ik email het ook heeft, en ik zou eergelijkgezegd niet verwachten dat men het allemaal gaat aanschaffen. Sterker nog, een iedereen een gratis oplossing laten gebruiken is al ondoenlijk.

 

Wat dat betreft ben ik wel benieuwd wat dit product zoveel beter maakt als domweg implementeren van om het even welke public key infrastructuur door alle betrokkenen...

[Maarten]

Ik ben het niet met je eens dat certificaten zomaar te kraken zijn, het zijn alleen hele specifieke gevallen waar de beveiliging tekort schoot (MD5 en het Debian probleem).

 

Er is al heel lang software op de markt die volgens mij precies hetzelfde doet als wat je nu hebt, PGP (Pretty Good Privacy). PGP bestaat al sinds 1991 en wordt nog steeds veel gebruikt door met name de Linux gemeenschap (OpenPGP, gratis te verkrijgen). Waarin verschilt je eigen software met PGP?

[renep]

Kern: absoluut onbreekbaar in de komende 34,92 miljoen jaar (wiskundig bewezen door diverse hoogleraren).

 

Hé, dat zou een enorme doorbraak zijn. Want als ik me niet vergis is de onbreekbaarheid van de gangbare encryptiemethoden nog niet bewezen.

[Peter Laroche]

Beste Benm, dank.

 

Kern van die vraag was natuurlijk (als jij versleuteld bericht ontvangt van een gebruiker, maar jij zelf nog niet gebruikt en dus onleesbaar), ga je dan gebruiken?

 

Gr, Peter

[Peter Laroche]

Ik ben het niet met je eens dat certificaten zomaar te kraken zijn, het zijn alleen hele specifieke gevallen waar de beveiliging tekort schoot (MD5 en het Debian probleem).

 

Er is al heel lang software op de markt die volgens mij precies hetzelfde doet als wat je nu hebt, PGP (Pretty Good Privacy). PGP bestaat al sinds 1991 en wordt nog steeds veel gebruikt door met name de Linux gemeenschap (OpenPGP, gratis te verkrijgen). Waarin verschilt je eigen software met PGP?

 

PGP heeft asymetrische versleuteling mainstream gemaakt (voor de leken: 2 sleutels, van elk 1 deel openbaar en 1 deel private, gebaseerd op moeilijk te achterhalen priemgetallen). Asymetrisch was al 20 jaar in gebruik bij de Britse overheid (MI5) maar pas door PGP vrijgekomen.

 

Deze oplossing verschilt van PGP in 2 zaken:

 

-- Symetrisch (beide zelfde sleutel, probleem opgevangen door intelligent sleutelbeheer, zonder trusted party inbetween zeg ik er voor de specialisten maar meteen even bij), en

 

-- PGP is niet "oma"-proof: ik zie secretaresses nog geen PGP installeren en gebruiken bijvoorbeeld. Deze oplossing is een kwestie van even downloaden en klaar (en de ontvanger van versleutelde berichten die nog geen gebruiker is kan net zo eenvoudig in 1 minuut "meedoen")

 

Dank voor je input!

[R.I.P. - Benm]

Eerlijkgezegd denk ik niet dat ik me iets ga aanschaffen om een bericht van 1 persoon te kunnen lezen, ook al kost het slechts een tientje. Als iemand per se een versleuteld bericht kwijt moet stuur ik heb wel mn pgp public key...

 

Wat absoluut onkraakbaar betreft: dat is altijd een riskante uitspraak, maar de huidige technieken zijn mits correct geimplementeerd wel veilig genoeg... of je die 34 miljoen jaar haalt is verder ook niet zo relevant, belangrijker is meestal of het tenminste de komende 100 jaar onkraakbaar zal blijven - en daar heb ik weinig twijfels over.

 

 

.. en even ingehaald toen ik bovenstaande tikte...

 

Hoe werkt dat sleutelbeheer dan precies? Dat is uiteraard wel van groot belang om de veiligheid van het totale systeem te kunnen verkopen!