GnuPG, een surveillance zelfverdediging voor e-mail

image

Via de handleiding Email Self Defense geeft de Freedom Software Foundation (FSF) een stap-voor-stap uitleg over hoe je e-mail kunt versturen met versleuteling.

Edit: voor de volledigheid: de link naar de officiële website van GnuPG

3 likes

Dank je wel voor deze info.
Volgens mij best wel veel werk om te doen. Even snel doorgelezen, misschien dat ik het ook eens ga uitproberen. Kijken of het lukt :slight_smile:

Zijn er ook apps of misschien wel providers die dit doen? (zoals ProtonMail)

wat opzich interessant is in deze context is autocrypt (Mutt kan dit bijvoorbeeld), wat een poging is om zoveel mogelijk berichten te kunnen ondertekenen: Autocrypt 1.1.0 documentation

1 like

Voor mail.app op de Mac is er gpgsuite van gpgtools. Makkelijk op te zetten, en daarna heb je twee vinkjes in je mail-compose window: sign en encrypt. (die laatste uiteraard alleen als je de public key van de ontvanger hebt)

Geen gratis oplossing, maar zo makkelijk dat ik het er al jaren voor over heb

1 like

En dat van iemand die bij Freedom werkt, dan moet het wel goed en veilig zijn :slight_smile: - Bedankt voor de info, ga er zeker naar kijken.

PGP en GPG is al een jaar of 25 eigenlijk de enige standaard manier om veilig te mailen. GPGtools is programmatuur eromheen om het makkelijker te maken.

1 like

De bescherming van GnuPG is maar beperkt, omdat GnuPG geen forward secrecy biedt. Dat wil zeggen dat als iemand je private key steelt, alle ciphertext die naar jou gestuurd zijn kan decrypten. Tenzij je je keypairs heel erg frequent roteert, begeef je je op lange termijn op vrij dun ijs.

https://alexgaynor.net/2017/apr/26/forward-secrecy-is-the-most-important-thing/

Dan zeg je wellicht dat dit je niet overkomt, omdat je je private key netjes op een secure element op je Yubikey hebt, etc. Maar als degene waarmee je correspondeert de boel niet op orde heeft, dan kan een aanvaller alsnog zijn/haar key stelen en jouw berichten lezen.

Je zou je verbazen hoeveel mensen gewoon hun GPG keys in ~/.gnupg hebben staan, hun SSH keys in ~/.ssh en allerhande software draaien die niet sandboxed is en zonder problemen private keys kunnen ex-filtreren. Voor ontwikkelaars die duizenden Node.js of PyPI packages binnenhalen (onmogelijk allemaal te controleren) is de aanvalsvector nog groter.

Kortom, gebruik een messenger met (perfect) forward secrecy. Heeft op veel andere vlakken ook nog voordelen boven e-mail.

Kijk eens naar ProtonMail, of naar Tutanota. Je hoeft niet alles zelf te doen; dat is alleen voor wie wil èn kan.

Lees verder

image

Encryptiesoftware GnuPG dankzij betaald product niet meer afhankelijk van donaties

vrijdag 28 januari 2022
Bron: Security.nl

Encryptiesoftware GnuPG is dankzij het aanbieden van een commerciële oplossing niet meer afhankelijk van donaties. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie.

Sinds de lancering wordt de GnuPG-software door ontwikkelaar Werner Koch onderhouden. Ondanks de aandacht voor encryptie en het gebruik van GnuPG had Koch in het verleden moeite om geld in te zamelen. In 2015 waarschuwde de ontwikkelaar zelfs dat hij failliet zou gaan. Inmiddels ziet de toekomst er voor het project rooskleurig uit, zo liet Koch begin deze maand in een blogposting weten.

Dat komt door het aanbieden van GnuPG VS-Desktop, een commerciële opensource-oplossing voor het versleutelen van e-mail en bestanden. De software is door de Duitse overheid goedgekeurd voor het uitwisselen van overheidsinformatie op het beveiligingsniveau VS-NfD. GnuPG VS-Desktop zal ook de door de Duitse overheid ontwikkelde encryptiesoftware Chiasmus gaan vervangen. Inmiddels maken tal van overheidsinstanties gebruik van de software of zijn van plan dit te doen. Koch verwacht dat GnuPG VS-Desktop straks op 250.000 systemen van de Duitse overheid draait.

Door alle betalende klanten is het GnuPG-project niet meer afhankelijk van donaties. Koch bedankt iedereen die het project de afgelopen jaren heeft ondersteund. Daarnaast zal GnuPG ook de software Gpg4win blijven ontwikkelen en ondersteunen. Deze gratis opensourcesoftware is gebaseerd op dezelfde broncode als GnuPG VS-Desktop, maar is voorzien van meer features.

En weer zien we dat onze Oosterburen het voortouw nemen om open source te stimuleren. Hoog tijd dat de Nederlandse overheid op het gebied van digitalisering eens met de Duitse ambtsgenoten om de tafel gaan zitten.

Dit topic is 24 uur na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.