Zijn de mails met NAW- en persoonlijke gegevens die ik stuur naar instanties versleuteld en voldoende beveiligd?
Ik gebruik de webmail.
Ik had zojuist informatie over e-mail versleuteling/encryptie opgezocht, maar het was mij te verwarrend.
Voor zover ik het begreep zijn er meerdere lagen waarop versleuteling wordt toegepast.
Kan iemand mij hier meer duidelijkheid over bieden?
De vraag is, welke methode heb je opgezocht?
Als je het over PGP/GPG hebt, moet de instantie daar over beschikken.
Dit is in veel gevallen, niet het geval.
Simpel gezegd, degene die je een mail wil sturen met GPG moet je een sleutel sturen.
Met deze sleutel kun je de mail op slot zetten. Dat noemen ze de publieke sleutel.
De ontvanger, heeft een geheime sleutel met een wachtwoord om het slot er weer af te halen.
Zelf heb je ook zo’n paar sleutels, waarmee je de mail ook kunt ondertekenen.
S/MIME is ook zo’n systeem.
Dat gebruiken nog minder mensen.
Dan is er nog de versleuteling in de transport laag.
Dat gebeurt tegenwoordig bij de meeste mail.
Dit beschermd alleen tegen meekijken tijdens het transport van de data.
Dit voorkomt niet, dat iemand een opgeslagen mail kan inzien.
Nee!
Vaak is de verbinding tussen mailservers wel beveiligd, MAAR je weet nooit over hoeveel mailservers je email de ontvanger bereikt. Op al die tussenliggende mailservers is je mail, als die zelf niet encrypt is door jou, gewoon leesbaar op dezelfde manier als jij die op je scherm ziet in webmail.
Die in transit encryptie verkleint wel de kans op onderschepping en wijzigigen, maar het is zeker geen garantie.
Als je geluk hebt komt het alleen op de server van Freedom en de ontvanger, maar dat kan je niet afdwingen.
Ik had e-mail versleuteling in het algemeen opgezocht.
Ik kwam inderdaad ook op GPG, S/MIME en TLS uit.
De TLS gebeurt automatisch en dit had ik ook gecontroleerd met de e-mail headers.
Voor GPG moet er inderdaad een sleutel uitwisseling plaatsvinden tussen de twee partijen (ontvanger en verzender), maar dit is volgens mij moeilijk haalbaar bij de meeste instanties.
De personen in kwestie hebben hier helemaal geen verstand van, dus zullen ze al gauw afhaken.
Toch heb ik met enig regelmaat dat ik via e-mail moet communiceren met instanties en dergelijke.
Dan worden er vaak NAW- en persoonlijke gegevens verstuurd of ernaar gevraagd.
Is er in de praktijk hier nog iets tegen te doen?
Als ik GPG benoem bij deze partijen dan krijg ik bijna altijd als antwoord dat zij hier nooit van hebben gehoord, en haken zij ook snel af.
TLS gaat alleen over de versleuteling van het bericht in transit TUSSEN de servers. Op de servers is het bericht gewoon leesbaar en zelfs te veranderen zonder dat de ontvanger of verzender dat door heeft.
Je zou ook een bestand kunnen versturen met daarin die gegevens via send.tresorit.
dat zit gegarandeerd alleen tresorit er tussen.
Dan kan je het bestand ook beschermen met een wachtwoord zodat de ontvanger alleen met dat password het bestand kan openenen en niet rechtstreeks via de link in de email. Je kan ook instellen dat je ziet dat de link wordt geopend.
Je moet het password dan wel aan de ontvanger op een andere manier dan via email laten weten.
Dat, en GPG klinken als mogelijke oplossingen, maar het grootste probleem is nog steeds de tegenpartij(en) ervan te over tuigen dit ook te gebruiken.
Deze mensen beschikken vaak over minimale kennis omtrent gebruik van computers.
Als ze hier nooit van gehoord hebben moet ik het ook uitleggen en dan haken ze gegarandeerd af, want, te moeilijk, of geen tijd ervoor.
Of ze zeggen het te zullen proberen, en dan krijg je achteraf: sorry ik was dit toch vergeten te doen.
een andere truuk is bijvoorbeeld Startpage Promotion: Get 50% off your StartMail account
de mail zèlf blijft op de ene server,
de lezer moet inloggen met een code om hem te kunnen lezen en/of bijlages te down loaden.
Ik meen dat het als volgt gaat … …
Er zijn dan 2 gegevens-stromen:
.1. jij zet de geheime informatie op de StartMail-server met jouw account
( die info wordt dus alleen verstuurd van jou rechtstreeks naar StarMail )
.2. jij geeft het e-mail adres van de ontvanger op (aan StartMail)
.3. de ontvanger krijgt via e-mail een code en info om de mail bij StartMail te bekijken; dèze info gaat dus (eventueel) over verschillende schijven.
.4. met deze gegevens kijkt de ontvanger op de StartMail-server naar jouw mail
Als hij gaat downloaden, dan gaat die info dus rechtstreeks van StartMail naar zijn PC (of ander device)
Maar snuffel even rond bij StartMail/StartPage zelf hoe het precies zit … …
StartPage-zoekpagine en StartMail zijn ooit door de EU begonnen om info EN binnen Europa te houden EN op de privacy te letten.
PGP is mogelijk wat bekender.
PGP is proprietary en GPG is een open (Gnu) standaard, beiden zijn “open-source” & functioneel gelijk.
GPG - echte open-source als bedoeld - is vooral in zwang bij (nofi) diehards. Indien ontvangers op een courant mail systeem zitten, is het niet heel moeilijk om mail te (de)coderen.
Eenmaal ingericht verloopt het (de)coderen, controleren en uitwisselen van sleutels vanzelf.
Een ander onderdeel is de authenticatie omtrent (mail)herkomst dat wmb iets minder zwaar weegt wanneer gebruik wordt gemaakt van encryptie.
Iemand moet natuurlijk wel FF weten wat die daarvoor moet doen.
En ja een eitje bakken maar ook een brief versturen is heel moeilijk en kan op 10.000 manieren mislukken wanneer iemand niet weet waar te beginnen.
Het lastigste is dat mensen zich actief bewust worden met wat ze feitelijk doen met informatie. Dan is “ongecodeerd” een vertrouwelijke mail, laat staan een geheim dossier, versturen - ook al gaat dat via Freedom - niet bepaald een garantie dat niemand anders dan de ontvanger, de inhoud waarneemt.
De moeilijkheid is vooral een kwestie van een andere werkwijze gebruiken. Ook een eigen afweging dat iets voor een ander niet belangrijk zou zijn, kan juist - vooral over langer tijd in combinatie tot relatie - bij elkaar uiterst interessant worden.
PGP/GPG is voor de meeste mensen te moeilijk.
Het enige dat dan werkt is tresorit of zoiets als StartMail zoals Drs_W aangeeft.
Zakelijk gebruiken we ook zoiets als het echt vertrouwelijk is. En als het echt zeer bvertrouwelijk is dan toch echt in combinatie met PGP. Mara dan gaat het om een van te voren afgestemd en afgedwongen proces.
Voor huis tuin en keuken vertrouwelijke informatie zal dat niet gaan en zijn tresorit of StartMaiol achtige oplossingen het beste omdat die begrijpelijk zijn voor de ander.
Bij WEBmail is S/MIME eigenlijk niet bruikbaar omdat de Webmail server de sleutels moet hebben voor en-/de-cryptie.
PGP gaat buiten het systeem om.
Je kan ook overwegen om een correcte *) ZIP te gebruiken en die dan te beveiligen, niet de beste oplossing maar wel een die bruikbaar is voor digibeten.
De sleutel / Het wachtwoord, zou bv. het kenmerk van de brief kunnen zijn.
Bijkomend voordeel je data gaat ook niet door spamfilter scanners heen … ok niet als die buiten de deur van de organisatie staan.
(Al is PGP/GPG zijwel net zo moeilijk te gebruiken als ZIP … mist goed ingesteld door IT afdeling).
Je kan ook een envelop klaar leggen die ze op kunnen komen halen…
*) Correct = een die encryptie goed toepast niet een die 2 jaar of ouder is.