Unseen (secure en private E-mail)

[Floesh]

Sinds kort gebruik ik unseen webmail en dit bevalt goed.

Het bedrijf is gevestigd in IJsland, het enige land waar bankiers de gevangenis in zijn gegaan.

 

http://www.unseen.is

 

[FKAGB]

Wat is de relatie tussen bankiers die de gevangenis in gaan en een mailprogramma? Door alle ophef over het ongelimiteerd aftappen van trans-Atlantische internetverbindingen door de Britse geheime dienst vraag ik me af of er wereldwijd nog ergens een veilige mailoplossing is.

[Gast]

Ik draai een eigen mail server op een raspberry pi. Compleet gecodeerd zodat email berichten niet door anderen te lezen zijn.

Zo kan ik zelf de veiligheid in de gaten houden en blijf ik verstoken van veel spam.

[jobs]

Net weer een nieuwe gpg key aangemaakt.

Ondergwaardeerd product met encryptie die sterk genoeg is voor een paar emailtjes.

[FKAGB]

Voor de zekerheid hebben ze aansprakelijkheid uitgesloten voor het geval ze toch niet zo veilig bleken te zijn. Als je dan echt overtuigd bent hoef je dat niet op te nemen in je algemene voorwaarden.

 

LIMITATION OF LIABILITY. To the fullest extent permitted by law Unseen shall not be liable for any direct, indirect, incidental, special or consequential damages, including the cost of procurement of substitute goods and services, resulting from (a) the use or the inability to use the service, (b) deletion of or other inability to access data, © any goods or services purchased or obtained or messages received or transactions entered into through the service, (d) unauthorized access to, alteration of or taking of any transmissions, account information, data, or unseen’s systems, equipment and facilities, in all cases including but not limited to damages for loss of profits, use, account information, data or other intangibles, even if you have been advised of the possibility of such damages. 
Notwithstanding anything to the contrary contained herein, Unseen’s liability to you for any cause whatsoever and regardless of the form of the action, will at all times be limited to the amount paid by you to unseen for unseen’s services during the time of the subscription.

[Raycoupe]

Voor de zekerheid hebben ze aansprakelijkheid uitgesloten voor het geval ze toch niet zo veilig bleken te zijn. Als je dan echt overtuigd bent hoef je dat niet op te nemen in je algemene voorwaarden.

 

LIMITATION OF LIABILITY. To the fullest extent permitted by law Unseen shall not be liable for any direct, indirect, incidental, special or consequential damages, including the cost of procurement of substitute goods and services, resulting from (a) the use or the inability to use the service, (b) deletion of or other inability to access data, © any goods or services purchased or obtained or messages received or transactions entered into through the service, (d) unauthorized access to, alteration of or taking of any transmissions, account information, data, or unseen’s systems, equipment and facilities, in all cases including but not limited to damages for loss of profits, use, account information, data or other intangibles, even if you have been advised of the possibility of such damages. 
Notwithstanding anything to the contrary contained herein, Unseen’s liability to you for any cause whatsoever and regardless of the form of the action, will at all times be limited to the amount paid by you to unseen for unseen’s services during the time of the subscription.

 

Ik zou ze pas echt gaan wantrouwen als ze zouden beweren dat zij een niet te kraken systeem hadden.

 

Alles is te kraken en al helemaal encryptiemethodes, meestal hebben de overheden en veiligheidsdiensten een masterkey.

 

Het meest veilig blijft toch One Time Pad te gebruiken (zoekfunctie, al een draadje over). Eenmalig een codeboek afspreken met je ontvanger en middels een programmaatje op je computer hoef je het niet tijdrovend met de hand te coderen/decoderen.

[jobs]

Begin gewoon met gpg.

Da's veel effect met weinig moeite.

Daarin verstopt kun je nog je eigen code, one time pad, steganografie, etc doen.

[fritsimeel]

Ik draai een eigen mail server op een raspberry pi. Compleet gecodeerd zodat email berichten niet door anderen te lezen zijn.

.

 

Konings!

Raspberry Pi rules.

[Floesh]

Wat is de relatie tussen bankiers die de gevangenis in gaan en een mailprogramma? Door alle ophef over het ongelimiteerd aftappen van trans-Atlantische internetverbindingen door de Britse geheime dienst vraag ik me af of er wereldwijd nog ergens een veilige mailoplossing is.

 

Wat mij betreft zegt dat iets over het vestigingsklimaat. Dus ik kan mij voorstellen dat een bedrijf als unseen minder gevoelig is voor druk van buitenaf, bijvoorbeeld Amerikaanse geheime diensten.

[Gast]

Wat mij betreft zegt dat iets over het vestigingsklimaat. Dus ik kan mij voorstellen dat een bedrijf als unseen minder gevoelig is voor druk van buitenaf, bijvoorbeeld Amerikaanse geheime diensten.

 

En jij denkt dat daar geen gebruik van gemaakt wordt ?

Dus van jouw (sorry) onnozelheid dat te denken ? Als ik een geheime dienst zou runnen dan zou ik juist dit soort meldingen/berichten/programma's lanceren als lokkertje voor al diegenen die iets te verbergen hebben. Zeg maar een soort honeypot.

 

Er bestaat geen anonimiteit op het internet.

[Floesh]

En jij denkt dat daar geen gebruik van gemaakt wordt ?

Dus van jouw (sorry) onnozelheid dat te denken ? Als ik een geheime dienst zou runnen dan zou ik juist dit soort meldingen/berichten/programma's lanceren als lokkertje voor al diegenen die iets te verbergen hebben. Zeg maar een soort honeypot.

 

Er bestaat geen anonimiteit op het internet.

 

Noem mij niet onnozel, ik beweer overigens niet dat er anonimiteit op het internet bestaat en ik zeg ook niet dat unseen zaligmakend is. Het is EEN optie die je niet HOEFT te gebruiken.

[fragalot]

Ik draai een eigen mail server op een raspberry pi. Compleet gecodeerd zodat email berichten niet door anderen te lezen zijn.

Zo kan ik zelf de veiligheid in de gaten houden en blijf ik verstoken van veel spam.

 

wat heb je aan email als de ontvangende partij ze niet kan lezen? :-)

 

het grootste probleem is eigenlijk gewoon de basis-protocollen...

Heel veel standaarden zijn gewoon plaintext.

 

(en trouwens; als iemand écht wil afluisteren, lukt ze dat toch)

digitale security is enkel een kwestie van tijd, zelfs GPG valt wel te achterhalen mits genoeg tijd.

 

OTP is leuk, maar weinig praktisch, en al helemaal overdreven om even te laten weten hoe je weekend was.

om bestanden ermee te encrypteren zoals je leuke prepselfies is het ook wat omslachtig gezien je beiden een 100% offline pc nodig hebt om het goed te doen.

 

steganografie is ook een leuke hobby, maar veel meer dan dat is het niet.

 

 

de hamvraag is gewoon; hoeveel is jou digitale geleuter waard? :-)

[Gast Toef]

de hamvraag is gewoon; hoeveel is jou digitale geleuter waard? :-)

 

Dat is ook zo, wat wil of heb je te verbergen en hoeveel moeite wil je daar voor doen, dat is voor iedereen op een andere manier belangrijk.

[hailbaal]

Mij veel.

 

Ik ben iemand die het leuk vind om te hacken. Ik maak dingen open om te zien hoe het in elkaar zit, om er achter te komen hoe het werkt. Ik ben zo'n persoon die je WPA2 code breekt, door je blog heen kan breken en een website naar beneden kan halen. Je data kan mij niets interesseren, je website plat gooien doet mij niks en je blog zelf zal ik ook niet aanpassen. Ik wil weten hoe het moet en hoe het kan. Daarom kan ik een bedreiging of een aanwinst zijn voor onze overheid (lijkt me geweldig om voor de GCHQ te werken). Mijn privacy is me daarom veel waard, want als je een bedreiging bent kunnen ze je pakken om niets. Dat is net zoals andere mensen op dit forum, als je je bezig houd met een BOB of een INCH tas kun je weg, je bent te voorbereid en je kunt een bedreiging zijn. Er is helaas geen goede beveiliging. Tor (notabene ontwikkeld door de Amerikaanse overheid) is gehackt, alles kan plat, alles kan omzeild worden. Supercomputers zijn bijna sterk genoeg om door alles heen te breken, het is een kwestie van tijd.

[f150]

@jobs heeft gelijk. Start met PGP (Pretty Good Privacy), vaak verpakt in de GPG software. Niet voor niets gaan er stemmen op bij overheden om het gebruik hiervan aan banden te leggen. De developers hebben een eerlijk verhaal mbt de security van PGP:

http://www.pgp.net/pgpnet/pgp-faq/pgp-faq-security-questions.html

 

Je mailserver kan nog zo veilig zijn, desnoods op IJsland staan. Zolang je je emails niet versleuteld zijn het voor iedereen die intercept kant en klaar leesbare teksten.

 

Ook uit de gelekte stukken van de NSA blijkt dat PGP een pain in the ass te zijn voor de veiligheidsdiensten:

PGP encryption tools and OTR chat encryption also caused major problems for the agency, causing entire messages to disappear from the system, leaving only the message: "No decrypt available for this PGP encrypted message."

Of volgens Snowden: “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

 

De grote handicap van PGP is dat je de publieke sleutel van de ontvanger moet hebben, en de ontvanger jouw publieke sleutel. Het wrange is dat mijn opdrachtgevers de allerhoogste eisen stellen aan beveiliging geen versleuteling van e-mail ondersteunen. Zelfs voor IT security auditors van erkende organisaties als Lloyd's Register Quality Assurance is versleuteling onbekend terrein.

 

http://techcrunch.com/2013/06/17/encrypting-your-email-works-says-nsa-whistleblower-edward-snowden/

http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

[Gast anoniem]

Sinds kort gebruik ik unseen webmail en dit bevalt goed.

Het bedrijf is gevestigd in IJsland, het enige land waar bankiers de gevangenis in zijn gegaan.

 

http://www.unseen.is

 

 

Leuk onderwerp. Persoonlijk heb ik eigenlijk geen enkel vertrouwen in externe partijen.

De enige manier van een veilige communicatie is zorgen dat je zowel vanuit de zender, als vanuit de ontvanger, de controle in handen heb over de verzonden data.

Indien dat niet het geval is heeft het eigenlijk geen enkele zin.

 

Ik draai een eigen mail server op een raspberry pi. Compleet gecodeerd zodat email berichten niet door anderen te lezen zijn.

Zo kan ik zelf de veiligheid in de gaten houden en blijf ik verstoken van veel spam.

 

Dat is me niet helemaal duidelijk.

Hoe bedoel je?

Ik snap het stuk over mailserver en over de raspberry pi, maar op welk punt gebruik je codering wat niet indruist op het bestaande smtp protocol?

 

Ik zou ze pas echt gaan wantrouwen als ze zouden beweren dat zij een niet te kraken systeem hadden.

 

Alles is te kraken en al helemaal encryptiemethodes, meestal hebben de overheden en veiligheidsdiensten een masterkey.

 

Het meest veilig blijft toch One Time Pad te gebruiken (zoekfunctie, al een draadje over). Eenmalig een codeboek afspreken met je ontvanger en middels een programmaatje op je computer hoef je het niet tijdrovend met de hand te coderen/decoderen.

 

Het is niet juist dat alles te kraken is, en je geeft zelf aan dat je met een OTP geen enkele kans maakt op het kraken van de beveiliging.

Maar zoals gemeld is het niet echt praktisch.

 

@fragalot

Een plus voor jouw relativiteit.

 

 

Mij veel.

 

Ik ben iemand die het leuk vind om te hacken. Ik maak dingen open om te zien hoe het in elkaar zit, om er achter te komen hoe het werkt. Ik ben zo'n persoon die je WPA2 code breekt, door je blog heen kan breken en een website naar beneden kan halen. Je data kan mij niets interesseren, je website plat gooien doet mij niks en je blog zelf zal ik ook niet aanpassen. Ik wil weten hoe het moet en hoe het kan. Daarom kan ik een bedreiging of een aanwinst zijn voor onze overheid (lijkt me geweldig om voor de GCHQ te werken). Mijn privacy is me daarom veel waard, want als je een bedreiging bent kunnen ze je pakken om niets. Dat is net zoals andere mensen op dit forum, als je je bezig houd met een BOB of een INCH tas kun je weg, je bent te voorbereid en je kunt een bedreiging zijn. Er is helaas geen goede beveiliging. Tor (notabene ontwikkeld door de Amerikaanse overheid) is gehackt, alles kan plat, alles kan omzeild worden. Supercomputers zijn bijna sterk genoeg om door alles heen te breken, het is een kwestie van tijd.

 

Gezonde eigenschap om zaken zelf te onderzoeken. Maar vertel me eens hoe jij een WPA2 code breekt indien er gebruik is gemaakt van een sterk wachtwoord?

Ik snap dat het niet lastig is om een dictonary attack uit te voeren, maar wil je beweren dat jij een WPA2 code kan kraken indien het wachtwoord "BestW3llasigh0or@" zou zijn?

En als je privacy zoveel waard is, hoe kan het dan dat ik relatief eenvoudig kan achterhalen wie er achter jouw alias schuil gaat?

En hoezo is Tor gehackt?

Heb ik iets gemist?

 

@f150

Hoewel het niet slim is om het niet met je eens te zijn over PGP (want je heb een punt) blijf ik bij mijn standpunt dat je met PGP in ieder geval een dikke rode streep onder jouw ip nummer/ adres/ naam heb staan.

Vandaar dat ik het niet gebruik.

Ik ga er vanuit dat alles wat ik typ voor anderen te lezen is. Zodra het echt spannend wordt gebruik ik wel een ander communicatiemiddel.

[dubbel0]

Ik zou ze pas echt gaan wantrouwen als ze zouden beweren dat zij een niet te kraken systeem hadden.

 

Alles is te kraken en al helemaal encryptiemethodes, meestal hebben de overheden en veiligheidsdiensten een masterkey.

 

Het meest veilig blijft toch One Time Pad te gebruiken (zoekfunctie, al een draadje over). Eenmalig een codeboek afspreken met je ontvanger en middels een programmaatje op je computer hoef je het niet tijdrovend met de hand te coderen/decoderen.

 

en dan het codeboek digitaal opslaan op de pc of in the cloud

[Enki]

en dan het codeboek digitaal opslaan op de pc of in the cloud

 

Dat is een grapje toch? :`(

[Gast]

Wat ik bedoelde was dat alle email berichten op de raspberry pi gecodeerd (PGP) opgeslagen worden. Uiteraard kan ik de emails niet gecodeerd verzenden, helaas.

[popeye]

Wat ik bedoelde was dat alle email berichten op de raspberry pi gecodeerd (PGP) opgeslagen worden. Uiteraard kan ik de emails niet gecodeerd verzenden, helaas.

 

Je kan ook met onzichtbare inkt schrijven, zie voorbeeld hieronder,

 

Dit is geschreven met onzichtbare inkt.

 

Markeer bovenstaande, om de tekst te kunnen lezen.

[dubbel0]

Dat is een grapje toch? :`(

 

 

ja

 

GO POWER opt. 3 F16

 

of PWRDWN SYS

[Gast]

Leuk onderwerp. Persoonlijk heb ik eigenlijk geen enkel vertrouwen in externe partijen.

.......

Ik ga er vanuit dat alles wat ik typ voor anderen te lezen is. Zodra het echt spannend wordt gebruik ik wel een ander communicatiemiddel.

 

Checkmate.

[fragalot]

Gezonde eigenschap om zaken zelf te onderzoeken. Maar vertel me eens hoe jij een WPA2 code breekt indien er gebruik is gemaakt van een sterk wachtwoord?

Ik snap dat het niet lastig is om een dictonary attack uit te voeren, maar wil je beweren dat jij een WPA2 code kan kraken indien het wachtwoord "BestW3llasigh0or@" zou zijn?

En als je privacy zoveel waard is, hoe kan het dan dat ik relatief eenvoudig kan achterhalen wie er achter jouw alias schuil gaat?

En hoezo is Tor gehackt?

Heb ik iets gemist.

 

- WPA2 is niet "perfect", sinds een paar jaar terug kan je de sleutel, mits genoeg tijd, breken.

Het gaat niet om een "domme" dictionary attack, maar het vergelijken van berichten data over tijd om die zo stukje voor stukje samen te puzzelen.

 

- Tor zit vol met gaten, en er zijn bewezen studies dat er prima achterhaald kan worden wie je bent en wat je doet op Tor.

nog geen 100% hit-rate, 80% in een labo-omgeving geloof ik, en véél lager in de praktijk, maar toch genoeg voor mij om het te wantrouwen.

[jobs]

- Tor zit vol met gaten, en er zijn bewezen studies dat er prima achterhaald kan worden wie je bent en wat je doet op Tor.

nog geen 100% hit-rate, 80% in een labo-omgeving geloof ik, en véél lager in de praktijk, maar toch genoeg voor mij om het te wantrouwen.

Dus je surft zonder proxy/tunnel/versleuteling/etc?

Of pak je de source van tor en maak je patches?

Of maak je een alternatief zonder de bedoelde zwakheden?

Gebruik nou gewoon tor en pgp/gpg.

Beter een flinke beveiliging van je communicatie dan helemaal geen beveiliging.

En ja, deze gereedschappen kun je combineren met andere faciliteiten zoals unseen.

 

Hoeveel tijd kan een staatsveiligheidstoko in jouw communicatie steken?

Hoevel belanngrijkheid verdenkt men in jouw berichten?

Kortom: hoe veilig is je data daadwerkelijk?

[vheeswijk]

@jobs @f150 @fragalot @hailbaal @Stuudje : Mijn PGP Public Key is te downloaden van:

http://home.kpn.nl/~vheeswijk/vheeswijk.zip

Graag ontvang ik ook Public Keys van forumleden.

@nu even niet @Vladimir @doom ook interesse?