Ga naar inhoud
GENEGEERD

[Review] Hushmail om veilig(er) mee te e-mailen


Dr.Prepper
 Share

Recommended Posts

Vanwege alle mass-surveillance en omdat privacy cruciaal is voor onze vrijheid, heb ik mij eens verdiept in een veiliger provider voor e-mail communicatie. Zoekend naar alternatieven voor Lavabit (waar Snowden gebruik van maakte, maar welke dienst inmiddels is gesloopt door de US Govt) kwam ik op "Encrypted email isn’t secure, but if you must use it, here are some Lavabit alternatives". Deze titel roept sowieso al de vraag op: Bestaat absoluut veilige e-mail? Antwoord is nee, maar je kan het wel stukken veiliger maken dan een willekeurige provider. En laat vooral tot je doordringen dat Gmail een van de meest slechte keuzes is, omdat zij niet eens pretenderen vertrouwelijk met je gegevens om te gaan.

 

De alternatieven

Op basis bovenstaande artikel heb ik wat uitgebreider gekeken naar Neomailbox en Countermail. Verder tipte Zerohedge om Hushmail te gebruiken.

 

Bij Hushmail en Neomailbox had ik vervolgens een proefaccount aangemaakt. Wat me aansprak aan Neomailbox is dat het een Zwitsers bedrijf betreft, dus minder gehinderd door EU en USA. Maar de interface (de look & feel) van Neomailbox, die gebruik maakt van het webmailsysteem Horde, vind ik zoooo afgrijselijk, dat was meteen dikke turn-off. Als je dat vergelijkt met de gebruiksvriendelijke interface van Hushmail, dan is de keuze snel gemaakt. Een volledige technische vergelijking heb ik niet gedaan, maar grotendeels is het aardig gelijkwaardig. Beide ondersteunen ook het gebruik van PGP voor hele veilige versleuteling van je complete bericht. Dit vraagt overigens wel om extra configuratie, wat ik tot op heden nog niet gedaan heb. Het voordeel van Neomailbox is nog wel dat ze een .ch domein hebben, wat een voordeel kan zijn omdat technisch gesproken de Amerikaanse overheid alles met een .com kan blokkeren, omdat dit wordt beheerd door het in de USA gevestigde ICANN.

 

Ik heb gekozen voor Hushmail.

 

Hushmail

Ze bieden een gratis account met 25MB opslag - leuk om uit te proberen - maar ik ben vrij snel doorgegaan naar het 10GB account van $50/jr. Vooral omdat dit account unlimited aliassen biedt. En I love aliasses ;)

 

Ik zal jullie door wat schermen en opties heen loodsen om te laten zien hoe prettig dit systeem werkt. Note: Dit is dan de webmail variant ervan, maar je kan met het $50 pakket ook gewoon gebruik maken van IMAP op je smartphone en desktop.

 

Het homescreen

Heerlijk overzichtelijke interface!

hushmail-1.png.bb5aefa2b3c0e0642e96082c75bdf340.png

 

 

Bericht opstellen

Hier kan je eenvoudig kiezen vanuit welke alias [1] gemaild kan worden. Zo kan je je master account verborgen houden en bv voor verschillende kanalen/personen verschillende aliasses inzetten. Verder zie je de optie om gebruik te maken van encryptie van je bericht [2]. En dit werkt zelfs wanneer je stuurt naar iemand die bij een andere provider zit en die zelf helemaal niks heeft ingesteld qua encryptie. Dat zal je zo zien :)

hushmail-2.png.fb3f7780eb824d58b6d1c57f04556fbc.png

 

 

Encryptie aan

Als je encryptie aanvinkt kan je je bericht voorzien van een vraag/antwoord waarbij je natuurlijk zorgt dat alleen de ontvanger het antwoord weet.

hushmail-3.png.bbb4d0c7eecaa805c7f7d9c67fa99971.png

 

 

Wat de geadresseerde ontvangt

Ik heb een testmail gestuurd naar mijn preppers.nl account die niet via Hushmail loopt en dit is dan het mailtje dat je krijgt! Niet het verzonden mailtje zelf, maar in plaats daarvan een info berichtje met inlogcode om het mailtje op te halen via een unieke code.

hushmail-4.png.9fe6e58c78b1cedd421401b622e5d44f.png

 

En dit krijg je dan via te zien op http://www.hushmail.com/express/ waar je met de unieke code moet inloggen:

hushmail-5.png.a59407a2938351d61db395a0d0881b25.png

 

 

Beveiliging

Maar de echte beveiliging zit dan in het vraag/antwoord, dat je natuurlijk zo ingewikkeld kan maken als je zelf wil.

hushmail-6.png.26a04a115713f3056eafa0657cde522b.png

 

Het bericht

Als je hier dan doorheen bent krijg je (via een uiteraard HTTPS beveiligde verbinding) het verzonden bericht te zien.

hushmail-7.png.2b9e1e82a717b831acb62bb249efebf5.png

 

 

Tot slot

Het hierboven beschreven en getoonde proces is dus voornamelijk wanneer je encryptie gebruikt richting iemand die dat zelf niet heeft of die niet op Hushmail zit. Als je zonder encryptie stuurt, dan krijgt de ontvanger het gewoon als normaal mailtje binnen. Maar ik vind bovenstaande zo charmant opgelost dat ik het jullie graag laat zien.

 

Hushmail vind ik een erg mooi en gebruiksvriendelijk systeem en de reputatie is uitstekend. Zelf betaal ik veel liever een paar tientjes per jaar om een klant te zijn, en niet het product zoals bij Google's Gmail die jouw mailverkeer gebruikt voor commerciële doeleinden.

 

CONCLUSIE: HUSHMAIL = AANRADER!

  • Leuk 2
Link naar reactie
Share on other sites

Begin nu je eigen moestuin. Bekijk de zadenpakketten Op zoek naar waterfilters, messen, tools of lang houdbaar eten? Ga dan naar www.prepshop.nl!
voor 100 euro per jaar heb je je eigen vps en domain by leaseweb, mail beveilig je met gnupg (pgp), pop/imap met tls, console toegang server opzet onderhoud met ssh/ssl

 

Ja of voor nul euro lees je Implementing SSL / TLS Using Cryptography and PKI via Google Books (of in de bieb) en je bent zelf security expert :cool:

 

[synische modus off] Kijk, we zijn hier geen l33t sk1llz forum. Denk dat de meeste regular people af afhaken bij "vps". Vandaar dat ik wel wilde focussen op een goeie oplossing die voor iedereen - ook zonder tech skills - haalbaar is. [/synische modus off]

Link naar reactie
Share on other sites

Ja of voor nul euro lees je Implementing SSL / TLS Using Cryptography and PKI via Google Books (of in de bieb) en je bent zelf security expert :cool:

 

[synische modus off] Kijk, we zijn hier geen l33t sk1llz forum. Denk dat de meeste regular people af afhaken bij "vps". Vandaar dat ik wel wilde focussen op een goeie oplossing die voor iedereen - ook zonder tech skills - haalbaar is. [/synische modus off]

 

Je zet je modus twee keer off... >.> Fail :p

 

Maar alle gekheid op een stokje, dit is een goede service. Ik heb als het goed is nog een hushmail account van 3 jaar geleden of zo. 1 keer iets mee gedaan en nooit meer naar gekeken. Zal 't pw eens opsnuffelen in m'n lijst. Die encryptie is handig, dan hoef ik niet iedereen te overtuigen spul te installeren.

 

Dank. :)

Link naar reactie
Share on other sites

  • 2 weeks later...

Let wel op dat je bij het inloggen altijd de lokale java variant gebruikt. als je dit niet doet kan Hushmail je wachtwoord loggen en op verzoek aan de overheid verstrekken.

 

Ik gebruik Hushmail ook maar alleen met de java applet.

 

 

 

The issue originated with the non-Java version of the Hush system. It performed the encrypt and decrypt steps on Hush's servers and then used SSL to transmit the data to the user. The data is available as cleartext during this small window; the passphrase can be captured at this point, facilitating the decryption of all stored messages and future messages using this passphrase.
Link naar reactie
Share on other sites

  • 2 weeks later...

Ik kan m'n oude account niet meer accessen. Is gedis-abled :confused:

 

Nieuw gratis account aanmaken kan ook niet omdat er in mijn regio volgens de maatschappij teveel de regels werden overschreden. Soort van blanket ISP ban ding of zo. Maar eens op zoek naar een 'echt' veilig en onvindbaar adres dan.

 

Ok, nu hoef ik hushmail helemaal niet meer:

 

http://it.slashdot.org/story/07/11/17/1823225/Hushmail-Passing-PGP-Keys-to-the-US-Government

Link naar reactie
Share on other sites

Ik kan m'n oude account niet meer accessen. Is gedis-abled :confused:

 

Nieuw gratis account aanmaken kan ook niet omdat er in mijn regio volgens de maatschappij teveel de regels werden overschreden. Soort van blanket ISP ban ding of zo. Maar eens op zoek naar een 'echt' veilig en onvindbaar adres dan.

 

Ik kreeg in eerste instantie ook een melding dat ik niet kon registreren, zoals jij beschrijft. Toen de Live Chat geraadpleegt (zie em nu overigens niet staan, maar ws is linkje alleen zichtbaar als support online is) en was het in 1 minuut gefixt. Zou dat dus ook zeker even proberen.

Link naar reactie
Share on other sites

Volgens de Forums op ToR is Hushmail helemaal niet zo veilig. Accounts worden regelmatig ge-disabled (zoals die van mij dus) zonder reden. Blanket isp bans komen voor, er wordt informatie aan diverse instanties doorgespeeld.

Via Tor kun je helemaal niet inloggen, want Tor wordt nu geblocked door ze. Ik kan ze contacten, maar daarvoor hebben ze een ander email nodig. Kip en het ei verhaal daar dus.

 

Ik ben nu op de forums op Tor aan het kijken of er eentje is die zonder javascript gewoon werkt en veilig is. Het zal zo blijven dat als je anoniem en secure wilt zijn dat je aan beide kanten zult moeten encrypten.

 

Ik lees trouwens net in de algemene voorwaarden die nu gelden dat als je drie weken niet inlogt, je account gedisabled wordt. Wil je je informatie en contacts terug dan moet je een betaald account nemen. Lijkt een beetje dezelfde scam die Godlikeproductions doet op het ogenblik.

Link naar reactie
Share on other sites

Volgens de Forums op ToR is Hushmail helemaal niet zo veilig. Accounts worden regelmatig ge-disabled (zoals die van mij dus) zonder reden. Blanket isp bans komen voor, er wordt informatie aan diverse instanties doorgespeeld.

Via Tor kun je helemaal niet inloggen, want Tor wordt nu geblocked door ze. Ik kan ze contacten, maar daarvoor hebben ze een ander email nodig. Kip en het ei verhaal daar dus.

 

Ik ben nu op de forums op Tor aan het kijken of er eentje is die zonder javascript gewoon werkt en veilig is. Het zal zo blijven dat als je anoniem en secure wilt zijn dat je aan beide kanten zult moeten encrypten.

 

Ik lees trouwens net in de algemene voorwaarden die nu gelden dat als je drie weken niet inlogt, je account gedisabled wordt. Wil je je informatie en contacts terug dan moet je een betaald account nemen. Lijkt een beetje dezelfde scam die Godlikeproductions doet op het ogenblik.

 

Er is een onderscheid tussen veilig en klantvriendelijk.

 

Je hoeft helemaal niet de algemene voorwaarden in te duiken voor dat stukje over eens in de 3 weken inloggen voor gratis accounts, het staat ook gewoon duidelijk op https://www.hushmail.com/about/ namelijk "FREE – 25 MB storage, no third-party advertising. You’re welcome to evaluate Hushmail for as long as you need to, but you must sign in at least once every three weeks." Persoonlijk vind ik het erg ver gaan dat jij blijkbaar verwacht dat zij een dergelijke dienst gratis leveren. Het is m.i. erg netjes dat ze je 3 weken laten evalueren - of langer desgewenst, maar dan moet je wel inloggen - zodat je echt kan kijken hoe het werkt. En voor zo'n 35 euro heb je per jaar een hele mooie mailservice met ruime capaciteit en mogelijkheden! Tuurlijk, er zijn ook vele gratis alternatieven, met name wanneer je zelf met Linux en andere opensourcerigheden op je eigen server aan de slag gaat. Maar om dit dat een scam te noemen?? Omdat ze geld vragen voor hun dienst?

 

Veiligheid heb ik eerlijk gezegd niet verder onderzocht. Goed punt. Heb je ook linkjes van jouw research?

Link naar reactie
Share on other sites

Er is een onderscheid tussen veilig en klantvriendelijk.

 

Je hoeft helemaal niet de algemene voorwaarden in te duiken voor dat stukje over eens in de 3 weken inloggen voor gratis accounts, het staat ook gewoon duidelijk op https://www.hushmail.com/about/ namelijk "FREE – 25 MB storage, no third-party advertising. You’re welcome to evaluate Hushmail for as long as you need to, but you must sign in at least once every three weeks." Persoonlijk vind ik het erg ver gaan dat jij blijkbaar verwacht dat zij een dergelijke dienst gratis leveren. Het is m.i. erg netjes dat ze je 3 weken laten evalueren - of langer desgewenst, maar dan moet je wel inloggen - zodat je echt kan kijken hoe het werkt. En voor zo'n 35 euro heb je per jaar een hele mooie mailservice met ruime capaciteit en mogelijkheden! Tuurlijk, er zijn ook vele gratis alternatieven, met name wanneer je zelf met Linux en andere opensourcerigheden op je eigen server aan de slag gaat. Maar om dit dat een scam te noemen?? Omdat ze geld vragen voor hun dienst?

 

Veiligheid heb ik eerlijk gezegd niet verder onderzocht. Goed punt. Heb je ook linkjes van jouw research?

 

Da's waar, maar er staat ook dat ze zonder opgaaf van reden je account altijd kunnen wissen/disablen. Vind ik niet klantvriendelijk maar goed. Daarover kunnen we 't oneens zijn.

 

Hush may terminate your access to the Service and any related service(s) at any time, with or without cause, with or without notice, effective immediately, for any reason whatsoever.

 

 

Klantvriendelijk zou zijn als ze een waarschuwing zouden geven zodat je nog 24 uur de tijd hebt om wat informatie en/of contacts te copieren voordat 't account gedisabled is of iets dergelijks. Nu heb ik 't zelden gebruikt, slechts voor het aanmelden bij een aantal sites waarvan ik niet allerlei spam wilde. Maar nu ben ik op zoek naar een email service die anoniem is en veilig. Zonder dat de helden die ons van het terrorisme aan het redden zijn meelezen.

 

Hushmail niet veiliger dan Gmail:

https://www.schneier.com/blog/archives/2012/08/cryptocat.html

 

Encrypted E-Mail Company Hushmail Spills to Feds

 

Informatie via Tor kan ik niet linken.

 

Ik denk dat Hushmail prima was toen ze begonnen, maar ze zijn zo snel zo groot geworden dat ze zijn gaan opvallen. Ik ga dan nu ook liever naar een wat kleinere nog onbekende service. Het zal prima werken, maar alleen als twee kanten pgp of een andere encryptie gebruiken. En dat kan met gmail ook.

 

Ik ga SquirrelMail en Mailtor eens testen. Kijken wat de mogelijkheden zijn wat betreft encryptie aan 1 kant, of aan 2 kanten, hoe snel 't is, wat 't meestuurt etc...

Link naar reactie
Share on other sites

Ik ga SquirrelMail en Mailtor eens testen. Kijken wat de mogelijkheden zijn wat betreft encryptie aan 1 kant, of aan 2 kanten, hoe snel 't is, wat 't meestuurt etc...

 

Interessant, ben benieuwd naar je bevindingen. Wil je die ook hier (of in apart draadje) posten?

 

Dat artikel @ Wired is wel zorgwekkend, al kan je dit dus omzeilen wanneer je de client side java gebruikt, right?

Of het veiliger is dan Gmail ... tsja, dat gaat erover dat beiden extern bij een bedrijf gehost zijn: "your security depends entirely the security of the host". M.a.w. je hebt zelf geen grip op de security. Fundamenteel gezien heeft hij wel gelijk, maar ik denk toch wel dat er flink gat zit tussen hoe prive je mail zijn bij de ene en bij de ander. En ook hier: als je de client side Java gebruikt, dan ben je volgens mij pretty safe.

 

Last but not least: internet en beveiliging blijft een dingetje. Als er een netwerkkabel in gaat, kan het nooit 100% veilig zijn.

 

 

En tot slot: XKCD ;-)

 

security.png.92c6a7138946479fc7ad02aa28d539a0.png

Link naar reactie
Share on other sites

Ik kom net dit artikel tegen, misschien heeft het jullie interesse?

 

Zo-versleutel-je-e-mail-met-pgp.

 

Pretty Good Privacy (PGP) is momenteel een van de beste methodes om tekst en bestanden te beveiligen. NUtech.nl legt uit hoe je een PGP-key aanmaakt en je zo veilig kunt communiceren.

PGP MET BROWSEREXTENSIE | PGP VOOR WINDOWS | PGP VOOR MAC | PGP-KEY AANMAKEN MET DESKTOP-SOFTWARE

Link naar reactie
Share on other sites

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic...

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Share

×
×
  • Nieuwe aanmaken...