Hoe kan je veilig via internet bestanden uitwisselen?

- Zipje met wachtwoord, kies wel AES, en dan wachtwoord via Signal
- Als ze een GPG sleutel hebben file daarmee encrypten.

Maar het zijn zelden staatsgeheimen dus het komt gelukkig niet vaak voor .

[ Voor 3% gewijzigd door CurtPoindexter op 18-03-2017 22:29 ]

Zelf een SFTP server opzetten en gebruikersnaam en wachtwoord door bellen ?

gegevens in een truecrypt-container gooien en de container over een "unsafe" medium gooien?
daarna de key doorbellen

een andere optie is om een encrypted flash drive over snailmail te versturen.
uiteraard bij aankomst de key doorgeven, eventueel over een unsafe medium

[ Voor 40% gewijzigd door Ron op 18-03-2017 22:33 ]

ernstblaauw schreef op zaterdag 18 maart 2017 @ 22:22:
• Cloud diensten als WeTranser, DropBox of Stack. Volgens mij bieden deze diensten allemaal geen end-to-end encryptie. Enige uitzondering hierop is, voor zober ik weet, Mega. Maar hoe goed werkt dat? De software is niet open source
De drie veilige methodes die ik nu zie, is dus encrypten met 7-Zip, een dienst als Mega of Syncthing. De eerste en de laatste zijn omslachtig, de 2e niet bewezen veilig.

Vraag aan jullie is: hoe doen jullie dit? Welke methode gebruiken jullie om bestanden veilig te verzenden?

Mega geeft aan dat ze encrypted zijn, maar IS dat ook zo ?
( mijn instelling in alles online - als je zelf geen controle hebt, moet je het op de minste veiligheid vertrouwen. )

Het ligt er puur aan wat je delen wilt, hoe groot zijn de files, en hoe snel moet het gebeuren.
Voor een simpel videobestand, onder de 2 GB gebruiken een maat en ik een dropbox account, wat nu zo'n 7GB kan bevatten.
Omdat dropbox hashes & deduplication gebruikt, kan het voorkomen dat een file op de zwarte lijst staat
Beiden hebben we daaron Veracrypt staan ( opvolger truecrypt )
We maken een container aan, met daarin de bestanden.
"FF" syncen en klaar
Nadeel is wel de grootte ( hele serie lukt nét niet )
Anders gebruiken we Stack ( 1TB moet zeker voldoende zijn )
Wederom veracrypt, met ons bekende wachtwoorden.

Wat ook mogelijk is, is een VPS of webhoster met voldoende ruimte ( ik heb via CloudatCost wat ruimte )
Niet 100% beschikbaar, ze hebben hier en daar wat storingen maar wel voordelig
( 200GB lifetime voor 6€ kunnen aanschaffen met een deal )

Maar ik plaats alles in een veracrypt container, just to be sure

ernstblaauw schreef op zaterdag 18 maart 2017 @ 22:22:
Vandaag liep ik tegen het volgende aan: hoe krijg ik een bestand, dat op mijn PC (maar had ook telefoon of ander device kunnen zijn) staat, bij iemand anders? Daar zijn natuurlijk vele mogelijkheden voor, maar ik wil het graag zo veilig mogelijk doen. Dus even op een rijtje de opties:

Wellicht een domme vraag, maar hoeveel is die "veiligheid" waard als je nu het bestand gewoon onversleuteld op een, via internet bereikbare, pc hebt staan?
Je hebt dus eigenlijk meer vertrouwen in de "beveiliging" van je eigen pc dan in die van clouddiensten als Dropbox of Google Drive?

ernstblaauw schreef op zaterdag 18 maart 2017 @ 22:22:
...Vraag aan jullie is: hoe doen jullie dit? Welke methode gebruiken jullie om bestanden veilig te verzenden?

Voordat je die vraag kunt beantwoorden, moet je eerst "veilig" nader definiëren.

Welke risico's wil je het bestand tegen beschermen? Mag de inhoud niet aan derden bekend worden? Mag het bestand niet gewijzigd worden of gemanipuleerd? Moet het duidelijk zijn van wie het komt? Of juist niet?

ernstblaauw schreef op zaterdag 18 maart 2017 @ 22:22:
Vraag aan jullie is: hoe doen jullie dit? Welke methode gebruiken jullie om bestanden veilig te verzenden?

Via een share in OwnCloud. Of, als de ander geen account op mijn server heeft, uploaden (eventueel met hash) naar een eigen server, beschikbaar stellen via https, de link mailen en het wachtwoord (basic auth) sms'en.

In het zeldzame geval dat iemand iets met mij wil delen, dan maak ik een tijdelijke user op een server aan die, per uitzondering, in mag loggen via ssh met password en zonder key.

Brahiewahiewa schreef op zondag 19 maart 2017 @ 03:05:
[...]
Mag de inhoud niet aan derden bekend worden?

Zo ja.... Waarom dan überhaupt kiezen voor een uitwisseling via internet.

Mocht de ontvanger b.v. in Brazilië wonen dan snap ik de keus maar zijn er volgens mij alsnog 2 opties;
1. Iemand zit actief achter deze data aan. In dat geval is de pc van ts een veel makkelijker target dan b.v. de clouddienst van Google
2. Er is geen actieve dreiging. Dan zal een simpel ww op een .rar volstaan bij een dienst als wetransfer. In theorie is deze beter "beveiligd" dan de pc van ts en heeft hooguit mr. Transfer toegang tot het bestand. Deze gaat echt geen moeite, tijd en geld investeren om een willekeurige .rar te bruteforcen

Email kan trouwens best werken, mits s/mime of pgp wordt gebruikt. Sleuteluitwisseling en authenticatie van de sleutel zijn natuurlijk bij alle methoden een kwestie van contact via een alternatieve weg waarbij de identiteit kan worden geverifieerd.

[ Voor 10% gewijzigd door begintmeta op 19-03-2017 10:01 ]

De beste manier is een encrypted container gebruiken (kan al een zip met wachtwoord zijn waarbij het wachtwoord uiteraard ook veilig aan de andere kant moet geraken). Van zodra je op een externe partij gaat vertrouwen voor de data overdracht en je wil de data veilig houden moet je er gewoon voor zorgen dat de data al veilig is nog voor deze je computer verlaat.

Gaat het hier om uitwisseling van gegevens in de persoonlijke levenssfeer of in het zakelijke (bedrijf) / publieke verkeer (gemeentes). Je hebt het namelijk over adresgegevens met BSN's.

ernstblaauw schreef op zondag 19 maart 2017 @ 09:54:
Dank voor alle adviezen! Het ging nu overigens om overdracht waarin de adresgegevens en bsn stonden.

Weet je zeker dat je een wettelijke grondslag hebt voor het gebruik van het BSN? Zie: https://autoriteitpersoon...e/burgerservicenummer-bsn

Zo ja, dan ben je waarschijnlijk een gezondheidsinstelling of een semi-publieke instelling die naast het BSN andere 'bijzondere persoonsgegevens' verwerkt en zou je helemaal niet moeten overwegen om je zaken via een (vrijwel) gratis openbaar medium te versturen. Ook al zijn de gegevens door de 'bewerker' (de derde partij via wie je je data verstuurt) niet inzichtelijk door end-to-end encryptie, is de Wbp van kracht. Dat is vooral relevant als je je gegevens buiten de EU opslaat of verstuurt.

Heb je geen wettelijke grondslag voor het opslaan van een BSN? Zoek dan naar een alternatief en verwijder de BSN's zo snel mogelijk uit je administratie. Dat scheelt je een hele beerput aan liability als het ooit fout gaat.

http://retroshare.net/

Zelf geen ervaring mee overigens, maar klinkt goed.

ernstblaauw schreef op zondag 19 maart 2017 @ 16:29:
Het gaat slechts om de bsn van de verzender zelf, waarvan zij zelf heel goed weet dat het wordt verzonden naar mij. Vandaar ook de voorzorgsmaatregelen.

Ik zie inderdaad dat de uitleg niet duideijk is in mijn vorige reactie, het gaat dus in de privé-sfeer om de eigen gegevens van de verzender

In dat geval zou mij een veilige messenger waarmee bestanden kunnen worden gedeeld, e-mail met s/mime of pgp of eventueel een webinterface voor het indienen van de gegevens mij het voordehandliggendste

Ik zou gewoon voor PGP gaan. Naar mijn mening de meest veilige manier om informatie uit te wisselen.

Een keer sleutels uitwisselen en je kunt aan de slag..

[ Voor 3% gewijzigd door Blommie01 op 19-03-2017 18:56 ]

Ik werk in de beveiligde bestandsuitwisseling, met de verwachting dat dit het komende jaar zwaar gaat spelen. Gaat een wet komen die de verzending van persoonsgevoelige data verplicht via encrypte middelen laat gebeuren. We verkopen deze dienst niet particulier op het moment, maar er zijn vast bedrijven die dit wel doen.

Mogelijk gaan we nog wel particulier bieden als er een markt voor blijkt te zijn. Tot op heden lijkt dit simpelweg nog niet het geval.

Zebby schreef op zondag 19 maart 2017 @ 22:08:
Ik werk in de beveiligde bestandsuitwisseling, met de verwachting dat dit het komende jaar zwaar gaat spelen. Gaat een wet komen die de verzending van persoonsgevoelige data verplicht via encrypte middelen laat gebeuren. We verkopen deze dienst niet particulier op het moment, maar er zijn vast bedrijven die dit wel doen.

Mogelijk gaan we nog wel particulier bieden als er een markt voor blijkt te zijn. Tot op heden lijkt dit simpelweg nog niet het geval.

Waarom zou je iets aanschaffen als de beste versleuteling gratis en als open source beschikbaar is?

Blommie01 schreef op maandag 20 maart 2017 @ 08:05:
Waarom zou je iets aanschaffen als de beste versleuteling gratis en als open source beschikbaar is?

Hoewel de software gratis kan zijn is de implementatie dat nooit. En als je dat niet zelf kunt zul je het dus moeten kopen.

De kosten van software zitten niet in de software zelf. De kosten zitten in implementatie, functioneel beheer, controle, etc.

Blommie01 schreef op maandag 20 maart 2017 @ 08:05:
[...]


Waarom zou je iets aanschaffen als de beste versleuteling gratis en als open source beschikbaar is?

Het is uitbesteden van beheer en verantwoordelijkheid. Wij garanderen de klant de uptime voor hun klanten, wij garanderen veiligheid van de data, en mocht er ooit iets fout gaan (datalek) dragen wij de kosten. Daarnaast betaal je niet voor de versleuteling, maar voor de software/integratie in je eigen software, hosting e.d. We hebben geen eigen encryptie methode ontwikkeld, gebruiken gewoon de marktstandaard. We hosten puur binnen Nederland (eis van klanten), alleen 2 mensen hebben toegang tot de server, z.g.a. alle data is encrypt naast bestanden. Er zit wel wat meerwaarde in

begintmeta schreef op zondag 19 maart 2017 @ 09:59:
Email kan trouwens best werken, mits s/mime of pgp wordt gebruikt. Sleuteluitwisseling en authenticatie van de sleutel zijn natuurlijk bij alle methoden een kwestie van contact via een alternatieve weg waarbij de identiteit kan worden geverifieerd.

Dat hoeft helemaal niet. Als je gpg gebruikt met asynchrone encryptie kun je je public key gewoon op je website of op Facebook gooien. Kan iedereen jou altijd encrypted berichten sturen.

mcDavid schreef op maandag 20 maart 2017 @ 08:38:
...

Dat hoeft helemaal niet. Als je gpg gebruikt met asynchrone encryptie kun je je public key gewoon op je website of op Facebook gooien. Kan iedereen jou altijd encrypted berichten sturen.

Je moet dan wel weten dat de website of facebook-account inderdaad (onder controle van) de persoon is die je denkt. Sleuteluitwisseling en authenticatie van de sleutel zijn altijd afhankelijk van de veiligheid en/of controleerbaarheid het communicatiekanaal.

Blommie01 schreef op maandag 20 maart 2017 @ 08:42:
...
Precies. Dat is het mooie aan gpg. Je bent niet afhankelijk van een (niet te vertrouwen) derde partij.

Dat is trouwen sniet alleen bij gpg zo (s/mime of tls/ssl kan je ook probleemloos zo opzetten), maar de kwestie dat je moet verificeren van wie een sleutel afkomstig is moet nog wel altijd worden opgelost, je bent altijd afhankelijk van dat je erop moet kunnen vertrouwen dat de tweede partij is wie je denkt dat het is.

[ Voor 84% gewijzigd door begintmeta op 20-03-2017 09:16 ]

Het hele probleem van email based secure data transfer is imho niet "hoe" je encrypt, maar:
- Of je bent afhankelijk van een applicatie die beide partijen hebben (PGP)
- Of je werkt middels een cloud dienst, waar meestal dus je data is opgeslagen bij een derde.

Geen van beide is écht zo eenvoudig als gewoon je mailtje sturen.

Stel, je vader wilt voor de familie een vakantie boeken, en heeft een kopie paspoort nodig. Eigenlijk wil je niet zomaar over de mail sturen, gevalletje identity theft gezien vaderlief waarschijnlijk niet een heel sterk wachtwoord gebruikt. Oh, en Google/Microsoft hebben ook gelijk een kopietje. Echter je vader vragen om PGP te installeren en gebruiken is vaak al een stap te diep/moeilijk/lastig. Dan krijg je cloud diensten (vooral USA) waarbij ik zelf ook geen prettig gevoel heb bij het hosten.

Wat is dan goed? Ik heb nog niet echt nagedacht over een constructie buiten wat we al hebben. Wij bieden in principe de cloud opslag: mail is verstuurd met wat plain text, encrypted text + bestanden staan bij ons gehost. We hebben ook nog een veiligere optie vergelijkbaar met PGP, maar die "kan niet meer" en wekt terecht twijfel, namelijk dat we de encrypted text + bestanden meesturen als encrypted blob met een link naar de ontvanger die dan met een wachtwoord de sleutel ophaalt en de bestanden dus lokaal weer decrypt. Alleen de ontvanger heeft dan de bestanden, wij hosten alleen de sleutel. Een enkele klant kiest hiervoor, maar moet allerlei regels toevoegen in firewalls e.d. om dit soort bestanden toe te laten.

Ik ben er nog niet uit. Hoe combineer je het gemak met de veiligheid zonder kosten?

Zebby schreef op zondag 19 maart 2017 @ 22:08:
Ik werk in de beveiligde bestandsuitwisseling, met de verwachting dat dit het komende jaar zwaar gaat spelen.

intoxicated schreef op zondag 19 maart 2017 @ 12:30:
Zo ja, dan ben je waarschijnlijk een gezondheidsinstelling of een semi-publieke instelling die naast het BSN andere 'bijzondere persoonsgegevens' verwerkt en zou je helemaal niet moeten overwegen om je zaken via een (vrijwel) gratis openbaar medium te versturen. Ook al zijn de gegevens door de 'bewerker' (de derde partij via wie je je data verstuurt) niet inzichtelijk door end-to-end encryptie, is de Wbp van kracht. Dat is vooral relevant als je je gegevens buiten de EU opslaat of verstuurt.

Het verlies van een beveiligde stick geldt als meldwaardig lek, dus met die redenatie is zelf beveiligde gegevens naar een server van een derde uploaden ook problematisch.

Anoniem: 172410 schreef op maandag 20 maart 2017 @ 12:38:
[...]
Het verlies van een beveiligde stick geldt als meldwaardig lek, dus met die redenatie is zelf beveiligde gegevens naar een server van een derde uploaden ook problematisch.

Precies. Om dat juridisch dicht te timmeren moet je een bewerkersovereenkomst hebben met die derde partij, die onder Europees recht geldig is.

Als ik jou was, stopte ik het in een envelop en bracht ik het gewoon ff langs op de fiets, als het niet te ver is.

Blommie01 schreef op maandag 20 maart 2017 @ 08:47:
Als je dat allemaal nodig hebt om data te versleutelen zou ik voor iets simpelers kiezen..

Ik zou zeggen, doe een voorstel

Want volgens mij moet je ALLE software implementeren, beheren etc... Zelfs bij een cloud-dienst heb je deze posten, al zijn de exploitatiekosten mogelijk wat lager.

*knip*. Spam.

[ Voor 97% gewijzigd door rens-br op 03-07-2019 11:08 ]