uitwisselen van gevoelige informatie over het internet - Privacy en beveiliging

vrijdag 3 november 2017 14:37

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Beste tweakers,

Momenteel zit ik met een vraagstuk: Hoe kan er op een veilige manier gegevensuitwisselingen plaatsvinden over het internet.

Ik heb behoorlijk wat artikelen gelezen over het encrypten van emails. Dit blijkt in mijn geval echter geen oplossing, vaak wordt er verwacht dat de ontvanger ook handelingen moet uitvoeren (gebruik van een bepaald email adres/ programma, gedoe met public en private keys) hierdoor valt deze methode af. Het lijkt mij niet verstandig om gevoelige informatie te versturen via pop of imap. Ik heb er over nagedacht om de inhoud in een geencrypte bijlage te zetten, maar dit is geen optie omdat bij een man in the middle attack de bijlage alsnog veranderd zou kunnen worden.

Wat mij opviel is dat Microsoft’s Office 365 message encryption gebruik maakt van een soort van portal, ontvangers krijgen een uitnodiging om een bericht te lezen op een server.
Hierdoor overweeg ik om de gegevensuitwisselingen door middel van TLS plaats te laten vinden, hierdoor wordt een man in the middle attack zo goed als uitgesloten toch? Aangezien TLS gebruik maakt van end to end encryption.

Omdat ik zelden confidentiële informatie verstuur ben ik niet opzoek naar erg prijzige oplossingen, waar ik aan zat te denken is om zelf een soort van portal op te zetten, bijvoorbeeld een Drupal omgeving die beveiligd is met een HTTPS verbinding.

Een andere optie is om informatie te versturen via Signal of whatsapp, aangezien deze ook gebruik maken van een begin tot eind encryptie.

Probleem blijft natuurlijk in hoeverre andere bedrijven te vertrouwen zijn, en wie eigenaar van de informatie is.

Heeft iemand hier tips over? Of wellicht ervaring mee? Ik ben een leek op het gebied van informatie beveiliging, vandaar dat ik om hulp vraag!

Edit: ik denk niet het versturen van deze gevoelige informatie wekelijks gaat gebeuren, ik denk van niet (moeilijk te voorspellen).

De confidentiële informatie valt onder de categorie "Speciale gegevens" welke volgens het AVG (algemene verordening gegevensbescherming extra beschermt dienen te worden.

En ja, het is professioneel (start-up)

[ Voor 8% gewijzigd door Verwijderd op 03-11-2017 14:46 ]

vrijdag 3 november 2017 14:40

Acties:

+1 Henk 'm!

Tommie12

Geef eens wat meer informatie.
Is dat professioneel?
Wat voor soort informatie, en waarom is het zo confidentieel?

Je spreekt van sporadisch, maar wat is dat? Wekelijks, maandelijks, 2-3 keer per jaar?

Sony A7 iv en wat recycled glas

vrijdag 3 november 2017 14:43

Acties:

0 Henk 'm!

Verwijderd

Mailen met PGP?
http://openpgp.org/about/

vrijdag 3 november 2017 14:44

Acties:

0 Henk 'm!

theHoff

SecureFTP?

vrijdag 3 november 2017 14:45

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Waarom denk je niet aan een beveiligde FTP omgeving? Is sftp iets voor jou?

/laat

[ Voor 13% gewijzigd door Outerspace op 03-11-2017 14:45 ]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

vrijdag 3 november 2017 14:46

Acties:

0 Henk 'm!

Virtuozzo

Verwijderd schreef op vrijdag 3 november 2017 @ 14:37:
Beste tweakers,

Momenteel zit ik met een vraagstuk: Hoe kan er op een veilige manier gegevensuitwisselingen plaatsvinden over het internet.

Gebruik het internet om een fysieke afspraak te maken voor gegevensuitwisseling. Voila.

Populisme: de weigering van complexiteit en de poging om simplistische antwoorden te formuleren op ingewikkelde vraagstukken middels gebruik van elke mogelijke prikkel van gedrag - i.p.v. moeite te doen voor gezonde participatie.

vrijdag 3 november 2017 14:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Verwijderd schreef op vrijdag 3 november 2017 @ 14:43:
Mailen met PGP?
http://openpgp.org/about/

Zo ver ik heb gelezen moeten beide partijen dan een public key en private key aanmaken toch? en is ook niet compatible met IMAP en POP, dat maakt het lastig omdat de beoogde ontvanger zelf een flink aantal handelingen moet verrichten.

vrijdag 3 november 2017 14:53

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Virtuozzo schreef op vrijdag 3 november 2017 @ 14:46:
[...]

Gebruik het internet om een fysieke afspraak te maken voor gegevensuitwisseling. Voila.

Da zou de beste oplossing zijn inderdaad, maar in mijn geval niet praktisch helaas...

zaterdag 4 november 2017 11:18

Acties:

+1 Henk 'm!

DJMaze

Verwijderd schreef op vrijdag 3 november 2017 @ 14:51:
Zo ver ik heb gelezen moeten beide partijen dan een public key en private key aanmaken toch? en is ook niet compatible met IMAP en POP, dat maakt het lastig omdat de beoogde ontvanger zelf een flink aantal handelingen moet verrichten.

Verwijderd schreef op vrijdag 3 november 2017 @ 14:37:
Wat mij opviel is dat Microsoft’s Office 365 message encryption gebruik maakt van een soort van portal, ontvangers krijgen een uitnodiging om een bericht te lezen op een server.

En dit is geen extra handeling?

PGP en S/MIME is gewoon 1x handelen en daarna werkt het.
Dat een MUA ze niet ondersteunt is hun fout.

Verwijderd schreef op vrijdag 3 november 2017 @ 14:37:
Hierdoor overweeg ik om de gegevensuitwisselingen door middel van TLS plaats te laten vinden, hierdoor wordt een man in the middle attack zo goed als uitgesloten toch? Aangezien TLS gebruik maakt van end to end encryption.

Dat is niet end-to-end, en dan staat het nog steeds unencrypted op een server...

Je kan je data ook gewoon in een ZIP stoppen met een wachtwoord er op en die versturen.

[ Voor 3% gewijzigd door DJMaze op 04-11-2017 11:19 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 7 november 2017 10:18

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bedankt voor jullie reacties!

dinsdag 7 november 2017 10:22

Acties:

0 Henk 'm!

Wootism

aaibaar

Is een goede VPN geen optie?
Vrijwel alle bedrijven die ik ken, en die met gevoelige info te maken hebben, gebruiken een VPN-verbinding om te mailen en toegang te krijgen tot interne portals etc...

dinsdag 7 november 2017 10:30

Acties:

0 Henk 'm!

gekkie

Het hangt er maar geheel en al vanaf welk deel of welke delen van het traject je wilt beveiligen met encryptie en welke je veilig acht zonder.
Als je bijna niets veilig acht zonder dan kom je al snel op PGP uit of een container met een pre-shared key.
Met alleen TLS (of een VPN) kun je alleen de verbinding tussen 2 punten encrypten, aangezien communicatie vaak over meerdere servers en daar tussen meerdere verbindingen (waar je niet altijd invloed op hebt) zijn er dus nogal wat gaten ten opzichte van end-to-end-encryptie. Of dat erg is voor jouw doel dat zul je zelf moeten bepalen.

Ik snap verder dat je graag wilt dat niemand ergens iets "extras" voor hoeft te doen, maar bedenk wel dat dat nou net het hele idee van encryptie is, dat je iets extra's moet doen om bij de eigenlijke boodschap te komen.

dinsdag 7 november 2017 10:32

Acties:

0 Henk 'm!

theHoff

Verwijderd schreef op dinsdag 7 november 2017 @ 10:18:
Bedankt voor jullie reacties!

Wat is nu je uiteindelijke beslissing geweest? Wel zo fijn voor mensen die dezelfde vraag hebben.

dinsdag 7 november 2017 10:41

Acties:

0 Henk 'm!

Verwijderd

[ Voor 100% gewijzigd door Verwijderd op 19-10-2019 15:06 . Reden: Leeg ivm privacy ]

dinsdag 7 november 2017 10:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik stel de keuze voorlopig nog uit, totdat ik meer van het onderwerp af weet, het onderwerp blijkt toch ingewikkelder dan gedacht, veel artikelen op het internet zijn gericht op anonimiteit maar dat is voor mij niet van belang (de overheid mag gerust weten waar ik mee bezig ben). Het gaat er voor mij om dat het veilig is.

In de huidige situatie is gebruikmaken van sneakernet (fysieke bestandsoverdracht) een goede optie. Dit combineer ik met een policy. Het heeft eigenlijk ook niet zo'n hoge prioriteit maar ik vind dit persoonlijk erg interessant en ik ga zeker door met het zoeken van een oplossing.

woensdag 8 november 2017 00:29

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Zoals eerder is aangekaart, heb je al overwogen om te werken met een secure FTP omgeving?

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

woensdag 8 november 2017 00:58

Acties:

0 Henk 'm!

Osiris

Outerspace schreef op woensdag 8 november 2017 @ 00:29:
Zoals eerder is aangekaart, heb je al overwogen om te werken met een secure FTP omgeving?

Maar dan wel SSH File Transfer Protocol a.u.b., aangezien FTPS nogal wat haken en ogen heeft.. Van die mensen die dan een FTPS daemon hebben draaien die wél de commando's encrypt (OK, goed voor je password e.d.), maar vervolgens de data-stream volledig unencrypted laat

woensdag 8 november 2017 01:03

Acties:

0 Henk 'm!

Verwijderd1

Verwijderd schreef op dinsdag 7 november 2017 @ 10:46:
Ik stel de keuze voorlopig nog uit, totdat ik meer van het onderwerp af weet, het onderwerp blijkt toch ingewikkelder dan gedacht, veel artikelen op het internet zijn gericht op anonimiteit maar dat is voor mij niet van belang (de overheid mag gerust weten waar ik mee bezig ben). Het gaat er voor mij om dat het veilig is.

In welk opzicht verschilt de overheid van andere partijen waarvan je niet wilt dat ze je data inzien? Daarmee bedoel ik, als de overheid weet wat je doet, wat weerhoudt andere partijen er dan van om er op dezelfde manier achter te komen?

Let er bij 'encryptie' en 'veilig' trouwens op dat veilig altijd tijdelijk is, stel het kost een supercomputer nu 5 jaar om jouw versleuteling ongedaan te maken, dan kan het best zijn dat over 2 jaar er een nieuwere snellere computer is die het in één jaar kan ontsleutelen. Als je altijd dezelfde sleutel gebruikt en een malafide partij al jouw versleutelde bestanden bewaard heeft dan kan die indien hij je encryptie gekraakt heeft alsnog alles ontsleutelen en alle oude berichten / bestanden inzien.

Kortom, let er op dat veilig nu niet betekent dat het in de toekomst nog veilig is, door nieuwe technieken, zowel snellere rekenapparatuur als doorbraken in cryptoanalyse.

woensdag 8 november 2017 01:09

Acties:

0 Henk 'm!

Osiris

Verwijderd1 schreef op woensdag 8 november 2017 @ 01:03:
[...]

In welk opzicht verschilt de overheid van andere partijen waarvan je niet wilt dat ze je data inzien? Daarmee bedoel ik, als de overheid weet wat je doet, wat weerhoudt andere partijen er dan van om er op dezelfde manier achter te komen?

Ik gok dat hij bedoelt dat men wel mag weten wáár hij mee bezig is (niets illegaals), maar dat de inhoud wél verborgen moet zijn, ook voor de overheid. Vandaar de geen-anonimiteit-eis leek me zo

woensdag 8 november 2017 01:27

Acties:

0 Henk 'm!

Kettrick

Rantmeister!

Afhankelijk van wat je precies wilt doen kan keybase een oplossing zijn, het is onder de motorkap gewoon pgp maar maakt een boel zaken daar omheen een stuk makkelijker en toegankelijker.

woensdag 8 november 2017 10:03

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Verwijderd1 schreef op woensdag 8 november 2017 @ 01:03:
[...]

In welk opzicht verschilt de overheid van andere partijen waarvan je niet wilt dat ze je data inzien? Daarmee bedoel ik, als de overheid weet wat je doet, wat weerhoudt andere partijen er dan van om er op dezelfde manier achter te komen?

Let er bij 'encryptie' en 'veilig' trouwens op dat veilig altijd tijdelijk is, stel het kost een supercomputer nu 5 jaar om jouw versleuteling ongedaan te maken, dan kan het best zijn dat over 2 jaar er een nieuwere snellere computer is die het in één jaar kan ontsleutelen. Als je altijd dezelfde sleutel gebruikt en een malafide partij al jouw versleutelde bestanden bewaard heeft dan kan die indien hij je encryptie gekraakt heeft alsnog alles ontsleutelen en alle oude berichten / bestanden inzien.

Kortom, let er op dat veilig nu niet betekent dat het in de toekomst nog veilig is, door nieuwe technieken, zowel snellere rekenapparatuur als doorbraken in cryptoanalyse.

Klopt helemaal, ik las ook dat het tegenwoordig mogelijk is om cloud rekenkracht in te kopen om daar vervolgens mee te gaan bruteforcen enzovoorts. 100% veiligheid is tegenwoordig denk ik ook niet meer te garanderen gezien de (snelle)technologische ontwikkelingen.

Ik gok dat hij bedoelt dat men wel mag weten wáár hij mee bezig is (niets illegaals), maar dat de inhoud wél verborgen moet zijn, ook voor de overheid. Vandaar de geen-anonimiteit-eis leek me zo

inderdaad, de overheid heeft altijd de mogelijkheid om gegevens te achterhalen (aftapwet wellicht) en juridisch gezien kunnen zij dit ook altijd aanvragen, dat is allemaal prima. Maar inderdaad, het gaat erom dat informatie niet bij andere partijen in handen komt.

woensdag 8 november 2017 10:28

Acties:

0 Henk 'm!

lordgandalf

Proofpoint bied ook een secure mail mogelijkheid probleem is dat die machines niet al te goedkoop zijn.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

woensdag 8 november 2017 13:24

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Kettrick schreef op woensdag 8 november 2017 @ 01:27:
Afhankelijk van wat je precies wilt doen kan keybase een oplossing zijn, het is onder de motorkap gewoon pgp maar maakt een boel zaken daar omheen een stuk makkelijker en toegankelijker.

Ziet er inderdaad zeer interessant uit, bedankt voor de tip!

donderdag 9 november 2017 00:15

Acties:

+1 Henk 'm!

Kentsfield

https://protonmail.com/ is een makkelijke oplossing denk ik.

Dingen!

donderdag 9 november 2017 00:30

Acties:

0 Henk 'm!

eLScha

Ik heb er over nagedacht om de inhoud in een geencrypte bijlage te zetten, maar dit is geen optie omdat bij een man in the middle attack de bijlage alsnog veranderd zou kunnen worden.

Wanneer het wachtwoord bij de ontvanger bekend is, dan kan de bijlage wel veranderd worden, maar kan de ontvanger het bestand niet meer openen met het bij hem bekende wachtwoord. In dat geval is er gerommeld en moet de data als onveilig beschouwd worden.

Belangrijk is wel een protocol te gebruiken wat gebruik maakt van header-encryptie. Standaard zip-bestanden met een wachtwoord volstaan dus niet. Daarin wordt alleen de content encrypt. Een aanvaller kan dan in het encrypted zip-bestand een file vervangen met zijn eigen non-encrypted file. De ontvanger merkt daar niets van.

De vraag is overigens ook of een dergelijke vervang-actie een probleem is in jouw situatie. Wanneer jij uitsluitend een wachtwoord verstuurd en een aanvaller vervangt dat wachtwoord door wat anders, dan kan de ontvanger simpelweg niet inloggen. Verstuur je een url+gebruikersnaam+wachtwoord, dan kan de ontvanger door een aanvaller naar een malafide omgeving geleid worden en is het vervangen wél een probleem.

donderdag 9 november 2017 00:40

Acties:

0 Henk 'm!

jant

Verwijderd schreef op vrijdag 3 november 2017 @ 14:37:
Beste tweakers,

Ik heb behoorlijk wat artikelen gelezen over het encrypten van emails. Dit blijkt in mijn geval echter geen oplossing, vaak wordt er verwacht dat de ontvanger ook handelingen moet uitvoeren (gebruik van een bepaald email adres/ programma, gedoe met public en private keys) hierdoor valt deze methode af. Het lijkt mij niet verstandig om gevoelige informatie te versturen via pop of imap. Ik heb er over nagedacht om de inhoud in een geencrypte bijlage te zetten, maar dit is geen optie omdat bij een man in the middle attack de bijlage alsnog veranderd zou kunnen worden.

GPG is de manier om gevoelige informatie te versleutelen alvorens het te versturen. Ik zou het geen gedoe noemen, eerder zorgvuldig omgaan met je gevoelig data.
In welk artikel heb je gelezen dat GPG onderworpen kan worden aan een man in the middle attack?

Een album per dag; een selectie: https://open.spotify.com/playlist/6s3nNLl8pJpCwLR3LPligA?si=dddc51153b2a49e8

donderdag 9 november 2017 01:01

Acties:

+1 Henk 'm!

Mistraller

mSAFE?

Prima zakelijke oplossing, voldoet aan de wet bescherming persoonsgegevens, nederlandse cloud, diverse certificeringen.

Veel bedrijven vertrouwen op dit bedrijf:
Motiv werkt voor een groot aantal klanten in onder meer de gezondheidszorg, overheid, financiële dienstverlening en logistiek. Voorbeelden zijn de Nederlandse Spoorwegen, PostNL, Ingenico ePayments, KNAB, Politie Nederland, Robeco, SNS REAAL, Rabobank, VvAA en DHV Groep.

Met een prijs van 40 euro per maand voor het instappakket zou ik niet moeilijk gaan doen met een eigen portal.

Uit de PDF:
Het uitwisselen van bestanden is traceerbaar
Eigenaren van werkruimtes zien welke personen bestanden
uploaden en downloaden in hun werkruimtes. Beheerders
ontvangen van mSafe maandelijks een rapportage van de
gedownloade bestanden. Hiermee weet een organisatie altijd
welke bestanden uitgewisseld zijn. Met het oog op de meldplicht
datalekken, een aanvulling op de Wet bescherming persoonsgegevens
(Wbp) die vanaf 1 januari 2016 van kracht is, is dit een
goede manier om de uitwisseling van data te monitoren.
Bestanden worden slechts tijdelijk gedeeld
Het is niet mogelijk om bestanden permanent te delen.
Hier zit altijd een retentietijd op. Dit voorkomt dat bestanden
ongewenst gedeeld blijven en mogelijk worden vergeten.
Bestanden zijn bij mSafe in veilige handen
• mSafe verstuurt bestanden versleuteld en slaat bestanden
versleuteld op (256-bits AES-encryptie en 2048-bits RSAen
SHA-512-algoritmen).
• mSafe scant automatisch op malware en virussen.
• Gegevens worden opgeslagen in een Nederlandse cloud.
De datacenters zijn allemaal ISAE 3402 type 2 gecertificeerd.
• mSafe is gecertificeerd voor ISO 27001, ISO 9001, ISO 20000
en NEN 7510.

[ Voor 13% gewijzigd door Mistraller op 09-11-2017 01:07 ]

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

donderdag 9 november 2017 08:01

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

@Mistraller Ik vraag me af hoe zinvol het is versleutelde bestanden op virussen te scannen.

In het geval van de TS is de sleuteluitwisseling, of uitwisseling van het beoogde medium altijd een probleem, omdat er eigenlijk geen kanaal is waarop dat veilig kan worden gecommuniceerd, maar ik zou op zich gpg, veilige messenger of een veilige web-locatie voor gegevensuitwisseling de laagdrempeligste opties vinden

[ Voor 3% gewijzigd door begintmeta op 09-11-2017 08:16 ]

maandag 13 november 2017 14:17

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

jant schreef op donderdag 9 november 2017 @ 00:40:
[...]

• In welk artikel heb je gelezen dat GPG onderworpen kan worden aan een man in the middle attack?

Met GPG juist niet, maar met de standaard e-mail protocollen wel

maandag 13 november 2017 14:38

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Kettrick schreef op woensdag 8 november 2017 @ 01:27:
Afhankelijk van wat je precies wilt doen kan keybase een oplossing zijn, het is onder de motorkap gewoon pgp maar maakt een boel zaken daar omheen een stuk makkelijker en toegankelijker.

Keybase is helaas geen oplossing, na het doorlezen van terms & service en policy statement:

"When providing Keybase or the Service with content, such as your name, username, photos, social media names, data or files, or causing content to be posted, stored or transmitted using or through the Service (“Your Content”), including but not limited to the Registration Data and any other personal identification information that you provide, you hereby grant to us a non-exclusive, worldwide, perpetual, irrevocable, royalty-free, transferable (in whole or in part), fully-paid and sublicensable right, subject to the Privacy Policy, to use, reproduce, modify, transmit, display and distribute Your Content in any media known now or developed in the future, in connection with our provision of the Service."

" We also collect information about certain actions that you may take while using the service (“Actions”), such as your proving you control a certain Twitter username, announcing your public key, editing your biographical information or editing any of your social media usernames."

"We may disclose aggregated or anonymized information about our users for any purpose."

"For your protection from, and detection of, hackers and other undesirable intrusions into the Service, it is impossible to delete data from the Directory. If you want to alter information that you have provided, the previously provided information cannot be deleted and can only be revoked"

maandag 13 november 2017 14:41

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Oké, "extra handelingen" zijn onoverkomelijk. Je zult bijvoorbeeld hoe dan ook over een ander kanaal een wachtwoord/key moeten afspreken. Daar kom je niet onderuit.

Als het een eenmalig iets is, is het denk ik het makkelijkst om met versleutelde archives te werken (zoals 7z).

Dé oplossing voor het veilig versturen van email is natuurlijk OpenPGP, maar het nadeel is dat bijna niemand dat gebruikt, helaas.

Het lijkt mij niet verstandig om gevoelige informatie te versturen via pop of imap.

Verwijderd schreef op vrijdag 3 november 2017 @ 14:51:
en is ook niet compatible met IMAP en POP, dat maakt het lastig omdat de beoogde ontvanger zelf een flink aantal handelingen moet verrichten.

Als ik dit lees vraag ik me wel af of je snapt wat IMAP en POP zijn. Je verstuurt geen email via IMAP/POP. Het versturen van email gaat via SMTP. IMAP en POP zijn protocollen om met een emailclient (MUA) email op te halen van een mailserver (MDA). POP is overigens stokoud en wordt al een aardige tijd lang niet meer gebruikt.

De uitspraak "OpenPGP is niet compatibel met IMAP" is overigens not even wrong; het hoeft helemaal niet compatibel te zijn met IMAP omdat het er weinig mee te maken heeft.

Ik heb er over nagedacht om de inhoud in een geencrypte bijlage te zetten, maar dit is geen optie omdat bij een man in the middle attack de bijlage alsnog veranderd zou kunnen worden.

Goed dat je je dit beseft, want veel mensen kijken daar overheen. Het principe hier is dat encryptie op zich geen authenticity biedt.

Gelukkig is dit op te lossen met authenticated encryption, iets wat fatsoenlijke technieken voor het versleutelen van bijlagen wel bieden.

[ Voor 16% gewijzigd door Compizfox op 13-11-2017 14:45 ]

Gewoon een heel grote verzameling snoertjes

maandag 13 november 2017 15:06

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Compizfox schreef op maandag 13 november 2017 @ 14:41:
Oké, "extra handelingen" zijn onoverkomelijk. Je zult bijvoorbeeld hoe dan ook over een ander kanaal een wachtwoord/key moeten afspreken. Daar kom je niet onderuit.

Als het een eenmalig iets is, is het denk ik het makkelijkst om met versleutelde archives te werken (zoals 7z).

Dé oplossing voor het veilig versturen van email is natuurlijk OpenPGP, maar het nadeel is dat bijna niemand dat gebruikt, helaas.

[...]

[...]

Als ik dit lees vraag ik me wel af of je snapt wat IMAP en POP zijn. Je verstuurt geen email via IMAP/POP. Het versturen van email gaat via SMTP. IMAP en POP zijn protocollen om met een emailclient (MUA) email op te halen van een mailserver (MDA). POP is overigens stokoud en wordt al een aardige tijd lang niet meer gebruikt.

De uitspraak "OpenPGP is niet compatibel met IMAP" is overigens not even wrong; het hoeft helemaal niet compatibel te zijn met IMAP omdat het er weinig mee te maken heeft.

[...]

Ik weet dat IMAP en POP inderdaad gebruikt worden voor het ontvangen en SMTP voor het versturen.

En wat ik bedoelde is dat het niet standaard compatibel is voor de ontvanger, als in: vanaf nu gebruik ik PGP en alles wat ik verstuur en ontvang is encrypted.

Inmiddels ben ik er wel achter gekomen dat er helaas geen 'onzichtbare' oplossingen zijn. De ontvangende partij zou altijd ook gebruik moeten maken van een bepaald programma of protocol.

maandag 13 november 2017 15:10

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Verwijderd schreef op maandag 13 november 2017 @ 15:06:
[...]
En wat ik bedoelde is dat het niet standaard compatibel is voor de ontvanger, als in: vanaf nu gebruik ik PGP en alles wat ik verstuur en ontvang is encrypted.

Inmiddels ben ik er wel achter gekomen dat er helaas geen 'onzichtbare' oplossingen zijn. De ontvangende partij zou altijd ook gebruik moeten maken van een bepaald programma of protocol.

Het probleem ligt wat dieper dan het programma/protocol: zo'n onzichtbare oplossing is fundamenteel onmogelijk, zelfs als alle emailclients out-of-the-box OpenPGP ondersteunden.

Het doel van encryptie is natuurlijk dat alleen de ontvanger de inhoud moet kunnen lezen. Daarvoor moet je eerst een key afspreken. Voor OpenPGP komt dat neer op dat je de public key van de ontvanger moet weten, want je versleutelt je bericht immers met de public key van de ontvanger.

[ Voor 3% gewijzigd door Compizfox op 13-11-2017 15:13 ]

Gewoon een heel grote verzameling snoertjes

maandag 13 november 2017 15:16

Acties:

0 Henk 'm!

Glewellyn

is er ook weer.

Wat ik mis in het verhaal zijn de overige eisen die je stelt aan de gegevens-uitwisseling.

Je hebt het over vertrouwelijk, maar je zal je moeten afvragen wat dat voor jou (of het bedrijf) betekent. Een beeld van de schade (financieel, juridisch of reputatie) die het bedrijf loopt als die vertrouwelijkheid geschonden wordt is een leidraad bij het vaststellen daarvan.

Op basis daarvan zal je gepaste maatregelen moeten nemen. In de praktijk kan daar op verschilende manieren invulling aan worden gegeven. Bij encryptie kan je denken aan het toepassen op verschillende lagen, bij voorbeeld een VPN of SSL tunnel, het gebruik van een secure protocol (HTTPS, SFTP) en het versleutelen van de daadwerkelijke data in het bericht.

In sommige gevallen ben ik ook een combinatie van vier lagen beveiliging tegen gekomen. Een fysiek gescheiden netwerkkabel tussen panden, met daarover IPSec, met daarover HTTPS verkeer met ge-encrypte content.

Ieder protocol had eigen keys/certificaten en een ander algoritme. Als een van de encryptielagen werd ontsleuteld waren er nog 3 ander over om de data tijdens het !transport! te beveiligen. Daarna is het nog een hele klus om de data "at rest" ook veilig te houden, maar dat is een ander verhaal. (Wel iets om rekening mee te houden!)

Naast vertrouwelijkheid moet je ook andere aspecten meenemen bij het selecteren van een geschikte oplossing.

Wat is de vereiste beschikbaarheid van deze gegevensuitwisseling? In een extreem geval (bij ziekenhuizen of militaire systemen) gaan er mensen dood als deze gegevens niet (tijdig) aankomen. Of jouw bedrijf lijdt financiele schade door boeteclausules, inkomstenderving of imagoschade.
Wat is de vereiste integriteit van deze data. Wat is de schade als de data gewijzigd wordt door een niet geauthoriseerd persoon?

Ook is de hoeveelheid data en de tijdigheid van de levering van belang.
Misschien dat je inhoudelijk niet veel kwijt kan over de berichten, maar wat meer invulling van deze aspecten helpt wel bij het vinden van een geschikte oplossing.

[ Voor 0% gewijzigd door Glewellyn op 13-11-2017 15:18 . Reden: Kromme zin ]

*zucht*

woensdag 15 november 2017 14:29

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Glewellyn schreef op maandag 13 november 2017 @ 15:16:
Wat is de vereiste beschikbaarheid van deze gegevensuitwisseling? In een extreem geval (bij ziekenhuizen of militaire systemen) gaan er mensen dood als deze gegevens niet (tijdig) aankomen. Of jouw bedrijf lijdt financiele schade door boeteclausules, inkomstenderving of imagoschade.
Wat is de vereiste integriteit van deze data. Wat is de schade als de data gewijzigd wordt door een niet geauthoriseerd persoon?
Ook is de hoeveelheid data en de tijdigheid van de levering van belang.
Misschien dat je inhoudelijk niet veel kwijt kan over de berichten, maar wat meer invulling van deze aspecten helpt wel bij het vinden van een geschikte oplossing.

Het probleem is dat het momenteel nog niet bekend is om wat voor gegevens het in de toekomst gaat, dat maakt het erg lastig om concreet te zeggen dat het bijvoorbeeld een eigen lijn wordt of vier verschillende encryptie lagen.

Wat het wel moet kunnen is om gegevens die onder de categorie "speciale gegevens" vallen van de algemene verordening gegevensbescherming te beschermen. Onder deze categorie vallen o.a.: Sollicitatie brieven en cv's, salarisstroken, SLA's maar ook medische gegevens zoals ziekteverzuim etc.

En er zijn al een aantal mooie opties genoemd (ontzettend bedankt trouwens!), deze ben ik nog aan het uitpluizen. Maar bij sommige opties is het bijvoorbeeld het afnemen van een aantal mailboxen of gebruiksaccount. Maar dat is lastig wanneer er vertrouwelijke informatie naar externe partijen gestuurd moet worden, je kan moeilijk 100 mailboxen/gebruikersaccounts afnemen voor voor 2 correspondenties per jaar.

vrijdag 17 november 2017 15:29

Acties:

0 Henk 'm!

lordgandalf

De oplossing van proofpoint blijf ik een gave vinden. je stuurt de andere partij een mail met een custom link erin en die wijst naar een server in je frontend.de ontvanger krijgt een mail met een link naar de server in je frontend. en pas als de ontvanger zegt ik wil dit bestand hebben gaat het door een https pijp naar de ontvanger.Veilig zonder gedoe voor zowel de ontvanger als de verzender en na genoeg naadloos systeem

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 30 november 2017 12:16

Acties:

0 Henk 'm!

Gilotto

Paint Skillz

Wellicht is het de moeite waard om ook even naar Tutanota.com te kijken. Deze online mailclient heeft een ingebouwde encryptie en is gebruiksvriendelijk.

Indien de ontvanger geen tutanota gebruikt wordt er een tijdelijke inbox opgezet waar de ontvanger op kan inloggen met een eerder besproken wachtwoord om de mail te bekijken.

Het aanmaken van een nieuw account voor personen is gratis. Voor organisaties zijn er betaalde opties met meer mogenlijkheden.

Pagina: 1

Reageer