Taggat med: Krypterad E-post

Google släpper E2EMail

Google har länge satsat på olika lösningar för End-to-end kryptering. Flertalet av dessa bygger på Googles JavaScript-biblioteket med namnet End-to-end och återfinnes på Github.

E2EMail har utvecklats som ett Chrome-plugin ovanpå End-to-end och har nu kopplat sina trådar till Google. Detta för att End-to-end ska vara ett community-baserat plugin och inte enbart något som Google handhar, vilket också är bra för säkerheten att fler engagerar sig och utvecklar vidare.

Tyvärr så är PGP inte lätt att använda och det är lätt att göra fel vilket E2EMail hjälper till med. Utvecklingen av E2EMail har pågått under tre års tid och är även tänkt att hjälpa GMail användare att skicka och ta emot krypterad E-post.

Än så länge finns inte E2EMail i Chrome Web Store utan du måste själv clona Github-repot och kompilera koden.

För att installera genomför följande steg:

$ git clone https://github.com/e2email-org/e2email
$ cd e2email
$ ./do.sh setup
$ ./do.sh build

Sedan så ligger det en Chrome-extension under mappen build/e2email som du installerar i Chrome genom att gå in under Settings -> Extensions och slå på Developer Mode. Där väljer du sedan Load unpacked extension och välj den extension du just kompilerade.

PGP är dött

PGPPGP (och numera GPG) är ett av det bästa som hänt modern krypterad kommunikation, men tyvärr är GPG svårt att använda och det är lätt att det blir fel. Det behövs ett omtag när det gäller GPG och vi väntar bara på att bägaren ska rinna över innan det händer.

För sanningen är, att GPG är tillräckligt bra. Visst behövs det göras en hel del när det gäller UX, metadata och forward secrecy men så länge det bara fungerar så behövs det inte åtgärdas.

Men hur kan den stora massan börja att använda krypterad E-post? Även om TLS på E-post (STARTTLS) blir mer utbrett så är detta ej ett komplett skydd.

Är det så att det eventuellt behövs en stor kampanj på Kickstarter för att någon nytt system ska bli det nästa GPG? För fortsättningsvis kommer vi att använda GPG och vi kommer att göra fel och nycklar kommer att bli röjda för vem kommer ihåg när Aftonbladet publicerade sin privata nyckel?

Buggar blir fixade och GnuPG har fått en större budget nuförtiden, så det går sakta men säkert åt rätt håll med intiativ såsom Google End-to-end.

”Key distribution is the hardest problem in end-to-end encryption”

Google

Läs även kloka ord av Moxie samt Whiteout

Silent Circle är nu släppt

Phil Zimmermanns nya företag Silent Circle är nu uppe och snurrar och tar emot nya kunder. Zimmermann är särskilt känd för att ha skapat krypteringsprogrammvaran PGP i början på 90-talet.

Hans nya företag erbjuder krypterad E-post och telefonsamtal via iPhone (andra telefoner?). Detta system är tyvärr ej öppen källkod men använder sig av bl.a. ZRTP.

Säljvideo:

.SE:s Internetfonden finansierar tre kryptoprojekt

I år delar .SE:s Internetfonden ut 12 miljoner kronor till fristående, icke-kommersiella projekt som verkar för en positiv utveckling av Internet i Sverige. I den senaste ansökningsomgången fick 14 projekt dela på nästan 2,8 miljoner kronor.

Sedan starten av Internetfonden år 2004 har över 150 projekt finansierats och i år får 14 projekt dela på nästan 2,8 miljoner kronor.

Av årets projekt så hittade vi tre stycken som ser att direkt vara relevant för Kryptera.se:s läsare:

Better-Than-Nothing-Security

Michael Cardell Widerkrantz, Malmö

BTNS är teknik för att på IP-nivå automatiskt kryptera, skydda integritet och garantera att vi fortfarande kommunicerar med samma motpart.

Beviljad summa: 200 000 kronor
Hemsida: http://hack.org/mc/hacks/btns/

Transparent e-postkryptering

Björn Påhlsson, Malmö

Beskrivning av projektet: Underlätta användningen av krypterad e-post genom att skapa ett automatiskt system som kan hantera kryptering av e-post utan slutanvändarens inblandning.

Beviljad summa: 70 000 kronor

Forskningsuppdrag om DANE för OpenSSL

Chalmers Tekniska Högskola AB, Göteborg

Beskrivning av projektet: Implementering av krypterad säkerhet i OpenSSL så att det kan användas både i existerande programvaror och med tiden inlemmas i OpenSSL för att öka säkerheten på Internet.

Beviljad summa: 260 000 kronor

Mer information om Internetfonden:
www.internetfonden.se

Uppdatering: Fixat ett fel gällande BTNS.

Vi testar krypterad E-post med Poosty

Poosty är en webbmail-tjänst som lanserades redan 2008 men har nu fått ett litet uppsving då konsultföretaget AddQ har gått in som delägare. Tjänsten startades av Stefan Waldeck som tidigare var nordisk marknadschef på Yahoo Searchmarketing.

Att kalla det för krypterad E-post är nog kanske lite att ta i, kanske bättre att kalla det för meddelanden med SMS-verifiering. Tjänsten använder sig nämligen av en sex tecken lång kod som används som verifieringsnyckel. Koden skickas separat via SMS samt så skickas även ett notifierings E-postmeddelande till den person du vill skicka ditt meddelande.

När vi testar tjänsten så skriver vi det hemliga meddelandet på Poostys servrar som är lokaliserade i Irland (Amazon Web Services, framgår även i dess sekretesspolicy) och över en https-anslutning. Även så kan Google läsa det hemliga meddelandet vi skriver, eftersom Google Analytics JavaScript laddas in i vår webbläsare.

Poosty är gratis i sitt grundutbud om du väljer att använda externa tjänster (tex. SMS meddelanden) eller uppgradera till våra premiumtjänster så måste du betala.

Vi ser en ljus framtid för Poosty och är väldigt stolta över att ha gått in som strategisk partner och delägare. Genom att vi har kvalitetssäkrat tjänsten vet vi dessutom att den levererar den säkerhet, enkelhet och tillförlitlighet som den ska göra.

Säger Petter Salomonsson, VD på AddQ Consulting.

Uppdatering: Obligatorisk läsning gällande Google Analytics och SSL finnes här.
Uppdatering 2: Se officiellt svar från Poosty i kommentarer till detta inlägg.