Vorige week besprak correspondent Dimitri Tokmetzis de mogelijkheden, uitdagingen en het gebrek aan gebruiksvriendelijkheid van versleutelde e-mail met Naar schatting wordt PGP momenteel door ongeveer 50.000 mensen gebruikt; een tamelijk beroerde score voor een techniek van meer dan twintig jaar oud. Niet gek dat gezocht wordt naar alternatieven voor versleuteld mailen.

Vandaag in Red ‘t Web een bespreking van zo’n alternatief: Het programma werd begin dit jaar gelanceerd. Is dit een programma dat potentieel PGP en misschien zelfs e-mail kan vervangen om veilig te communiceren?

Wat Peerio wil

Voor De Correspondent sprak ik op een terras in het Spaanse Valencia met de ontwikkelaar van Peerio. (1990) promoveert in Parijs op toegepaste cryptografie en is auteur van een reeks computerprogramma’s die allemaal met veiligheid, privacy en versleuteling te maken hebben. Terwijl de ober onze drankjes brengt, vertelt hij dat hij zijn andere projecten even in de koelkast heeft gezet en zich nu volledig op Peerio richt.

Volgens Kobeissi kunnen versleuteling en veilige communicatie pas werken als de software gebruiksvriendelijk is. Kobeissi: ‘Het zijn helaas meestal de gebruikers die zichzelf in gevaar brengen. Niet omdat die gebruikers dom zijn, maar omdat de software het hen nodeloos lastig maakt met vage opties of een ondoorgrondelijke interface.’

Kobeissi haalt als voorbeeld een methode voor veilige communicatie die ik enkele weken geleden beschreef: ‘Voor het gebruik van OTR moet een gebruiker het programma van een website downloaden, een account aanmaken op een server en van weer een andere website de OTR-plugin downloaden. De gebruiker moet naar drie verschillende plekken en kan op elk van die punten een fout maken die ervoor zorgt dat het uiteindelijk niet werkt zoals het zou moeten en de communicatie dus niet veilig is.’

Met Peerio wil Kobeissi dit allemaal op één plek oplossen. Een programma met één account, dat gebruikmaakt van de servers van Peerio. Versleuteling, communicatie en het beheer van de software liggen zo bij één partij. Volgens Kobeissi neemt de kans op fouten bij de gebruiker snel af als er zo weinig mogelijkheden om fouten te maken zijn.

De proef op de som

Ik besluit het te proberen. Peerio download ik middels de grote downloadknop op Peerio.com. Er zijn drie versies: voor Windows, voor Mac en voor Chrome. En aangezien Chrome, de internetbrowser van Google, op vrijwel elke besturingssysteem te installeren is, werkt Peerio op vrijwel elke computer. Mobiele versies voor iOS en Android zijn in de maak. Het downloaden en installeren verloopt soepel, en ik open het programma om me te registreren.

Daar worden eerst mijn naam en e-mailadres gevraagd. Bij stap twee dient de code ingevuld te worden die naar het eerder opgegeven e-mailadres is verstuurd. Vervolgens wordt er een zogenoemde passphrase gegenereerd. In plaats van een wachtwoord, krijg je een wachtzin. Die van mij was bijvoorbeeld: ‘gangsta arches creature epilepsy merging webs.’ In stap vier kan je dan zelf nog een wachtwoord kiezen. Hier is Peerio vrij streng in: pas na vier pogingen heb ik een wachtwoord dat het programma veilig genoeg vindt en kan ik inloggen.

Waarom zo omslachtig? De zeer lastig te raden wachtzin gebruik je elke keer dat je Peerio op een nieuw apparaat installeert. Daarna kun je inloggen met je kortere en makkelijker te onthouden wachtwoord. Zo, met een lang en een kort wachtwoord, wil Peerio voorkomen dat anderen op je account kunnen inloggen.

Hoe gebruiksvriendelijk is het?

Het programma oogt vriendelijk en toegankelijk. Het heeft drie tabs: berichten, bijlagen en contacten. Het toevoegen van contacten om versleuteld mee te mailen gaat snel en kan met de hand. Je kunt ook een kopie van je adresboek uit Gmail uploaden om snel naar andere Peerio-gebruikers te zoeken.

Dat zijn er in mijn geval nog niet erg veel. Na enkele weken heb ik nu vier vrienden in Peerio. Geen van ons gebruikt het nu als belangrijkste communicatiemiddel. Peerio heeft het probleem dat anderen het óók moeten gebruiken. Maar met deze vier kan ik eenvoudig versleuteld communiceren. Ik heb niet, encryptiesleutels hoeven aanmaken, beheren of zoeken van de anderen. In essentie werkt Peerio net als PGP met een publiek-privaat sleutelpaar, maar het programma zorgt zelf voor het beheer hiervan. Dit maakt het minder inzichtelijk wat er nou precies gebeurt, maar zorgt er ook voor dat je geen fouten kunt maken. Het voelt alsof je gewoon met iemand aan het mailen bent.

Na enkele weken heb ik nu vier vrienden in Peerio. Geen van ons gebruikt het nu als belangrijkste communicatiemiddel

Kobeissi weet niet zeker of de app ooit door het grote publiek gebruikt zal worden. ‘Ik heb Peerio gemaakt voor groepen mensen die met gevoelige data werken, zoals artsen, advocaten of onderzoeksjournalisten. Het moet een manier zijn om snel een alternatief communicatiekanaal op te zetten en bestanden te delen zonder dat externe partijen als Google mee kunnen kijken. Iedereen kan het gebruiken, maar ik had deze groep mensen in gedachten toen begon met het maken van Peerio.’

Mijn eerste indruk? Peerio heeft nog wel een lange weg te gaan. Het is zeker nog niet zo gebruiksvriendelijk als Google Drive of Gmail. En je kunt het niet gebruiken om documenten mee te bewerken, waardoor je steeds een bestand moet downloaden en weer uploaden. Verder is de opslag erg beperkt. Elke nieuwe gebruiker krijgt slechts 1.4 gigabyte, dat zijn ongeveer twee cd’s. Het is niet mogelijk om opslag thuis te koppelen aan Peerio.

Kobeissi benadrukt direct dat dit de zaken zijn waar nu aan gewerkt wordt. Peerio is, anders dan veel van de andere projecten die tot nu toe zijn besproken, een bedrijf met investeerders en een groeiend team van ontwikkelaars. En, net zoals Dropbox, wil Kobeissi uiteindelijk extra opslagruimte verkopen.

Is Peerio dan wel veilig?

Kobeissi en z’n team laten het programma elk halfjaar door een professioneel team testen op fouten en veiligheidslekken. Ook het openbaarmaken van de broncode van het programma op internet moet anderen in staat stellen zelf eventuele fouten op te sporen.

Toch valt op die veiligheid nog wel het een en ander af te dingen: Peerio is een gecentraliseerde dienst. Alles wat je uitwisselt met een van je contacten, gaat via de servers van Peerio. En de serversoftware van Peerio is niet openbaar. Kobeissi: ‘Dat zou niet uit hoeven maken voor de situaties waarin wij ons voorstellen dat mensen Peerio gaan gebruiken. Elke bericht en elke bijlage is versleuteld op de computer van de zender en wordt pas ontsleuteld op de computer van de ontvanger. Wij kunnen we er dus nooit bij.’

Het vertrouwen dat Peerio heeft in de versleuting blijkt ook wel uit het feit dat ze voor een deel van hun opslag afhankelijk zijn van Microsoft. Peerio slaat zelf de tekstberichten op van de gebruikers, maar als je grote bijlagen gaat versturen en delen in Peerio (nu mogelijk tot een maximum van 400Mb) worden deze versleuteld opgeslagen in de Azure cloud, een platform dat gemaakt is door Microsoft.

Dus, gaat het PGP vervangen?

Peerio is zeker makkelijker dan PGP als je snel veilig met anderen wilt communcieren. Maar met mail kan je iedereen bereiken, met Peerio moeten eerst ook je vrienden overstappen. Ben je met een groep collega’s of vrienden op zoek naar een simpele manier om veilig met elkaar te communiceren en lijkt PGP te ingewikkeld, dan is Peerio een goede keuze náást e-mail. Verder is het niet aan te raden om te gebruiken voor écht gevoelige informatie, tot het de tijd heeft gehad zichzelf te bewijzen en door meer cryptografen bekeken is. Geef Kobeissi nog een jaar. Niet voor niets staat er nog heel groot ‘Beta’ op de website.

Lees meer verhalen in deze reeks:

Waarom is het zo moeilijk e-mail goed te beveiligen? Het crypto-programma PGP (Pretty Good Privacy) is al bijna 25 jaar een goede manier om je e-mailverkeer te beveiligen. Maar het kan en moet beter. In deze aflevering van Red 't Web: waarom de revolutie in cryptografie haar eigen beloften niet waarmaakte. Lees het verhaal hier terug Zet je wachtwoord in een kluis en maak het internet veiliger. De veiligheid op internet is grotendeels afhankelijk van wachtwoorden en dus van ons geheugen en onze verbeeldingskracht. Dat is problematisch. In deze aflevering van Red 't Web: drie manieren om betere wachtwoorden te kiezen. Lees verder Deze app laat je bellen zonder luistervinken op de lijn Bellen is een van de onveiligste manier van communiceren. Alles gaat via een centrale waar inlichtingendiensten en criminelen eenvoudig alle telefoontjes af kunnen tappen. Maar nu is er Redphone: een veilige, goedkope en gebruiksvriendelijke app om versleuteld te bellen. Lees verder Zo bouw je je eigen internet (en hou je gluurders buiten de deur) Het is een van de radicaalste oplossingen voor een vrij en open web: je eigen internet beginnen. Vandaag in de serie Red ’t Web: Superglue, een minicomputer waarmee je helemaal zelf een website in de lucht kan houden. Gastcorrespondent Douwe Schmidt legt uit hoe het werkt. Lees het stuk hier terug Al je gegevens zijn van Facebook (maar er is een alternatief) Er komen steeds meer alternatieven voor Facebook. Niet gek, nu het sociale netwerk de algemene voorwaarden zo wijzigt, dat bijna al je gegevens automatisch van Facebook zijn. In deze aflevering van de serie Red 't Web het privacyvriendelijkste alternatief: diaspora*. Lees het stuk hier terug Dit is de beste en gebruikvriendelijkste manier om online anoniem te blijven Anonimiseringssoftware Tor is nauwelijks door inlichtingen- en veiligheidsdiensten te kraken. En het is ook nog eens heel gebruiksvriendelijk. Lees verder Wil je controle over je cloud? Bekijk dan ook deze zeven diensten Vorige week schreef Correspondent Dmitri Tokmetzis over ownCloud, een softwarepakket waarmee je je eigen clouddienst kunt opzetten. Lezers tipten een aantal alternatieven. Hij zet er zeven op een rij. Lees hier het stuk terug Houd de Amerikanen uit je data met je eigen cloud Onze documenten, foto’s en video’s bewaren we niet alleen op onze computers, maar ook in de cloud. Maar je hoeft deze persoonlijke bezittingen niet toe te vertrouwen aan bedrijven als Dropbox en Google. Vandaag in Red ’t Web: zet je eigen cloudservice op. Lees verder Vergeet Skype of WhatsApp, met Off-the-Record kun je echt veilig chatten. Met het softwareprotocol Off-the-Record (OTR) kun je iets doen wat met Skype of WhatsApp niet kan: echt veilig chatten. Douwe Schmidt beschrijft in deze afleveringen van Red ’t Web zijn ervaringen met OTR. Lees verder Met dit programma word je weer baas over je eigen smartphone Het eerste deel van de serie Red ’t Web gaat over een alternatief besturingssysteem voor Android: CyanogenMod. Lees verder Wie het internet wil redden, kan niet om deze voorwaarden heen We schrijven regelmatig over privacy en surveillance. Dit zijn niet altijd de meest opwekkende verhalen. Daarom begonnen we onlangs een zoektocht naar oplossingen: hoe redden we het web? Vandaag zet gastcorrespondent Douwe Schmidt de voorwaarden op een rij waaraan een oplossing moet voldoen. Lees verder