De schoorsteen moet roken. Ook bij noeste programmeurs die het internet beter willen beveiligen en het opnemen tegen geheime diensten, criminelen en bedrijven met een onstilbare honger voor privédata. En juist bij idealistische programmeurs wil die schoorsteen niet altijd roken. Vandaag in Red ‘t Web: de opkomst en voorlopige ondergang van de veilige mailservice Mailpile.

E-mail, het beginpunt van onze digitale identiteit

Typ, adresseer en verstuur een e-mail en je verricht een van de meest gemaakte en oudste handelingen online. Hoeveel nieuwe sociale netwerken, chatdiensten en videostreamingapps er ook gehypet worden, e-mail blijft de primaire vorm van online communicatie.

Helaas is er veel mis mee. De inhoud is leesbaar, veranderbaar en censuureerbaar door iedereen die de e-mail in handen Ook is het eenvoudig zogenaamd de afzender aan te passen. Onlangs wist een man nog uit de gevangenis te ontsnappen door een mail te versturen naar z’n bewakers uit naam van het Openbaar Ministerie met daarin het bevel tot onmiddellijke vrijlating.

Het drie man sterke bedrijf Mailpile wil beter beveiligde mail mogelijk maken. Maar wel met software die gebruiksvriendelijk is.

Mailpile begint in bad

Het verhaal van Mailpile begint twee jaar geleden. Brennan Novak, een vormgever uit Californië, plonst in een IJslands warmwaterbad (echt gebeurd) bij ontwikkelaar Bjarni Einarsson en hacker Smari McCarthy. Door de stoomwolken bespreken de drie heren in zwembroek de vele verschrikkingen van e-mail.

Wat ze willen? Einarsson vooral een snel e-mailprogramma met een uitstekende zoekfunctie, zodat hij elke mail altijd terug kan vinden. En het moet open source zijn. McCarthy, betrokken bij WikiLeaks, benadrukt vooral dat e-mail veilig moet zijn

Om deze droom mogelijk te maken, starten de drie in de zomer van 2013 een crowdfundingcampagne. Tijdens een Nederlands hackersfestival vindt de aftrap plaats ten overstaan van drieduizend nerds en hackers. Een week later is het doel behaald en staat er 100.000 dollar op de rekening. Als na een maand de campagne eindigt, hebben ze meer dan 160.000 dollar opgehaald. Meer dan voldoende geld voor Novak, McCarthy en Einarsson om fulltime aan de slag te gaan en Mailpile werkelijkheid te laten worden.


Novak ziet dat hier vooral een goede vormgever nodig is. McCarthy is het met hem eens en vraagt hem mee te werken aan hun plan de wereld te voorzien van goede, veilige mail. Brennan Novak had nooit over open source en veilig mailen nagedacht. Net uit Silicon Valley, waar hippe start-ups de grond uit schieten, associeerde hij open source vooral met stoffige, slecht vormgegeven apps. Privacy en encryptie vond hij vooral iets voor rare bebaarde hackers. Maar dat mail én PGP al zo lang bestaan en nog steeds zoveel problemen kennen, intrigeerde hem.

Wat is ervan terechtgekomen?

Nu, twee jaar later, zit ik met Novak aan een kleine houten tafel in Valencia. We praten over de lange weg die Mailpile heeft afgelegd sinds het memorabele en ietwat vochtige begin. Een dag eerder heb ik de huidige bètaversie van Mailpile geïnstalleerd en er die ochtend en middag mijn werkmail mee ontvangen en verstuurd.

Ik schuif mijn laptop tussen ons in en start Mailpile Een venster opent en verdwijnt direct weer, dan opent de webbrowser zich en het logo van Mailpile verschijnt, met een inlogveld. Een reeks gebeurtenissen die ik bij geen ander programma ooit gezien heb. Ik kijk Novak vragend aan.

‘Ik word hier als ontwerper ook nerveus van. Dit is niet hoe het uiteindelijk zal moeten werken. Wat je zag waren aantal stappen nodig zijn om Mailpile te laten werken. Maar uiteraard moeten deze stappen verborgen zijn voor de gebruiker.’


Dan verschijnt mijn mailbox op het scherm. Ik klik op knopjes die soms wel en soms niet werken. Er verschijnt een notificatie in beeld: Yay can now Encrypt Cannot Encrypt! Novak kijkt steeds ongelukkiger. Als ik ben ingelogd, zie ik een logo van drie envelopjes die aan en uit knipperen. Novak kijkt wat beteuterd als ik vraag waarom dit zo lang duurt. Want Mailpile werkt als volgt: álle mail wordt als een versleuteld bestand opgeslagen op mijn computer. Elke keer als ik Mailpile open, moet dat hele bestand worden ontsleuteld en in het werkgeheugen van mijn computer worden geladen. Dat duurt, zeker met mijn inbox van meer dan 10.000 mails, bijna een minuut.

‘Het geld was op voordat we klaar waren. We wilden niet nog een keer om geld gaan vragen, gezien we nog niet eens af hebben gemaakt wat we bij de crowdfunding hadden beloofd,’ zegt hij verontschuldigend.

Wat er misging en wat dat zegt

Mailpile heeft het uiteindelijk niet gehaald, dat blijkt wel als ik het programma met Novak bekijk. Einarsson werkt nog wel door aan Mailpile, maar is afhankelijk van een andere inkomstenbron om dit werk te financieren. McCarthy werkt nu aan andere projecten, evenals Novak zelf.

Een paar uur nadat we gesproken hebben verschijnt er op het Mailpileblog. Hij is ontevreden met Mailpile en raadt mensen af het te gebruiken. Volgens het bericht hebben zoveel mensen zoveel fouten ontdekt in het programma, dat er nog veel meer tijd nodig zal zijn om een goede eerste uitgave van de software te doen. Maar, omdat het geld op is, zal Einarsson er als enige aan verder werken. In zijn vrije tijd.

Een paar dagen later wordt ook bekend dat een nieuwe financier vragen heeft over de samenstelling van het team en extra informatie wil voordat hij geld in Mailpile steekt.

Ondanks de vliegende start met de succesvolle crowdfuncing en omarming door een groot deel van de veiligheids- en hackercommunity, lijkt Mailpile nu stukgelopen. Duurzame verdienmodellen blijft een probleem voor de bouwers van een veiliger internet. Goede oplossingen blijken keer op keer weerbarstiger dan van tevoren gedacht en, ook twee jaar na Snowden, blijven de investeringen voor een veiliger internet steken bij incidentele donaties.

Het warme bad blijft tot nader order een koude douche.

Lees meer verhalen in deze reeks:

Waarom is het zo moeilijk e-mail goed te beveiligen? Het crypto-programma PGP (Pretty Good Privacy) is al bijna 25 jaar een goede manier om je e-mailverkeer te beveiligen. Maar het kan en moet beter. In deze aflevering van Red 't Web: waarom de revolutie in cryptografie haar eigen beloften niet waarmaakte. Lees het verhaal hier terug Zet je wachtwoord in een kluis en maak het internet veiliger. De veiligheid op internet is grotendeels afhankelijk van wachtwoorden en dus van ons geheugen en onze verbeeldingskracht. Dat is problematisch. In deze aflevering van Red 't Web: drie manieren om betere wachtwoorden te kiezen. Lees verder Deze app laat je bellen zonder luistervinken op de lijn Bellen is een van de onveiligste manier van communiceren. Alles gaat via een centrale waar inlichtingendiensten en criminelen eenvoudig alle telefoontjes af kunnen tappen. Maar nu is er Redphone: een veilige, goedkope en gebruiksvriendelijke app om versleuteld te bellen. Lees verder Zo bouw je je eigen internet (en hou je gluurders buiten de deur) Het is een van de radicaalste oplossingen voor een vrij en open web: je eigen internet beginnen. Vandaag in de serie Red ’t Web: Superglue, een minicomputer waarmee je helemaal zelf een website in de lucht kan houden. Gastcorrespondent Douwe Schmidt legt uit hoe het werkt. Lees het stuk hier terug Al je gegevens zijn van Facebook (maar er is een alternatief) Er komen steeds meer alternatieven voor Facebook. Niet gek, nu het sociale netwerk de algemene voorwaarden zo wijzigt, dat bijna al je gegevens automatisch van Facebook zijn. In deze aflevering van de serie Red 't Web het privacyvriendelijkste alternatief: diaspora*. Lees het stuk hier terug Dit is de beste en gebruikvriendelijkste manier om online anoniem te blijven Anonimiseringssoftware Tor is nauwelijks door inlichtingen- en veiligheidsdiensten te kraken. En het is ook nog eens heel gebruiksvriendelijk. Lees verder Wil je controle over je cloud? Bekijk dan ook deze zeven diensten Vorige week schreef Correspondent Dmitri Tokmetzis over ownCloud, een softwarepakket waarmee je je eigen clouddienst kunt opzetten. Lezers tipten een aantal alternatieven. Hij zet er zeven op een rij. Lees hier het stuk terug Houd de Amerikanen uit je data met je eigen cloud Onze documenten, foto’s en video’s bewaren we niet alleen op onze computers, maar ook in de cloud. Maar je hoeft deze persoonlijke bezittingen niet toe te vertrouwen aan bedrijven als Dropbox en Google. Vandaag in Red ’t Web: zet je eigen cloudservice op. Lees verder Vergeet Skype of WhatsApp, met Off-the-Record kun je echt veilig chatten. Met het softwareprotocol Off-the-Record (OTR) kun je iets doen wat met Skype of WhatsApp niet kan: echt veilig chatten. Douwe Schmidt beschrijft in deze afleveringen van Red ’t Web zijn ervaringen met OTR. Lees verder Met dit programma word je weer baas over je eigen smartphone Het eerste deel van de serie Red ’t Web gaat over een alternatief besturingssysteem voor Android: CyanogenMod. Lees verder Wie het internet wil redden, kan niet om deze voorwaarden heen We schrijven regelmatig over privacy en surveillance. Dit zijn niet altijd de meest opwekkende verhalen. Daarom begonnen we onlangs een zoektocht naar oplossingen: hoe redden we het web? Vandaag zet gastcorrespondent Douwe Schmidt de voorwaarden op een rij waaraan een oplossing moet voldoen. Lees verder