End-to-end-versleuteling
Nog net in 2017 werd de Autocrypt-Level 1-specificatie opgesteld. Het doel daarvan is te komen tot een end-to-end-versleuteling voor in principe elk mailfront-end om gebruikers het moeilijke gedoe met bijvoorbeeld sleutelbeheer uit handen te nemen. Er wordt alleen een beveiliging tegen passieve aanvallers gedefinieerd die communicatiecontent willen verzamelen. Aan het Europese project NEXTLEAP doen ontwikkelaars van verschillende mailprogramma’s mee, waaronder K9, OpenKeyChain (beide Android) en Enigmail.
De basistechniek is PGP, omdat die zich allang bewezen heeft. Autocrypt zet de sleutels in een aparte e-mailheader en is niet afhankelijk van een keyserver. Er wordt een RSA-versleuteling met een sleutellengte van 3072 bit gebruikt. Mailprogramma’s die Autocrypt gebruiken werken daardoor onafhankelijk van de mailprovider.
Die aanpak van een gebruiksvriendelijke PGP-implementatie is niet nieuw, naast Autocrypt is er ook Pretty Easy Privacy en een door het Fraunhofer-instituut ontwikkeld concept. (nkr)