Ik ben aan de testen met Startmail martin.broerse@startmail.com maar het lijkt er op dat de mails op de server van startmail.com worden gedecrypt en dan plain tekst worden doorgezonden over een https verbinding. Dit weet ik niet 100% zeker dus stuur mij een geëncrypte mail vanaf een ander startmail.com account. Ik denk dat de decryptie zou moeten plaatsvinden in javascript op de client. Zoiets als mailvelope.com.
Na nog wat testen met startmail lijkt het er op dat alleen de PGP mails worden gedecrypt op de cliënt. Bij het versturen van geëncrypte mail worden mail / encryptie vraag en antwoord niet door javascript geëncypt doorgezonden aan de server via de https verbinding. De gegevens staan dan leesbaar op de startmail servers of komen daar in ieder geval leesbaar, voor de NSA, aan en het lijkt er op dat als mail wordt verzonden aan de smtp server vanuit startmail servers dat dan pas PGP encryptie wordt toegepast. We kijken aandachtig verder.
Als logisch gevolg komt security vraag ook plain tekst weer terug samen met de PGP gecrypte data bij het opvragen van mail.
<form id="form-decrypt" class="symmetric" action="https://www.startmail.com/read_email/decrypt" method="post">
<input type="hidden" name="submitted" value="pgp_email"/>
<input type="hidden" name="do" value="decrypt"/>
<input type="hidden" name="ajax" value="1"/>
<input type="hidden" name="mailbox" value="INBOX"/>
<input type="hidden" name="passed_id" value="3"/>
<input type="hidden" name="key" value=""/>
<input type="hidden" name="enctype" value="symmetric"/>
<input type="hidden" name="question" value="3 keer 4"/>
Ik neem aan dat dit binnen de startmail.com website niet had gehoeven maar snap dat de vraag leesbaar moet worden opgeslagen op de startmail server i.v.m. mailen via IMAP enz… Het lijkt echter dat versleutelen van mail met PGP samen met vraag en antwoord met javascript op de client zou voorkomen dat het antwoord hoeft te worden meegezonden naar de startmail servers zoals nu het geval is. Ook komt er dan nooit geëncrypte mail ongeëncrypt aan op de server van startmail. Het systeem is nog in beta maar dit lijkt op een design fout die wel gefixed moet.