Voor de e-mailversleuteling tussen gebruikers gebruikt Tuta een gestandaardiseerde, hybride methode die bestaat uit een symmetrisch en een asymmetrisch algoritme. Tuta gebruikt 256 bits AES en 2048 bits RSA, of een combinatie van ECDH (x25519) en Kyber-1024 (voor quantumveilige accounts). E-mails naar externe ontvangers worden symmetrisch versleuteld met 256 bits AES.
Standaard slaan we geen IP-adressen op wanneer je inlogt of een e-mail stuurt. De IP-adressen van verzonden en ontvangen e-mails worden verwijderd, zodat uw locatie onbekend blijft.
We slaan alleen IP-adressen van individuele accounts op als we een geldig gerechtelijk bevel van een Duitse rechter hebben ontvangen vanwege ernstige misdaden zoals moord, kinderpornografie, beroving, bommelding of afpersing. Details hierover en over Duitse gegevensbeschermingsrechten zijn beschikbaar op onze blog.
Lees op onze blog hoe Tuta illegale massasurveillance bestrijdt met de anonieme e-maildienst. Bij uw registratie hoeft u geen persoonlijke gegevens te leveren (bijv. geen telefoonnummer). We gaan ook betalen met Bitcoin mogelijk maken.
Tuta versleutelt automatisch alle e-mails die op onze servers in Duitsland zijn opgeslagen. E-mails tussen Tuta-gebruikers worden automatisch end-to-end versleuteld. E-mails naar externe ontvangers kunnen worden versleuteld met een wachtwoord. Hier leggen we het verschil uit tussen een vertrouwelijke (end-to-end versleuteld) en een niet-vertrouwelijke e-mail.
Ongeacht de end-to-end versleuteling de verbinding tussen de client en Tuta server is beveiligd met TLS.
Een verwijderd Tuta e-mailadres (inclusief een verwijderde alias) wordt om veiligheidsredenen niet opnieuw vrijgegeven. Er mag geen enkele manier zijn waarop iemand anders dit adres kan registreren en per ongeluk een vertrouwelijke e-mail ontvangt die voor u bedoeld is.
Gratis accounts worden verwijderd als ze gedurende ten minste zes maanden niet zijn gebruikt. We verwijderen deze accounts om veiligheidsredenen en zodat we een gratis service kunnen aanbieden. U kunt het e-mailadres van uw verwijderde account echter overdragen naar een ander betaald account en het daar blijven gebruiken als e-mailalias of extra gebruiker als u nog over de geldige toegangsgegevens beschikt.
Om het e-mailadres van een inactief account terug te krijgen, moet u
Vervolgens kunt u het (de) verwijderde adres (sen) als alias (of gebruiker) aan het doelaccount toevoegen. We noemen dit Address Merging.
Je private en publieke sleutels worden tijdens registratie lokaal in je browser gegenereerd. Je private sleutel wordt versleuteld met je wachtwoord. Zo krijgt je inlogwachtwoord de status van de private sleutel. De sleutel is zodanig sterk versleuteld dat alleen jij de sleutel kunt gebruiken voor het versleutelen en ontsleutelen van gegevens. Daarom is een sterk wachtwoord essentieel. Een automatische wachtwoordcontrole in de client garandeert dat je een sterk wachtwoord gebruikt. Je wachtwoord wordt nooit als platte tekst naar de server gestuurd. Het wordt 'gezouten' en vervolgens gehasht met Argon2 op je eigen apparaat, zodat noch de server noch wij toegang hebben tot uw wachtwoord. Met dit innovatieve ontwerp heeft u vanaf elk apparaat (desktop, mobiel) eenvoudig toegang tot uw versleutelde inbox.
Tuta laadt niet automatisch afbeeldingen wanneer er op een e-mail wordt geklikt. Als u handmatig externe afbeeldingen laadt, moet u weten dat
Hier leggen we uit hoe u externe afbeeldingen kunt bekijken. Lees hier hoe Tuta ervoor zorgt dat u een anonieme e-mailservice gebruikt.
Tuta vereist dat alle e-mails worden geverifieerd. Wanneer een e-mail niet zou worden geverifieerd, had deze door elke persoon kunnen worden verzonden of gewijzigd. Daarom moet u heel voorzichtig zijn met een dergelijke e-mail, aangezien deze e-mail kan zijn vervalst of gewijzigd. Als u de waarschuwing ziet dat de authenticatie is mislukt (rode banner), moet u extra voorzichtig zijn omdat de e-mail waarschijnlijk nep is. Zie het als een conventionele brief: iedereen kan u een e-mail sturen en elke afzender invullen.
Phishing is een vorm van online oplichting waarbij criminelen proberen te lijken op een legitieme afzender om uw informatie, zoals inloggegevens of creditcardgegevens, op te halen. Zogenaamde "phishers" gebruiken zeer geavanceerde psychologische technieken en ontwikkelen zeer realistische kopieën van echte websites en e-mails.
Als u een phishing-banner ziet, betekent dit dat een dergelijke e-mail is gemeld als phishing. Ga uiterst voorzichtig met dergelijke berichten om. Phishing-e-mails bevatten doorgaans een link naar een website die er echt uitziet, maar dat in feite niet is. Als u denkt dat de e-mail legitiem kan zijn en u heeft de link geopend, controleer dan de volledige URL van de website: controleer of u alles ziet, soms wordt alleen een deel of een personage verwisseld. Hier vindt u meer informatie over hoe u phishing-aanvallen per e-mail kunt voorkomen.
U kunt een e-mail markeren als niet-phishing, zodat u het waarschuwingsbericht in deze e-mail niet meer ziet.
We sturen u nooit een e-mail met een link waarin u uw wachtwoord moet opgeven. We raden aan om uw inloggegevens altijd te beschermen met 2FA. Dit maakt het voor een aanvaller bijna onmogelijk om in te loggen op uw account.
Als u al bent misleid door een phishing-aanval, kijk dan hier.
De Tuta-servers bevinden zich in ISO27001-gecertificeerde, sterk beveiligde datacenters in Duitsland. De opgeslagen gegevens zijn onderworpen aan de strikte Duitse wetgeving inzake gegevensbescherming. Afgezien hiervan kunnen de gegevens niet door Tutao GmbH als de operator of door derden worden gelezen omdat ze end-to-end zijn versleuteld.
Ja. U kunt de actieve sessies bekijken onder Instellingen -> Inloggen en ze op afstand sluiten.
Ga naar onze handleiding om te zien hoe u versleutelde gesloten sessie-opslag inschakelt. Op deze manier kunt u controleren of iemand anders inlogt op uw account. Om uw privacy bij het activeren van deze functie zoveel mogelijk te beschermen, hebben wij deze als volgt geïmplementeerd:
Tuta versleutelt automatisch het onderwerp, de inhoud en alle bijlagen van de e-mails. Alle andere gegevens in Tuta - het adresboek, de handtekening, inboxregels, factuurgegevens, betalingsmethode, certificaten en privésleutels van uw aangepaste domeinen - worden ook versleuteld opgeslagen.
Op onze beveiligingswebsite vindt u een gedetailleerde uitleg van wat er in Tuta is versleuteld.
Deze metadata is niet versleuteld:
We zijn al op zoek naar oplossingen om de metadata te verhullen.
Bedankt dat u de tijd heeft genomen om een kwetsbaarheid te melden. Als u beveiligingsproblemen hebt gevonden, stuur ons dan een e-mail in het Engels of Duits met een gedetailleerd rapport, zodat wij deze kunnen oplossen.
Wij bij Tuta doen er alles aan om uw mailbox zo goed mogelijk te beveiligen. De Tuta code is open source en gepubliceerd op Github, en we nodigen alle beveiligingsexperts uit om deze te bekijken.
Je kunt de opgeslagen app-login beveiligen met een pin, patroon of biometrie (vingerafdruk, Face ID enz.). Ga naar Instellingen -> Inloggen -> Ontgrendelingsmethode om dit te activeren.
Deze optie verschijnt nadat je je inloggegevens hebt opgeslagen in de Tuta app. Vink bij het inloggen het selectievakje 'Wachtwoord opslaan' aan om je inloggegevens op te slaan.
Tuta controleert tijdens de registratie automatisch de wachtwoordsterkte om er zeker van te zijn dat het wachtwoord geschikt is om uw beveiligde e-mail te beschermen. Er zijn meer tips voor het kiezen van een sterk wachtwoord hier.
Tuta heeft geen limiet aan de wachtwoordlengte of de te gebruiken tekens, alle Unicode-tekens zijn toegestaan.
Als u op 'Afmelden' klikt, wordt u afgemeld. Let op: als u het wachtwoord eerder in de browser heeft opgeslagen, bent u uitgelogd, maar het wachtwoord blijft bewaard. Als je dit ongedaan wilt maken, log dan uit. Wanneer het inlogscherm verschijnt, klik je op 'Meer' en 'Inloggegevens wissen'.
Een veilig wachtwoord is een wachtwoord dat willekeurig genoeg is om niet in korte tijd geraden te worden. Maar willekeurige reeksen alfanumerieke tekens zijn moeilijk te onthouden. Daarom hebben we een wachtzingenerator geïmplementeerd die een goede balans vindt tussen veiligheid en onthoudbaarheid. De generator kiest zes eenvoudige woorden uit een enorme samengestelde lijst en geeft een wachtzin die zowel veilig als makkelijk te typen en te onthouden is. Hier staan meer tips over hoe je een sterk wachtwoord maakt en onthoudt.
Je wachtwoord wordt op je apparaat 'gezouten' en gehasht met Argon2 voordat het naar Tuta wordt verzonden. Argon2 is de betrouwbaarste methode, omdat brute-force aanvallen veel meer tijd nodig hebben in vergelijking met conventionele methoden zoals MD5 of SHA. Met deze methode garanderen we een geïntegreerde vertrouwelijkheid en stellen we je in staat om je e-mails direct te openen en te ontsleutelen vanaf desktops en mobiele apparaten.
Nee. Als een wachtwoord wordt gebruikt voor authenticatie (inloggen), is het niet nodig om het naar de server te sturen. Het is voldoende als de server een vingerafdruk (hash) van het wachtwoord ontvangt. In Tuta wordt uw hash berekend voor authenticatie in de browser en vervolgens naar de server gestuurd. Uw wachtwoord wordt nooit als 'platte tekst' op internet verzonden en onze server ziet het wachtwoord nooit. Hashes zijn niet omkeerbaar, wat betekent dat de server het wachtwoord niet kan afleiden uit de hash. De server kan uw e-mails dus niet ontsleutelen, maar kan u wel inloggen.
Ook interessant (Engelse blogpost): Learn how Tuta automatizes the encryption proces while leaving you in full control of your encrypted data.
Als u denkt dat een aanvaller uw wachtwoord heeft ontvangen, maar u kunt nog steeds inloggen op uw account, dan:
Als de aanvaller nog steeds was ingelogd op uw account, wordt hij nu automatisch uitgelogd omdat u uw wachtwoord heeft gewijzigd.
We raden u aan een tweede factor in te stellen, aangezien het voor een aanvaller bijna onmogelijk is om in te loggen op uw account.
Als u niet meer kunt inloggen op uw account, kan deze FAQ helpen.