Veel gestelde vragen

Hoe kunnen we u helpen?

Veiligheid en Privacy

Welke versleutelingsalgoritmen gebruikt Tuta?

Voor de e-mailversleuteling tussen Tuta-gebruikers wordt een gestandaardiseerde, hybride procedure gebruikt die bestaat uit een symmetrisch en een asymmetrisch algoritme. AES met een sleutellengte van 256 bits en RSA met 2048 bits worden gebruikt. E-mails naar externe ontvangers worden puur symmetrisch versleuteld met AES 256 bit.

Bewaart Tuta IP-adressen of kan ik mijn versleutelde postbus anoniem gebruiken?

In de regel slaan we geen IP-adressen op wanneer je inlogt of een e-mail stuurt. De IP-adressen van verzonden en ontvangen e-mails worden verwijderd, zodat uw e-mails niet kunnen worden gebruikt om uw locatie te bepalen.

We slaan IP-adressen van individuele accounts alleen op als we een geldig gerechtelijk bevel van een Duitse rechter hebben ontvangen vanwege ernstige misdaden zoals moord, kinderpornografie, diefstal, bommelding of afpersing. Details hierover en over Duitse gegevensbeschermingsrechten zijn beschikbaar op onze blog.

Lees op onze blog hoe Tuta illegale massasurveillance bestrijdt met de anonieme e-mailservice. Bij de registratie worden geen persoonlijke gegevens verzameld (bijv. Geen telefoonnummer). Tuta kan in de toekomst ook worden betaald met Bitcoin.

Hoe worden mijn e-mails versleuteld met Tuta?

Tuta versleutelt automatisch alle e-mails die op onze servers in Duitsland zijn opgeslagen. E-mails tussen Tuta-gebruikers worden automatisch end-to-end versleuteld. E-mails naar externe ontvangers kunnen worden versleuteld met een wachtwoord. Hier leggen we het verschil uit tussen een vertrouwelijke (end-to-end versleuteld) en een niet-vertrouwelijke e-mail.
 
Ongeacht de end-to-end versleuteling de verbinding tussen de client en Tuta server is beveiligd met TLS.

Zijn mijn contacten ook versleuteld?

Ja, alle gegevens die bij Tuta zijn opgeslagen, zijn end-to-end versleuteld. Alleen u heeft toegang tot uw gegevens. Het is niet mogelijk om uw gegevens te scannen.

Waar worden de gegevens versleuteld?

De gehele generatie, versleuteling en ontsleuteling van sleutels vindt lokaal plaats in de browser of in de apps, zodat alleen versleutelde gegevens worden verzonden.

Hoe kan ik headers bekijken in m'n versleutelde postbus?

U kunt headerinformatie van ontvangen e-mails weergeven met de sneltoets H. Tuta verwijdert de headerinformatie uit verzonden e-mails om uw privacy te beschermen.

Klik op F1 (Fn & F1) om alle snelkoppelingen in Tuta te bekijken.

Worden inactieve accounts verwijderd en worden de e-mailadressen opnieuw vrijgegeven?

Een verwijderd Tuta e-mailadres (inclusief een verwijderde alias) wordt om veiligheidsredenen niet opnieuw vrijgegeven. Er mag geen enkele manier zijn waarop iemand anders dit adres kan registreren en per ongeluk een vertrouwelijke e-mail ontvangt die voor u bedoeld is.

Gratis accounts worden verwijderd als ze gedurende ten minste zes maanden niet zijn gebruikt. We verwijderen deze accounts om veiligheidsredenen en zodat we een gratis service kunnen aanbieden. U kunt het e-mailadres van uw verwijderde account echter overdragen naar een ander betaald account en het daar blijven gebruiken als e-mailalias of extra gebruiker als u nog over de geldige toegangsgegevens beschikt.

Om het e-mailadres van een inactief account terug te krijgen, moet u

  1. Registreer een premium-account (of gebruik een betaald Tuta-account dat u al als doelaccount hebt).
  2. Log in op uw verwijderde account.
  3. Klik op 'Help'.
  4. Voer het 'Adres van het doelaccount' in (en - als u tweefactorauthenticatie hebt geactiveerd - de herstelcode van het verwijderde account).

Vervolgens kunt u het (de) verwijderde adres (sen) als alias (of gebruiker) aan het doelaccount toevoegen. We noemen dit Address Merging.

Waar zijn mijn sleutels gegenereerd en hoe wordt mijn privé-sleutel beveiligd?

De privé- en openbare sleutel worden lokaal in de browser gegenereerd. De privésleutel is versleuteld met uw wachtwoord. Het wachtwoord krijgt dus als het ware de status van de privésleutel. De sleutel is zo sterk versleuteld dat alleen u en uw wachtwoord deze kunnen gebruiken voor versleuteling en ontsleutelen. Daarom is een sterk wachtwoord essentieel. Bij de registratie vindt lokaal een automatische wachtwoordcontrole plaats, zodat het wachtwoord sterk genoeg is. Het wachtwoord wordt nooit in platte tekst naar de server gestuurd, het wordt lokaal 'gezouten' en gehasht met bcrypt, zodat noch de server, noch wij toegang hebben tot het wachtwoord. Met dit innovatieve ontwerp hebt u eenvoudig toegang tot uw versleutelde Postvak IN vanaf alle apparaten (desktop, mobiel).

Waarom wordt het automatisch laden van afbeeldingen geblokkeerd in Tuta Mail?

Tuta laadt niet automatisch afbeeldingen wanneer er op een e-mail wordt geklikt. Als u handmatig externe afbeeldingen laadt, moet u weten dat  

  • iemand weet dat u de e-mail leest.
  • iemand kan cookies in uw browser plaatsen (tenzij dit door de browser wordt geblokkeerd).
  • iemand kan uw locatie volgen via uw IP.
  • iemand kan gegevens op uw toestel volgen.

 
Hier leggen we uit hoe u externe afbeeldingen kunt bekijken. Lees hier hoe Tuta ervoor zorgt dat u een anonieme e-mailservice gebruikt.

Ik heb een e-mail met ontbrekende of mislukte verificatie. Wat betekent dat?

Tuta vereist dat alle e-mails worden geverifieerd. Wanneer een e-mail niet zou worden geverifieerd, had deze door elke persoon kunnen worden verzonden of gewijzigd. Daarom moet u heel voorzichtig zijn met een dergelijke e-mail, aangezien deze e-mail kan zijn vervalst of gewijzigd. Als u de waarschuwing ziet dat de authenticatie is mislukt (rode banner), moet u extra voorzichtig zijn omdat de e-mail waarschijnlijk nep is. Zie het als een conventionele brief: iedereen kan u een e-mail sturen en elke afzender invullen.

Een van mijn e-mails bevat een phishing waarschuwing. Wat wil dit zeggen?

Phishing is een vorm van online oplichting waarbij criminelen proberen te lijken op een legitieme afzender om uw informatie, zoals inloggegevens of creditcardgegevens, op te halen. Zogenaamde "phishers" gebruiken zeer geavanceerde psychologische technieken en ontwikkelen zeer realistische kopieën van echte websites en e-mails.
 
Als u een phishing-banner ziet, betekent dit dat een dergelijke e-mail is gemeld als phishing. Ga uiterst voorzichtig met dergelijke berichten om. Phishing-e-mails bevatten doorgaans een link naar een website die er echt uitziet, maar dat in feite niet is. Als u denkt dat de e-mail legitiem kan zijn en u heeft de link geopend, controleer dan de volledige URL van de website: controleer of u alles ziet, soms wordt alleen een deel of een personage verwisseld. Hier vindt u meer informatie over hoe u phishing-aanvallen per e-mail kunt voorkomen.
 
U kunt een e-mail markeren als niet-phishing, zodat u het waarschuwingsbericht in deze e-mail niet meer ziet.
 
We sturen u nooit een e-mail met een link waarin u uw wachtwoord moet opgeven. We raden aan om uw inloggegevens altijd te beschermen met 2FA. Dit maakt het voor een aanvaller bijna onmogelijk om in te loggen op uw account.
 
Als u al bent misleid door een phishing-aanval, kijk dan hier.

Waar bevinden zich de Tuta servers?

De Tuta-servers bevinden zich in ISO27001-gecertificeerde, sterk beveiligde datacenters in Duitsland. De opgeslagen gegevens zijn onderworpen aan de strikte Duitse wetgeving inzake gegevensbescherming. Afgezien hiervan kunnen de gegevens niet door Tutao GmbH als de operator of door derden worden gelezen omdat ze end-to-end zijn versleuteld.

Kan ik sessies op afstand deactiveren (session handling)?

Ja. U kunt de actieve sessies bekijken onder Instellingen -> Inloggen en ze op afstand sluiten.

Ga naar onze handleiding om te zien hoe u versleutelde gesloten sessie-opslag inschakelt. Op deze manier kunt u controleren of iemand anders inlogt op uw account. Om uw privacy bij het activeren van deze functie zoveel mogelijk te beschermen, hebben wij deze als volgt geïmplementeerd:

  • Het IP-adres wordt versleuteld opgeslagen en alleen de gebruiker heeft toegang tot deze gegevens. Niemand anders - zelfs wij bij Tuta niet - kunnen de gegevens zien.
  • Het IP-adres wordt een week bewaard en vervolgens automatisch verwijderd.
Wat is versleuteld en wat kunt u nog lezen?

Tuta versleutelt automatisch het onderwerp, de inhoud en alle bijlagen van de e-mails. Alle andere gegevens in Tuta - het adresboek, de handtekening, inboxregels, factuurgegevens, betalingsmethode, certificaten en privésleutels van uw aangepaste domeinen - worden ook versleuteld opgeslagen.

Op onze beveiligingswebsite vindt u een gedetailleerde uitleg van wat er in Tuta is versleuteld.

Deze metadata is niet versleuteld:

  • e-mailadres van de afzender
  • e-mailadres van de ontvanger
  • datum van de e-mail

We zijn al op zoek naar oplossingen om de metadata te verhullen.

Waar kan ik een kwetsbaarheid melden die ik in Tuta heb gevonden?
beveiligingverslagkwetsbaarheid

Thank you for taking the time to report a vulnerability. If you have found any security issues, please send us and email in either English or German with a detailed report in order for us to fix them.

We at Tuta take utmost care to secure your mailbox to the maximum. The Tuta code is open source and published on Github, and we invite all security experts to review it.

Uw Tuta wachtwoord

Ontgrendel de Tuta app met een pin of biometrie (vingerafdruk, Face ID)

Je kunt de opgeslagen app-aanmelding beveiligen met een pin, patroon of biometrie (vingerafdruk, Face ID enz.). Ga naar Instellingen -> Inloggen -> Ontgrendelingsmethode om dit te activeren.

Deze optie wordt alleen weergegeven nadat je je inloggegevens hebt opgeslagen in de Tuta app. Vink bij het inloggen het selectievakje 'Wachtwoord opslaan' aan om je inloggegevens op te slaan.

Hoe kies ik een sterk wachtwoord?

Tuta controleert tijdens de registratie automatisch de wachtwoordsterkte om er zeker van te zijn dat het wachtwoord geschikt is om uw beveiligde e-mail te beschermen. Er zijn meer tips voor het kiezen van een sterk wachtwoord hier.
 
Tuta heeft geen limiet aan de wachtwoordlengte of de te gebruiken tekens, alle Unicode-tekens zijn toegestaan.

Als ik bij Tuta uitlog, logt de app of browser altijd weer in. Wat kan ik doen om dit te stoppen?

Als u op 'Afmelden' klikt, wordt u afgemeld. Let op: als u het wachtwoord eerder in de browser heeft opgeslagen, bent u uitgelogd, maar het wachtwoord blijft bewaard. Als je dit ongedaan wilt maken, log dan uit. Wanneer het inlogscherm verschijnt, klik je op 'Meer' en 'Inloggegevens wissen'.

Hoe werkt de wachtzingenerator?

Een veilig wachtwoord is een wachtwoord dat willekeurig genoeg is om niet in korte tijd geraden te worden. Maar willekeurige reeksen alfanumerieke tekens zijn moeilijk te onthouden. Daarom hebben we een wachtzingenerator geïmplementeerd die een goede balans vindt tussen veiligheid en onthoudbaarheid. De generator kiest zes eenvoudige woorden uit een enorme lijst en geeft een wachtwoordzin die zowel veilig als makkelijk te typen en te onthouden is. Hier zijn meer tips over hoe je een sterk wachtwoord maakt en onthoudt.

Welke hash-functie wordt gebruikt voor het wachtwoord?

Uw wachtwoord wordt 'gezouten' op uw toestel en gehasht met Bcrypt voordat het naar Tuta wordt verzonden. Bcrypt is de veiligste methode omdat aanvallen met brute kracht veel meer tijd kosten dan conventionele methoden zoals MD5 of SHA. Zo garanderen we geïntegreerde vertrouwelijkheid en stellen we u tegelijkertijd in staat om uw versleutelde e-mails snel te ontsleutelen op de desktop en op mobiele toestellen.

Tuta beschermt mijn privésleutel met mijn wachtwoord. Heeft u toegang tot het wachtwoord?

Nee. Als een wachtwoord wordt gebruikt voor authenticatie (inloggen), is het niet nodig om het naar de server te sturen. Het is voldoende als de server een vingerafdruk (hash) van het wachtwoord ontvangt. In Tuta wordt uw hash berekend voor authenticatie in de browser en vervolgens naar de server gestuurd. Uw wachtwoord wordt nooit als 'platte tekst' op internet verzonden en onze server ziet het wachtwoord nooit. Hashes zijn niet omkeerbaar, wat betekent dat de server het wachtwoord niet kan afleiden uit de hash. De server kan uw e-mails dus niet ontsleutelen, maar kan u wel inloggen.
 
Ook interessant (Engelse blogpost): Learn how Tuta automatizes the encryption proces while leaving you in full control of your encrypted data.

Mijn wachtwoord is gestolen. Wat moet ik nu doen?

Als u denkt dat een aanvaller uw wachtwoord heeft ontvangen, maar u kunt nog steeds inloggen op uw account, dan:

  • Wijzig uw wachtwoord in 'Instellingen' -> 'Registratie' -> 'Wachtwoord'.
  • Update uw herstelcode in 'Instellingen' -> 'Registratie' -> 'Herstelcode'.

Als de aanvaller nog steeds was ingelogd op uw account, wordt hij nu automatisch uitgelogd omdat u uw wachtwoord heeft gewijzigd.

We raden u aan een tweede factor in te stellen, aangezien het voor een aanvaller bijna onmogelijk is om in te loggen op uw account.

Als u niet meer kunt inloggen op uw account, kan deze FAQ helpen.

Waar kan ik mijn herstelcode zien?

Ga naar Instellingen - Inloggen en klik op het potloodpictogram naast 'Herstelcode' om de code te bekijken of bij te werken. Om dit te doen, moet u uw wachtwoord invoeren.