Maakt Mailpile veilig mailen eindelijk mogelijk?

Dit artikel verscheen eerder bij decorrespondent.nl 
De schoorsteen moet roken. Ook bij noeste programmeurs die het internet beter willen beveiligen en het opnemen tegen geheime diensten, criminelen en bedrijven met een onstilbare honger voor privédata. En juist bij idealistische programmeurs wil die schoorsteen niet altijd roken. Vandaag in Red ‘t Web: de opkomst en voorlopige ondergang van de veilige mailservice Mailpile.

E-mail, het beginpunt van onze digitale identiteit

Typ, adresseer en verstuur een e-mail en je verricht een van de meest gemaakte en oudste handelingen online. Hoeveel nieuwe sociale netwerken, chatdiensten en videostreamingapps er ook gehypet worden, e-mail blijft de primaire vorm van online communicatie.

Helaas is er veel mis mee. De inhoud is leesbaar, veranderbaar en censuureerbaar door iedereen die de e-mail in handen krijgt. Net als bij gewone post gaat een e-mail via meerdere partijen voordat het z’n bestemming bereikt. Deze digitale versies van de brievenbus, sorteercentra en postbodes hebben allemaal toegang tot de inhoud van elk mailtje dat je verstuurt. Ook is het eenvoudig zogenaamd de afzender aan te passen. Onlangs wist een man nog uit de gevangenis te ontsnappen door een mail te versturen naar z’n bewakers uit naam van het Openbaar Ministerie met daarin het bevel tot onmiddellijke vrijlating. Het lukte zowaar.

Het drie man sterke bedrijf Mailpile wil beter beveiligde mail mogelijk maken. Maar wel met software die gebruiksvriendelijk is.

Mailpile begint in bad

Het verhaal van Mailpile begint twee jaar geleden. Brennan Novak, een vormgever uit Californië, plonst in een IJslands warmwaterbad (echt gebeurd) bij ontwikkelaar Bjarni Einarsson en hacker Smari McCarthy. Door de stoomwolken bespreken de drie heren in zwembroek de vele verschrikkingen van e-mail.

Wat ze willen? Einarsson vooral een snel e-mailprogramma met een uitstekende zoekfunctie, zodat hij elke mail altijd terug kan vinden. En het moet open source zijn. McCarthy, betrokken bij WikiLeaks, benadrukt vooral dat e-mail veilig moet zijn door PGP in te bouwen.

Om deze droom mogelijk te maken, starten de drie in de zomer van 2013 een crowdfundingcampagne. Tijdens een Nederlands hackersfestival vindt de aftrap plaats ten overstaan van drieduizend nerds en hackers. Een week later is het doel behaald en staat er 100.000 dollar op de rekening. Als na een maand de campagne eindigt, hebben ze meer dan 160.000 dollar opgehaald. Meer dan voldoende geld voor Novak, McCarthy en Einarsson om fulltime aan de slag te gaan en Mailpile werkelijkheid te laten worden.
Novak ziet dat hier vooral een goede vormgever nodig is. McCarthy is het met hem eens en vraagt hem mee te werken aan hun plan de wereld te voorzien van goede, veilige mail. Brennan Novak had nooit over open source en veilig mailen nagedacht. Net uit Silicon Valley, waar hippe start-ups de grond uit schieten, associeerde hij open source vooral met stoffige, slecht vormgegeven apps. Privacy en encryptie vond hij vooral iets voor rare bebaarde hackers. Maar dat mail én PGP al zo lang bestaan en nog steeds zoveel problemen kennen, intrigeerde hem.

Wat is ervan terechtgekomen?

Nu, twee jaar later, zit ik met Novak aan een kleine houten tafel in Valencia. We praten over de lange weg die Mailpile heeft afgelegd sinds het memorabele en ietwat vochtige begin. Een dag eerder heb ik de huidige bètaversie van Mailpile geïnstalleerd en er die ochtend en middag mijn werkmail mee ontvangen en verstuurd.

Ik schuif mijn laptop tussen ons in en start Mailpile op. Ik heb een Mac, en mijn ervaringen zijn dus hoe Mailpile werkt op OSX, maar volgens Novak verschilt dat weinig van andere besturingssystemen Een venster opent en verdwijnt direct weer, dan opent de webbrowser zich en het logo van Mailpile verschijnt, met een inlogveld. Een reeks gebeurtenissen die ik bij geen ander programma ooit gezien heb. Ik kijk Novak vragend aan.

‘Ik word hier als ontwerper ook nerveus van. Dit is niet hoe het uiteindelijk zal moeten werken. Wat je zag waren aantal stappen nodig zijn om Mailpile te laten werken. Maar uiteraard moeten deze stappen verborgen zijn voor de gebruiker.’
Dan verschijnt mijn mailbox op het scherm. Ik klik op knopjes die soms wel en soms niet werken. Er verschijnt een notificatie in beeld: Yay can now Encrypt Cannot Encrypt! Novak kijkt steeds ongelukkiger. Als ik ben ingelogd, zie ik een logo van drie envelopjes die aan en uit knipperen. Novak kijkt wat beteuterd als ik vraag waarom dit zo lang duurt. Want Mailpile werkt als volgt: álle mail wordt als een versleuteld bestand opgeslagen op mijn computer. Elke keer als ik Mailpile open, moet dat hele bestand worden ontsleuteld en in het werkgeheugen van mijn computer worden geladen. Dat duurt, zeker met mijn inbox van meer dan 10.000 mails, bijna een minuut.

‘Het geld was op voordat we klaar waren. We wilden niet nog een keer om geld gaan vragen, gezien we nog niet eens af hebben gemaakt wat we bij de crowdfunding hadden beloofd,’ zegt hij verontschuldigend.

Wat er misging en wat dat zegt

Mailpile heeft het uiteindelijk niet gehaald, dat blijkt wel als ik het programma met Novak bekijk. Einarsson werkt nog wel door aan Mailpile, maar is afhankelijk van een andere inkomstenbron om dit werk te financieren. McCarthy werkt nu aan andere projecten, evenals Novak zelf.

Een paar uur nadat we gesproken hebben verschijnt er een bericht van Bjarni op het Mailpileblog. Hij is ontevreden met Mailpile en raadt mensen af het te gebruiken. Volgens het bericht hebben zoveel mensen zoveel fouten ontdekt in het programma, dat er nog veel meer tijd nodig zal zijn om een goede eerste uitgave van de software te doen. Maar, omdat het geld op is, zal Einarsson er als enige aan verder werken. In zijn vrije tijd.

Een paar dagen later wordt ook bekend dat een nieuwe financier vragen heeft over de samenstelling van het team en extra informatie wil voordat hij geld in Mailpile steekt.

Ondanks de vliegende start met de succesvolle crowdfuncing en omarming door een groot deel van de veiligheids- en hackercommunity, lijkt Mailpile nu stukgelopen. Duurzame verdienmodellen blijft een probleem voor de bouwers van een veiliger internet. Goede oplossingen blijken keer op keer weerbarstiger dan van tevoren gedacht en, ook twee jaar na Snowden, blijven de investeringen voor een veiliger internet steken bij incidentele donaties.

Het warme bad blijft tot nader order een koude douche.

Leave a Reply