Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Submitter: Matthijs8

Open Whisper Systems, dat versleutelde communicatie aanbiedt, heeft zijn iOS-app voorzien van de mogelijkheid om versleutelde berichten te versturen. Tot nu toe kon Signal enkel worden gebruikt om versleutelde voip-gesprekken te voeren.

Het Open Whisper Systems-project had al een Android-app die gebruikers versleutelde berichten liet versturen: TextSecure. IOS-gebruikers konden de app echter enkel gebruiken om versleutelde gesprekken te voeren. Signal heeft nu echter ondersteuning voor versleutelde chats gekregen, zo heeft het niet-commerciële project bekendgemaakt.

Signal is daarbij volledig compatibel met TextSecure: gebruikers van de iOS-app kunnen daardoor berichten uitwisselen met gebruikers van het enkel op Android beschikbare TextSecure. Daarnaast biedt Signal nog steeds de mogelijkheid om versleutelde voip-gesprekken op te zetten, waarbij de app compatibel is met RedPhone, de versleutelde voip-client van Open Whisper Systems voor Android.

Gebruik van de apps, waarvan de broncode openbaar is, is gratis; het team van Open Whisper Systems bestaat uit vrijwilligers. Volgens beveiligingsonderzoeker Moxie Marlinspike, die meewerkt aan het project, worden de kosten tot nu toe gedekt uit donaties, al sluit hij niet uit dat het project in de toekomst een kleine bijdrage van gebruikers moet vragen.

TextSecure, Signal en RedPhone bieden end-to-end-encryptie aan, wat betekent dat de versleuteling rechtstreeks wordt opgezet tussen de gesprekspartners. Daarbij worden berichten versleuteld door de verzender en pas weer door de ontvanger ontsleuteld; berichten zijn dan ook niet inzichtelijk voor de organisatie achter het project, voor aanvallers en overheden evenmin. Eerder bouwde Open Whisper Systems in samenwerking met WhatsApp end-to-end versleuteling voor Android-gebruikers in.

Er zijn weinig apps die cross-platform versleutelde chats aanbieden. Een van de diensten is de betaalde app Threema. Ook Telegram heeft de mogelijkheid om versleutelde chats op te zetten, al is niet iedereen gecharmeerd van de door Telegram zelf ontwikkelde cryptografie.

SignalSignal

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (34)

Open Signal is een Free & Open source programma, in eigendom en ondersteund door de hun eigen community.
Maar, zijn gevestigd in silicon valley, San Fransicco VS.
En de belangrijkste personen hebben alle drie een VS-citizenship.En twee van de drie werken onder educatieve functie voor instituties gefinancierd door de Amerikaanse overheid.

Ik hoop dat ze autonoom zonder druk van hun werkgever / nationale overheid kunnen blijven werken aan encryptie. Want er is veel druk in dat land, om eind-tot-eind encryptie te criminaliseren.

[Reactie gewijzigd door nul07 op 3 maart 2015 09:49]

Dus vallen ze gewoon onder Patriot Act.
Alleen biedt TextSecure end-to-end encryptie. Dus Patriot Act of niet, ze kunnen weinig met de data van de 'standaard' servers. Bovendien staat de sourcecode van de server ook op github en is het relatief eenvoudig een eigen server op te zetten om zo de US te omzeilen.
Als zij in de VS zitten, dan zijn ze toch gebonden aan de DMCA? Alleen al het feit dat zij in de VS zitten is voor mij voldoende om aan te nemen dat er een backdoor in zit. Dat kan natuurlijk eenvoudig met een verborgen tweede sleutelpaar. Dit moet op te sporen zijn door de broncode te bekijken.
Daarom heb ik wat meer vertrouwen in Telegram. Als ik dan een keer veilig wil chatten kan ik de (ook kennelijk niet perfecte) secret-chat gebruiken binnen Telegram: end-to-end, en ook open source. Kans op VS-meekijkers is vermoed ik nihiel, kans op Putin meekijkers wat minder nihiel dan VS meekijkers, maar nog steeds nihiel. Threema is natuurlijk ook een optie - ze lijken het heel goed aangepakt te hebben, maar als ik NSA, Putin of de Chineze overheid was zou ik precies zo'n systeem als Threema ontwikkelen om de mensen daarheen te lokken die ik wil afluisteren. De informatie die ik zou versturen via Threema is ongetwijfeld niet spannend genoeg om ze de dekmantel af te laten werpen. Ik wacht daarnaast heml.is af, in januari is er nog een closed beta uitgegaan - als ik de berichten zo lees kan het zomaar nog een jaar duren voordat heml.is gelanceerd gaat worden.
DMCA is de Digital Millenium Copyright Act. Dat heeft echt niks met afluisteren te maken. De Patriot Act is een ander verhaal, maar ook daarmee is het maar net de vraag of bedrijven gedwongen kunnen worden om in open source software backdoors in te bouwen. Zou niet heel slim zijn om dat te doen omdat die praktijk dan veel te makkelijk aan het licht zou komen.

Maar wat mij altijd verbaasd is hoe vijandig hier iedereen tegenover de VS is. Rusland staat in het oosten op het punt de derde wereldoorlog te beginnen tegen onze bondgenoten uit NAVO/EU en jullie zijn niet bang dat dat land jullie afluistert als de makers van Telegram nog eens bekende Putin backers zijn? Maar de VS, uitgesproken bondsgenoten die ons (zeker Nederland) al 70 jaar beschermen voor USSR/Rusland, daar moet je wel bang voor zijn als ze je afluisteren? Ik heb mijn informatie nog altijd liever in handen van de VS dan Rusland. Hoewel ik niet geloof dat OWS compromised foss code uitbrengt. Het kan natuurlijk. Maar het zelfde geldt een op een voor Telegram, en als je denk dat de kans daarop kleiner is, dan lieg je ook alleen tegen jezelf. Bovendien implementeert Telegram hun eigen encryptie en hoewel tweakers het heel zachtjes maakt "niet gecharmeerd" is dat gewoon iets wat op gebied van beveiliging gewoon "not done" is. Zeker als je zo'n minuscuul bedrijf bent.
Je hebt gelijk: Patriot Act.

Telegram makers Putin backers? Waar haal je dat vandaan? Ik ken andere verhalen, verhalen waardoor ze gedwongen waren om buiten Rusland verder te gaan met hun software en hun banden met VKontakte op te geven. Maar die encryptie is een zorgenpunt inderdaad.

Aan andere kant is de VS al langere tijd zijn hand aan het overspelen. Ja, ze hebben ons beschermd, doen ze nog steeds. Maar de prijs daarvoor wordt steeds hoger. Hoever wil je dat laten doorgaan?

Daarnaast, ik ben niet zo zeker van het beeld dat hier in het westen over de Oekraine wordt geschetst. Ik neem het beeld dat nu wordt geschetst met een korrel zout. Het Russische beeld dat wordt geschetst en dat tot ons doordringt met meer dan een korrel zout.

Ik geef ook niet aan dat ik een blind vertrouwen heb in Telegram, maar net wat meer dan in Signal. En misschien nog wat meer in Threema en straks heml.is.
Je linkt naar een volstrekt andere Frederic Jacobs. Deze link is relevanter ;)
Want er is veel druk in dat land, om eind-tot-eind encryptie te criminaliseren.
Weer zo'n typische nul07 opmerking die totale onzin is en staat slechts haaks op de uitspraak van de president van datzelfde land.
nieuws: Obama: iedereen zou versleutelde e-mail moeten hebben
Zeker, want politici hebben hun hart op hun tong O-)

Wist je nog wat Obama tijdens de verkiezingen en eerste presidentstermijn beloofde? De sluiting van Guantánamo Bay op 22 januari 2010. Weet je wat er nu gebeurt daar? Precies hetzelfde als ten tijde van Bush Jr.

Wist je nog toen Bush jr. heilig geloofde dat Saddam atoombommen had? Hoeveel atoombommen zijn er in Irak gevonden? Wat is er nu van het "rustige" Irak overgebleven?

[Reactie gewijzigd door RoestVrijStaal op 3 maart 2015 19:43]

Obama die kan wel zeggen dat iedereen dat moet hebben, hij is niet de enige die het voor t zeggen heeft. Dat was hetzelfde als met Guantanamo Bay dat zou gesloten worden, niks van gemerkt. Het is toch wel duidelijk uit alles wat Snowden gepubliceerd heeft dat dat niet echt het uitgangspunt is van de VS.
Hij heeft wel degelijk het aantal gevangenen daar verkleind.
Wat ik jammer vind van de app op android (textsecure) is dat deze wel heel veel permissies nodig heeft.

Voor mij toch de overweging om hem niet te installeren.
Uitleg van de permissions:
read phone status and identity
Allows TextSecure to determine your phone number and Device ID. These are used to register for Push messaging.

edit your text messages (SMS or MMS), read your text messages (SMS or MMS), receive text messages (MMS), receive text messages (SMS), send SMS messages
TextSecure is capable of functioning as a complete replacement to your phone’s stock messaging application. In order to do this, it needs to be able to send and receive text messages (both SMS and MMS). You can also import your existing messages into TextSecure when it is first installed, and these permissions allow that database to be read as well.

modify your contacts
TextSecure can add new phone numbers to existing contacts, and create brand new contacts as well.

read call log
This functionality is used to display a list of recently used contacts when you are composing a new message from a share action.

read your contacts, modify your own contact card, read your own contact card
Access to your contacts is necessary to associate incoming phone numbers with names, and to enable the display of contact information when you are composing messages.

modify or delete the contents of your USB storage, read the contents of your USB storage
TextSecure stores its encrypted database on your phone. When you receive an incoming picture, video, or audio messages these are stored locally on your device. These permissions are also necessary in order to enable Backup and Restore functionality.

find accounts on the device
Allows TextSecure to check whether or not a Google Account is present on the device. A Google Account is required in order for TextSecure to work on versions of Android that are older than 4.0. Newer versions of Android do not have this requirement, but must have the Play Store application installed.

change network connectivity, full network access, receive data from Internet, view network connections
Required in order to receive SMS, MMS, and Push messages under various network conditions (e.g. 3G, WiFi, LTE, etc.). Push messages are sent and received over the Internet, and do not use traditional SMS/MMS. This also allows TextSecure to determine when services are not available.

run at startup
Enables TextSecure to handle the receipt of messages when the phone first starts up but before the user has entered their passphrase.

control vibration
Used for vibrating notifications.

prevent phone from sleeping
Allows TextSecure to keep the phone active when it is performing certain tasks (such as delivering an SMS message).
Bron: http://support.whispersys...3-application-permissions

Ter vergelijking, hier een uitleg van de permissions van Whatsapp:
http://android.stackexcha...s-permissions/73245#73245

[Reactie gewijzigd door Tk55 op 3 maart 2015 12:27]

Thanks voor de verduidelijking. Blijft voor mij persoonlijk nog steeds een gevoelig punt om een organisatie die ik niet persoonlijk ken deze toestemming te geven. (en nee, ik heb wahts'app ook niet)
Installeer cyanogenmod (custom rom), daarmee kun je de permissies intrekken.
Wat nog steeds onbegrijpelijk is bij Android is dat het geven van toestemming een alles of niets beslissing is tijdens de installatie, i.p.v. dat je gewoon bepaalde activiteiten wel of niet kan weigeren zodra de app een poging doet om iets te doen. Het is net alsof je de schoonmaakster de sleutels van je tweede huis moet geven voordat ze de vloer in je andere huis wil komen dweilen.
voorlopig is het nog steeds WhatsApp.

Zolang de massa niet mee beweegt, blijft bij mij Signal en Telegram gewoon idlen op mijn telefoon.
Treurig maar helaas waar in mijn situatie.
Dat heb je zelf in de hand. Communicatie bestaat uit twee partijen, en een van die partijen ben jij.
Helemaal waar, en daarom heb ik het alsnog geïnstalleerd voor het geval de andere partij het wel besluit te gebruiken.

vandaar "Treurig maar helaas waar in mijn situatie."
Op Windows Phone heb je weinig keuze... Whatsapp of Telegram.
Dus Telegram! ;)

Wel jammer want RedPhone beviel me wel op Android.

[Reactie gewijzigd door Thasaidon op 3 maart 2015 09:51]

Threema (nu) ook.
BBM is ook op Windowsphone,...
BBM is niet veilig, ieder toestel gebruikt dezelfde key.

http://encryptedmobile.com/is-bbm-secure-article/
Ein-de-lijk! Hier zit ik al zo lang op te wachten! Dit is wat mij betreft de enige echt veilige app.
ChatSecure + Orbot is eigenlijk beter
Ik ben een tevreden Telegram gebruiker en moet zeggen dat ik de meerwaarde van Signal niet zo zie.

Maar goed, het is natuurlijk een goede zaak dat er meer aandacht voor encrypte chat komt.
Los van het commentaar op de cryptografie van Telegram(zie links onderaan) heeft Signal meerdere voordelen t.o.v. Telegram:

-End to end encryptie is default
-Werkt in tegenstelling tot Telegrams Secret Chat ook voor groepschat
-Gebruikt Forward Secrecy(Telegram heeft sinds kort een soort van Forward Secrecy, echter is dat geen unieke sleutel per bericht, maar per 100 berichten)
-Telefoonnummers worden gehashed verstuurd en niet opgeslagen voor contacts discovery. Telegram slaat al je contacten op op hun server(ook degenen zonder Telegram)
-Nu nog niet zo van belang maar Signal heeft volledige multi-device support ingebakken in het protocol. Als de browserextensie later uitkomt kan je naadloos wisselen tussen desktop en mobiele app. Telegrams Secret Chat zit is gebonden aan het apparaat waar je de chat op bent begonnen en is ook niet te syncen door bijv. handmatig keys over te zetten.

http://unhandledexpressio...stand-back-we-know-maths/
http://thoughtcrime.org/blog/telegram-crypto-challenge/
https://security.stackexc.../49782/is-telegram-secure
Hoe wordt de sleutel gemaakt, waar wordt de sleutel bewaard, en wie bewaakt de sleutel?
Even 3 seconden gekeken: Sleutels zitten in je app. Jij bent de bewaker van die sleutels. Migratie van sleutels naar nieuwe telefoon is nog niet mogelijk.
Super goed natuurlijk, maar helaas nog geen desktop client. Als ik iets vervelend vind is het wel de context switch van mijn dekstop/laptop naar het kleine scherm van mijn telefoon alleen voor het lezen en versturen van een berichtje.

Maar gelukkig is het open source! En Whisper heeft zelfs (best slim) een java library gemaakt (https://github.com/WhisperSystems/libtextsecure-java), waarmee het dus feitelijk mogelijk is om snel een cross-platform client op te zetten. _/-\o_
Zo jammer dat dit soort dingen nog niet standaard zijn tegenwoordig!
Ja en BB werkt maar al te graag mee met overheden door bewust doorgeef luikjes in te bouwen.

http://timesofindia.india.../articleshow/20998679.cms

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True