Signal laat gebruikers nu ook versleuteld chatten

Open Whisper Systems, dat versleutelde communicatie aanbiedt, heeft zijn iOS-app voorzien van de mogelijkheid om versleutelde berichten te versturen. Tot nu toe kon Signal enkel worden gebruikt om versleutelde voip-gesprekken te voeren.

Het Open Whisper Systems-project had al een Android-app die gebruikers versleutelde berichten liet versturen: TextSecure. IOS-gebruikers konden de app echter enkel gebruiken om versleutelde gesprekken te voeren. Signal heeft nu echter ondersteuning voor versleutelde chats gekregen, zo heeft het niet-commerciële project bekendgemaakt.

Signal is daarbij volledig compatibel met TextSecure: gebruikers van de iOS-app kunnen daardoor berichten uitwisselen met gebruikers van het enkel op Android beschikbare TextSecure. Daarnaast biedt Signal nog steeds de mogelijkheid om versleutelde voip-gesprekken op te zetten, waarbij de app compatibel is met RedPhone, de versleutelde voip-client van Open Whisper Systems voor Android.

Gebruik van de apps, waarvan de broncode openbaar is, is gratis; het team van Open Whisper Systems bestaat uit vrijwilligers. Volgens beveiligingsonderzoeker Moxie Marlinspike, die meewerkt aan het project, worden de kosten tot nu toe gedekt uit donaties, al sluit hij niet uit dat het project in de toekomst een kleine bijdrage van gebruikers moet vragen.

TextSecure, Signal en RedPhone bieden end-to-end-encryptie aan, wat betekent dat de versleuteling rechtstreeks wordt opgezet tussen de gesprekspartners. Daarbij worden berichten versleuteld door de verzender en pas weer door de ontvanger ontsleuteld; berichten zijn dan ook niet inzichtelijk voor de organisatie achter het project, voor aanvallers en overheden evenmin. Eerder bouwde Open Whisper Systems in samenwerking met WhatsApp end-to-end versleuteling voor Android-gebruikers in.

Er zijn weinig apps die cross-platform versleutelde chats aanbieden. Een van de diensten is de betaalde app Threema. Ook Telegram heeft de mogelijkheid om versleutelde chats op te zetten, al is niet iedereen gecharmeerd van de door Telegram zelf ontwikkelde cryptografie.

IT-banen

Reacties (34)

Verwijderd 3 maart 2015 09:47

Open Signal is een Free & Open source programma, in eigendom en ondersteund door de hun eigen community.
Maar, zijn gevestigd in silicon valley, San Fransicco VS.
En de belangrijkste personen hebben alle drie een VS-citizenship.

Moxie MarlinSpike: US-citizen
Christine Corbett Moran: US-citizen
Frederic Jacobs: US-citizen

En twee van de drie werken onder educatieve functie voor instituties gefinancierd door de Amerikaanse overheid.

Ik hoop dat ze autonoom zonder druk van hun werkgever / nationale overheid kunnen blijven werken aan encryptie. Want er is veel druk in dat land, om eind-tot-eind encryptie te criminaliseren.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:43]

Falcon @Verwijderd • 3 maart 2015 10:07

Dus vallen ze gewoon onder Patriot Act.

Verwijderd @Falcon • 3 maart 2015 10:41

Alleen biedt TextSecure end-to-end encryptie. Dus Patriot Act of niet, ze kunnen weinig met de data van de 'standaard' servers. Bovendien staat de sourcecode van de server ook op github en is het relatief eenvoudig een eigen server op te zetten om zo de US te omzeilen.

Rembert @Verwijderd • 3 maart 2015 10:39

Als zij in de VS zitten, dan zijn ze toch gebonden aan de DMCA? Alleen al het feit dat zij in de VS zitten is voor mij voldoende om aan te nemen dat er een backdoor in zit. Dat kan natuurlijk eenvoudig met een verborgen tweede sleutelpaar. Dit moet op te sporen zijn door de broncode te bekijken.
Daarom heb ik wat meer vertrouwen in Telegram. Als ik dan een keer veilig wil chatten kan ik de (ook kennelijk niet perfecte) secret-chat gebruiken binnen Telegram: end-to-end, en ook open source. Kans op VS-meekijkers is vermoed ik nihiel, kans op Putin meekijkers wat minder nihiel dan VS meekijkers, maar nog steeds nihiel. Threema is natuurlijk ook een optie - ze lijken het heel goed aangepakt te hebben, maar als ik NSA, Putin of de Chineze overheid was zou ik precies zo'n systeem als Threema ontwikkelen om de mensen daarheen te lokken die ik wil afluisteren. De informatie die ik zou versturen via Threema is ongetwijfeld niet spannend genoeg om ze de dekmantel af te laten werpen. Ik wacht daarnaast heml.is af, in januari is er nog een closed beta uitgegaan - als ik de berichten zo lees kan het zomaar nog een jaar duren voordat heml.is gelanceerd gaat worden.

Darkstriker @Rembert • 3 maart 2015 11:32

DMCA is de Digital Millenium Copyright Act. Dat heeft echt niks met afluisteren te maken. De Patriot Act is een ander verhaal, maar ook daarmee is het maar net de vraag of bedrijven gedwongen kunnen worden om in open source software backdoors in te bouwen. Zou niet heel slim zijn om dat te doen omdat die praktijk dan veel te makkelijk aan het licht zou komen.

Maar wat mij altijd verbaasd is hoe vijandig hier iedereen tegenover de VS is. Rusland staat in het oosten op het punt de derde wereldoorlog te beginnen tegen onze bondgenoten uit NAVO/EU en jullie zijn niet bang dat dat land jullie afluistert als de makers van Telegram nog eens bekende Putin backers zijn? Maar de VS, uitgesproken bondsgenoten die ons (zeker Nederland) al 70 jaar beschermen voor USSR/Rusland, daar moet je wel bang voor zijn als ze je afluisteren? Ik heb mijn informatie nog altijd liever in handen van de VS dan Rusland. Hoewel ik niet geloof dat OWS compromised foss code uitbrengt. Het kan natuurlijk. Maar het zelfde geldt een op een voor Telegram, en als je denk dat de kans daarop kleiner is, dan lieg je ook alleen tegen jezelf. Bovendien implementeert Telegram hun eigen encryptie en hoewel tweakers het heel zachtjes maakt "niet gecharmeerd" is dat gewoon iets wat op gebied van beveiliging gewoon "not done" is. Zeker als je zo'n minuscuul bedrijf bent.

Rembert @Darkstriker • 4 maart 2015 11:43

Je hebt gelijk: Patriot Act.

Telegram makers Putin backers? Waar haal je dat vandaan? Ik ken andere verhalen, verhalen waardoor ze gedwongen waren om buiten Rusland verder te gaan met hun software en hun banden met VKontakte op te geven. Maar die encryptie is een zorgenpunt inderdaad.

Aan andere kant is de VS al langere tijd zijn hand aan het overspelen. Ja, ze hebben ons beschermd, doen ze nog steeds. Maar de prijs daarvoor wordt steeds hoger. Hoever wil je dat laten doorgaan?

Daarnaast, ik ben niet zo zeker van het beeld dat hier in het westen over de Oekraine wordt geschetst. Ik neem het beeld dat nu wordt geschetst met een korrel zout. Het Russische beeld dat wordt geschetst en dat tot ons doordringt met meer dan een korrel zout.

Ik geef ook niet aan dat ik een blind vertrouwen heb in Telegram, maar net wat meer dan in Signal. En misschien nog wat meer in Threema en straks heml.is.

Verwijderd @Verwijderd • 3 maart 2015 12:20

Je linkt naar een volstrekt andere Frederic Jacobs. Deze link is relevanter

GewoonWatSpulle @Verwijderd • 3 maart 2015 14:47

Want er is veel druk in dat land, om eind-tot-eind encryptie te criminaliseren.

Weer zo'n typische nul07 opmerking die totale onzin is en staat slechts haaks op de uitspraak van de president van datzelfde land.
nieuws: Obama: iedereen zou versleutelde e-mail moeten hebben

RoestVrijStaal @GewoonWatSpulle • 3 maart 2015 19:41

Zeker, want politici hebben hun hart op hun tong

Wist je nog wat Obama tijdens de verkiezingen en eerste presidentstermijn beloofde? De sluiting van Guantánamo Bay op 22 januari 2010. Weet je wat er nu gebeurt daar? Precies hetzelfde als ten tijde van Bush Jr.

Wist je nog toen Bush jr. heilig geloofde dat Saddam atoombommen had? Hoeveel atoombommen zijn er in Irak gevonden? Wat is er nu van het "rustige" Irak overgebleven?

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 22:43]

Verwijderd @GewoonWatSpulle • 5 maart 2015 10:53

Obama die kan wel zeggen dat iedereen dat moet hebben, hij is niet de enige die het voor t zeggen heeft. Dat was hetzelfde als met Guantanamo Bay dat zou gesloten worden, niks van gemerkt. Het is toch wel duidelijk uit alles wat Snowden gepubliceerd heeft dat dat niet echt het uitgangspunt is van de VS.

Thystan @Verwijderd • 10 maart 2015 12:26

Hij heeft wel degelijk het aantal gevangenen daar verkleind.

theBazz 3 maart 2015 10:11

Wat ik jammer vind van de app op android (textsecure) is dat deze wel heel veel permissies nodig heeft.

Voor mij toch de overweging om hem niet te installeren.

Tk55 @theBazz • 3 maart 2015 12:22

Uitleg van de permissions:

read phone status and identity
Allows TextSecure to determine your phone number and Device ID. These are used to register for Push messaging.

edit your text messages (SMS or MMS), read your text messages (SMS or MMS), receive text messages (MMS), receive text messages (SMS), send SMS messages
TextSecure is capable of functioning as a complete replacement to your phone’s stock messaging application. In order to do this, it needs to be able to send and receive text messages (both SMS and MMS). You can also import your existing messages into TextSecure when it is first installed, and these permissions allow that database to be read as well.

modify your contacts
TextSecure can add new phone numbers to existing contacts, and create brand new contacts as well.

read call log
This functionality is used to display a list of recently used contacts when you are composing a new message from a share action.

read your contacts, modify your own contact card, read your own contact card
Access to your contacts is necessary to associate incoming phone numbers with names, and to enable the display of contact information when you are composing messages.

modify or delete the contents of your USB storage, read the contents of your USB storage
TextSecure stores its encrypted database on your phone. When you receive an incoming picture, video, or audio messages these are stored locally on your device. These permissions are also necessary in order to enable Backup and Restore functionality.

find accounts on the device
Allows TextSecure to check whether or not a Google Account is present on the device. A Google Account is required in order for TextSecure to work on versions of Android that are older than 4.0. Newer versions of Android do not have this requirement, but must have the Play Store application installed.

change network connectivity, full network access, receive data from Internet, view network connections
Required in order to receive SMS, MMS, and Push messages under various network conditions (e.g. 3G, WiFi, LTE, etc.). Push messages are sent and received over the Internet, and do not use traditional SMS/MMS. This also allows TextSecure to determine when services are not available.

run at startup
Enables TextSecure to handle the receipt of messages when the phone first starts up but before the user has entered their passphrase.

control vibration
Used for vibrating notifications.

prevent phone from sleeping
Allows TextSecure to keep the phone active when it is performing certain tasks (such as delivering an SMS message).

Bron: http://support.whispersys...3-application-permissions

Ter vergelijking, hier een uitleg van de permissions van Whatsapp:
http://android.stackexcha...s-permissions/73245#73245

[Reactie gewijzigd door Tk55 op 22 juli 2024 22:43]

theBazz @Tk55 • 3 maart 2015 13:45

Thanks voor de verduidelijking. Blijft voor mij persoonlijk nog steeds een gevoelig punt om een organisatie die ik niet persoonlijk ken deze toestemming te geven. (en nee, ik heb wahts'app ook niet)

Thystan @theBazz • 10 maart 2015 12:26

Installeer cyanogenmod (custom rom), daarmee kun je de permissies intrekken.

Sfynx @Tk55 • 3 maart 2015 18:26

Wat nog steeds onbegrijpelijk is bij Android is dat het geven van toestemming een alles of niets beslissing is tijdens de installatie, i.p.v. dat je gewoon bepaalde activiteiten wel of niet kan weigeren zodra de app een poging doet om iets te doen. Het is net alsof je de schoonmaakster de sleutels van je tweede huis moet geven voordat ze de vloer in je andere huis wil komen dweilen.

RandyJC 3 maart 2015 09:46

voorlopig is het nog steeds WhatsApp.

Zolang de massa niet mee beweegt, blijft bij mij Signal en Telegram gewoon idlen op mijn telefoon.
Treurig maar helaas waar in mijn situatie.

Verwijderd @RandyJC • 3 maart 2015 12:18

Dat heb je zelf in de hand. Communicatie bestaat uit twee partijen, en een van die partijen ben jij.

RandyJC @Verwijderd • 3 maart 2015 13:02

Helemaal waar, en daarom heb ik het alsnog geïnstalleerd voor het geval de andere partij het wel besluit te gebruiken.

vandaar "Treurig maar helaas waar in mijn situatie."

Thasaidon 3 maart 2015 09:50

Op Windows Phone heb je weinig keuze... Whatsapp of Telegram.
Dus Telegram!

Wel jammer want RedPhone beviel me wel op Android.

[Reactie gewijzigd door Thasaidon op 22 juli 2024 22:43]

wjn @Thasaidon • 29 maart 2015 16:35

Threema (nu) ook.

skruiper @Thasaidon • 3 maart 2015 10:08

BBM is ook op Windowsphone,...

Verwijderd @skruiper • 3 maart 2015 10:43

BBM is niet veilig, ieder toestel gebruikt dezelfde key.

http://encryptedmobile.com/is-bbm-secure-article/

Tk55 3 maart 2015 09:38

Ein-de-lijk! Hier zit ik al zo lang op te wachten! Dit is wat mij betreft de enige echt veilige app.

Thystan @Tk55 • 10 maart 2015 12:27

ChatSecure + Orbot is eigenlijk beter

Maurits van Baerle 3 maart 2015 09:44

Ik ben een tevreden Telegram gebruiker en moet zeggen dat ik de meerwaarde van Signal niet zo zie.

Maar goed, het is natuurlijk een goede zaak dat er meer aandacht voor encrypte chat komt.

Matthijs8 @Maurits van Baerle • 3 maart 2015 10:42

Los van het commentaar op de cryptografie van Telegram(zie links onderaan) heeft Signal meerdere voordelen t.o.v. Telegram:

-End to end encryptie is default
-Werkt in tegenstelling tot Telegrams Secret Chat ook voor groepschat
-Gebruikt Forward Secrecy(Telegram heeft sinds kort een soort van Forward Secrecy, echter is dat geen unieke sleutel per bericht, maar per 100 berichten)
-Telefoonnummers worden gehashed verstuurd en niet opgeslagen voor contacts discovery. Telegram slaat al je contacten op op hun server(ook degenen zonder Telegram)
-Nu nog niet zo van belang maar Signal heeft volledige multi-device support ingebakken in het protocol. Als de browserextensie later uitkomt kan je naadloos wisselen tussen desktop en mobiele app. Telegrams Secret Chat zit is gebonden aan het apparaat waar je de chat op bent begonnen en is ook niet te syncen door bijv. handmatig keys over te zetten.

http://unhandledexpressio...stand-back-we-know-maths/
http://thoughtcrime.org/blog/telegram-crypto-challenge/
https://security.stackexc.../49782/is-telegram-secure

bankrupcy 3 maart 2015 09:59

Hoe wordt de sleutel gemaakt, waar wordt de sleutel bewaard, en wie bewaakt de sleutel?

Rembert @bankrupcy • 3 maart 2015 10:13

Even 3 seconden gekeken: Sleutels zitten in je app. Jij bent de bewaker van die sleutels. Migratie van sleutels naar nieuwe telefoon is nog niet mogelijk.

johnydoe

3 maart 2015 09:43

Super goed natuurlijk, maar helaas nog geen desktop client. Als ik iets vervelend vind is het wel de context switch van mijn dekstop/laptop naar het kleine scherm van mijn telefoon alleen voor het lezen en versturen van een berichtje.

Maar gelukkig is het open source! En Whisper heeft zelfs (best slim) een java library gemaakt (https://github.com/WhisperSystems/libtextsecure-java), waarmee het dus feitelijk mogelijk is om snel een cross-platform client op te zetten. $_/-\o_$