Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Submitter: Rafe

De chatsoftware TextSecure moet het in de toekomst doen zonder ondersteuning voor versleutelde sms- en mms-berichten. Maker Open Whisper Systems ziet te veel problemen en gaat zich in plaats daarvan focussen op het versturen van versleutelde berichten via de datalijn.

Op zijn blog laat Open Whisper Systems weten dat er een einde komt aan versleutelde sms en mms in TextSecure. Daarvoor worden een aantal redenen aangevoerd. Zo is het bij sms en mms altijd nodig om tussen twee contactpersonen een sleutel uit te wisselen waarmee versleutelde berichten ontcijferd kunnen worden. Dat maakt het voor niet-technische gebruikers lastiger om de functionaliteit te gebruiken. Daarnaast werken versleutelde sms'jes en mms'jes niet op iOS en heeft de technologie al verscheidene beveiligingsproblemen, aldus Open Whisper Systems.

Al met al vindt het bedrijf de aangevoerde redenen voldoende om niet langer versleutelde sms en mms aan te bieden in zijn chatapp. Wel kunnen gebruikers de internetverbinding blijven gebruiken om binnen TextSecure berichten te verzenden. Dat werkt verder op dezelfde manier als andere populaire chatapplicaties, zoals WhatsApp. In de toekomst moet TextSecure via de dataverbinding betrouwbaarder worden: daartoe wil Open Whisper Systems het transport van berichten over het netwerk zelf in handen nemen. Nu is het nog afhankelijk van Googles clouddiensten.

Inmiddels is versie 2.6.0 van TextSecure uitgebracht. Daarin zit nog ondersteuning voor versleutelde sms en mms. In de volgende versie, met rugnummer 2.7.0, is de functionaliteit verwijderd. Wel blijft het mogelijk om met TextSecure sms en mms in plain text te verzenden.

TextSecure is een Android-applicatie waarmee gebruikers volgens de makers veilig kunnen chatten, door de ingebouwde versleuteling. Eerder deze week kreeg de iOS-variant, die de naam Signal draagt, een update: daardoor kunnen iPhone-gebruikers nu ook versleuteld berichten sturen. Signal is daarbij volledig compatibel met TextSecure, zodat ook berichten naar Android-gebruikers gestuurd kunnen worden.

SignalSignal

Moderatie-faq Wijzig weergave

Reacties (35)

De laatste keer dat ik het geÔnstalleerd heb, ongeveer een maand geleden, had je nog play services nodig om de applicatie Łberhaupt te gebruiken. Ik hoop dat ze dat nu ook op kunnen lossen want ik vind het nogal een ironische benodigdheid. Telegram kan het ook, kopieer hun source anders.
Telegram kan het ook, kopieer hun source anders.
Je hebt een 'officiŽle' Telegram app (broncode https://github.com/DrKLO/Telegram) en een FOSS-editie (broncode https://github.com/slp/Telegram-FOSS) die beiden gebruik maken van dezelfde API.
De officiŽle app gebruikt GCM vanwege de push-functie, de FOSS-versie gebruikt natuurlijk geen GCM. De FOSS-versie lost het 'gebrek' aan GCM op deze manier op, of er moet inmiddels al een andere manier (alternatieve push) gebruikt worden.

Overigens is hier te lezen waarom TextSecure niet meer in F-Droid staat.

[Reactie gewijzigd door Beuzelarij op 7 maart 2015 13:09]

Zal wel te maken hebben met het feit dat ze nu nog gebruik maken van Google Cloud Messaging (GCM), waar ze op termijn vanaf willen en de communicatie zelf willen gaan regelen.
Ik neem aan dat de berichten verder niet te lezen zijn door Google.
Bij Google kun je daar helemaal niet vanuit gaan. Hun hele huidige verdienmodel is op het verzamelen en analyseren van gebruikersgedrag gebaseerd.
Het hele idee van Whisper is dat het de text encodeerd voodat het voor het Google Cloud Messaging system gaat en decodeerd aan de andere kant :)
Zelfs als ze de inhoud van de berichten niet kunnen lezen moeten ze voor de aflevering van de berichten wel de metadata kunnen lezen. Dan kunnen ze de inhoud misschien niet dataminen maar wel met wie je op welk tijdstip berichten uitwisselt.
Wat is er toch met Hemlis gebeurd? Ik had een beetje m'n hoop op deze messenger app als een volwaardige vervanger voor iMessage/WhatsApp zooi. Dit is namelijk het probleem, ik kan een app als textsecure of Signal wel installeren maar ik moet mijn omgeving er dan ook van overtuigen. En alleen al het feit dat ze niet de zelfde naam hebben op beide platforms is voor sommige mensen al te verwarrend.

Jammer dat er nog geen echt alternatief is dat echt je privacy beschermt en zich kan meten met WhatsApp of iMessage. Want Textsecure/Signal gaat hem ook niet worden voorlopig.
Nou, wat dacht je van BBM? Tegenwoordig ook cross platform http://www.bbm.com/bbm/en.html
Goh, even snel from the top of my head :

- De software is niet open source. privacy en closed source gaan sinds de onthullingen van Edward Snowden niet meer door 1 deur.

- Te groot bedrijf dat zijn eigen belangen altijd voor dat van z'n klanten zal zetten
(want zie jij BB liever z'n deuren sluiten dan alle gegevens van z'n gebruikers overhandigen zoals Ladar Levison dat deed? nee denk het niet...)

- Een platform dat uitstervende is

- Had ik al gezegd dat het niet open source is?
En sinds wanneer is open source een garantie voor veilige software? Misschien zegt Heartbleed je nog wat? :)

Edit: het BlackBerry 10 platform is inderdaad een minderheidsplatform. BBM is dat daarentegen niet, getuige de 100 miljoen downloads in de Google Play Store. Het is ook verkrijgbaar op iOs en Windows Phone.. dus tja

[Reactie gewijzigd door itsyaboy op 7 maart 2015 16:22]

Heartbleed was een bug, die zijn zowel in open als closed source te vinden,

Wat aileron bedoelt is dat het onmogelijk is externe reviews van closed source software te doen. Deze kan backdoors bevatten, of nog erger, vaak proberen ontwikkelaars hun eigen security protocol te implementeren.

In cryptografie heeft men zichzelf de meeste moeilijke definitie van een veilig systeem opgelegd:
Een systeem is enkel veilig indien kennis over de werking en implementatie ervan niet voldoende is om de communicatie te ontcijferen zonder de sleutel.

De enige manier waarop men een systeem echt als veilig kan bestempelen is dus door de source code te gebruiken en dit zelf te compileren na controle.
Dit gezegd zijnde, de open source secure applicaties worden ook veelal als binary aangeboden, wat dus nog altijd een laag van vertrouwen vergt.

Over het algemeen kan men zeggen: als het van de Five eyes komt en closed source is, best van afblijven als je privacy zoekt.
Zodra Blackberry zijn gebruikers gegevens overhandigt tekent blackberry zijn eigen dood.
Als Blackberry de keys heeft en een overheid komt met een gerechtelijk bevel kunnen ze moeilijk weigeren.
Lekker de schuld bij blackberry leggen hoe veel landen idiote wetgeving hebben. Kan een bedrijf niets aan doen.

En met een gerechtelijk bevel, zo'n ding groeit niet aan een boom. Pun intended. Gericht (en met reden) zoeken heb ik weinig problemen mee.
Knap om mij reactie samen te vatten als "....de schuld bij Blackberry leggen...."
Waarom je 0 krijgt voor het aandragen van dit alternatief ontgaat mij maar BBM is volgens mij een redelijk goed alternatief. Cross platform met op Android alleen al meer dan 100 miljoen downloads.
Zelfs als BlackBerry gebruiker ben ik ervan overtuigd dat de communicatie van kosteloze versie te decrypten is door diverse overheden of telco's.

Als je gaat voor BBM, dan kun je het best kiezen voor eBBM, BBM secure of BBM via je eigen BES server, want dan heb je veel hogere standaarden van encryptie, of regel je die encryptie zelf.
Denk je dat wat BBM in India heeft gedaan niet door de VS, de UK en anderen niet is gedaan (namelijk, de encryptie sleutels afleveren aan de overheid)?
in de UK heeft Blackberry in ieder geval 4 jaar geleden al toegang gegeven:
https://missingm.co/2014/02/avoid-bbm/
Dat was dan ook non-nieuws. Blackberry is enkel secure als je je eigen server hebt als bedrijf. Immers dan loopt alle communicatie via jouw servers via een sleutel die enkel jij kent.

De Blackberries die echter door de gewone burger gebruikt worden hebben een key die generiek is voor je provider. Dat is meer "scambling" dan versleuteling. Zoals Blackberry zelf aangaf was het gevalletje Indiaanse overheid meer duidelijk maken dat zij hun hulp niet nodig hadden, dan echt 'toegang geven'.

Maar Blackberry heeft om historische redenen een reputatie van secure, die dus niet van toepassing is voor non-busines gebruik. Daar is een Blackberry niet meer (of minder) secure dan WhatsApp of Skype of enig ander chat-mechanisme met centrale key.
Threema is imho wel aardig, al is het closed source en kost het eenmalig wat geld. Ook lost het metadataanalyse niet op, maar dat lijkt sowieso vrij lastig in de bestaande netwerkstructuur.

[Reactie gewijzigd door begintmeta op 8 maart 2015 08:26]

TextSecure en Redphone op Android worden ook gemerged in 1 Signal app. Dat zou niet al te lang moeten duren, maar meer dan 'soon' is nog niet bekend.
Fijn he, gesloten protocollen!
Eerder deze week kreeg de iOS-variant, die de naam Signal draagt, een update: daardoor kunnen iPhone-gebruikers nu ook versleuteld berichten sturen.
Dat konden ze al gewoon via iMessage.
bij iMessage gaat het dan ook niet via SMS, maar via internet
Dat gaat het via Signal dus ook niet. Het bericht geeft juist aan dat ze versleutelen van sms/mms niet haalbaar achtten.

[Reactie gewijzigd door Bosmonster op 7 maart 2015 15:20]

Los van het feit dat 1280-bit RSA zo langzaamaan weinig begint te worden, men geen forward secrecy gebruikt en het veranderen van keys bovendien niet kenbaar wordt gemaakt aan de eindgebruiker, kan je iMessage niet gebruiken om te communiceren met Androidgebruikers. Dat is m.i. het grootste voordeel dat Signal te bieden heeft: cross-platform solide crypto.
imessage is niet compatibel met droid gebruikers lmfao.... Op deze manier kunnen ze wel met elkaar communiceren ipv de dictatuur applicaties te gebruiken
Zo is het bij sms en mms altijd nodig om tussen twee contactpersonen een sleutel uit te wisselen waarmee versleutelde berichten ontcijferd kunnen worden.
Dit doet TextSecure bij mij volledig automatisch, het gaat eigenlijk precies hetzelfde als met berichten over het internet.
Gelet op veiligheid en gebruiksgemak, is het inderdaad logischer om gebruik te maken van een encrypte DM-dienst.

Daarna is het op de meeste telefoons ook nog zo, dat er veel apps/software/services toegang vereisen tot je smsbox, al is die natuurlijk wel encrypted bij ows.
Al het digitale verkeer moet eigenlijk encrypted. Anders wordt het misbruikt voor dingen als targeted marketing, (bedrijfs)-spionage etc. De tijd dat voor alle zakelijke deals iemand ergens heen kan gaan is voorbij, daarvoor is internationale handel veel te normaal geworden.
misschien, of je wilt privacy hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True