Open Whisper Systems stopt met versleutelde sms en mms

De chatsoftware TextSecure moet het in de toekomst doen zonder ondersteuning voor versleutelde sms- en mms-berichten. Maker Open Whisper Systems ziet te veel problemen en gaat zich in plaats daarvan focussen op het versturen van versleutelde berichten via de datalijn.

Op zijn blog laat Open Whisper Systems weten dat er een einde komt aan versleutelde sms en mms in TextSecure. Daarvoor worden een aantal redenen aangevoerd. Zo is het bij sms en mms altijd nodig om tussen twee contactpersonen een sleutel uit te wisselen waarmee versleutelde berichten ontcijferd kunnen worden. Dat maakt het voor niet-technische gebruikers lastiger om de functionaliteit te gebruiken. Daarnaast werken versleutelde sms'jes en mms'jes niet op iOS en heeft de technologie al verscheidene beveiligingsproblemen, aldus Open Whisper Systems.

Al met al vindt het bedrijf de aangevoerde redenen voldoende om niet langer versleutelde sms en mms aan te bieden in zijn chatapp. Wel kunnen gebruikers de internetverbinding blijven gebruiken om binnen TextSecure berichten te verzenden. Dat werkt verder op dezelfde manier als andere populaire chatapplicaties, zoals WhatsApp. In de toekomst moet TextSecure via de dataverbinding betrouwbaarder worden: daartoe wil Open Whisper Systems het transport van berichten over het netwerk zelf in handen nemen. Nu is het nog afhankelijk van Googles clouddiensten.

Inmiddels is versie 2.6.0 van TextSecure uitgebracht. Daarin zit nog ondersteuning voor versleutelde sms en mms. In de volgende versie, met rugnummer 2.7.0, is de functionaliteit verwijderd. Wel blijft het mogelijk om met TextSecure sms en mms in plain text te verzenden.

TextSecure is een Android-applicatie waarmee gebruikers volgens de makers veilig kunnen chatten, door de ingebouwde versleuteling. Eerder deze week kreeg de iOS-variant, die de naam Signal draagt, een update: daardoor kunnen iPhone-gebruikers nu ook versleuteld berichten sturen. Signal is daarbij volledig compatibel met TextSecure, zodat ook berichten naar Android-gebruikers gestuurd kunnen worden.

IT-banen

Reacties (35)

Jaahp 7 maart 2015 11:45

De laatste keer dat ik het geïnstalleerd heb, ongeveer een maand geleden, had je nog play services nodig om de applicatie überhaupt te gebruiken. Ik hoop dat ze dat nu ook op kunnen lossen want ik vind het nogal een ironische benodigdheid. Telegram kan het ook, kopieer hun source anders.

Beuzelarij @Jaahp • 7 maart 2015 13:06

Telegram kan het ook, kopieer hun source anders.

Je hebt een 'officiële' Telegram app (broncode https://github.com/DrKLO/Telegram) en een FOSS-editie (broncode https://github.com/slp/Telegram-FOSS) die beiden gebruik maken van dezelfde API.
De officiële app gebruikt GCM vanwege de push-functie, de FOSS-versie gebruikt natuurlijk geen GCM. De FOSS-versie lost het 'gebrek' aan GCM op deze manier op, of er moet inmiddels al een andere manier (alternatieve push) gebruikt worden.

Overigens is hier te lezen waarom TextSecure niet meer in F-Droid staat.

[Reactie gewijzigd door Beuzelarij op 27 juli 2024 22:17]

Soldaatje @Jaahp • 7 maart 2015 12:15

Zal wel te maken hebben met het feit dat ze nu nog gebruik maken van Google Cloud Messaging (GCM), waar ze op termijn vanaf willen en de communicatie zelf willen gaan regelen.
Ik neem aan dat de berichten verder niet te lezen zijn door Google.

kozue @Soldaatje • 7 maart 2015 12:34

Bij Google kun je daar helemaal niet vanuit gaan. Hun hele huidige verdienmodel is op het verzamelen en analyseren van gebruikersgedrag gebaseerd.

roy-t @kozue • 7 maart 2015 23:34

Het hele idee van Whisper is dat het de text encodeerd voodat het voor het Google Cloud Messaging system gaat en decodeerd aan de andere kant

kozue @roy-t • 7 maart 2015 23:36

Zelfs als ze de inhoud van de berichten niet kunnen lezen moeten ze voor de aflevering van de berichten wel de metadata kunnen lezen. Dan kunnen ze de inhoud misschien niet dataminen maar wel met wie je op welk tijdstip berichten uitwisselt.

aileron 7 maart 2015 12:16

Wat is er toch met Hemlis gebeurd? Ik had een beetje m'n hoop op deze messenger app als een volwaardige vervanger voor iMessage/WhatsApp zooi. Dit is namelijk het probleem, ik kan een app als textsecure of Signal wel installeren maar ik moet mijn omgeving er dan ook van overtuigen. En alleen al het feit dat ze niet de zelfde naam hebben op beide platforms is voor sommige mensen al te verwarrend.

Jammer dat er nog geen echt alternatief is dat echt je privacy beschermt en zich kan meten met WhatsApp of iMessage. Want Textsecure/Signal gaat hem ook niet worden voorlopig.

HardeNiezer @aileron • 7 maart 2015 12:23

Nou, wat dacht je van BBM? Tegenwoordig ook cross platform http://www.bbm.com/bbm/en.html

aileron @HardeNiezer • 7 maart 2015 15:49

Goh, even snel from the top of my head :

- De software is niet open source. privacy en closed source gaan sinds de onthullingen van Edward Snowden niet meer door 1 deur.

- Te groot bedrijf dat zijn eigen belangen altijd voor dat van z'n klanten zal zetten
(want zie jij BB liever z'n deuren sluiten dan alle gegevens van z'n gebruikers overhandigen zoals Ladar Levison dat deed? nee denk het niet...)

- Een platform dat uitstervende is

- Had ik al gezegd dat het niet open source is?

itsyaboy @aileron • 7 maart 2015 16:21

En sinds wanneer is open source een garantie voor veilige software? Misschien zegt Heartbleed je nog wat?

Edit: het BlackBerry 10 platform is inderdaad een minderheidsplatform. BBM is dat daarentegen niet, getuige de 100 miljoen downloads in de Google Play Store. Het is ook verkrijgbaar op iOs en Windows Phone.. dus tja

[Reactie gewijzigd door itsyaboy op 27 juli 2024 22:17]

Terracotta @itsyaboy • 7 maart 2015 23:15

Heartbleed was een bug, die zijn zowel in open als closed source te vinden,

Wat aileron bedoelt is dat het onmogelijk is externe reviews van closed source software te doen. Deze kan backdoors bevatten, of nog erger, vaak proberen ontwikkelaars hun eigen security protocol te implementeren.

In cryptografie heeft men zichzelf de meeste moeilijke definitie van een veilig systeem opgelegd:
Een systeem is enkel veilig indien kennis over de werking en implementatie ervan niet voldoende is om de communicatie te ontcijferen zonder de sleutel.

De enige manier waarop men een systeem echt als veilig kan bestempelen is dus door de source code te gebruiken en dit zelf te compileren na controle.
Dit gezegd zijnde, de open source secure applicaties worden ook veelal als binary aangeboden, wat dus nog altijd een laag van vertrouwen vergt.

Over het algemeen kan men zeggen: als het van de Five eyes komt en closed source is, best van afblijven als je privacy zoekt.

batjes @aileron • 7 maart 2015 17:47

Zodra Blackberry zijn gebruikers gegevens overhandigt tekent blackberry zijn eigen dood.

Matthijs8 @batjes • 8 maart 2015 19:54

Uh, dat hebben ze al lang gedaan hoor:
https://missingm.co/2014/02/avoid-bbm/

The Reeferman @batjes • 8 maart 2015 03:30

Als Blackberry de keys heeft en een overheid komt met een gerechtelijk bevel kunnen ze moeilijk weigeren.

batjes @The Reeferman • 9 maart 2015 15:38

Lekker de schuld bij blackberry leggen hoe veel landen idiote wetgeving hebben. Kan een bedrijf niets aan doen.

En met een gerechtelijk bevel, zo'n ding groeit niet aan een boom. Pun intended. Gericht (en met reden) zoeken heb ik weinig problemen mee.

The Reeferman @batjes • 13 maart 2015 23:01

Knap om mij reactie samen te vatten als "....de schuld bij Blackberry leggen...."

Verwijderd @HardeNiezer • 7 maart 2015 12:44

Waarom je 0 krijgt voor het aandragen van dit alternatief ontgaat mij maar BBM is volgens mij een redelijk goed alternatief. Cross platform met op Android alleen al meer dan 100 miljoen downloads.

Verwijderd @HardeNiezer • 7 maart 2015 12:47

Zelfs als BlackBerry gebruiker ben ik ervan overtuigd dat de communicatie van kosteloze versie te decrypten is door diverse overheden of telco's.

Als je gaat voor BBM, dan kun je het best kiezen voor eBBM, BBM secure of BBM via je eigen BES server, want dan heb je veel hogere standaarden van encryptie, of regel je die encryptie zelf.

MacD @HardeNiezer • 8 maart 2015 00:47

Denk je dat wat BBM in India heeft gedaan niet door de VS, de UK en anderen niet is gedaan (namelijk, de encryptie sleutels afleveren aan de overheid)?

Matthijs8 @MacD • 8 maart 2015 19:55

in de UK heeft Blackberry in ieder geval 4 jaar geleden al toegang gegeven:
https://missingm.co/2014/02/avoid-bbm/

Armin

Netwerk en systeembeheer
Mobiele netwerken

@Matthijs8 • 9 maart 2015 03:39

Dat was dan ook non-nieuws. Blackberry is enkel secure als je je eigen server hebt als bedrijf. Immers dan loopt alle communicatie via jouw servers via een sleutel die enkel jij kent.

De Blackberries die echter door de gewone burger gebruikt worden hebben een key die generiek is voor je provider. Dat is meer "scambling" dan versleuteling. Zoals Blackberry zelf aangaf was het gevalletje Indiaanse overheid meer duidelijk maken dat zij hun hulp niet nodig hadden, dan echt 'toegang geven'.

Maar Blackberry heeft om historische redenen een reputatie van secure, die dus niet van toepassing is voor non-busines gebruik. Daar is een Blackberry niet meer (of minder) secure dan WhatsApp of Skype of enig ander chat-mechanisme met centrale key.

begintmeta @aileron • 8 maart 2015 08:16

Threema is imho wel aardig, al is het closed source en kost het eenmalig wat geld. Ook lost het metadataanalyse niet op, maar dat lijkt sowieso vrij lastig in de bestaande netwerkstructuur.

[Reactie gewijzigd door begintmeta op 27 juli 2024 22:17]

Matthijs8 @aileron • 8 maart 2015 19:52

TextSecure en Redphone op Android worden ook gemerged in 1 Signal app. Dat zou niet al te lang moeten duren, maar meer dan 'soon' is nog niet bekend.

marcelvb

@aileron • 7 maart 2015 20:32

Fijn he, gesloten protocollen!

Bosmonster 7 maart 2015 11:52

Eerder deze week kreeg de iOS-variant, die de naam Signal draagt, een update: daardoor kunnen iPhone-gebruikers nu ook versleuteld berichten sturen.

Dat konden ze al gewoon via iMessage.

jeroen7s @Bosmonster • 7 maart 2015 12:56

bij iMessage gaat het dan ook niet via SMS, maar via internet

Bosmonster @jeroen7s • 7 maart 2015 15:19

Dat gaat het via Signal dus ook niet. Het bericht geeft juist aan dat ze versleutelen van sms/mms niet haalbaar achtten.

[Reactie gewijzigd door Bosmonster op 27 juli 2024 22:17]

Verwijderd @Bosmonster • 7 maart 2015 12:06

Los van het feit dat 1280-bit RSA zo langzaamaan weinig begint te worden, men geen forward secrecy gebruikt en het veranderen van keys bovendien niet kenbaar wordt gemaakt aan de eindgebruiker, kan je iMessage niet gebruiken om te communiceren met Androidgebruikers. Dat is m.i. het grootste voordeel dat Signal te bieden heeft: cross-platform solide crypto.

uchiha @Bosmonster • 8 maart 2015 07:05

imessage is niet compatibel met droid gebruikers lmfao.... Op deze manier kunnen ze wel met elkaar communiceren ipv de dictatuur applicaties te gebruiken

RdeGroot 7 maart 2015 22:51

Zo is het bij sms en mms altijd nodig om tussen twee contactpersonen een sleutel uit te wisselen waarmee versleutelde berichten ontcijferd kunnen worden.

Dit doet TextSecure bij mij volledig automatisch, het gaat eigenlijk precies hetzelfde als met berichten over het internet.

Verwijderd 7 maart 2015 11:34

Gelet op veiligheid en gebruiksgemak, is het inderdaad logischer om gebruik te maken van een encrypte DM-dienst.

Daarna is het op de meeste telefoons ook nog zo, dat er veel apps/software/services toegang vereisen tot je smsbox, al is die natuurlijk wel encrypted bij ows.

nandervv @Pepsichoco • 8 maart 2015 12:34

Al het digitale verkeer moet eigenlijk encrypted. Anders wordt het misbruikt voor dingen als targeted marketing, (bedrijfs)-spionage etc. De tijd dat voor alle zakelijke deals iemand ergens heen kan gaan is voorbij, daarvoor is internationale handel veel te normaal geworden.

alexboon @Pepsichoco • 8 maart 2015 13:36

misschien, of je wilt privacy hebben.

Op dit item kan niet meer gereageerd worden.

Open Whisper Systems stopt met versleutelde sms en mms

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: