Chatdienst Line activeert end-to-end-encryptie voor iedere gebruiker

De chat-app Line, die met name in Azië populair is, krijgt standaard ondersteuning voor end-to-end-encryptie. Het bedrijf achter Line noemt de beveiligingsfunctionaliteit 'Letter Sealing'. De optie voor Hidden Chats verdwijnt.

Het bedrijf achter Line activeert de functie nu voor alle gebruikers, nadat het Letter Sealing in oktober vorig jaar voor een beperkt aantal gebruikers beschikbaar maakte. Line stopt met de ondersteuning voor beveiligde Hidden Chats. "Wie Hidden Chat gebruikte, kan nu van dezelfde mate van beveiliging genieten bij een-op-eenchats", noemt Line als reden voor het verdwijnen. Gebruikers dienen de laatste versie van Line op iOS en Android te gebruiken voor de beveiligde communicatie.

Details over de encryptie noemt Line niet. Mits goed geïmplementeerd maakt end-to-end-encryptie het ontsleutelen van chat-communicatie onmogelijk of in elk geval moeilijk. De versleuteling vindt plaats op de telefoon van de zender en pas bij de ontvanger wordt deze ongedaan gemaakt. De grote concurrent van Line, WhatsApp, kreeg begin april end-to-end-encryptie.

Line heeft net als WhatsApp bij de laatste telling 215 miljoen actieve gebruikers en is vooral in landen als Zuid-Korea, Japan, Taiwan en Thailand populair. De Japanse Line Corporation ontwikkelt de chat-app en dat bedrijf is eigendom van het Koreaanse Naver.

line app

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 04-07-2016 10:08 29

04-07-2016 • 10:08

29

Lees meer

AIVD wil encryptie in apps als WhatsApp en Telegram beperken - update
AIVD wil encryptie in apps als WhatsApp en Telegram beperken - update Nieuws van 17 september 2016
'Snapchat heeft honderdvijftig miljoen dagelijkse gebruikers'
'Snapchat heeft honderdvijftig miljoen dagelijkse gebruikers' Nieuws van 2 juni 2016
Chatapp Line heeft een miljard gebruikers
Chatapp Line heeft een miljard gebruikers Nieuws van 25 maart 2016
Smartphones Communicatie Encryptie Instant messaging

Reacties (29)

-Moderatie-faq
29
29
11
1
0
15
Wijzig sortering

Sorteer op:

Weergave:
CAPSLOCK2000
4 juli 2016 10:26
Kan er iemand iets zeggen over hoe die encryptie werkt?
Met name de vraag hoe ze keys uitwisselen is interessant, dat is het zwakke punt van zo'n beetje al dit soort applicaties. Je zal op een of andere manier sleutels moeten uitwisselen met al je contacten en die up-to-date houden. De naieve implementatie is dat de app de sleutels ophaalt bij een centrale server. Dan is de hele encryptie te breken door die centrale server aan te vallen of af te luisteren.

Ook als ze dat probleem niet hebben opgelost dan is een beetje encryptie nog altijd beter dan niks. Tegen kleine spelers, zoals die vervelende buurjongen of je nieuwsgierige baas, helpt het, maar tegen grote jongens, zoals professionele criminelen of opsporingsdiensten, werkt het niet.

Net zo min als het kan beschermen tegen de auteurs van de app, die kunnen altijd de app aanpassen om encryptie uit te schakelen wanneer het hun uit komt. Wat dat betreft ben ik zelfs tegen applicaties die communicatie en encryptie combineren. Liever heb ik dat deze twee functies los van elkaar staan. De partij die bepaalt waar mijn bits heen gestuurd worden moet een andere partij zijn als de club die bepaalt welke encryptie er gebruikt wordt.
Dus één app om berichtjes uit te wisselen en een tweede app om er encryptie aan toe te voegen. Als er iets mis gaat met de encryptie dan hebben ze nog geen toegang tot mijn data, en andersom. De kunst is om die naadloos te combineren op een manier die modulair, flexibel en veilig is.

edit
Hieronder een hoop speculatie op hoe het zou kunnen werken, wat er theoretisch mogelijk is en hoe andere applicaties het hebben opgelost. Daar ben ik mee bekend en ze hebben allemaal forse beperkingen. Er moet een afweging worden gemaakt tussen veiligheid en gemak. Ik wil weten welke keuzes Line heeft gemaakt en hoe ze dat in praktijk hebben uitgevoerd.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 15:31]

Deathspike @CAPSLOCK20004 juli 2016 10:57
Je kunt voor dit soort doeleinde prima asymmetrische sleutels gebruiken. Daar heb je dus een publieke en een privé sleutel, waarbij je alleen de publieke sleutel online zet. Je contacten kunnen die publieke sleutel lezen, een bericht met hun eigen privé sleutel en jouw publieke sleutel encrypten, en dan versturen. Jouw telefoon gebruikt dan jouw privé sleutel en je contact zijn publieke sleutel om het bericht weer te ontcijferen. Zo weten beide partijen zeker dat de zender en ontvanger de enige zijn die het bericht kunnen lezen.

Natuurlijk moet je die sleutel ergens op baseren, en dat is vaak op basis van je wachtwoord (een zogenaamde 'password-based key derivation function'). Je wachtwoord bepaalt dus welke sleutels er uit komen rollen. Daarna zet jouw telefoon dus die publieke sleutel online. Nou moet dit wel iets complexer worden, want als jij en ik hetzelfde wachtwoord hebben, moet er toch echt een andere sleutel uit rollen. Hiervoor heb je dus de beroemde salt; iets wat de hele wereld ook mag weten. Deze sla je dus ook centraal op. Om dan je sleutels te genereren (op een nieuw device bijvoorbeeld) haal je de salt op en combineer je die met je wachtwoord.

Ta-da! Niemand weet de privé sleutel; behalve jij! Dit is overigens ook grotendeels hoe SSL werkt; alleen heb je dan natuurlijk geen password derivation functie en speelt er een authenticatie chain mee (the chain of trust). Verder is het principe gelijk.
CAPSLOCK2000
@Deathspike4 juli 2016 11:41
Je kunt voor dit soort doeleinde prima asymmetrische sleutels gebruiken. Daar heb je dus een publieke en een privé sleutel, waarbij je alleen de publieke sleutel online zet. Je contacten kunnen die publieke sleutel lezen, een bericht met hun eigen privé sleutel en jouw publieke sleutel encrypten, en dan versturen. Jouw telefoon gebruikt dan jouw privé sleutel en je contact zijn publieke sleutel om het bericht weer te ontcijferen. Zo weten beide partijen zeker dat de zender en ontvanger de enige zijn die het bericht kunnen lezen.
Ik weet hoe PKI werkt, maar PKI heeft één grote zwakte: het uitwisselen van sleutels. Dat moet op een of ander manier worden gedaan.
Jij kan wel een sleutel publiceren met jouw naam er op maar dat kan ik ook. Hoe weet ik welke sleutel echt van jou is?
Op enige moment moeten die sleutels worden doorgegeven aan mijn telefoon. Waarschijnlijk moet er ook regelmatig worden gecontroleerd of de sleutels nog niet zijn vervangen. Zolang er een centrale server is (die van Line) die iedereen vertrouwt is het nog te doen, maar als je die server niet vertrouwt dan wordt het lastiger.
Glashelder @CAPSLOCK20004 juli 2016 14:35
Bij Whatsapp kan je de publieke sleutel van chatpartners vergelijken. Het is daarvoor wel noodzakelijk dat beide telefoons bij elkaar zijn uiteraard.

Zie hier: https://www.whatsapp.com/faq/en/general/28030015 ("What is the "Verify security code" screen in the contact info screen?").

Zodra dit gebeurd is dan kan er best een servers tussen zitten die niet te vertrouwen is, want zodra de key wijzigt krijg je daar een melding van.
chaoscontrol @CAPSLOCK20004 juli 2016 12:01
Die sleutels kunnen lokaal gegenereerd worden waarbij de publieke sleutel met je berichten wordt meegestuurd naar de ontvanger. Wanneer die niet overeenkomen kun je het bericht niet lezen.

Lijkt mij dat ze zoiets doen.
ATS @chaoscontrol4 juli 2016 14:11
De zwakte is hoe een MITM voorkomt.
CAPSLOCK2000
@chaoscontrol4 juli 2016 14:43
Een sleutel meesturen kan iedereen. Hoe weet ik, of de applicatie, dat die key echt bij jou hoort of dat een aanvaller z'n eigen sleutel heeft gebruikt? Als je dat niet weet is een MITM aanval mogelijk.
chaoscontrol @CAPSLOCK20004 juli 2016 14:51
Publieke sleutel opslaan met het contactpersoon.
cobis taba @CAPSLOCK20004 juli 2016 10:49
Mijn kennis over encryptie is echt matig, maar "De naïeve implementatie is dat de app de sleutels ophaalt bij een centrale server. Dan is de hele encryptie te breken door die centrale server aan te vallen of af te luisteren." dat hoeft toch niet?

Als je de public keys centraal (blijft) opslaan en daar update dan is er niets aan de hand toch? Dat is ook hoe we PGP gebruiken, ik maak een nieuwe key en upload die naar een centrale plek. Collega's trekken die daar vandaan en sturen me mail met de nieuwe key.
CAPSLOCK2000
@cobis taba4 juli 2016 11:34
Als je de public keys centraal (blijft) opslaan en daar update dan is er niets aan de hand toch? Dat is ook hoe we PGP gebruiken, ik maak een nieuwe key en upload die naar een centrale plek. Collega's trekken die daar vandaan en sturen me mail met de nieuwe key.
Hoe controleer je of je de juiste key hebt? Een keyserver is makkelijk maar biedt geen zekerheid. Wij gebruiken ook keyservers maar nieuwe collega's moeten eerst met hun paspoort en een stapeltje fingerprints los gaan om handtekeningen te verzamelen. Als je eenmaal door genoeg collega's bent gesigned kunnen we vetrouwen op het web-of-trust maar dat kan niet met een willekeurige vreemdeling of een gebruiker op afstand waar geen tweede communicatiekanaal is om ter controle.
cobis taba @CAPSLOCK20004 juli 2016 11:42
Fair enough. Die verificatie kun je deels via de keyserver doen (je kunt een PGP key digitaal accepteren, doen genoeg mensen dat, dan geloof je hem). Je moet dan wel fysiek met je laptop langs collega's om te laten zien dat het echt je key is als je het echt goed wilt doen ja.

Toch, je kunt een app zo maken dat je zelf je eigen key en die van de ander kan zien en die zou je dan kunnen controleren. Een beetje zoals Signal het bellen mogelijk maakt, maar waarbij je wel eerst een codewoord moet uitspreken.

Zouden de keys op de server massaal niet kloppen met de clients, dan gaat dit opvallen. Er komt al snel een beveiligingsonderzoeker die het publiek maakt. Risico is dan 'slechts' individueel aftappen toch? En dan zou je een andere key van iemand op de server zetten, de berichten onderscheppen en daarna met de goede key (opnieuw) encrypten en doorsturen aan de ontvanger. Correct?
CAPSLOCK2000
@cobis taba4 juli 2016 12:44
Fair enough. Die verificatie kun je deels via de keyserver doen (je kunt een PGP key digitaal accepteren, doen genoeg mensen dat, dan geloof je hem). Je moet dan wel fysiek met je laptop langs collega's om te laten zien dat het echt je key is als je het echt goed wilt doen ja.
Met mijn collega's krijg ik dat nog wel gedaan, die zie ik iedere dag. Verre vrienden zijn een stuk lastiger, zeker als we geen deel zijn van een grotere vriendengroep.
Toch, je kunt een app zo maken dat je zelf je eigen key en die van de ander kan zien en die zou je dan kunnen controleren. Een beetje zoals Signal het bellen mogelijk maakt, maar waarbij je wel eerst een codewoord moet uitspreken.
Ik hoop dat ze iets dergelijks hebben, dat was een beetje deel van mijn vraag; hoe pakt Line het aan?
Zouden de keys op de server massaal niet kloppen met de clients, dan gaat dit opvallen. Er komt al snel een beveiligingsonderzoeker die het publiek maakt. Risico is dan 'slechts' individueel aftappen toch? En dan zou je een andere key van iemand op de server zetten, de berichten onderscheppen en daarna met de goede key (opnieuw) encrypten en doorsturen aan de ontvanger. Correct?
Ik zou waarschijnlijk geen valse keys op de server zetten maar inbreken op de communicatie met de keyserver*. Als een van mijn doelwitten dan een key probeert op te vragen dan stuur ik op dat moment een key op die onder mijn controle staat en daarmee een MITM doen.

* dat is in praktijk makkelijker gezegd dan gedaan, maar als je uit gaat van machtige actoren als overheden dan is het niet ondenkbaar.
cobis taba @CAPSLOCK20004 juli 2016 13:00
Een vereiste voor jouw scenario is dat je altijd het verkeer van je target afvangt omdat anders berichten niet correct aankomen bij zijn doel. Immers, hij stuurt het dan incorrect encrypted en dan kan de ontvanger het niet lezen als de aanvaller er tussenuit is.

Je kunt ook iets met beveiliging door de client te laten zien dat de key veranderd (of een alarm als de key te vaak wijzigt). Dat is niet perfect, maar maakt het wel ingewikkelder voor de aanvaller om onopgemerkt te blijven.
Verwijderd @CAPSLOCK20004 juli 2016 11:19
In het algemeen gebruiken al dit soort apps Diffie Hellman om sleutels uit te wisselen, en kan je als je fysiek bij elkaar in de buurt bent de sleutels vergelijken. Zowel WhatsApp als Telegram (secret chats) werken op die manier en dat is een veilige manier van uitwisseling.

Hierbij geef je zelf terecht aan dat je nog steeds niet volledig beschermd bent tegen de auteurs. Zolang je de bron code niet kan controleren blijft het blind vertrouwen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:31]

alienfruit @CAPSLOCK20004 juli 2016 13:21
Er is hier al voldoende onderzoek naar gedaan. Omdat je binnen NAVO verband ook nieuwe sleutels moet uitwisselen tussen verschillende fregatten e.d. Omdat je hier vaak ook zit zonder een trusted third party.
CAPSLOCK2000
@alienfruit4 juli 2016 14:13
Er is hier al voldoende onderzoek naar gedaan. Omdat je binnen NAVO verband ook nieuwe sleutels moet uitwisselen tussen verschillende fregatten e.d. Omdat je hier vaak ook zit zonder een trusted third party.
Je kan me niet zomaar lekker maken met onderzoek en dan geen links geven naar meer informatie :) Hoe lost de NAVO het op?

Ik kan me eerlijk gezegd niet voorstellen dat de NAVO een oplossing heeft die de rest van de wereld niet kent. Van de NSA zou ik het nog geloven, maar niet van de NAVO. Dergelijke technieken hebben alleen zin als je partners er ook gebruik van maken.
svsoke @CAPSLOCK20004 juli 2016 23:51
Zij maken (net zoals bijna alle secure communicatie apps and andere systemen) gebruik van het z.g.n. Diffie-Hellman key exchange protocol. Dit zorgt ervoor dat je op basis van een aantal afgesproken start parameters dezelfde sleutel kan berekenen.
Oftwel, je wisselt een aantal getallen uit en je kan de public key van iemand berekenen.
WhateverSuitsU 4 juli 2016 10:15
Wij gebruiken het ook als groepsapp bij het gamen. Met name het niet hoeven delen van mobiele telefoonnummer is daar bij handig. De stickers zijn inderdaad wel storend soms, bijna kinderlijk, maar dat is persoonlijk.
Bliksem B @WhateverSuitsU4 juli 2016 10:51
Tja Japan he. ;)

Gebruiken velen Chinezen dit programma ook niet? En hoe denkt de Chineze overheid hier over?

Edit: inderdaad, NumesSanguis in 'nieuws: Chatdienst Line activeert end-to-end-encryptie voor ... heeft gelijk. Ik haal wechat en linechat door elkaar.

[Reactie gewijzigd door Bliksem B op 22 juli 2024 15:31]

NumesSanguis @Bliksem B4 juli 2016 11:02
Chinezen gebruiken WeChat. Je kan Line zelfs niet eens gebruiken in China zonder proxies enzo. Whatsapp daarentegen kan je wel gebruiken in China, iig 1 jaar geleden.
Kenzi @NumesSanguis4 juli 2016 13:11
Stomme is dat er wel een Line winkel is in Beijing en Shanghai waar ze Line t-shirts, pluche beesten etc verkopen 8)7

Whatsapp werkt wel in China, maar als je de Google Play versie gebruikt werkt het soms niet (of komt vertraagd aan). Vrijwel elke Chinese app store wil ook meteen je Whatsapp updaten naar de Chinese versie. :P
-BB- 4 juli 2016 10:12
Het is best een prettig alternatief voor Whatsapp. Veel Amerikanen gebruiken het voor groepsapps bij spelletjes. Enige nadeel aan het hele gebeuren zijn alle aanbiedingen van stickers, games en andere meuk in je menu.
rickboy333 4 juli 2016 11:27
Ik gebruik ook line om met vrienden in Japan te communiceren. Geweldige app. Het enige nadeel is dat er geen blauwe vinkjes zijn, maar ja er zijn ergere dingen in de wereld.
SebasC88 @rickboy3334 juli 2016 12:08
Nee maar er staat wel 'Read' bij de berichten als ze 'm gelezen hebben toch?
rickboy333 @SebasC884 juli 2016 12:25
Nee, maar misschien komt dat omdat ik Line lite heb?
SebasC88 @rickboy3334 juli 2016 12:53
Ha, had nog nooit gehoord van de Lite versie (maar hebben ze ook niet voor WP zie ik). Op dit forum noemt een andere gebruiker dit ook, dus zal wel aan de Lite versie liggen dan inderdaad:

http://www.similarplay.com/reviews/line_lite_free_messages/apps/com.linecorp.linelite/page9
Dellmorte 4 juli 2016 12:42
Lol die foto :) laten we ff een verjaardag vieren xD.... En charles vind het een goed idee om dit bij hem te doen... Moet er dan niet iemand eerst jarig zijn xD
dj_vibri @Dellmorte4 juli 2016 14:29
Meet at --> afspreken/samenkomen bij zijn thuis :)

Verder gebruik ik al enige tijd Line ipv WhatsApp, waarom? Ik DENK dat er toen nog geen WP WhatsApp versie beschikbaar was en Line wel, denk zelfs dat die toen by default op mijn WP stond.

Gebruik het nog geregeld om voornl. met moeder de vrouw te communiceren ipv sms (thuis babbelen we wel degelijk tegen elkaar :p ).
Verwijderd 5 juli 2016 16:23
Afhankelijk v/d gebruikte encryptie zou dit wel een interessant alternatief kunnen zijn voor Whatsapp op BlackBerry OS 10

Ik kreeg laatst een melding in beeld dat Whatsapp op BBOS10 werkt tot 31/12/2016, daarna niet meer.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq