Facebook Messenger krijgt end-to-end-encryptie met opt-in per gesprek

Facebook heeft end-to-end-encryptie geïmplementeerd bij zijn Messenger-apps op iOS en Android. Gebruikers moeten per gesprek aangeven dat ze dit willen versleutelen, waarna een nieuw, versleuteld gesprek verschijnt in de conversatielijst.

De details van de implementatie wijken af van die bij WhatsApp, dat eveneens een Facebook-product is. Daarbij is deze vorm van versleuteling standaard voor iedereen ingeschakeld. Per gesprek moeten gebruikers in de mobiele app naar de opties navigeren om daar de optie 'secret conversation' in te schakelen. Dat creëert een nieuw gesprek dat bijvoorbeeld niet terug te vinden is in de conversatielijst op de desktop-website. Dat is meteen de reden waarom het om een opt-in-functie gaat: het feit dat Facebook Messenger-gebruikers op meerdere apparaten communiceren is lastig voor end-to-end-encryptie. Dat liet het bedrijf eerder al weten.

Berichten kunnen ook een selfdestruct-functie meekrijgen. Dan wordt het bericht een bepaalde tijd nadat het gelezen is automatisch verwijderd. Deze timer kan ingesteld worden op minimaal 5 seconden en maximaal 24 uur. De chats worden versleuteld met het Signal-protocol van Open Whisper System, wat ook in WhatsApp gebruikt wordt.

Het nieuws komt niet naar voren uit de changelogs van de apps. In plaats daarvan wordt het door een woordvoerder bevestigd tegenover Wired.

IT-banen

Reacties (79)

Perkouw Moderator GCC 5 oktober 2016 09:20

Per gesprek moeten gebruikers in de mobiele app naar de opties navigeren om daar 'secret conversation' in te schakelen. Dat creëert een nieuw gesprek dat niet terug te vinden is in de conversatielijst op de desktop-website bijvoorbeeld.

Hm, dat is niet heel erg user friendly. Ik had dan toch liever gezien dat het zoals bij WhatsApp standaard is ingeschakeld eigenlijk. En dan liever gewoon bij desktop de melding dat je gesprek un-encrypted is omdat dit niet wordt ondersteund of zo. Nadeel is dan wel weer dat je dan totaal geen gesprekken meer ziet op de desktop versie.......daar hadden ze dan toch iets anders voor moeten bedenken want dit werkt ook niet echt relax als user. -_-'

[Reactie gewijzigd door Perkouw op 24 juli 2024 01:38]

BarôZZa @Perkouw • 5 oktober 2016 09:51

Makkelijk gezegd, want je vraagt om iets wat praktisch onmogelijk is.

Het gaat niet specifiek over de desktopsite, het gaat erom dat bij Whatsapp een account altijd aan één toestel gekoppeld is en je dus bij een gesprek aan beide kanten de keys hebt en klaar bent. Bij Facebook kan je met verschillende apparaten erop, dus dan zou je of de keys moeten kopiëren tussen je apparaten, maar dat zorgt ervoor dat je een zwakte inbouwt (namelijk om extern de key op te vragen). Een andere optie zou zijn dat je alle data voor alle apparaten van een ander zou encoden, maar dat is dus enorm veel werk en zorgt er nog steeds niet voor dat je het met een nieuw apparaat kan openen.

Het hele gemak waar je het over hebt komt door de centrale structuur van Facebook: iets wat dus rechtstreeks ingaat tegen end to end encryptie waarbij de tussenpartij dus nul inzicht in de gegevens mag hebben.

Ik heb zelf een tijd terug ook gekeken of ik end-to-end encryptie kon implementeren op mijn kleinere sociale website. Daar kwam ik al snel op terug en het verbaast me ook niet dat Facebook met deze (toegegeven, niet-ideale) oplossing komt.

De peer-to-peer benadering van whatsapp is overigens ook niet altijd gebruiksvriendelijk. Ben nu op reis en mijn telefoon verloren. Bij zoiets als Facebook log je opnieuw in en heb je alles weer. Met Whatsapp is het onmogelijk om weer te communiceren tot ik terug ben en een nieuwe simkaart aanvraag met hetzelfde nummer.

[Reactie gewijzigd door BarôZZa op 24 juli 2024 01:38]

Kmphs @BarôZZa • 5 oktober 2016 10:30

Open Whisper Systems - de maker van de Signal app èn van het Signal-encryptie protocol (dat door WhatsApp en Facebook gebruikt wordt) - heeft cross-platform conversations wèl goed voor elkaar!

Als ik op mijn telefoon met iemand chat, verschijnt dat gesprek op mijn desktopclient - en vice versa. En alles is standaard encrypted.

Give it a try, ik ben er erg tevreden over!

BarôZZa @Kmphs • 5 oktober 2016 12:56

Cross platform is iets anders dan zoals op Facebook, waar de berichten ten alle tijden terug te lezen zijn. Als ik de bibliotheek binnenwandel en op een computer naar Facebook surf en inlog, dan zie ik mijn berichtgeschiedenis van alle gesprekken. Dat is een enorm waardevolle feature voor veel mensen. Ik gebruik het zelf bijvoorbeeld vaker dan email.

Keys syncen als je met twee devices tegelijk online bent is een optie, maar dat is niet hoe mensen verwachten dat Facebook werkt. Facebook werkt meer als email(inbox/outbox) dan als een instant messenger.

De nuanceverschillen maken enorm veel uit voor de manier waarop encryptie zou moeten werken.

[Reactie gewijzigd door BarôZZa op 24 juli 2024 01:38]

addictive @Kmphs • 5 oktober 2016 10:35

Give it a try, ik ben er erg tevreden over!

Dat gaat alleen wanneer de mensen met wie je contact hebt ook Signal gebruiken.

En de meeste mensen met wie ik op Facebook spreek, hebben dat niet.

Kmphs @addictive • 5 oktober 2016 10:40

Klopt, ik heb er wel wat moeite in moeten stoppen om de mensen om me heen over te laten stappen. Leuk is wel dat zij er ook enthousiast over zijn, en dat zo langzamerhand steeds meer mensen in mijn omgeving overstappen - en ik daar steeds minder moeite voor hoef te doen. Maar het vergt inderdaad wat moeite/energie in het begin.

Om te kijken of je het wat vindt, zou je het met nabije familie/goede vrienden kunnen proberen en als het bevalt pas meer mensen enthousiast maken.

MadEgg @Kmphs • 5 oktober 2016 11:06

Als ik op mijn telefoon met iemand chat, verschijnt dat gesprek op mijn desktopclient - en vice versa. En alles is standaard encrypted.

Signal heeft geen desktop-client, Signal heeft een Chrome-app. Helaas, zonder manier om Signal te gebruiken op een niet-Windows OS zonder dependency op Google software wil ik er niet aan beginnen. Er is geen goed excuus om er een Chrome-app van te maken, maak er dan gewoon een universele web-app van, dan is het in ieder geval nog platform-onafhankelijk.

Wire is ook op hetzelfde protocol gebaseerd, maar heeft wel een échte web-app en een echte desktop-app. Wat ook prima werkt met multi-device en E2E-encryptie. Bovendien is een telefoonnummer niet vereist, het kan ook met een e-mailadres. En het is Europees. Allemaal pluspuntjes boven Signal, wat mij betreft.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Kmphs • 5 oktober 2016 16:34

Dat is pas zeer recent toegevoegd.

Hele interessante functie, alleen ben ik nog steeds benieuwd hoe dat nou zit met de verificatie functies...

Dit kan met WhatsApp ook, alleen moet je telefoon dan aanstaan.
Als ze support laten vallen voor BB en Symbian, dan zou 't best eens kunnen dat ze deze feature van Signal overnemen.

erikmeuk3 @BarôZZa • 5 oktober 2016 11:35

En die selfdestruct is afgekeken van Telegram. Waar je ook aparte end to end encryptie verbindingen op kunt zetten.
Ik heb toch wel het vermoeden dat Facebook messenger en WhatsApp langzaam gaan versmelten tot 1 systeem. Nu achter de schermen en straks zichtbaar.

Signal is een waardige opvolger; hopelijk zonder de begluur factor.

Kmphs @erikmeuk3 • 5 oktober 2016 13:53

Dat laatste zit wel goed, getuige het nieuws van gisteren hier op Tweakers:

nieuws: Amerikaanse dagvaarding geeft inzicht in beschikbaarheid Signal-metadata

AHappyKoalaBear @erikmeuk3 • 5 oktober 2016 15:50

Nee hoor, wickr me heeft self distruct al sinds 2012 ingebouwd, aanmelden kan ook helemaal anoniem.

https://www.security.nl/p...leutelt+mobiele+berichten

Dreamvoid @BarôZZa • 5 oktober 2016 10:42

Ander probleem is dat Whatsapp niet om kan gaan met meerdere simkaarten/telefoonnummers, en idd dat het vanaf desktops/tablets slecht werkt.

WhatsApp is wat dat betreft echt een grote stap terug in functionaliteit vergeleken met elke messenging app van de afgelopen 25 jaar, het verbaast me dan ook dat het zo populair geworden is - maar goed je hebt weinig keus, je moet wel mee.

MadEgg @Dreamvoid • 5 oktober 2016 11:12

WhatsApp is wat dat betreft echt een grote stap terug in functionaliteit vergeleken met elke messenging app van de afgelopen 25 jaar, het verbaast me dan ook dat het zo populair geworden is - maar goed je hebt weinig keus, je moet wel mee.

In mijn omgeving was het het eerste fatsoenlijke alternatief op SMS. Ik kwam er eind 2010 mee in aanraking en toen was SMS nog het meestgebruikte communicatiemiddel. WhatsApp kostte me toen €2,- per jaar maar liet me onbeperkt berichtjes sturen naar anderen die het ook hadden. Omdat me dat een SMS-bundel van €5,- per maand kon besparen heb ik veel mensen aangeraden om het te gaan gebruiken. Pas later kwamen er andere degelijke messenger-apps beschikbaar, maar toen had iedereen al een afdoende werkende app, dus haal dan maar eens mensen over om over te stappen.

Vermoedelijk is het in veel andere kringen hetzelfde gegaan. Ze waren er gewoon vroeg bij, en mensen zijn gewoontedieren dus zonder significante voordelen die ze wel interesseren (financieel bijvoorbeeld, privacy interesseert de meeste mensen geen klap blijkbaar) zal men niet grootschalig overstappen.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Dreamvoid • 5 oktober 2016 16:38

Het werkt prima op de desktop, nul problemen mee

Maar de simpliciteit van WhatsApp is juist wat het zo populair heeft gemaakt. Geen gedoe, geen gezeik, gewoon installeren, je nummer intikken en *klaar*: het werkt! Dan geen interface waar je miljoenen functies hebt: nee, een hele simpele zonder al teveel functies. Gewoon wat men nodig heeft om SMS/MMS te vervangen (en tegenwoordig ook bellen), en een paar extra's maar dan houdt het ook op.

Die simpliciteit en die gebruiksvriendelijkheid, en de enorme besparing op SMS kosten

, dat is wat WhatsApp zo groot heeft gemaakt. Het wordt niet populair omdat mensen het niets vinden, net als dat de Starbucks niet groot is geworden omdat ze zulke smerige koffie verkopen ofzo.

Geen toeters en bellen, heerlijk.

iAR @BarôZZa • 5 oktober 2016 11:46

Hoe krijgt iMessage van Apple het dan wel voor elkaar? En zoals hieronder genoemd wordt, andere partijen dus ook.

BarôZZa @iAR • 5 oktober 2016 12:59

Zoals wel vaker met Apple hebben ze het niet voor elkaar:

http://www.tomshardware.c...-matthew-green,32466.html

Ravefiend @Perkouw • 5 oktober 2016 10:47

Je kan het vergelijken met de end-to-end point encryption die Whatsapp heeft geimplementeerd. Whatsapp Web voor je desktop PC vereist dat je telefoon aan staat, want je berichten gaan van je PC (encrypted), naar je smartphone (decrypt en weer encrypt) om vervolgens naar de ontvanger te worden verstuurd.

Een dergelijke vereiste kan je niet verwachten van Facebook Messenger want dat is niet gebruiksvriendelijk voor de eindgebruikers van Facebook.

http://security.stackexch...on-work-with-whatsapp-web

Perkouw Moderator GCC @Ravefiend • 5 oktober 2016 10:52

De WhatsApp manier vind ik ook niet de meest gebruiksvriendelijke, maar je suggereert nu dat deze implementatie van Facebook beter is. Daar ben ik het toch echt niet mee eens. Handmatig opt-in doen, gesprekken op de desktop zijn dan niet meer vindbaar....nee geef me dan maar de WhatsApp variant.....

Dreamvoid @Perkouw • 5 oktober 2016 11:34

De Whatsapp variant heeft ook je gesprekken niet op de desktop, dus dat is iig niet beter.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Dreamvoid • 5 oktober 2016 16:41

Juist wel, de veiligheid is hoger. Als je echter liever gebruiksvriendelijkheid hebt dan veiligheid; dan is de WhatsApp-methode minder dan die van Facebook, ja.

DarkForce @Dreamvoid • 5 oktober 2016 13:56

Whatsapp gesprekken kun je al geruime tijd webbased voeren als je FireFox of Chrome gebruikt. Voor Windows 8+ is er een cliënt beschikbaar.

In beide gevallen kun je de gesprekken dan gewoon encrypted voeren.

Anoniem: 324173 @Perkouw • 5 oktober 2016 09:54

Misschien is het een try out om te zien hoeveel mensen dit daadwerkelijk gebruiken, je weet niet wat de toekomst biedt als dit aanslaat.

maevian @Perkouw • 5 oktober 2016 17:26

Bwa vind het wel goed zo, heb niet voor al mij gesprekken nood aan encryptie

DrSnuggles 5 oktober 2016 09:23

Ik vind die crossplatform functionaliteit juist zo handig; ik wil in de trein kunnen communiceren en achter m'n bureau weer verder typen in hetzelfde gesprek. Lijkt me dat ze met deze optie vooral hun userbase versplinteren.

Kmphs @DrSnuggles • 5 oktober 2016 10:31

Probeer Signal dan eens, daar kan het wel.

DrSnuggles @Kmphs • 5 oktober 2016 10:42

Mja, er zijn ongetwijfeld genoeg alternatieven waar het wel fatsoenlijk op werkt. Nou wil het zo zijn dat verreweg de meeste mensen in mijn sociale omgeving Whatsapp gebruiken, en ik vermoed eerlijk gezegd dat dat voor zo'n beetje heel Nederland geldt, welke wel crossplatform te benaderen is en e2e-encryptie biedt.

In hoeverre Facebook niet aan de haal gaat met Whatsapp data is een tweede, maar de e2e-encryptie implementatie in Messenger beschreven in dit artikel is ronduit onhandig. Dat security en gemak per definitie niet hand in hand gaan even daar gelaten, zijn er dus wel manieren te bedenken hoe het in ieder geval minder onhandig kan.

Rob Coops

Encryptie

@DrSnuggles • 5 oktober 2016 11:03

Ik denk dat Facebook dat liever niet doet omdat de eigenaren de overheid niet dwars willen zitten omdat dat ze te veel geld gaat kosten. Want als jij de overheid pest dan kunnen ze altijd wel een manier bedenken om jouw in de weg te zitten zij het bij een overname dan wel met belasting formulieren die ze toch nog eens tegen het licht houden etc...

Facebook kan net als andere alternatieve en vele malen betere chat oplossingen heus wel makkelijke werkende end-2-end encryptie bouwen. Als Signal en Whatsapp dit kunnen als zo veel andere minder grote bedrijven dan kunnen kan een organisatie als Facebook met de vele miljoenen die men investeert in de ontwikkeling van hun producten dat zeker ook voor elkaar krijgen.
Het is eerder onwil dan onkunde, en ik denk dat dat een van de redenen is dat steeds minder mensen Facebook en zeker Facebook messenger gebruiken het is simpel weg een bedrijf dat al erg lang stilstaat in de ontwikkeling van haar producten en de deur steeds verder open zet voor een nieuwe speler die haar producten van de markt weet te drukken.

iAR @DrSnuggles • 5 oktober 2016 11:49

Ik denk dat jij en ik met die wens de minderheid zijn. Juist die feature vind ik zo fijn aan iMessage van Apple, Mac, iPhone, iPad, Watch. En als je op het ene apparaat bezig bent, krijg je geen popups op de andere.
Een app als Whatsapp komt voor mij zo simpel en klantonvriendelijk over. Maar ja, de massa gebruikt het he?!

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@iAR • 5 oktober 2016 16:53

De meeste mensen zitten op hun mobiel, zo simpel is het

Die boeit t niet zo of ze op de desktop verder kunnen. Voor de groep die t wel wil hebben whatsapp en signal software beschikbaar, en facebook kan je de e2ee uit laten staan.

De gebruiksvriendelijkheid van iMessage en van FB Messenger (zonder encryptie) komt tegen een prijs: zwakkere veiligheid. iMessage is wel een stuk veiliger dan FB Messenger zonder E2EE, maar doet flink onder aan betrouwbaarheid in vergelijking met whatsapp en signal.

Het is een keuze maken wat je belangrijker vindt; veiligheid met een compromis op usability; of maximaal gebruiksgemak met compromis op veiligheid.

iAR @WhatsappHack • 6 oktober 2016 08:06

Met als enige nadeel dat de keuze in veel gevallen door de groep gemaakt worden.
Ik kies voor telegram. Maar de groep niet, en dus heb ik weinig te kiezen.

Blaatpraat 5 oktober 2016 08:58

Leuk afgekeken bij Telegram, zou ik zeggen. :-)

Ed Vertijsment @Blaatpraat • 5 oktober 2016 09:04

Ach, uiteindelijk is praktisch alles wel ergens van afgekeken. Of het de GUI (origineel Xerox), een chatapp of iets anders is. Prsktisch alles heeft ergens "inspiratie" opgedaan...

Archcry @Blaatpraat • 5 oktober 2016 09:19

Achja, Telegram heeft het wiel ook niet uitgevonden. Ze hebben het enkel geimplementeerd in hun applicatie. Encryptie bestaat al veel langer dan het internet.

Blizz @Blaatpraat • 5 oktober 2016 10:48

Je hebt 17 fanboys boos gemaakt met je constatering. Pas maar op voor ze massaal postbrieven gaan sturen met klachten over je posts.

Kmphs @Blaatpraat • 5 oktober 2016 10:41

E.e.a. wordt niet van Telegram overgenomen, maar van Signal.

Zie ook: https://whispersystems.org/

Geim 5 oktober 2016 08:59

O jee, AIVD wordt helemaal gek

Archcry @Geim • 5 oktober 2016 09:09

Ik ben altijd wel echt benieuwd in hoeverre deze end-to-end encryptie daadwerkelijk end-to-end is zonder dat een derde partij (in dit geval facebook) mee kan kijken. Ik ben waarschijnlijk ook niet de enige die er zo over denkt.

De AIVD is bang dat dit soort platformen gebruikt gaan worden voor het plannen van terroristische aanslagen maar als ik een terrorist zou zijn zou ik juist geen gebruik maken van dit soort diensten om de simpele reden dat ik niet zeker weet of de encryptie te vertrouwen is. Daarnaast is het altijd nog mogelijk om text alvorens deze te versturen handmatig te encrypten met GPG. (Thunderbird heeft zelfs een handige extensie hiervoor).

Ik hoop dan ook dat de AIVD zoals ze beweren echt geen toegang kunnen krijgen tot deze gesprekken aangezien voornamelijk de normale burger gesurveilleerd gaat worden en de daadwerkelijke terrorist een andere manier van communiceren vindt. En een staat waarin iedereen als verdachte wordt gezien is niet een staat waarin ik persoonlijk wil leven.

himlims_ @Archcry • 5 oktober 2016 09:20

FYI; die IS-gastjes hebben best pittige ict infrastructuur en tools! gewoon hun eigen im netwerk. #OPdaesh

Archcry @himlims_ • 5 oktober 2016 09:23

En als je erover nadenkt vallen er in een jaar in het verkeer meer doden dan bij een terroristische aanslag. Stel dat door de maatregelen van de AIVD 5 a 10% van de terroristische aanslagen voorkomen kunnen worden dan hou je nogsteeds 90% over. Relatief gezien vind ik dit echt niet genoeg om mijn privacy voor op te geven.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Archcry • 5 oktober 2016 16:22

Het Signal-protocol is bewezen een van de beste en sterkste crypto's die er is.
Bij een goede implementatie zou het, voor minstens een flink aantal jaren, echt onkraakbaar moeten zijn. Bij WhatsApp heeft Open Whisper (de makers van het protocol) de encryptie zelf ingebouwd, bij Facebook Messenger weet ik het niet.

Overigens valt en staat de encryptie met de veiligheid van veel zaken... Een groot lek in het besturingssysteem van je telefoon (of jij die gewoon je beveiliging dramatisch slecht instelt) en misschien kunnen ze erbij; soms is dat enkel als ze het toestel in bezit hebben, en bij hele ernstige lekken ook remote.
Als jij je toestel netjes up to date houdt, de beveiliging niet afzwakt en netjes enkel apps uit betrouwbare bron gebruikt: dan is de kans dat ze toegang weten te krijgen heel erg laag. En die moeite gaan ze sowieso niet doen voor niet-verdachte burgers, dat kost teveel tijd en geld.

Iblies

Facebook

@Geim • 5 oktober 2016 10:34

O jee, AIVD wordt helemaal gek

Mits je Facebook gelooft natuurlijk. Encryptie kent vele vormen waarbij je een soort van masterkey/backdoor zelf kunt houden.

Het idee dat het echt niet ontsleuteld kan worden en/of dat het echt verwijderd is kun je laten varen. Dan krijg je verschillende instanties over je heen.

Daarnaast zijn er gelukkig kleine bedrijven die publiekelijk aangeven dat ze het wel kunnen kraken/hacken anders hadden we allang de meest idiote wetgeving gehad.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Iblies • 5 oktober 2016 16:25

Het Signal protocol is tot zover echter niet gekraakt, door vele experts ge-audit en stuk voor stuk als heel sterk en veilig verklaard. Een masterkey is niet bepaald mogelijk door de opzet; enkel het op afstand uitschakelen van de encryptie zou een optie zijn.

En ook kleine bedrijfjes kunnen dit niet kraken. Ze kunnen hoogstens iets er omheen (bijv. OS toestel) kraken en zo iets bemachtigen, anders niet.

Anoniem: 334725 @WhatsappHack • 5 oktober 2016 17:34

De specificatie van Signal protocol is tot zover bekend, niet gekraat of lek. De implementatie van Facebook Messenger(of Whatsapp) is achter gesloten deur dus kun je niks over zeggen. En laat nou net de implementatie vaak gebrekken tonen.

Iblies

Facebook

@Anoniem: 334725 • 5 oktober 2016 18:10

Ze zijn er inderdaad niet bij gebaat om het volledig te implementeren en daar is best veel over geschreven vanuit verschillende invalshoeken.

https://securityinabox.or...mend-signal-over-whatsapp

Business model

WhatsApp is owned by Facebook, while Signal is owned by Open Whisper Systems. They have very different business models.

It's well-known that advertising is at the heart of Facebook's business model, which is fueled by the vast quantities of data that users hand over to the company through its various services. Open Whisper Systems, on the other hand, is a non-profit, grant-funded group of free software developers whose mission is to “advance the state of the art for secure communication, while simultaneously making it easy for everyone to use”.

It’s important to note that while the Signal protocol encrypts the content of our communications, it does not encrypt metadata – information about information - such as who we contact, when and from where. Given Facebook’s willingness to implement end-to-end encryption in WhatsApp, which prevents even the company itself from accessing some of its users’ data, one can't help but wonder if the value has been in the metadata all along.

Unlike content data, which is harder and more expensive to process and retain, metadata is ideally suited to automated analysis by a computer. It can be stored in large quantities and reveals information (such as who you contacted, when and where) that is very difficult – if not impossible – to deny. Using metadata, analysts can map out an individual’s political affiliation, interests, economic background, location and habits, as well as the network of people with whom that individual communicates. This information can be used to create group and individual profiles that are in great demand by an advertising industry desperate to know its audience.

Advertising might seem harmless, but it's important to remember that we are rarely in control of the profiles being created about us. As a result, these profiles may or may not be accurate. And regardless of the accuracy of our profiles, research has shown that profiling can lead to various forms of discrimination. While it's not clear whether and to what extent WhatsApp users' metadata feeds into Facebook's advertising business model, it remains an important question. As Open Whisper Systems is not in the data business, we believe Signal is more likely to protect our metadata.

That said, it’s worth noting that Signal’s reliance on the Google Cloud Messaging platform means that Google — which is, of course, in the data business — does have access to some of the metadata produced by Signal. They know the current IP address of any device that receives a Signal message, for example, but Signal’s architecture hides as much of this metadata as possible. The Signal protocol can be used independently from Google Play Services via LibreSignal, a fork of Signal, which can be installed from F-Droid, a free and open source Android app repository.

We worden in de waan gebracht dat het ineens 'veilig' is ok te gebruiken en dat 'niemand' er bij kan, terwijl er terdege nog heel veel informatie bij elkaar wordt gesprokkeld.

En signal op zichzelf blijkt ook niet helemaal veilig,
http://news.softpedia.com...tion-useless-503894.shtml
Een ketting is zo sterk als de zwakste schakel.

robvanwijk

Encryptie
Facebook
Politiek en recht
Netwerk en systeembeheer

@Iblies • 5 oktober 2016 20:59

Ze zijn er inderdaad niet bij gebaat om het volledig te implementeren
[..]
We worden in de waan gebracht dat het ineens 'veilig' is ok te gebruiken en dat 'niemand' er bij kan, terwijl er terdege nog heel veel informatie bij elkaar wordt gesprokkeld.

Anders moet je dat stukje dat je citeert gewoon even lezen:

[..]the Signal protocol [..] does not encrypt metadata [..]. Given Facebook’s willingness to implement end-to-end encryption in WhatsApp, which prevents even the company itself from accessing some of its users’ data, one can't help but wonder if the value has been in the metadata all along.

Er wordt niet eens gesproken over de mogelijkheid dat FB een backdoor heeft geplaatst. En alles na die alinea gaat er volledig vanuit dat het FB om de metadata te doen is, niet om de inhoud van je gesprekken. Dit is dus op geen enkele manier een onderbouwing voor de claim in je oorspronkelijke reactie:

quote: https://tweakers.net/nieu...eaction=9099065#r_9099065
Het idee dat het echt niet ontsleuteld kan worden en/of dat het echt verwijderd is kun je laten varen.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Anoniem: 334725 • 5 oktober 2016 22:21

Behalve dan dat:
1.) OWS het zélf in WhatsApp heeft ingebouwd en
2.) De libraries hiervoor gewoon opensource bij WhatsApp zitten en op je toestel zelfs inzichtelijk zijn (en analyzers kunnen zien hoe het gebruikt wordt)
3.) Onafhankelijk audits kennelijk vinden dat de implementatie prima in orde is.

Persoonlijk kan je het niet onderzoeken, nee. Maar om nou te stellen dat zowel de makers van het protocol, als whatsapp zelf én ook nog eens de audit-bedrijven (waaronder belangenbehartigers zoals het EFF) het niet juist zouden kunnen hebben is wel erg far-fetched.

Maar die afweging moet iedereen voor zich maken natuurlijk.

Anoniem: 334725 @WhatsappHack • 5 oktober 2016 22:34

1. Maakt niet uit, hij is aan te passen en kan lekken hebben in Whatsapp/FB messenger zelf

2. Ze zijn niet open source. Dit blijf jij claimen maar het is gewoon niet waar. Geef is een bron als je er zo zeker van bent. Nee, ook op mijn Android telefoon zijn ze niet open-source.

3. Nogmaals, geef is een bron.

Zen1581 5 oktober 2016 09:21

Telegram is blijkbaar toch een mooi voorbeeld voor veel bedrijven. Bijna alle functies die erin zitten worden overgenomen. Wel slim van Facebook om zo iedereen bij hun diensten te houden

Kmphs @Zen1581 • 5 oktober 2016 10:30

E.e.a. wordt niet van Telegram overgenomen, maar van Signal.

Zie ook: https://whispersystems.org/

Dreamvoid @Zen1581 • 5 oktober 2016 10:44

Ik denk niet dat dit van Telegram komt, Whatsapp had dit al, en daarvoor bestond het al jaren - ik herinner me midden jaren 90 nog dat iedereen bezig was met email-met-PGP.

alwaysleft 5 oktober 2016 09:02

Ik heb het al een kleine week bij de iOS versie van Messenger. Zelfde encryptie lijkt me zoals van Signal en Whatsapp namelijk open Whisper...Ja, zie artikel Wired.

[Reactie gewijzigd door alwaysleft op 24 juli 2024 01:38]

LankHoar @alwaysleft • 5 oktober 2016 09:31

Maar alles is natuurlijk closed-source, dus je kunt dit nooit controleren. Laat ik Facebook voor geen meter vertrouwen. Gelukkig heb ik daar ook nog nooit een account gehad, en ook geen Whatsappp meer

Toch blijf ik het vreemd vinden: Facebook is gigantisch anti-privacy hard data aan het verzamelen, en toch doen ze schijnbaar steeds meer met encryptie. Dat zou logisch zijn als de meerderheid van de mensheid erom vraagt, echter boeit hun privacy de gemiddelde medemens helaas vrij weinig.. En zo zouden ze dat wat ze willen, data verzamelen, slechter/niet kunnen uitvoeren. Vreemd toch?

[Reactie gewijzigd door LankHoar op 24 juli 2024 01:38]

alwaysleft @LankHoar • 5 oktober 2016 09:48

Het klinkt goed dat het kan, en de gemiddelde mens zegt enryptie toch niks.

Heb mijn moeder het kunnen uitleggen laatst de encryptie van Whatsapp, ze snapte er niks van. Ons Tweakers zegt het wat, de rest is er niet mee bezig.

LankHoar @alwaysleft • 5 oktober 2016 09:51

Precies! Daarom vraag ik me af wat de daadwerkelijke motieven van Facebook zijn, hun doorsnee users zitten er niet op te wachten.

vhartong @LankHoar • 5 oktober 2016 09:55

Zo vreemd is het niet, ze willen het grote volk niet kwijt. En End 2 End encryptie, laten we eerlijk zijn, dat is het natuurlijk niet. Facebook is in het nieuws gekomen omdat ze de privacyregels van Whatsapp op de schop nemen. En daar zit toch ook encryptie in?
Wat gingen ze ook al weer doen? Berichten, activiteit en je vriendenlijst contactenlijst in je telefoon doorspitten om je gerichte reclames te sturen. Dat gaat niet als ze niet in je berichten kunnen kijken.

Dus inderdaad. Closed-source en bij een bedrijf die als grootste doel heeft zoveel mogelijk informatie te verzamelen: daar kijken ze mee met wat je stuurt.

[Beetje off-topic]: Misschien als je zo'n secret chat start dat het direct naar de NSA geport wordt.

[Reactie gewijzigd door vhartong op 24 juli 2024 01:38]

MM99 @LankHoar • 5 oktober 2016 09:35

Wie denk je dat het meeste last heeft van dat jij geen Facebook en Whatsapp gebruikt? Jij zelf of Facebook?

LankHoar @MM99 • 5 oktober 2016 09:49

Ik heb er 0,0 last van dat ik eender niet gebruik. Bijzonder hoe mensen zo afhankelijk zijn geworden van dergelijke platforms, in relatief korte tijd.

Los daarvan, mijn punt gaat helemaal niet over 'last hebben van', maar over het feit dat ik het opmerkelijk vind dat Facebook ogenschijnlijk zo voor privacy vecht, terwijl ze tegelijkertijd al je privacy afpakken.

BigBrotha @MM99 • 5 oktober 2016 09:46

Aparte vraag? Volgens mij is het omgekeerd en heeft niemand zo ´last´ van elkaar.

Grappig dat ze het zo nadrukkelijk "secret conversation" noemen en niet gewoon inplementeren in normale chats. Volgens mij gaan vrij weinig mensen dit gebruiken aangezien de mensen die E2E belangrijk vinden toch een andere dienst gaan gebruiken dan Facebook.

Edit: zinsbouw

[Reactie gewijzigd door BigBrotha op 24 juli 2024 01:38]

Marzman @BigBrotha • 5 oktober 2016 10:15

Ik denk ook dat weinig mensen dit gaan gebruiken. Of het interesseert je niet en je chat gewoon op Facebook, of je vertrouwt het niet helemaal en daar gaat die encryption ook niks aan veranderen. Misschien werkt het juist wel omgekeerd en zet je alleen een flag aan voor inlichtingendiensten als je het gebruikt je hebt totaal geen inzicht op de werking (zie bericht over Yahoo!).

Kmphs @LankHoar • 5 oktober 2016 10:36

Wat je niet beseft is dat er sprake is van end-to-end encryptie.
Dit wil zeggen dat de berichten aan de kant van de verzender versleuteld worden, en aan de kant van de ontvanger weer ontsleuteld. Hierdoor kunnen de berichten op alle tussenstations niet gelezen worden.

Het is echter perfect mogelijk dat de apps aan de kant van de verzender en/of ontvanger de berichten wel bekijken (net voor of na het ontsleutelen), en de inhoud of andere gegeven doorsturen naar hun servers.

Aangezien het om closed-source apps gaat, valt dit niet te controleren. Facebook/WhatsApp kunnen dus schaamteloos doorgaan met jouw gegevens te bekijken en te oogsten.

Bij een open-source app, zoals Signal zelf, valt wel vrij eenvoudig te controleren dat de ontwikkelaar geen toegang tot deze gegevens heeft.

LankHoar @Kmphs • 5 oktober 2016 10:39

Je verwoord mijn gedachten, ik dacht daar dus precies ook aan. En los van de daadwerkelijke werking snap ik niet waarom Facebook publiekelijk zo'n goede jongen wil zijn. Hoewel het wellicht alleen daarvoor is, de goede jongen uithangen..

Dreamvoid @Kmphs • 5 oktober 2016 11:37

Niet noodzakelijk, om zeker te zijn dat er geen backdoors in zitten moet jij zelf de binaries compileren, een open source licensie is daarin eigenlijk niet relevant.

[Reactie gewijzigd door Dreamvoid op 24 juli 2024 01:38]

Kmphs @Dreamvoid • 5 oktober 2016 11:47

Zeker! Maar het valt te controleren - hetzij door jezelf, hetzij door security experts (waarna je de hash van de install kan vergelijken).

En dat is m.i. toch wel een vrij essentieel verschil met de closed-source software waar zo'n controle uberhaupt niet mogelijk is.

Dreamvoid @Kmphs • 5 oktober 2016 12:14

Dat kan wel, een security audit van de code.

Anoniem: 334725 @Dreamvoid • 5 oktober 2016 22:38

De binaries die worden verspreid hebben een bepaalde hash. Dan kan je zelf even een binary genereren en kijken of deze overeen komt met datgene wat het bedrijf verspreid. Het vergt wel wat moeite om exact dezelfde instellingen te krijgen maar dit is een manier om het te verifiëren.

DarkForce @LankHoar • 5 oktober 2016 14:12

Gelukkig heb ik daar ook nog nooit een account gehad, en ook geen Whatsappp meer

Facebook vertrouw je niet, Whatsapp vertrouw je niet maar zeg eens eerlijk, heb je dan inmiddels niet ook al Microsoft uit je hele leven verbannen en Google met haar diensten en producten?

Het klinkt tenslotte heel stoer .... ik maak geen gebruik van Facebook en/of Whatsapp want mijn privacy is mij heilig en ik vertrouw ze voor geen meter, maar als je dan juist nog Google en Microsoft producten/diensten gebruikt, dan ben je natuurlijk ook niet helemaal helder. Facebook is in tegenstelling tot Microsoft en Google nog een lieverdje.

[Reactie gewijzigd door DarkForce op 24 juli 2024 01:38]

LankHoar @DarkForce • 5 oktober 2016 14:17

Google ben ik aan het uitfaseren, ben bijvoorbeeld overgestapt op Protonmail. Onder Android kom ik niet uit door mijn werk (want Apple is heus niet beter, en vind ik niet prettig werken), echter wil ik daar zo weinig mogelijk persoonlijke dingen mee gaan doen (dus geen prive mail meer checken e.d.). Windows draai ik nog wel op mijn desktop (wel allemaal opensource encryptie op mijn schijven), op mijn laptop ben ik Ubuntu aan het ontdekken. Ik voel me echter nog niet thuis genoeg om helemaal over te stappen.

M.a.w. work in progress

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@LankHoar • 5 oktober 2016 16:30

Welnee, Facebook heeft nog steeds alle metadata van de gesprekken in Facebook Messenger. Dat is voor Facebook een stuk interessanter dan de inhoud van de gesprekken, die zijn niet echt in context te analyseren.
Encryptie is een middenweg. Jij hebt de garantie dat ze je gesprekken en media niet kunnen meelezen, en zij hebben alsnog nuttige info om wat links te leggen.

Overigens denk ik dat veel mensen t niet activeren. In WhatsApp had je geen keuze, maar de meeste mensen hadden zo iets van "ja leuk, maar kan die melding weg?"

Het interesseert ze gewoon geen hol; daarom is t eigenlijk wel fijn dat WhatsApp het aan niemand gevraagd heeft maar t gewoon geactiveerd heeft zonder optie om t uit te schakelen. Bij FB Messenger heb je dan wel de keuze om het in de cloud te laten staan, iets makkelijker met meerdere devices.

Titan_Fox 5 oktober 2016 09:06

Logische beslissing van Facebook om encryptie opt-in te maken. Zo kunnen ze conversaties lezen en die gegevens voor advertentiedoeleinden misbruiken tenzij mensen encryptie inschakelen.

stevens20 5 oktober 2016 10:58

Ligt het aan mij of is Facebook aan het zorgen dat Whats-app en Messenger steeds meer op elkaar lijken? Ik ben bang dat het geen jaar meer duurt en Whats-app bestaat niet meer en gaat op in Messenger.

Binnen een half jaar kan je crossplatform berichten sturen en daarna is het één ding. Iedereen die nog geen facebook account had moet er dan een nemen om te kunnen blijven appen. Jan met de pet weet geen alternatief en iedereen maakt maar een Facebook account aan.

(Nee, ik heb geen bronnen maar dit is iets waar ik denk dat het naartoe gaat).

MadEgg @stevens20 • 5 oktober 2016 11:24

Het lijkt me inderdaad niet onwaarschijnlijk dat Facebook er op termijn niet heel veel voor voelt om twee messengers te onderhouden. Geen idee wat de reden is dat ze naast WhatsApp Facebook Messenger nog actief ontwikkelen, maar het lijkt me absoluut denkbaar dat het plan is om ze op termijn samen te voegen.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@stevens20 • 5 oktober 2016 16:58

Het lijkt me stug dat het ooit gebeurd, maar als het gebeurd dan zal dat zeker niet zo snel gaan als jij nu omschrijft.

WhatsApp en FB Messenger zijn toch behoorlijk verschillende producten met afwijkende userbase. Samenvoegen is de doodsteek voor de een of voor de ander... En dat willen ze denk ik niet.

Misschien als het WhatsApp biz platform faalt... Maar dat duurt nog even voor het online komt.

Anoniem: 204567 5 oktober 2016 12:04

Een stapje in de goede richting, maar waarom opt-in? Waarom zou iemand dit ooit niet willen?

Dreamvoid @Anoniem: 204567 • 5 oktober 2016 12:15

Als je je historie wilt bewaren.

Anoniem: 204567 @Dreamvoid • 5 oktober 2016 13:24

Wat heeft dat met encryptie te maken?

Ook historie die ik bewaar, wil ik uiteraard encrypted opslaan.

Anonymoussaurus @Anoniem: 204567 • 5 oktober 2016 15:30

Tsja. De meeste mensen zullen het niet inschakelen, omdat zij gewoon willen chatten, en niets anders. Facebook weet dit. Hier maken zij denk ik misbruik van.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Anoniem: 204567 • 5 oktober 2016 16:54

Vanwege multi-device support.

Anoniem: 204567 @WhatsappHack • 5 oktober 2016 17:33

Waarom zou end-to-end encryptie niet op multi-device kunnen?

Signal doet iets dergelijks toch ook?

[Reactie gewijzigd door Anoniem: 204567 op 24 juli 2024 01:38]

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer
Facebook
Encryptie
Facebook Messenger

@Anoniem: 204567 • 5 oktober 2016 22:18

Jazeker, sinds heeeeeel recent. Maar Signal hoeft zich geen zorgen te maken om het "gebruiksgemak" en "moet door een oma'tje nog begrepen worden" verhaal.
FB Messenger moet overal werken met niets dan je username/password en dan hop; al je berichtjes en gesprekken zo uit de cloud. Dat kan op Signal ook niet.

Het is wel mogelijk, maar voor FB is het punt dat daadwerkelijk iedereen zonder extra handelingen de dienst moet kunnen gebruiken op de manier die zij willen. Signal maakt geen, nouja... nauwelijks, compromissen op dit gebied en gaat vol voor veiligheid vs gebruiksvriendelijkheid.

Op dit item kan niet meer gereageerd worden.

Facebook Messenger krijgt end-to-end-encryptie met opt-in per gesprek

Lees meer

IT-banen

Reacties (79)

Sorteer op:

Weergave: