Crypto-chatapp Signal gaat tools inbouwen om censuur te omzeilen

Open Whisper Systems, de organisatie die voor de ontwikkeling van de beveiligde chatapp Signal verantwoordelijk is, heeft aangekondigd dat het zijn software censuur wil laten omzeilen. De beslissing volgt op de blokkering van Signal in Egypte.

Signal logo In een tweet schrijft de organisatie dat de nieuwe functie in de komende weken beschikbaar moet komen. Open Whisper Systems geeft geen nadere details over de precieze implementatie van de functie of de werking ervan. De aankondiging volgt op de mededeling dat na onderzoek is gebleken dat Egypte communicatie via Signal blokkeert. De organisatie raadt gebruikers in de tussentijd aan om gebruik te maken van Tor of van een vpn.

Ook deze manieren zijn echter niet waterdicht. Zo bleek dit weekend dat Turkije opnieuw toegang tot het Tor-netwerk blokkeert, naast toegang tot bepaalde vpn-diensten. Dit gebeurde eerder in november, toen onder andere diensten als Hotspot Shield en Private Internet Access niet te gebruiken waren. In een recent bericht stelt beveiligingsonderzoeker 'The Grugq' dat het vaak beter is om een vpn in plaats van Tor te gebruiken, omdat vpn's minder opvallen. Bovendien zou de Tor-browser vaak achterlopen door gebruik van oude Firefox-code.

Signal is een communicatieapp die het mogelijk maakt versleutelde berichten uit te wisselen aan de hand van het Signal-protocol, dat eveneens de basis vormt van de end-to-end-encryptie van WhatsApp.

Reacties (41)

The Zep Man

Encryptie
Privacy

20 december 2016 08:40

Dit is waarvoor ik al eerder waarschuwde. Signal kent een single point of failure: de 'master' server. Elke chatclient met enkel meegeleverde hard-coded serveradressen zal falen, omdat een land slechts de (bijbehorende) IP adressen hoeft te blokkeren.

Wat bijvoorbeeld nodig is, is een client die zichzelf decentraal kan distribueren en een lijst met (geanonimiseerde/willekeurige buitenlandse) nodes om mee te verbinden bijhoudt, waarvan er enkelen worden gedeeld als de applicatie wordt gedeeld. Met die enkele nodes kan een nieuwe node de rest 'bootstrappen'. M.a.w.: een volledig decentraal netwerk. Om NAT te omzeilen kunnen servers van vrijwilligers gebruikt worden die alleen dienen om een verbinding op te zetten. De rest is end-to-end encryptie.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 08:05]

novasurp @The Zep Man • 20 december 2016 10:46

De maker van Signal heeft zich heel vijandig opgesteld tegenover het principe van decentralisatie. Ze vinden dat het niet kan werken omdat elke client dan weer andere functies ondersteunt, waardoor het moeilijk wordt om nieuwe functies toe te voegen omdat je dan om een soort lowest common denominator heen moet werken.

Persoonlijk vind ik dat heel raar. Hopelijk slaat Riot/Matrix aan.

kuurtjes @novasurp • 20 december 2016 14:18

Ik sta vooral achter het Tox project. Het is een P2P chatclient met decentralized nodes. (Ik run er zelf ook één!) https://tox.chat/

Voor Matrix ben je afhankelijk van 1 bepaalde server wat dan weer automatisch spijtig is. (Het lijkt wat op XMPP)

novasurp @kuurtjes • 20 december 2016 15:03

Voor zover ik weet is de ontwikkeling van Tox nogal vastgelopen en is verbruik van resources op mobiele apparaten een ramp.

Verwijderd @The Zep Man • 20 december 2016 09:41

Het probleem van een decentraal of zichzelf updatend netwerk is dan weer dat je met kinderlijke eenvoud kwaadaardige servers in het netwerk kan injecteren en informatie kan onderscheppen. Omdat de encryptie end-to-end is betekent dat niet gelijk dat je berichten op straat liggen, maar de keuze om dit mechanisme wel of niet te gebruiken zal weloverwogen gemaakt zijn.

Edit @ hieronder: niemand beweert dat elke node bij de data kan. Het gaat er simpelweg om dat kwaadaardige servers eenvoudig te injecteren zijn in een systeem als dat decentraal is. Zodra er een dynamische lijst bijgehouden wordt waarop de servers staan, kan iemand met kwade bedoelingen zichzelf aan die lijst toevoegen en zo verkeer over zijn servers leiden. Dat is uiteraard een versimpelde weergave van de aanval, maar wel waar die vector op neerkomt.

Bij een systeem als Tor heb je meer kans op succes als je meer nodes onder je controle hebt, maar inmiddels is wel duidelijk dat sommige inlichtingendiensten vaak de communicatie van specifieke doelwitten kunnen onderscheppen mede dankzij een behoorlijk aantal nodes onder hun bewind. Die methode is te arbeidsintensief om op al het verkeer toe te passen, dus sleepnetmethodes zijn vooralsnog niet mogelijk.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:05]

Verwijderd @Verwijderd • 20 december 2016 10:09

Uhmm, nee.

Kijk bijv, naar Tor.. je moet een best wel insane aantal nodes hebben geinjecteerd om inhoud van berichten te achterhalen.

Er zijn echter wel methoden om dmv tijd te kijken of een communicatie kanaal van iemand afkomstig is. Maar de kinderlijke eenvoud die jij verteld is gewoon onwaar.

Hoe jij het verteld kan elke node bij de data en daar is bij nagenoeg geen enkel zich zelf respecterend systeem sprake van!

The Reeferman @Verwijderd • 20 december 2016 10:52

Tor chat is decentraal meen ik.

jp @The Zep Man • 20 december 2016 09:27

Zoals Skype werkte voordat het overgenomen werd, bedoel je?

gnodeb @The Zep Man • 20 december 2016 11:59

Zoals een xmpp netwerk? Zou dat de blokkade kunnen omzeilen? Met de client Kontalk (https://kontalk.org) bijvoorbeeld?

geke-sulen @The Zep Man • 20 december 2016 16:42

Misschien een blockchain?

W00fer @The Zep Man • 20 december 2016 17:07

Bittorrent Bleep heeft decentrale servers als ik me niet vergis.

Verwijderd 20 december 2016 08:01

VPN's zijn helemaal niet beter dan Tor. Veel VPN protocollen zijn zwak en kunnen gekraakt worden door inlichtingendiensten. De Tor Browser loopt ook maar een paar dagen achter op de Firefox browser, waar deze op gebaseerd is.

Alleen OpenVPN is veilig, naar mijn weten. De rest zijn veilig voor 'casual' gebruik, maar zeker niet als je echt iets te verbergen hebt.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:05]

tijnvw @Verwijderd • 20 december 2016 08:24

Vind ik wel een interessante stelling dat alleen OpenVPN veilig is. Als VPN-newbie was ik in de veronderstelling dat IPSec (met AES) de beste beveiliging biedt. Heb er een enige tijd geleden behoorlijk wat tijd in gestoken om dat goed uit te zoeken, maar blijkbaar wat over het hoofd gezien. Heb jij een goede bron met meer informatie over de veiligheid (en wat je daar zelf aan kunt doen als je een server hebt) van VPN's?

Zal zelf een antwoord geven, aangezien ik toch wel benieuwd was geworden:

Inderdaad is OpenVPN de aangewezen modus als het gaat om veiligheid. Eigenlijk is het verschil tussen OpenVPN en IPSec hetzelfde als tussen vrijwel elke commerciële de facto-standaard en de open source variant: de commerciële variant wordt héél veel gebruikt en heeft goede marketing. Is niet bewezen onveilig. De open source-variant wordt door een minder uitgebreid dev-/marketingteam ondersteund, maar is wel publiek te auditen en bevat derhalve in ieder geval alle gelegenheid om '100% veilig' te kunnen zijn.

Zie hier voor een goede uitleg en hier voor iets basaler de verschillen tussen beide.

De reden dat ik op dit moment IPSec draai, komt eigenlijk omdat ik daarvoor geen aparte software nodig heb, maar IPSec in het besturingssysteem ingebakken zit. Misschien toch maar eens heroverwegen.

[Reactie gewijzigd door tijnvw op 25 juli 2024 08:05]

The Zep Man

Encryptie
Privacy

@tijnvw • 20 december 2016 09:13

Eigenlijk is het verschil tussen OpenVPN en IPSec hetzelfde als tussen vrijwel elke commerciële de facto-standaard en de open source variant

Dat is het niet. OpenVPN is de naam van een open-source product en een protocol. IPSec is alleen de naam van een protocol. Beide protocollen zijn open. Van IPSec zijn er closed-source en open-source implementaties.

Het wezenlijke verschil tussen OpenVPN en IPSec als protocollen is de complexiteit en schaalbaarheid. IPSec is goed om met een lage overhead stabiele site-to-site verbindingen op te zetten. Er bestaan wel 'roadwarrior' configuraties, maar dat is niet zo flexibel als OpenVPN. IPSec gebruikt level 3 verkeer en/of level 4 via UDP 500 en 4500. Daardoor is het gemakkelijk te identificeren. OpenVPN draait over een enkele, zelf te definiëren TCP of UDP poort, die ook nog eens obfuscated ge-encapsuleerd kan worden. Daarom is OpenVPN een stuk interessanter voor dit soort doeleinden.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 08:05]

Verwijderd @The Zep Man • 20 december 2016 12:38

De TLS-achtige handshake van OpenVPN is wezenlijk anders dan een normale TLS handshake. Dat maakt het juist eenvoudig om OpenVPN te onderscheiden van normaal TLS verkeer (ook als het op poort 443 draait), iets wat in China momenteel gebeurt.

Met een simpele obfuscatie kun je dat inderdaad eenvoudig voorkomen, maar obfuscatie is geen standaard onderdeel van OpenVPN, waardoor je het of moet patchen of iets als obfsproxy moet gebruiken. Datzelfde zou je natuurlijk net zogoed kunnen doen met een Open Source IPSec implementatie.

edzob @Verwijderd • 20 december 2016 09:10

Alleen OpenVPN is veilig, naar mijn weten. De rest zijn veilig voor 'casual' gebruik, maar zeker niet als je echt iets te verbergen hebt.

Deze uitspraak hoorde ik laatst ook, maar kon er niet echt bevestiging voor vinden.
Na wat zoeken kwam ik bij wat nordVPN artikelen uit. Daar gebruikten ze standaard openVPN maar zijn nu langzaam maar zeker al hun apps naar IKEv2/IPsec aan het migreren. En uit de comments etc kan ik alleen maar afleiden dat iedereen dat super tof vindt. Dus dat zou impliceren dat IKEv2/IPsec > OpenVPN ?

imho lijkt het erop dat de layer3 implementatie iets veiliger is qua reach dan de openVPN layer4 approach.. maar ik ben een redelijke leek op het gebied van security.

IKEv2/IPsec

quote: https://nordvpn.com/blog/security-protocols/
The latest addition to NordVPN security protocol family, which is also protected by IPsec, just as L2TP is, however IKEv2/IPsec significantly increases security and privacy of the user by employing very strong cryptographic algorithms and keys. NordVPN uses NGE (Next Generation Encryption) in IKEv2/IPsec. The ciphers used to generate Phase1 keys are AES-256-GCM for encryption, coupled with SHA2-384 to ensure integrity, combined with PFS (Perfect Forward Secrecy) using 3072-bit Diffie Hellmann keys. IPsec then secures the tunnel between the client and server using the strong AES256. This is the protocol, which provides the user with peace of mind security, stability and speed. For these reasons, it is highly recommended by NordVPN and has been adopted as a default in the iOS and mac OS apps. Instructions for set up for other devices coming soon.

IKEv2/IPsec and Other Security Protocols

quote: https://nordvpn.com/blog/ikev2ipsec/
IKEv2/IPsec (the latest addition in NordVPN protocols) is also protected by IPsec, just as L2TP is, however IKEv2/IPsec significantly increases security and privacy of the user by employing very strong cryptographic algorithms and keys. NordVPN uses NGE (Next Generation Encryption) in IKEv2/IPsec. The ciphers used to generate Phase1 keys are AES-256-GCM for encryption, coupled with SHA2-384 to ensure integrity, combined with PFS (Perfect Forward Secrecy) using 3072-bit Diffie Hellmann keys. IPsec then secures the tunnel between the client and server using the strong AES256. This is the protocol, which provides the user with peace of mind security, stability and speed. For these reasons, it is highly recommended by NordVPN and has been adopted as a default in the iOS app and will soon be available on other platforms.

IPSec vs SSL VPNs comparison

quote: https://security.stackexc...-for-using-ssl-over-ipsec
Both SSL and IPSec VPNs are good options, both with considerable security pedigree, although they may suit different applications.

IPsec VPNs operate at layer 3 (network), and in a typical deployment give full access to the local network (although access can be locked down via firewalls and some VPN servers support ACLs). This solution is therefore better suited to situations where you want remote clients to behave as if they were locally attached to the network, and is particularly good for site-to-site VPNs. IPSec VPNs also tend to require specific software supplied by the vendor, which is harder to maintain on end-user devices, and restricts usage of the VPN to managed devices.

SSL VPNs are often cited as being the preferred choice for remote access. They operate on layers 5 and 6, and in a typical deployment grant access to specific services based on the user's role, the most convenient of which are browser-based applications. It is usually easier to configure an SSL VPN with more granular control over access permissions, which can provide a more secure environment for remote access in some cases. Furthermore, SSL/TLS is inherently supported by modern devices, and can usually be deployed without the need for specialist client-side software, or with lightweight browser-based clients otherwise. These lightweight clients can often also run local checks to ensure that connecting machines meet certain requirements before they are granted access - a feature that would be much harder to achieve with IPSec.

In both cases one can be configured to achieve similar things as the other - SSL VPNs can be used to simply create a tunnel with full network access, and IPSec VPNs can be locked-down to specific services - however it is widely agreed that they are better suited to the above scenarios.

However, for exactly these reasons, many organisations will use a combination of both; often an IPSec VPN for site-to-site connections and SSL for remote access.

[Reactie gewijzigd door edzob op 25 juli 2024 08:05]

Verwijderd @edzob • 20 december 2016 12:44

Voordeel van IKEv2 is dat het op iOS, BlackBerry, Windows, Windows Phone, OS/X, etc. standaard ingebakken zit en ook nog eens optimalisaties bevat voor mobiel gebruik. Dat laatste zorgt voor een lager batterij gebruik en minder problemen bij het switchen tussen Wi-Fi en mobiele data tijdens een active VPN verbinding.

In de aankomende versie 2.4 van OpenVPN zitten vergelijkbare verbeteringen voor mobiel gebruik. Maar het blijft natuurlijk een extern programma dat geïnstalleerd moet worden. Afhankelijk van de situatie is dat een voordeel (je kunt er je eigen app omheen bouwen) of een nadeel (voor IKEv2 zijn er op iOS bijvoorbeeld een hoop 3rd-part apps en widgets.)

Terracotta @Verwijderd • 20 december 2016 08:04

Ook OpenVPN is dit jaar regelmatig in het nieuws gekomen wegens onveiligheden.
Het doel van de VPN of Tor verbinding met Signal is niet om het te beveiligen, maar om de dienst te kunnen leveren. Signal op zich is behoorlijk tot zeer goed beveiligd. Wat meteen de reden is waarom men dit zo graag blokkeert.

Schoors @Verwijderd • 20 december 2016 08:24

Een VPN gebruiken om een blokkade te omzielen is nog steeds efficient. Omdat een VPN geblokeerd wordt wil dit nog steeds niet zeggen dat elke verbinding gehacked wordt...

leuk_he @Verwijderd • 20 december 2016 17:32

Openvpn is zo uitgebreid en daardoor zo makkelijk fout te configureren, zou echt mensen een simpeler pakket aanraden. nieuws: Overheid stapt over op opensource-vpn-pakket

Verwijderd 20 december 2016 08:10

Voor een VPN moet je betalen, kan niet anoniem.

tijnvw @Verwijderd • 20 december 2016 08:19

Sinds er steeds meer betaalbare NAS-oplossingen komen, heb ik er ook een (en daarna nog 2

) aangeschaft. Op een Synology NAS is het bijvoorbeeld erg eenvoudig een goedwerkende VPN-server op te zetten.

Dat is dus wel betaald (hoewel niet duur, zeker niet als je het met een aantal vrienden doet), maar zijn je persoonlijke gegevens niet bij een commerciële partij bekend. Wat betreft anonimiteit verandert er natuurlijk niet gek veel, hoewel je je VPN-server niet in het land dat jouw de internettoegang ontzegt zou hoeven zetten. Toegegeven, als inlichtingendiensten jou als specifieke verdachte uitgekozen hebben, zullen ze je hoogstwaarschijnlijk te pakken krijgen. Dat is natuurlijk een andere discussie, maar deze reactie meer om aan te geven dat je niet per se van commerciele aanbieders gebruik hoeft te maken voor een goede VPN.

edit: verduidelijking verschil anoniem/omzeilen blokkade

[Reactie gewijzigd door tijnvw op 25 juli 2024 08:05]

mocean @tijnvw • 20 december 2016 08:28

Als je verbindingen via je thuis-IP lopen (VPN), dan is het toch totaal niet anoniem?

Werkt misschien om in Turkije of China te kunnen Facebooken e.d., maar verder omzeil je geen data-vergaring o.i.d.

Coffee @mocean • 20 december 2016 09:06

Opzich kun je voor luttele euro's per maand een Dedicated server draaien en daar een vpn server opzetten. Bijvoorbeeld bij kimsufi.com

Tozz @Coffee • 20 december 2016 13:53

Dan ben je evenmin anoniem. Dan is een VPN dienst vast goedkoper.

Coffee @Tozz • 20 december 2016 15:51

Oeps, je hebt gelijk. Ik had heb meer over het omzeilen van de blokkade in Egypte!

SkiFan @mocean • 20 december 2016 09:57

Het lijkt me dat juist dit veel minder opvalt. Een VPN naar een grote VPN provider lijkt me juist een dikke rode vlag te dragen, en juist die providers zullen ook het meeste met afluisteren te maken krijgen. Hetzelfde met gebruikers die PGP gebruiken, die mails lichten in de systemen van de diverse geheime diensten ook op als extra interessant. Dan heb je de focus dus al op je gevestigd.

Verwijderd @tijnvw • 20 december 2016 08:54

Ik heb vpn om mijn pi'tje draaien, nog goedkoper dan een toch wel dure synology.

kwakzalver @tijnvw • 20 december 2016 09:06

... ... zeker niet als je het met een aantal vrienden doet), maar zijn je persoonlijke gegevens niet bij een commerciële partij bekend...

Hopelijk zijn je vrienden zeer betrouwbaar en maken ze geen misbruik van je VPN verbinding en/of delen ze deze op hun beurt niet weer met hun vrienden. Anders zou het verstandiger zijn de VPN privé te houden.

Daarnaast zijn jou (of je familie) gegevens bekend bij de partij waar je je DSL verbinding afneemt.

Dacuuu @Verwijderd • 20 december 2016 09:05

https://www.privateinternetaccess.com

Betalen met bitcoin of vele andere manieren. Kan goed anoniem dus.

W00fer @Dacuuu • 20 december 2016 17:10

Private Internet Access is zo lek als een mandje. Bij een pedofilie zaak is alsnog het IP vrijgegeven...
Dus wie bescherm je en wie niet? Censureer je wel de Egyptenaren en niet de pedofielen of?

Is een andere discussie maar komt op hetzelfde neer. Die VPN'S zijn ook niet safe.

Tozz @Dacuuu • 20 december 2016 13:54

Ja en nee. Je betaling is anoniem. Maar het is de vraag of die VPN provider er ook alles aan doet om jouw anoniem te houden. ALs ze gewoon alle connecties loggen, en dus jouw thuis IP weten waar een overheidsdienst om vraagt ben je alsnog niet anoniem.

Verwijderd @Verwijderd • 20 december 2016 08:42

Een goede vpn dienst kun je prima anoniem afrekenen met bijvoorbeeld paysafecard, btc of zelfs cash per post. Je gebruikt enkel een mail adres bij het aanmaken van je account, wachtwoord krijg je toegestuurd per mail.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:05]

edzob 20 december 2016 09:00

imho is de titel van dit bericht een beetje.. euhm.. mweh..

Crypto-Chat app? waarom niet gewoon chat app.. of gaan we whatsapp ook nu steeds Crypto-Chat app noemen?

Cenzuur? waarom niet gewoon blokkade benoemen. Cenzuur kan ook impact op inhoud van een bericht hebben en volgens mij is dat bij Signal juist niet het geval. Het gaat hier om blokkade..

ik gok dat er inspiratie is uit tweets als deze

https://twitter.com/matrixdotorg/status/810981427215028224

Neo_TGP @edzob • 20 december 2016 09:07

Ik vond de titel inderdaad ook verwarrend, ik had als het censuur betrof eigenlijk twee andere features verwacht. Allereerst een signaal zonder bericht dat er een bericht naar je verstuurd (via een los kanaal en niet te relateren aan het werkelijke bericht) en als tweede een mogelijkheid om eenvoudig te matchen of het ontvangen bericht identiek is aan het verzonden bericht..

novasurp @Neo_TGP • 20 december 2016 10:43

en als tweede een mogelijkheid om eenvoudig te matchen of het ontvangen bericht identiek is aan het verzonden bericht..

Dat wordt zowiezo moeilijk als de telefoon zelf tegenwerkt. iOS 10 bijvoorbeeld past soms automatisch een soort inhoudsaanpassing toe, zowel bij zenden als ontvangen. (Hier wil Whisper Systems overigens gek genoeg niets tegen doen...)

aileron 20 december 2016 09:38

vraag me af of je encrypted verkeer zoals van signal of vpn kan verbergen door deze via poort 443 te laten lopen en het op https verkeer laat lijken.
Dan wordt het volgens mij al een stuk lastiger om dat verkeer te blokkeren.

wjn 20 december 2016 09:39

Internet en anoniem? Tegenspraak!

teek2

20 december 2016 10:54

Dit programma gebruikt standaard al TOR: https://play.google.com/s...tails?id=onion.chat&hl=nl

Anonymoussaurus

Smartphones

20 december 2016 14:08

Waarom zou Signal geblokkeerd worden in Egypte? Zal dat met de aanslagen te maken hebben? Dan snap ik niet dat WhatsApp niet geblokkeerd, aangezien WhatsApp van hetzelfde protocol als Signal gebruik maakt. Als IS-strijders zien dat ze geen gebruik meer kunnen maken van Signal en/of WhatsApp, zullen ze wel een andere app gaan gebruiken die ook een sterke encryptie heeft. Het is dus gewoon dweilen met de kraan open..

Op dit item kan niet meer gereageerd worden.

Crypto-chatapp Signal gaat tools inbouwen om censuur te omzeilen

Lees meer

Reacties (41)

Sorteer op:

Weergave: