Maarja, ik heb hier al vaker kop-in-het-zand opmerkingen van jou gelezen als het over Whatsapp gaat (zelfs toen er in hun policy stond dat ze data deelden geloofde jij het nog niet), dus laten we daar verder maar niet over discussiëren, dat gaan we toch nooit eens worden.
Die opmerking kan ik ook omdraaien.
We houden allebei vast aan onze interpretaties (en ik ga daarnaast ook uit van berichtgeving van onder andere het EFF en vooraanstaande figuren in dat circuit), maar het is dan nogal hypocriet om te stellen dat ik wel de gene moet zijn die mijn kop in het zand steekt omdat mijn interpretatie (die ik overigens kan onderbouwen met feiten - en als we het dan oneens zijn dan kan dat, maar is het mening-based...) niet overeen komt met de jouwe.
Misschien het overwegen waard dat je zelf fout kan zitten?
We hoeven het niet eens te worden hoor, maar vind het wel apart dat je zo stellig beweert dat ik fout zit - maar die overweging niet eens maakt.
Er is voor zover ik weet nog nooit iemand hier geweest die mijn onderbouwingen heeft tegen kunnen spreken of het tegendeel kunnen bewijzen, hoogstens kunnen stellen dat zij het anders zien of bij gebrek aan bewijs vasthouden aan wat ze vermoedden.
Ik onderbouw alles altijd zeer uitvoerig uit meerdere bronnen, er is nooit bewijs aangeleverd dat WhatsApp metadata deelt. Er is bewijs geleverd dat WhatsApp data deelt met Facebook, dat is een ander verhaal - en ook nooit door mij ontkent. De scope en de hoeveelheid data, dat is echter onderdeel van discussie... Er is dus nooit een kwestie geweest waarbij ik iets niet geloofde als de policy iets anders zei - en ben dan ook nooit tegengesproken door de policies. Dat dat even opgehelderd moge zijn.
Waar ik wel even een punt van wil maken is dat er een groot verschil zit tussen SMS en Whatsapp op het gebied van privacy: de enige die een volledig overzicht heeft van jouw SMS'jes is jouw netwerkprovider. Alle andere providers zien slechts een gedeelte daarvan (alleen de klanten op hun netwerk), en daarmee is het niet waardevol voor commerciële datamining mits de providers gehouden zijn aan privacy-wetgevingen
Fixed that for you.
Niets belet de overheid om gigantisch veel data over je te verzamelen via de gegevens van providers, inclusief je plain-text communicatie.
Dat laatste is sowieso bij WhatsApp onmogelijk, voor zowel WhatsApp als de overheid.
Een beetje net als email dus: emails zijn ook plaintext maar alleen jouw eigen mailhost (kun je zelf zijn) en de ontvanger weten van de inhoud af.
Die vlieger gaat enkel op als:
1.) Jij en de persoon met wie je mailt een beveiligde verbinding gebruiken
2.) De mailservers onderling een beveiligde verbinding gebruiken, waar ook geen garantie voor is en wat vaak moeilijk te controleren is tenzij je zelf host.
Overigens verstuur ik belangrijke emails zo min mogelijk in plain-text, al is het verrekte lastig om dat te doen gezien maar heel weinig mensen tools als OpenGPG gebruiken.
En of er geen achterdeurtjes zitten in het encryptiesysteem van Whatsapp weet je ook niet.
Er is geen enkele aanleiding om dat te vermoedden, noch heeft iemand er ook maar enig bewijs voor gevonden op wat voor wijze dan ook.
En kom alsjeblieft niet aanzetten met "maar het is closed-source", want dat is nog nooit een argument geweest voor beveiligingsonderzoekers.
Sterker nog, beveiligingsonderzoekers gaan nooit uit van de broncode.
De beschikbaarheid van de broncode is een BONUS, maar geen vereiste noch een mechanisme dat garanties biedt.
We gaan sneller aan de haal met decompilers dan dat we naar de broncode op Github kijken en dan roepen "Ohhh, dan is het goed".
En dat is maar goed ook...
En daarnaast nog Amerikaans ook, dus valt onder de Patriot Act. Wellicht is jouw Whatsapp communicatie net zo plaintext als SMS, maar kom je daar nooit achter tot er weer een nieuwe Snowden opstaat.
Eerst even informatief: de Patriot Act is grotendeels vervallen.
In de luwte van de storm zijn de vervallen gedeeltes overigens met de Freedom Act (als ik het me goed herinner) weer verlengd tot 2019, maar met wat strengere controles en o.a. een minder grote vrijbrief voor de NSA.
Daarnaast forceert de Patriot Act WhatsApp om gegevens te overhandigen die ze hebben. Gegevens die ze niet hebben, zoals de inhoud van je berichten dus, kunnen ze niet overhandigen.
Daarnaast kunnen ze geforceerd worden een tap te installeren op een bepaald telefoonnummer of zelfs een compleet land. Dat is helaas mogelijk...
... Maar, dan worden encrypted berichten gedeeld.
Hoe de Amerikaanse overheid die berichten vervolgens encrypt is het probleem van de Amerikaanse overheid, gezien er geen enkele wet actief is die medewerking bij decryptie vereist noch bedrijven kunnen forceren backdoors in te bouwen. Zo'n wet bestaat echt niet. Wel kunnen ze eisen dat WhatsApp de sleutels overhandigd als zij die hebben. Die hebben ze niet, dus dat scheelt ook weer.
Wellicht heeft de overheid een manier gevonden om die berichten alsnog uit te lezen. Dat zou goed kunnen. Maar daar is geen bewijs voor, en het zou ook nogal een stunt zijn gezien die protocollen echt extreem goed getest zijn en overal met vlag en wimpel doorheen komen.
Wat bijdraagt aan de credibiliteit van de kracht van WhatsApp's encryptie, is dat uit Vault7 blijkt dat CIA/NSA/FBI extreme moeite hebben met het kraken van WhatsApp en Signal; de enige manier waarop ze dat tot dusver voor elkaar hebben gekregen is door het onderliggende OS (Android, iOS, WP, etc.) te kraken en de database te jatten. Maar dat is zeer complex, zeer moeilijk, tijdrovend en vaak is fysieke toegang tot het toestel vereist. Dat stemde mij zeer verheugd, die Moxie Marlinspike weet blijkbaar heel goed waar ie mee bezig is.
Kwestie van vertrouwen, i know, en daar heb jij blijkbaar meer van dan ik, maar ik zou me, ondanks de encryptie, echt niet veiliger voelen met Whatsapp dan met SMS.
Dat klopt. Qua vertrouwen kunnen we elkaar ontlopen.
Maar gezien de encryptie bewezen zeer sterk is, niets er op wijst dat er ook maar enige backdoor inzit of mogelijk tot kraken inzit (noot: van WhatsApp zelf, het kraken van de telefoons is een ander verhaal en altijd een risico.) en er steeds bewijs doorsijpelt dat overheden echt op geen enkele wijze de chats hebben weten te kraken.
Naast Vault7 heeft een paar dagen geleden de Britse overheid nog pissig gereageerd op WhatsApp dat ze geen backdoor hebben, en vindt dat WhatsApp die wel moet inbouwen. (Daar heeft WhatsApp schijt aan, overigens.) Nu zou je kunnen stellen "Dat is FUD om af te leiden van het feit dat ze het al kunnen!", maar feit blijft dat daar nul komma nul bewijs voor is en tot zover *niemand* een daadwerkelijk bruikbare kwetsbaarheid heeft kunnen vinden in de encryptie om te eavesdroppen.
Maar onze smaken kunnen daar zeker verschillen... Ik weet zeker dat WhatsApp en Signal vele malen veiliger zijn dan SMS.
[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:06]