Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Twitter werkt wellicht aan end-to-end-encryptie bij direct messages

Twitter is wellicht bezig met het doorvoeren van end-to-end-encryptie bij de functie van het versturen van directe berichten naar andere gebruikers. De zogeheten 'secret conversation'-functionaliteit blijkt in de apk van Twitters Android-app te zitten.

Twitter logo nieuw fpaJane Manchun Wong ontdekte de encryptieoptie in de apk, die het waarschijnlijk mogelijk maakt voor Twitter-gebruikers om elkaar directe berichten te versturen die zijn beveiligd met end-to-end-encryptie. Apps zoals WhatsApp en Signal maken hier al gebruik van.

Apk's bevatten nogal eens code voor nieuwe functionaliteit die nog niet officieel is uitgebracht. Twitter heeft geweigerd om commentaar te geven, ondanks een verzoek daartoe van onder meer TechCrunch. Het is daardoor nog niet duidelijk of en wanneer de functionaliteit wordt uitgebracht.

De Amerikaanse klokkenluider Edward Snowden riep Twitter in december 2016 al op om te komen met een betere beveiliging van de directmessagefunctie. De ceo van Twitter, Jack Dorsey, zei toen in een reactie het een redelijk verzoek te vinden en dat Twitter erover ging nadenken.

In principe kunnen Twitter-gebruikers andere, voor hen onbekende gebruikers directe berichten versturen, tenzij de ontvanger daarvoor een filter heeft ingesteld. Twitter heeft deze filterfunctie voor privťberichten in mei vorig jaar geÔntroduceerd.

Door Joris Jansen

Nieuwsredacteur

08-05-2018 • 12:46

35 Linkedin Google+

Submitter: AnonymousWP

Reacties (35)

Wijzig sortering
Zijn er technische barriŤres om End-To-End Encryption niet als standaard of default in te stellen in plaats van een bijkomende secret chat fucntion?
Functionele barrieres. Alleen het eind punt kan de berichten ontsleutelen. Dus als de beveiligde chat van iemand naar jouwn mobiel loopt kan enkel je mobiel die uitlezen en kan je het niet ook vanaf je desktop zien easy. Daarom dat de whatsapp web-app ook een verbinding met je telefoon nodig heeft :)

Je kan een optie maken om handmatig de sleutel van je mobiel naar browser te loodsen maar dat is niet super gebruikersvriendelijk (van mij mag dat de standaard worden hoor, maar ik bekeek het uit Twitter’s oogpunt ;) ). En dan moeten de versleutelde berichten in de cloud opgeslagen blijven (bij whatsapp gebeurd dat enkel als een bericht nog niet bezorgd is, en er maar 1 vinkje staat, of als je een back up maakt).
Inderdaad, en je hoeft maar een keer de caches/opslag te legen, of die wordt bijv leeggegooid om wat voor reden dan ook, en je kan weer de berichten niet meer lezen in je browser. UE-hell, zullen we maar zeggen. :P Het kŠn wel, maar het noobproof maken is... Lastig. Je kan een noobproof opzet als WhatsApp nemen natuurlijk, maar die konden de keuze om het toestel te leveragen veel makkelijker maken dan Twitter dat zou kunnen ivm de standalone webfuncties en het enorme scala aan tools en apps van derde partijen. (Tenminste, als ze het mogelijk willen maken dat die het ook ondersteunen)

Fragmentatie komt dan heel snel om de hoek kijken, en dŠt zullen ze vast geen prettig idee vinden op Twitter HQ. Of juist wel omdat er dan misschien meer mensen de officiele app gebruiken, al lijkt dat me stug gezien maar een selecte groep de encryptie iets boeit ten opzichte van gemak.
Ja, de tig third-party apps en het gebruik van de Twitter website maakt het wat lastiger om dit te forceren.
en wat gaat het uitmaken? alle overheden kunnen gewoon vrolijk meekijken en als een overheid dat niet kan dwingen ze het af of schoppen twitter het land uit.

lijkt mij nog steeds een wassen neus.
Ehh.. Dat is heeeel kort door de bocht. De encryptiemethode kan heel veel verschil maken. Om te beginnen met waar de privťsleutels worden opgeslagen. Met het Signal protocol wordt dit bijvoorbeeld lokaal op het toestel opgeslagen, maar met bijvoorbeeld de sleutels van Telegram wordt dit op de server opgeslagen. Niet om Telegram daarmee af te blaffen hoor ofzo, want er zijn zat andere chat-apps die dat zo doen.

Bovendien hebben we het hier expliciet over end-to-end encryptie, wat 9 van de 10 keer betekent dat de server de private key niet heeft.

[Reactie gewijzigd door AnonymousWP op 8 mei 2018 13:15]

wat voor een vershil maakt het dan in de praktijk? oeverloos geklep tussen 2 vriendinnen word versleuteld maar niemand heeft er wat aan of het andere extreme zijn 2 terroristen/vrijheidsstrijders die zaken bespreken. als er dus end to end versleuting is kan men dus van beide partijen niet worden meegekeken door een derde partij. overheden zullen dat niet accepteren dus willen een achterdeurtje wat dus betekent dat ze en masse alles wat iedereen zegt door hun servers halen wat de hele encryptie nutteloos maakt. immers kan men van beide gevallen meelezen.
Nou, dat is een wereld van verschil. De server kan namelijk jouw berichten zo meelezen als de server zelf de sleutel heeft om de berichten te ontsleutelen. De private key op jouw toestel verlaat het toestel niet, dus komt de server niet bij die sleutel.

Tuurlijk willen ze een achterdeurtje, maar of ze het krijgen is een tweede. Daar zijn al wat voorbeelden van:Bovendien moet er dan aan het protocol zelf gesleuteld worden, wat in het geval van WhatsApp, Signal en Messenger, dat bij Open Whisper Systems ligt. OWS wordt weer geleid door voornamelijk gasten met verstand van security en privacy.

[Reactie gewijzigd door AnonymousWP op 8 mei 2018 13:21]

vrijwel alle bedrijven hebben die concessies al wel gedaan. zelfs blackberry in india om maar 1 voorbeeld aan te dragen.
En oja, nog wat anders: met het geven van die sleutels kan dat bij het Signal protocol niet eens. Dat is dus het probleem van onder andere Telegram; die slaan de sleutels wel op, dus kunnen die sleutels wel overhandigd worden. Bij anderen kan dat niet eens, omdat ze dan of het toestel moeten hacken, of ze het protocol moeten verzwakken.

BlackBerry had ook de sleutels op de servers staan in plaats van op het toestel zelf.
klopt, maar dat staat nog steeds los van het feit dat het een wassen neus is. een land zoals india of rusland mietert het bedrijf gewoon het land uit tenzij men inzage krijgt. en als 1 land dat kan kunnen ze het wereldwijd dus ook. of was men nu al vergeten dat micorsoft schoorvoetend moest toegeven dat het opzettelijk achterdeurtjes in skype en dergelijk had gebouwd voor de amerikaanse overheid terwijl ze stug volhielden dat ze het niet deden want het kon technsich niet?

[Reactie gewijzigd door flippy op 8 mei 2018 13:34]

Daar ben ik het mee eens, maar het lijkt mij stug/onwaarschijnlijk dat straks hier heel de EU aan gaat meedoen. De VS kan ik mij nog enigszins voorstellen. Stel dat dat gebeurt, dan zijn er altijd nog alternatieven. Als app A geblokkeerd wordt, heb je altijd nog B, en als B ook geblokkeerd wordt, maakt iemand een nieuwe app, namelijk C.

De oplossing was hiervoor eerst Domain Fronting, maar ja, dat werkt nu dus niet meer :p.Wellicht dat ze een nieuwe, verbeterde implementatie verzinnen, waarbij ze niet afhankelijk zijn van grote bedrijven als Google etc.
Het maakt uit omdat het indiscriminate surveillance of sleepnet spioneren moeilijker maakt. Als alleen targets encryptie gebruiken zijn ze er makkelijker uit te filteren dan wanneer ze verborgen zijn tussen onschuldige katten foto's... terwijl als de politie daadwerkelijk een verdachte op het oog heeft kunnen ze nog steeds specifiek achter hem of haar aangaan dus het verhinderd echt politie week niet veel.

Daarom is het let's encrypt project zo belangrijk: het maakt surveillance duurder.
en wie mag het gaan betalen uiteindelijk? :/
Hoe bedoel je? We krijgen minder surveillance - dat is goed voor onze democratie en onze maatschappij... Als de russen/Chinezen/Amerikanen dan besluiten om meer geld uit te geven aan surveilance, nou ja, dat word dan betaald door de russen/chinezen/amerikanen. Dubbel goed voor ons dus.
waar haal je het idee vandaan dat de nederlandse/eurpese overheid minder uitgeeft aan surveillance in de toekomst?
Het surveillen van een target word er niet duurder op, tenminste niet veel. Een agent kost nog steeds net zoveel he en als je iemand's telefoon afpakt of het huis binnen komt met een rechterlijk bevel maakt dit allemaal niet uit.

Het enige dat duurder word is sleepnet achtige zaken, en daar heb je als burger sowieso geen voordeel aan. Criminaliteit of terrorisme worden daar niet mee verminderd dus als dat duurder word - nou ja, met wat geluk draaien ze het de nek om, DAAR zouden we wel allemaal beter van worden.
waar haal je dat vandaan? we hebben het hier over massale overheidssurveillance. dat word gedaan met enorme serverparken en word gerunt door incompetente amtenaren en externe leveranciers. dat heeft niks te maken met bijvoorbeeld de opsporing van (criminele) hangjongeren.
Dat was mijn punt. Het hele surveillance sleepnet verhaal doet toch niks voor het doel waarvoor de politici het aan de burgers verkocht hebben dus wanneer het duurder/minder effectief wordt zal ik daar niet wakker van liggen. Ik hoop dat dat helpt om te besluiten het de nek om te draaien.

Terwijl targetted surveillance weinig last heeft van Let's encrypt enzo.
Het zal eerder een reden zijn om nog meer uit te geven. Dat is historisch hoe een overheid werkt.
Mja, dat is inderdaad een risico.
Ben benieuwd welk schema ze ervoor gaan gebruiken. Gewoon met OWS in zee en Signal Protocol erop gooien (immers hebben ze vast nog wel een direct lijntje met Moxie, die heeft immers voor ze gewerkt toen ze WhisperSystems van hem hebben gekocht.) of gaan ze toch voor iets anders? Anderzijds is E2EE wellicht wat lastiger te ondersteunen in browsers denk ik, waar Twitter toch veel gebruikt wordt, dus dan enkel in de apps? En dan moeten third-party apps het eigenlijk ook allemaal gaan ondersteunen (moet je hopen dat dat goed gaat); maar multi-app gaat dan ook weer niet zomaar ivm het end to end aspect. Vragen, vragen... :P

Hoop iig niet dat ze voor een roll your own opzet gaan. Eerlijk gezegd klinkt dit door de opzet van Twitter inderdaad als een aardige uitdaging wil je zo “open” blijven :P Ben heel benieuwd of ze t enkel houden bij ondersteuning in de officiŽle Twitter-apps en verder gewoon niet, of dat ze meer gaan proberen en bredere ondersteuning inbouwen. En iets voor appdevs beschikbaar maken. Ik denk dat het makkelijkste is om het enkel in de officiŽle app te proppen... Zo heeft Facebook het ook ‘opgelost’, in de browser werkt het niet.
Anderzijds is E2EE wellicht wat lastiger te ondersteunen in browsers denk ik
"wat lastiger"??? Het is vrijwel onmogelijk om veilig E2EE te doen in een browser... Het kan met een browser add-in maar verder niet, en met de veelheid van browsers en platforms deze dagen is dat niet waarschijnlijk.

Het hele E2EE in een browser is gevaarlijke schijnveiligheid. Zie https://secushare.org/end2end en https://nextcloud.com/blo...n-and-why-does-it-matter/
Hoe komt de private public key van de ene persoon naar de andere persoon? Dat is wat ik me hier afvraag en ook bij WhatsApp. Gaat gaat dat via de servers van hun? Immers, dan kan het wel end to end zijn, maar als de initiŽle handshake langs de servers gaat moet je maar vertrouwen dat hun de keys verwijderen nadien.

[Reactie gewijzigd door ZpAz op 8 mei 2018 14:21]

Hoe komt de private key van de ene persoon naar de andere persoon?
Niet, het is immers de private key. Je bedoelt wellicht de public key. En de enige veilige manier om is om publik keys in persoon te verifieeren. Een alternatief is een Web of Trust: als ik iemand vertrouw (en de pub key heb geverfieeerd) en die persoon vertrouwt (en verifieerde) een derde persoon, dan kan ik wellicht rechtstreeks de public key van die derder persoon vertrouwen (lang leve https://en.wikipedia.org/wiki/Key_signing_party)
Yep, en dat kan dus ook bij WhatsApp, zowel handmatig de sleutel vergelijken (als je fysiek bij elkaar bent), als 'em opsturen: https://faq.whatsapp.com/nl/general/28030015
Ah, ja, inderdaad. De public key. Maar de public key wordt gebruikt door de ontvanger om de berichten te decrypten. Maar als deze langs de server gaat om bij de betreffende persoon aan te komen (in beide gevallen) en de server deze "stiekem bewaard" dan kunnen ze alsnog meelezen.
Maar de public key wordt gebruikt door de ontvanger om de berichten te decrypten.
Nee, dat doe je me de private key.

Je encrypt met een public key (kan iedereen) en decrypt met de private key (kan slechts "1 persoon").
Je signed met een private key (kan slechts "1 persoon") en iedereen met de public key kan dat dan controleren op herkomst.

Een zinnige encrypted bericht is dan ook een combinatie van beide, eerste wordt het bericht encrypt met alle publieke sleutels van alle beoogde ontvangers, vervolgens wordt dit bericht gesigned met de private key van de afzender. Hiermee kunnen de ontvangers de echtheid van de afzender controleren en het bericht geheim houden voor de rest van de wereld (die wel weet welke sleutels er gebruikt zijn).
Ze zouden beter verplichte human verificatie doen voor twitter accounts, en linken aan mobiele nummers.
In de crypto wereld zijn de bots een pest! Bij nieuwe tweet staan er een 3 ŗ 5-tal berichten binnen de seconde gepost. En daar is nu niets tegen te doen. Ze proberen ook mensen op te lichten en geld te stelen.
Ze zouden beter verplichte human verificatie doen voor twitter accounts, en linken aan mobiele nummers.
De laatste keer dat ik een twitter account probeerder aan te maken (wat lukte) maar daarna probeerde te gebruiken, kreeg ik de melding dat ik overkwam als een bot en dus mijn mobiel nummer diende op te geven (wat ik niet doe als het niet nodig is voor het technisch functioneren van de dienst)
Vreemd, end-to-end encryptie werkt door het aantal apparaten dat jouw representeert te beperken tot 1. Dan kunnen ze garanderen dat het bericht op 1 plek binnenkomt, en de tekst slechts op 1 plek gedecodeerd kan worden.

Maar twitter is toch meer iets dat je overal kŠn bekijken.
Je kunt het systeem ook zo uitbreiden dat je meer apparaten koppelt, die dan ook over dezelfde key beschikken. Viber doet het bijvoorbeeld zo met hun PC programma. De versleuteling is dan nog steeds zo dat alleen de deelnemers de berichten kunnen lezen.
Deze feature komt voor Rob Gonggrijp vier jaar te laat.
http://webwereld.nl/overh...ens-rop-gonggrijp-afgeven
En in hoeverre kunnen we ervan op aan dat Twitter de berichten ook echt *niet* kan decrypten? Anders is het natuurlijk waardeloos.

Bij Whatsapp is het niet controleerbaar wie de key heeft, omdat de app closed source is, en de servers in privaat beheer zijn. Dat geldt voor Twitter net zo goed.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True