WhatsApp plaatst volgend jaar advertenties in status-weergave van chatapp

Het zijn afwegingen die je moet maken.

Yup. Ik red me prima met WhatsApp Desktop, werkt eigenlijk altijd.
Zeer zelden problemen mee en meestal herstelt het zichzelf binnen enkele seconden als ie verbinding verliest.

Security through obscurity, ouch. Ik hoop niet dat je dat gebruikt om een applicatie of protocol als veilig aan te duiden. Echter is zo ver ik weet het protocol van Telegram wel ge-audit en viel het wel mee met de lekken en problemen, maar ik kan natuurlijk compleet achterlopen.

Nee, absoluut niet. Wat ik bedoelde is dat het voor onderzoekers veelal meer tijd kost om een aanval te ontwikkelen zonder toegang tot (een heldere variant van) de broncode. De bron hebben is puur een luxe, maar nooit het uitgangspunt - laten we dat duidelijk hebben. (Sterker nog, de bron kan soms afleidend zijn.) Echter, als je beperkte tijd hebt dan kan ik het me voorstellen dat mensen het sneller bij de theoretische aanvallen houden dan een methode voor de praktijk (PoC) te ontwikkelen als het geen high-profile target is en er geen bron beschikbaar is. En dat is Telegram niet voor een stel onafhankelijke onderzoekers op budget.

Telegram is niet officieel geaudit, nee. Naar mijn weten is er geen enkele partij die toegang heeft gekregen tot de broncode die op de server draait en wat er dus precies op de achtergrond gebeurt als je hun API aanroept. (Ergens is dat nog lastiger dan geen bron hebben, met decompilation van de broncode kom je nog ergens - met enkel een callback schiet je geen reet op.)
MTProto an sich, losstaand dus, is uiteraard door vele partijen bekeken en veelal door diezelfde partijen uitgelachen. Elke expert(groep) die MTProto heeft doorgelicht komen allemaal tot dezelfde conclusie: het is ruk, vaag, gebrekkig en derhalve voor geen meter te vertrouwen.

Graag zou ik wat sources zien.

Ik ook, ze hadden beloofd de serverbron te publiceren, jaren geleden al. Maar het is nog steeds niet verschenen. Oh, je bedoelt bronnen naar onderzoeken... Sure hier wat random resultaten/artikelen van onderzoeken, een paar gevonden lekken (waarvan sommigen gedicht zijn in de tussentijd, anderen niet), wat achtergrond spul en discussies:

https://eprint.iacr.org/2015/1177.pdf (Ja, ik ben op de hoogte van de sidenote. Discussie op HN is interessant: https://news.ycombinator.com/item?id=10716533)
https://cs.au.dk/~jakjak/master-thesis.pdf
https://cpj.org/blog/2016...may-put-irans-journal.php
https://www.alexrad.me/di...-your-telegram-chats.html (<< Deze is geloof ik uiteindelijk (deels) gefixt, moet ik even nakijken.)
En dit was een geniale en grappige blog van Moxie, een van de Signal Protocol (en subset.) ontwikkelaars: https://hackerfall.com/st...the-telegram-developers-1 (Die geeft niet perse aan dat het onveilig is trouwens, maar zeikt die volstrekt belachelijke contest van Telegram af op hilarische wijze.) (Okee en als bonus deze discussie op HN: https://news.ycombinator.com/item?id=6915741)
En ik weet niet hoe bekend je in de wereld der cryptografie bent, maar als je er een beetje in thuis bent dan zou ik zeggen "Als je het van mij niet aanneemt, neem het dan aan van: https://twitter.com/matth...26428912968982529?lang=en "

Bovenstaand een combinatie van onderzoeken, blogs, discussies en commentaar wat hopelijk al een beetje een beeld geeft van hoe slecht het gesteld is met MTProto; en dan weten we dus nog maar de helft... Als je nog meer bronnen wilt hebben of liever uit een bepaalde categorie dan kan ik je wel wat artikelen toesturen per DM, anders wordt het hier zo'n lange lijst.

Enfin, ik ga dus niet mee in je conclusie "het valt wel mee". Absoluut niet, dat protocol is redelijk amateuristische meuk - met alle respect voor the effort. (Want er zal vast flink wat tijd in gezeten hebben.) Het overgrote merendeel van de cryptografische wereld vind het een dieptriest en onveilig protocol en hebben al meerdere malen aangeboden om ze te helpen en/of gesmeekt om over te stappen naar een veilig protocol.

Nou ja WhatsApp heeft dus alleen maar een Android client eigenlijk, zelfde geld voor Signal.

Android, iOS, Windows Phone, kaiOS voor WhatsApp als client en een Desktop applicatie voor Windows en MacOS; of in browser te gebruiken op linux.
Signal heeft apps voor Android, iOS, Windows, MacOS en Debian-type Linux distro's. (Eg: Debian en Ubuntu.)

De app van Signal werkt overigens volgens mij ook als het toestel uitgeschakeld is, na eenmalig gekoppeld te hebben.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 17:23]

heb je @WhatsappHack weer met zijn signal meuk.
Werk je soms bij hun of aandelen? dat je steeds maar weer erover loopt de adverteren.

Wat origineel. (En lekker begin van je post. Creëert meteen een positieve sfeer enzo. )
Soms vraag ik me af waarom ik eigenlijk de moeite neem om op posts met dit soort ongefundeerde, trollerige en flamebait-ish suggesties van belangenverstrengeling erin te reageren... Zaaddodend commentaar. Als je kennelijk de noodzaak ziet om te proberen punten te scoren met dat soort insinuaties in plaats van gewoon jezelf in de discussie te mengen: reageer dan in het vervolg alsjeblieft niet.
(Trouwens, aandelen Signal? For real? Een NPO die leeft op donaties? Dat moet een vetpot zijn aan dividend... ) Last but not least: ik denk dat je het verschil tussen gezonde discussie en "advertenties" eens moet opzoeken, zeker als je even de hele thread leest zou dat verschil direct duidelijk moeten zijn - maar goed.

Commentaar op Signal is natuurlijk helemaal prima verder, je hoeft het niet leuk te vinden ofzo en constructieve(!) feedback is al helemaal mooi. Dat je het niet leuk vindt verandert overigens niets aan het feit dat het een uitermate veilige applicatie is die absoluut aan te raden valt. Zeker als alternatief voor WhatsApp, omdat de UI een aantal overeenkomsten heeft.


Dat gezegd hebbende:
Mocht je buiten de persoonlijke mening van dhr. Venema die je hebt gecopy/paste van zijn blog een keer iets nieuws te melden hebben, dan hoor ik het graag. Je doet sinds je je hier geregistreerd hebt op de frontpage vrijwel niets anders dan het copy/pasten van de punten op dat blog van Venema. Als de persoonlijke mening van dhr. Venema het enige is dat je gelezen hebt en waarmee je je mening kan onderbouwen, dan zou ik voorstellen om je horizon toch eens iets te verbreden. (Tenzij je het zelf bent natuurlijk. )

Ik blijf bij m'n eigen mening en de vrijwel unanieme mening van alle beveiligingsexperts en belangenorganisaties dat Signal een erg goede en toegankelijke app is met hoogwaardige beveiliging en een bijzonder hoge mate van privacybescherming. Daar gaat één (verouderd) blog met iemands persoonlijke mening echt niet zomaar iets aan veranderen. You'll have to do much better than that. Als ~9 op de 10 mensen die daadwerkelijk thuis zijn in dit soort materie Signal sterk aanbevelen dan doen ze weinig daadwerkelijk verkeerd kan ik je zeggen. Ik ben sowieso absoluut niet onder de indruk van het artikel waar je steeds, en uitsluitend, uit citeert; maar dat terzijde. (Niets afdoende aan z'n effort trouwens hoor! Hij heeft z'n mening tenminste geprobeerd te onderbouwen en toelichtingen gegeven waarom hij over bepaalde zaken zo denkt; waarvoor hulde! A for effort. )

Ik ga nog één keer op je copy/paste punten reageren, als je de volgende keer weer hetzelfde post link ik wel enkel terug hierheen - anders blijven we circkle-jerken over steeds opnieuw dezelfde persoonlijke mening van een willekeurig blog ergens op het internets; en daar wordt niemand beter van. Plus ik heb betere dingen te doen. Daarnaast is dit ook echt al uitgekauwd op HN en volgens mij heb ik je die discussies eerder wel eens zien linken, dus snap ik eigenlijk niet zo goed waarom wij die discussie hier opnieuw gaan voeren - maar afijn. Here goes:


Om te begrijpen waarom bepaalde keuzes zijn gemaakt dien je ten eerste te begrijpen wat Signal nu eigenlijk wilt bereiken. Signal focust zich op het toegankelijk maken van ijzersterke encryptie voor de massa met minimale trade-offs, zodat mensen zonder enige technische kennis het ook seamless kunnen gebruiken. Gewoon een drop-in replacement voor SMS/MMS/traditioneel bellen en klaar, dat is wat mensen willen - het liefst met nog een paar kleine onzinnige toeters en bellen eraan. Dé reden dat WhatsApp zo populair is, is precies dat. Dat is in de context waar de reacties hier over gaan veel en veel belangrijker dan de meest agressieve vormen van beveiliging die niet bepaald toegankelijk zijn voor de massa of ze gewoon niet kan interesseren om het te gebruiken om verschillende redenen. De vraag van Signal is hoe je de massa op makkelijke wijze sterke veiligheid levert met de minste trade-offs, niet hoe je ze kan trainen om het nog strakker af te regelen en door hoepeltjes moeten springen die ze waarschijnlijk veelal niet zullen begrijpen. Ik heb overigens ook nooit gezegd dat Signal "het beste" is. Ik heb gezegd dat Signal een van de levensvatbare alternatieven is voor WhatsApp, mogelijk dé beste. Dat er opties om met een nóg hogere vorm van beveiliging (of vrijheid, als we het over federation hebben) te communiceren zal vast, maar dat interesseert me echt helemaal niets in de context "viable alternatief voor WhatsApp" waar het hier over gaat. En dat is iets dat je niet echt lijkt te begrijpen of simpelweg niet respecteert/accepteert.

Als je de veiligste tool ter wereld kan bouwen, maar geen hond gebruikt het: wat heb je dan eigenlijk bereikt buiten wellicht een niche groepje gebruikers? (Die er vast van profiteren, maar daar gaat het niet om.) Als je een zeer veilige tool kan bouwen die door het gros van de mensen gebruikt kan worden, dan heb je veel meer bijgedragen aan algemene veiligheid en is daardoor op dit moment veel belangrijker in dit soort toepassingen. Wat is beter: helemaal geen encryptie omdat men voor geen hol kan werken met de methode (*kuch* PGP much? *kuch*) of zoveel mogelijk bescherming met zo min mogelijk compromissen...? En dat is dus ook waarom Signal erg hoog op de lijst met alternatieven staat, het krijgt het voor elkaar om zeer sterke beveiliging en privacybescherming te leveren met slechts zeer minimale trade-offs die de gebruiksvriendelijkheid enorm boosten. Dat is een zeer goed streven en dat lukt ze heel erg goed, met een bewezen uitzonderlijk sterk protocol dat niet voor niets intussen in tig applicaties is geïmplementeerd. Het doel is om de wereld te voorzien van encryptie, niet om zelfs de allerallerallerkleinste gaatjes ook te dichten waardoor het volstrekt onbruikbaar wordt voor de massa, en waarmee dus eigenlijk niets bereikt wordt. Dat is tevens ook de kracht van WhatsApp, die Signal Protocol gebruiken. Zeer gebruiksvriendelijk en van de een op de andere dag hadden ze bijna een miljard mensen voorzien van end to end encryptie (intussen 1.5 miljard). Dat is een ongekende schaal en was een fikse prestatie met de nodige uitdagingen waar ze veel credit voor verdienen.

Iemand anders omschreef dat tijdens wat discussies over dat artikel van Venema ook heel erg goed, sums it up:

Signal is unusual because it combines cutting edge cryptography with consumer friendliness and is actually successful. It's pragmatic, not ideological. Crypto-warriors have a long history of producing secure software that nobody uses and then blaming the general public for not getting it; this sort of blog post is just a continuation of this decades long trend.

Signal doet het goed. Signal is veilig. Signal beschermt je privacy tot op zeer grote hoogte.
Is het perfect? Nee, uiteraard niet. Perfect bestaat sowieso niet. Maar het doel dat Signal probeert haar bestaansrecht aan te ontlenen: daar doen ze eer aan. Dat krijgen ze bijzonder goed voor elkaar. En vanuit dat oogpunt vind ik het ook ietwat apart dat je Signal de facto troep noemt in deze context.


Enfin, om die punten eens af te gaan:

• Dependency on Google Cloud Messaging

Weet je, het probleem als je van slechts één persoon de mening leest en geen tussentijdse updates volgt, dan weet je ook niet dat sommige punten intussen allang veranderd zijn. https://github.com/signal...c84e33035a67a2fc22444c24b
Overigens wordt dat hele GCM enkel gebruikt voor signalling (ha...), lege berichtjes om de telefoon wakker te maken. Meer niet. Niet bepaald de meest boeiende intel dus als je het mij vraagt, maar goed... Dat zal wel aan mij liggen. Ik vraag me dus af wat nou sowieso eigenlijk het bezwaar tegen GCM an-sich is. Een bezwaar tegen Play Services kan ik me goed voorstellen en dat is een heel ander verhaal, maar specifiek tegen GCM is mij even een raadsel omdat daar echt totaal geen nuttige informatie over wordt uitgewisseld.

Ergo: outdated informatie, er is geen "dependency" - als het aanwezig is gebruikt het het en anders niet. En daar is ook weinig op tegen en prima te verantwoorden. Als Signal GCM gebruikt heb je de Play Services al en actief in gebruik... Dan heb je wel grotere dingen om je zorgen om te maken dan lege berichtjes via GCM. Een telefoon met play services geruiken en dan mekkeren dat GCM wordt gebruikt "want privacy" - ff serieus...? Anyway, Google kan op geen enkele wijze de berichten zien - enkel lege pollings. Als je er echt niet van afhankelijk wil zijn is het dus prima zonder GCM te doen. GCM an sich is geen bezwaar op de veiligheid van de app zelf overigens. (Of je Android met GAPPS vertrouwt is echter weer een heel ander verhaal en aan jezelf, maar die discussie is hier offtopic.)

Je hebt dus gewoon de keuze: wel of geen GCM. Mag je helemaal zelf beslissen.
Doe er je voordeel mee en kies waar jij je prettig bij voelt. Signal werkt prima zonder GCM.

Trouwens, om nog even iets toe te voegen... Dat hele punt is zo hypocriet als de neten naar mijn mening. Moxie had al tig keer tegen mensen gezegd: als jullie geen GCM willen, code het dan! Submit een PR, we reviewen het en het kan gemerged worden.
Weet je hoe verschrikkelijk lang het heeft geduurd voordat iemand eindelijk eens over de brug kwam met een redelijke PR...? Kan men wel gaan zeuren op hun blogs, maar als je ontwikkelaar bent kan je het ook gewoon coden zoals verzocht natuurlijk. (En als je geen ontwikkelaar bent vind ik niet dat je moet klagen dat er geen top prioriteit aan wordt gegeven terwijl het gros het prima vindt.) De devs waren lange tijd slechts met z'n tweetjes; dan moet je keuzes maken... Nu hebben ze meer resources dus kunnen ze meer doen, maar ik vind het wel typisch dat sommige mensen er over aan het zeiken waren maar het vervolgens niet de moeite waard vonden om zelf ff de handen uit de mouwen te steken... Iets met de beste stuurlui.
/rant.

• Lack of federation

Persoonlijke voorkeur, imho niet bepaald boeiend.
Ook een gecentraliseerde setup heeft zo z'n voordelen overigens, vooral voor de ontwikkeling en het snel kunnen uitrollen van patches. Het is niet zo zwart/wit dat het een de heilige graal is en de ander Satan himself. Federated en centralised setups hebben hun eigen voor- en nadelen, en ik vind de keuzes die Signal op dit gebied heeft gemaakt zeker op de korte termijn de juiste keuze en prima te verantwoorden. Hoe het er op de lange termijn uitziet is een ander verhaal, maar voor nu is het wat mij betreft absoluut de beste keuze voor het opbouwen van een app en het nog verder verbeteren van het protocol. Toespelingen dat dit voor "walled gardens" zou zorgen heeft in de korte termijn misschien merit, maar "in the long run" en waar de ontwikkeling uiteindelijk toe beweegt is het maar zien of het nou zo'n probleem is of gewoon een slimme keuze op dit moment. Ik neig naar het laatste.

Let op dat Signal devs nooit hebben gezegd tegen federated toepassingen te zijn. Sterker nog, Moxie heeft gezegd dat als iemand Signal Protocol wenst te implementeren in een federated model dat hij dan best wil kijken hoe hij kan helpen. Het protocol zelf is namelijk niet per definitie ontworpen voor centralisatie, het kan ook federated draaien. Signal zelf kiest echter om verschillende redenen nu voor een gecentraliseerde aanpak - en dat is prima.

Zelfs als je liever federated had gehad kan je moeilijk claimen dat gecentraliseerd werkelijk echt een probleem is.
En dus: persoonlijke voorkeur. Niets meer, niets minder. Het zegt niets over de veiligheid noch over privacy bescherming.
Dus wat is nu eigenlijk precies dat probleem met die federation...? En hoe schaadt het de veiligheid van Signal precies? (Ik denk dat het op dit moment eerder bijdraagt aan veiligheid, maar goed.)

• need use your phone number

Dat klopt, en dat is waar de meeste mensen voorkeur aan geven omdat het de rompslomp met "buddylists" en dat soort onzin tegengaat. Wil je het niet dan kan je altijd nog een burner prepaid SIM kopen en klaar.
Ik zelf vind het niet bepaald een probleem eigenlijk. Niemand die de communicatie kan inzien, metadata wordt meteen weggeflikkerd uit het geheugen; dus ze kunnen zien dat ik op Signal zit...? Lekker boeiend, dan kunnen ze ook m'n berichten hier op Tweakers lezen. Hoi jongens! *zwaait* Ik zit op Signal. Dit wordt pas echt een probleem als je iets zeer gevoeligs te beschermen hebt, voor de meeste mensen gaat het puur om basis privacy bescherming en/of authenticiteit van berichten... En voor de uitzonderingen is een burner een redelijke oplossing in de meeste gevallen.

Begrijp me echter niet verkeerd hoor. Ik snap de wil om persoonlijke usernames ipv nummers echter heel goed en snap de vraag om alternatieve username opties. 100%, ik snap het - vind het ook een prima idee. Misschien dat ze het in de toekomst gaan inbouwen, nu ze wat meer centen tot hun beschikking hebben komen er meer opties. Dat contact discovery is sowieso een zeer problematisch aspect van gebruiksvriendelijke asynchrone protocollen.

• Your contact list is not private

Je kan kiezen of je die wel of niet wilt checken.
Wil je hem laten checken, dan worden hashed representaties van het nummer in kwestie gecontroleerd of zij wel of geen Signal hebben. Je kan er ook voor kiezen om contacten niet te delen. Geen enkel probleem.

Het relevante betoog in het artikel waar je content uit leent ben ik het verder volstrekt mee oneens overigens.

Signal is allowed to read and modify your contacts.

Als je de app toegang verleent tot je contacten, dan heeft het inderdaad die permissie.
Wil je dat om de een of andere reden niet? Prima, dan geef je toch geen permissie? Wat is nou eigenlijk het probleem?

Signal associates phone numbers with names in a similar way that Whatsapp is doing

Heel mooi! Dan leest het dus uitsluitend lokaal je contactenlijst uit en worden er geen namen en dergelijken naar de servers verstuurd. Dat is top en goed om te horen, vind je niet?

• The RedPhone server is not open-source

Echt volstrekt niet boeiend in deze context, ga ik dus verder ook niet op in.

• – Signal is horrible. It’s completely Google compliant which screams anti-privacy.

Persoonlijke mening, onzinnig, niet onderbouwd en dus niet iets waarvan het nut heeft om er op te reageren.

• Signal has a backdoor used bij google

Graag een bron als je dat soort wilde claims wilt maken.
Ik heb die belachelijke onzin trouwens eerder gehoord... En even Google'en herinnert me meteen weer aan waar...
... Neem je nou serieus de woorden van PR-marketing guru Pavel Durov, die toevallig iets te verliezen heeft omdat zijn eigen MTProto van Telegram door alle experts wordt afgezeken omdat het een barslecht protocol is, serieus!?
De concurrent die roept dat Signal een backdoor heeft zonder enige onderbouwing en geen enkel bewijs voor die zeer zware aantijgingen? Aantijgingen die overigens niet terug te vinden zijn in de opensource broncode?

Sorry hoor, maar je zult echt met iets beters moeten komen.

- The fact that Snowden would recommend services like Signal or SpiderOak leads me to believe that he might not be as serious about privacy as people think

Lol...
Ignorance is bliss zullen we maar zeggen, aan dit soort onzin ga ik ook verder geen woorden vuil maken.

• - they don’t allow federation. So you could set up your own Signal server, but it would’nt help much, because the exchange of messages with Open Whisper System’s server would be blocked by them.

Met alle respect, maar wederom niet interessant in deze contect en eigenlijk uberhaupt niet zo boeiend wat mij betreft zoals een stukje hierboven reeds uitgebreid toegelicht.

Als je je eigen app en server wilt compileren kan dat prima, geen enkel probleem en daar is die broncode voor released. Dan kan je dat gewoon naar hartelust gebruiken. Wat je niet kan is een server injecteren op het Signal netwerk - wat mij betreft terecht op dit moment. Voor of tegen federation zijn is puur een persoonlijke voorkeur en het heeft allebei zo z'n voor- en nadelen - wederom: zie hierboven. Het is geen zwart/wit scenario waarin het een evil is en het ander pure good.
Je moet keuzes maken.

Weet je, ik herinner me dat zelfs de maker van Matrix zelf ergens (ik denk op HN...) had gezeged dat hij heel goed begrijpt waarom er voor gecentraliseerde opzet is gekozen bij Signal en het geen probleem is, maar dat hij zelf de nadelen niet als te ernstig beschouwde en ze maar voor lief nam om toch een federated systeem te bouwen; ondanks dat dit flink problemen opleverde en ook permanent bepaalde nadelen kent. Het is puur een afweging maken tussen de voor- en nadelen en waar je de focus op legt.

-edit- Ah, gevonden, hij voegt er zelfs aan toe:

I believe Moxie's viewpoint is that privacy is paramount, and any complexity which could introduce bugs which could undermine security/privacy is anathema. From a cryptography dev perspective, this makes perfect sense.

Done. bye bye signal.

Ehh... Nee. Verre van. Maar nogmaals: als jij van mening bent dat het een kutapp is vanwege één blog, ondanks dat vrijwel alle experts (dat is hij overigens niet, zegt hij zelf ook.) het aanraden: be my guest.

Google maar eens op: About backdoors in Signal and other apps

Die hoefde ik niet te zoeken, want ik herkende het al meteen aan je opmerkingen. Ik ben bekend met het artikel, maar ben niet van plan daar ook uitgebreid op in te gaan, ik heb wel genoeg geschreven voor nu denk ik.

Trouwens, als je Google zodanig als adversary ziet - waarom heb je dan in godsnaam een telefoon met Google Play Services er op? ff serieus. Enfin, nogmaals, als je een telefoon zonder play services hebt dan kan je Signal prima gebruiken zonder dat de app leunt op GCM. En het batterijverbruik is nog niet eens zo heel extreem slecht als je dat doet. Doe ermee wat je wil.
Overigens zou je Signal ook zonder GCM kunnen gebruiken op een toestel mét Play Services (geen idee waarom je dat zou doen, maar ale) - maar dan moet je eerst wat kleine aanpassingen maken aan de bron en dan pas compileren.

Eat your heart out.
Zo, ben je nu blij? Zo niet: pech. Ik doe niet aan refunds, hier moet je het maar mee doen.

P.S. Dit was een erg lange post en heel laat, terwijl ik een jetlag heb. Eventuele fouten en spelvauten moet je me niet al te kwalijk nemen. Ik heb m’n best gedaan een zo accuraat en volledig mogelijk antwoord te geven binnen het kader van hoever mijn kennis over deze materie überhaupt rijkt. Ik verkondig mijn zienswijze ook niet als absolute waarheid en wellicht bevat het fouten, maar op z’n minst heb ik m’n uiterste best gedaan je van een volledig antwoord te voorzien en m’n best gedaan de accuraatheid van de content te verifiëren.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 17:23]

Nee, Signal Protocol is het protocol. WhatsApp gebruikt dat protocol ook.
Double Ratchet Algorithm (vroeger noemde men het AXOLOTL) is onderdeel van dat protocol.
DRA is een algoritme, Signal Protocol gebruikt dat algoritme gecombineerd met een paar andere encryptie en hashing algoritmes.

Overigens is DRA ook ontwikkeld door Moxie Marlinspike en Trevor Perrin, die toevallig ook de ontwikkelaars zijn van Signal Protocol. Ze borduren gewoon verder op hun eigen werk. Je zou kunnen stellen dat Signal dus een bestaand algoritme gebruikt (hee als we dan toch aan het nitpicken zijn ), maar DRA != Signal Protocol in zijn geheel.

Ik ben te lui om het zelf uit te tikken dus schaamteloos van Wikipedia gejat:

Signal messages are encrypted with the Signal Protocol (formerly known as the TextSecure Protocol). The protocol combines the Double Ratchet Algorithm, prekeys, and a Triple Diffie-Hellman (3XDH) handshake. It uses Curve25519, AES-256, and HMAC-SHA256 as primitives.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 17:23]