Facebook: standaard e2e-versleuteling Messenger kan nog jaren duren

Volgens Facebook-programmeur Jon Millican moeten gebruikers in ieder geval de komende jaren nog geen standaard end-to-end-versleuteling verwachten bij Facebook Messenger. Dat beloofde Mark Zuckerberg een jaar geleden, maar hij noemde daarbij geen tijdpad.

De Facebook-ontwikkelaar deed de uitspraken bij de Real World Crypto Conference in New York. "We hebben het plan jaren voordat we het konden waarmaken, aangekondigd", stelt hij in een interview met Wired op de beurs. Hij wilde verder niet zeggen wanneer Facebook verwacht dat het project dan volbracht is. Dat schrijft Wired.

Facebook Messenger heeft al wel de mogelijkheid tot eind-tot-eindversleuteling, maar dit is nu nog een opt-in: gebruikers moeten aangeven dat ze meer privacy willen, waarna een Secret Conversation opgezet wordt. Die is dan versleuteld, maar gewone chatgesprekken niet.

Ondanks de aanwezigheid van de Secret Chats, is het volgens Millican alsnog een grote uitdaging om e2e-crypto standaard te maken. "We hebben op het moment meer vragen dan antwoorden", zei hij tijdens zijn presentatie. "E2e-versleuteling toevoegen aan een bestaand systeem is ongelofelijk uitdagend en daarbij moet alles opnieuw". Zijn presentatie benoemde dan ook voornamelijk meer uitdagingen dan oplossingen, aldus Wired.

Millican stelt dat de versleuteling van WhatsApp een ongelukkig voorbeeld is: niet alleen zou dat ook jaren geduurd hebben, maar WhatsApp was ten tijde van die wijziging een veel simpeler product dan Messenger nu is. Desalniettemin is niet iedereen overtuigd van de argumentatie van Facebook: een cryptograaf aan de Johns Hopkins-universiteit, die ook meehielp met de introductie van Secret Conversations, vindt dat Facebook blijkbaar niet genoeg van zijn grootste voorraad middelen erop heeft gezet als het nog jaren moet duren.

Mark Zuckerberg deed de belofte van e2e-versleuteling in maart van vorig jaar. Het is een onderdeel van de slag om zichzelf meer privacyvriendelijk neer te zetten na het uitbreken van het Cambridge Analytica-schandaal.

Door Mark Hendrikman

Redacteur

Feedback • 11-01-2020 14:38119

11-01-2020 • 14:38

119 Linkedin

Lees meer

Facebook test standaard ingeschakelde end-to-endencryptie 'bij sommigen' Nieuws van 11 augustus 2022
Instagram en Messenger krijgen pas in 2023 standaard end-to-end-encryptie Nieuws van 22 november 2021
Facebook zet videochatfunctie voor 50 personen tegelijk wereldwijd live Nieuws van 15 mei 2020
Facebook brengt Messenger-apps voor Windows en macOS uit Nieuws van 2 april 2020
Facebook vernieuwt code Messenger-app als voorbereiding op WhatsApp-integratie Nieuws van 3 maart 2020
Facebook geeft gebruikers inzage in data over gebruik andere websites Nieuws van 28 januari 2020
'Apps Facebook Messenger gaan vergrendeling met gezichtsherkenning krijgen' Nieuws van 25 januari 2020
Rechter beslist dat Facebook data van apps moet overhandigen in privacyonderzoek Nieuws van 18 januari 2020
Facebook stuurt gebruikers melding als ze login gebruiken voor apps van derden Nieuws van 15 januari 2020
'Facebook haalt optie contacten opzoeken via telefoonnummer uit Messenger' Nieuws van 28 december 2019
Gebruik van WhatsApp bij gemeenten heeft weinig privacyrisico's Nieuws van 24 december 2019
Advocaat-generaal van EU-Hof: Facebook mag Europese data naar VS blijven sturen Nieuws van 19 december 2019
Facebook gebruikt na toestemming data van Oculus-headsets voor ads Nieuws van 11 december 2019
Ministerie van Justitie in VS begint onderzoek naar FitBit-overname door Google Nieuws van 11 december 2019
Facebook weigert backdoor voor overheid VS in te bouwen in zijn apps Nieuws van 10 december 2019
Facebook krijgt boete van 3,6 miljoen euro voor claim dat dienst gratis was Nieuws van 6 december 2019
Zuckerberg wil dat Facebook platform wordt met focus op privacy Nieuws van 6 maart 2019
Meer producten en artikelen
Internet Privacy Facebook Facebook Messenger

Reacties (119)

-Moderatie-faq
119
110
86
5
0
13
Wijzig sortering
WhatsappHack
11 januari 2020 14:46
Ergens kan ik me wel voorstellen dat het veel complexer is dan met WhatsApp. Mensen zijn vanaf het begin af aan gewend om Messenger overal te kunnen gebruiken. Desktop, tablet, telefoon(s) - zoveel devices als je wil, los van elkaar en gelijktijdig en alles blijft in sync. En gebruiksvriendelijk, dus gewoon je login gegevens intikken en de hele rotzooi wordt uit de cloud opgehaald. Met end-to-end encryptie is dat een stuk lastiger en Facebook kan niet zomaar die gebruiksvriendelijkheid wegknikkeren.

Ik maak me overigens geen illusies dat ze er wel haast bij zouden hebben, daar niet van. Maar ik geloof het best als ze zeggen dat het een heel stuk lastiger is dan met WhatsApp destijds dat enkel op mobiele telefoons draait en te allen tijde daar je private keys bewaard. (Ja tegenwoordig kan je dmv een QR-code ook een sessie starten op desktop/browser, maar dat loopt op het moment nog altijd via je telefoon en de sleutels verlaten het toestel niet. Als die uitstaat = einde verhaal. Signal kan intussen wél meerdere devices tegelijk onafhankelijk van elkaar hebben werken, al heeft dat ook caveats, hopelijk wordt dat nog eens geport naar WhatsApp.)

[Reactie gewijzigd door WhatsappHack op 11 januari 2020 14:59]

i-chat
@WhatsappHack11 januari 2020 15:21
dat "los van elkaar en alles blijft in sync"-verhaal, ik moet eerlijk bekennen dat ik je punt niet snap.

door gebruik te maken van public-private keys zou het toch geen enkele moeite moeten kosten op FB-messenger in sync te houden. het enige dat je moet doen is een pub-key aan het FB-profiel koppelen en de gebruiker de private-key, op elk device laten invoeren. vanaf dan kunnen berichten versleuteld en al op de server blijven staan om door clients gedownload en ontsleuteld te worden.
mjz2cool
@i-chat11 januari 2020 15:49
En hoe zorg je dat de gebruiker zijn private key op elk apparaat in kan voeren? Je zou het handmatig kunnen laten doen, maar het is niet zo gebruiksvriendelijk om iemand een key van bijvoorbeeld 256 bits te laten invoeren. Synchroniseren is ook niet echt een optie, aangezien je private key dan weer te onderscheppen is.
slowdive
@mjz2cool11 januari 2020 16:38
Als ik met Whatsapp een web-sessie wil openen gaat dat toch ook eenvoudig met een qr-code. Dat is (technisch) echt geen probleem.
Voor een miljardenbedrijf moet het opnieuw schrijven van een chatapp ook best mogelijk zijn binnen een jaar.

Edit:typo

[Reactie gewijzigd door slowdive op 11 januari 2020 20:26]

supersnathan94
@slowdive12 januari 2020 00:45
Whatsapp web werkt doordat jouw telefoon al het verkeer afhandelt. Eigenlijk ben je zelf een MITM aan het doen. Je webbrowser heeft de keys niet En haalt de onversleutelde data op jouw telefoon op. Whatsapp draait eigenlijk een kleine webserver waar whatsapp web op draait. Dat maakt dan ook dat FB de hele zwik opnieuw moet gaan uitfigulieren. Het syncen van data met versleuteling is dan een hele overhaul van het backend en de onderlinge communicatie. Apple heeft dit met icloud messages ook gedaan maar dan vanaf scratch. Greenfield is het leven een stuk makkelijker.
Maxxi
@supersnathan9412 januari 2020 12:53
Not true, webclient krijgt toegang tot private key.
supersnathan94
@Maxxi12 januari 2020 13:12
Dan mag jij mij vertellen hoe en waarom want dat zou echt de domste zet ooit zijn en ook helemaal niet zoals de implementatie zou moeten werken. De verbinding tussen client en telefoon is versleuteld en de inhoud van de berichten heeft een asymmetrische versleuteling. Daarom moet je de qr code scannen.


De reden dat het dom is, is dat een browser per definitie onveilig is. Localstorage, cookies maakt niet uit want het is voor iedereen en alles op die machine beschikbaar óók extern via de interwebs. De private key daarin zetten is vragen om problemen.
Maxxi
@supersnathan9412 januari 2020 13:46
https://research.checkpoi...ulnerability-in-whatsapp/
supersnathan94
@Maxxi12 januari 2020 14:48
Dat gaat om een pre-shared secret. Het eerste bericht is een manier om over een onveilige verbinding een manier op te zetten om het veilig te maken door middel van async encryptie. Helaas moet het keypair dus in de browser worden gegenereerd. Dus de private key is uit te lezen in de browser. Dat betekent niet dat het daarna verstuurde secret de Private key is. Dit wordt ook nergens geïnsinueerd gelukkig. Aan de andere kant hadden ze er wel bij mogen zeggen dat het dit expliciet niet is of wel, want nu is het dus open voor speculatie.
Stoelpoot
@Maxxi13 januari 2020 09:18
Dit gaat om de keys tussen de webclient en de telefoon, niet de keys tussen conversaties. Het gaat ook niet om "toegang hebben tot de private key" maar om een private key van de webclient zelf. Daarna manipuleren ze het verkeer tussen de mobiele telefoon en de extensie via de browser. Het gaat er absoluut niet om dat ze het verkeer tussen de telefoon en de Whatsapp-servers onderscheppen.

In zekere zin is dit een "other side of the airtight hatchway" probleem, want hoe voorkom je dat een aanvaller niet mee kan lezen op een geïnfecteerd apparaat (de browser)? Dat kan simpelweg niet, want elke beveiligingsmaatregel die je kan nemen kan ook ongedaan gemaakt worden op het geïnfecteerde apparaat.
Tozz
@supersnathan9413 januari 2020 21:27
Het klopt dat WA Web nu de private key niet heeft, maar dat kan met een QR-code prima. m.i. is het technisch niet zo ingewikkeld.

Ik vermoed dat het vooral de achterkant is qua inkomsten wat E2E nu 'moeilijk' maakt. alsin, hoe verdienen ze nog geld als ze de berichten niet meer kunnen lezen?
supersnathan94
@Tozz14 januari 2020 11:33
Het probleem is alleen dat een browser pre definitie onveilig is. Daar wil je geen private key in hebben zitten die daadwerkelijk de echte key is.
terradrone
@slowdive11 januari 2020 18:21
Ach natuurlijk, precies wat je zegt. De resources van facebook zijn gigantisch.Het is maar net waar men aandacht en kapitaal in wil stoppen. Al zou men hiervoor 200 developers moeten aantrekken, nou en? Al moet men hiervoor een compleet in encryptie gespecialiseerde firma inlijven, nou en? Facebook is op moment van schrijven ongeveer 100 miljard waard. Ik kan eerlijk gezegd niet geloven dat als men dit perse binnen een half jaar geregeld wil zien dit niet mogelijk zou zijn...

Geen goede vergelijking, maar om een idee van capaciteit te geven: toen bleek dat de nsa google's backbones aftapte hebben ze op de datacenter links encryptie aangezet. Bedenk even hoe gigantisch veel data er encrypted wordt en wat daar de kosten van zijn. Met een groot budget kan dat allemaal:
https://arstechnica.com/i...ncrypts-internal-network/
wjn
@terradrone11 januari 2020 18:45
Met 200 vrouwen duurt het ook nog steeds 9 maanden voordat je een kind hebt.
Je kunt niet alles sneller oplossen door meer resources ;)
slowdive
@wjn11 januari 2020 20:28
Dat is ook zo. Vandaar ook dat ik niet beweer dat ze het met miljarden ineens in een dag of twee kunnen. Maar een jaar moet best kunnen.
Desnoods beginnen ze een nieuwe beveiligde vorm naast de bestaande. De laatste wordt dan langzaam uitgefaseerd.
mikesmit
@wjn11 januari 2020 19:23
Bij ontwikkelen van software gaat het wel degelijk sneller als je er meer resources tegenaan smijt. In tegenstelling tot zwangerschappen ;)
MrMonkE
@mikesmit11 januari 2020 22:33
In mate.
200 dagen development-tijd is met 200 developers niet in 1 dag klaar.
supersnathan94
@MrMonkE12 januari 2020 14:58
Nee maar met een man of 5 zou je het wel naar 40 dagen kunnen halen. Of met een beetje geluk zelfs minder doordat die ene dev niet 4 dagen vastloopt op een aantal problemen. Al met al zal een goed op elkaar afgestemd team in veel minder tijd wel hetzelfde kunnen neerzetten.

Het is niet zo zwart wit als men denkt.
GijsVos
@mikesmit11 januari 2020 23:21
Deze statement klopt eigenlijk zelden. Ik vermoed dat jij geen software ontwikkelt.
hawke84
@GijsVos12 januari 2020 10:04
Ik wel en hij heeft deels gelijk :)

1 week werk voor 1 dev is ~2-4 dagen voor 2 devs en dan lopen ze elkaar al vaak in de weg code-wise. Meer devs, steeds minder winst

Hangt ook af van het werk (en de kwaliteit mensen) natuurlijk. Als iemand predefined animaties voor meerdere characters moet modelen heb je meer winst met meer mensen erop; maar als je code loopt te kloppen in dezelfde classes ga je tegen lunchtijd elkaar soms al te vuist. ;-)
Argantonis
@mikesmit13 januari 2020 10:01
Bij ontwikkelen van software gaat het wel degelijk sneller als je er meer resources tegenaan smijt. In tegenstelling tot zwangerschappen ;)
De hele quote over die zwangerschap komt juist uit het boek ‘the mythical man-month’ dat argumenteert dat softwareontwikkeling niet op die manier schaalt.

Waarmee ik overigens niet wil zeggen dat Facebook het inmiddels niet voor elkaar had kunnen krijgen, maar zomaar meer programmeurstijd ergens tegenaan smijten schaalt niet 1 op 1, niet eens in de buurt daarvan.

[Reactie gewijzigd door Argantonis op 13 januari 2020 10:04]

Scriptkid
@wjn12 januari 2020 10:31
Klopt maar code kun je in parralele maken kinderen nog niet.

Niks houd je tegen devops per functionaliteit andere developers in paralel te laten ontwikkelen.

1baby over 200 vrouwen verdelen wordt nu nog wat lastiger meschien in de toekomst. Verder als je 200 vrouwen ieder een baby leveren heb je na 9 maanden perfect 200 babys ipv 1800 maanden als het target is 200 babys te hebben.
tdlaccount
@terradrone12 januari 2020 01:48
Dat heeft toch geen meerwaarde wat je nu zegt.

Het gaat om de gebruiksvriendelijkheid. Dit zal een groot impact hebben.

[Reactie gewijzigd door tdlaccount op 12 januari 2020 01:49]

mjz2cool
@slowdive11 januari 2020 19:32
Echter kun je Messenger op meerdere apparaten onafhankelijk van elkaar gebruiken. Whatsapp Web kun je alleen maar gebruiken als je telefoon ook een internetverbinding heeft.
t link
@mjz2cool11 januari 2020 19:46
Gewoon met een QR code? facebook je ik ben in te huren!

[Reactie gewijzigd door t link op 11 januari 2020 19:46]

mjz2cool
@t link11 januari 2020 19:48
Hoezo "Gewoon"? Je private key moet je niet willen delen met andere apparaten, ondanks dat deze van jou zijn. Daarmee gaat het hele e2e principe onderuit.
t link
@mjz2cool11 januari 2020 19:52
ja het verzwakt de beveiliging iets, maar het is nogsteeds meer dan niks zoals nu ;) het is echt een hele kleine compromi wat ik voorstel.

[Reactie gewijzigd door t link op 11 januari 2020 19:53]

supersnathan94
@t link12 januari 2020 00:48
Nee het verzwakt de beveiliging niet iets, het komplete idee is ineens niks meer waard. Het punt van e2e is dat ik altijd weet dat ik met jou praat tenzij er een nieuw keypair wordt gegenereerd als jij een nieuw toestel hebt bijvoorbeeld. Dan kan ik checken of jij wel degelijk bent wie je zegt door jou persoonlijk te vragen of je een nieuw toestel is en met welke code ik de boel zou moeten signen (dat kan je dus ook fysiek checken bij whatsapp).
t link
@supersnathan9412 januari 2020 11:43
Dat is gewoonweg onzin. Het hele idee van e2e encryptie heeft niks te maken met het fysieke toestel. e2e betekend alleen dat pas op het laatste apparaat de boel ontcijfert wordt en niet ergens tussenin de ketting. dat er meerdere apparaten zijn die die private key hebben verzwakt alleen de beveiliging in de zin dat nu drie apparaten de keys van gestolen kunnen worden ipv 1. PGP via email werkt bijvoorbeeld zo. ik heb bijvoorbeeld met een geroote telefoon gewoon mijn private whatsapp keys en chats overgezet naar mijn nieuwe telefoon, dat kan je niet controleren. een kwaadwillende kan ook gewoon je prive keys stelen van whatsapp. dat is niet iets wat te beveiligen is, dat is het hele idee van een private key namelijk. dat je de berichten kan zien als je die key weet. hier is bijvoorbeeld code waarmee je dat kan doen: https://github.com/MarcoG3/WhatsDump
WhatsDump‘s approach is different: it exploits the way WhatsApp generates the private key. In fact, cipher key is linked to the mobile phone number which is used to initially register to WhatsApp service. If we register using the same number and trick the application in thinking that we have a local backup, we would both decrypt the database and get the decryption key.
https://plainsec.org/extr...and-greater-without-root/

[Reactie gewijzigd door t link op 12 januari 2020 11:52]

mjz2cool
@t link12 januari 2020 16:22
Het heeft alles te maken met het fysieke toestel. De "end" is het toestel.
t link
@mjz2cool12 januari 2020 19:20
nee, de end is de client. niet het fysieke toestel. dat is wat end to end is. client to client encryptie ipv client-server. ga je nou echt negeren dat PGP bijvoorbeeld end to end encrypted is ondanks dat het onafhankelijk van fysieke aparaten is?

[Reactie gewijzigd door t link op 12 januari 2020 19:21]

BugBoy
@mjz2cool11 januari 2020 16:03
Ik verwacht dat WhatsApp dit ook doet bij het koppelen van je web-app aan je mobiele telefoon. De web-app genereert client-side een key en codeeert deze als QR code. Deze scan je vervolgens met de mobiel en daarmee neemt die de key over, zonder dat deze via het internet verstuurd hoeft te worden.
mjz2cool
@BugBoy11 januari 2020 16:06
De private key wordt niet overgenomen. Er wordt een aparte keypair gegenereerd. Volgens mij is er een TLS verbinding met de telefoon, waardoor deze dus ook online moet blijven.
BugBoy
@mjz2cool11 januari 2020 17:49
Dat bedoel ik ook niet ("web-app genereert client-side een key"). Het ging mij er om dat je prima een key-exchange kunt doen via een QR code. Op een vergelijkbare manier zou je dus ook de daadwerkelijke private key kunnen overnemen.

[Reactie gewijzigd door BugBoy op 11 januari 2020 17:55]

mrdemc
@BugBoy11 januari 2020 19:10
Elk apparaat heeft idealiter z’n eigen private key. Je zou dan cross-signing toe kunnen passen voor het toevoegen van trusts tussen devices. De contacten hoeven dan maar 1 trust te hebben om gelijk alle devices te vertrouwen die zijn gecross-signed.

Het probleem waar messenger m.i. vermoedelijk mee te maken heeft is de hoeveelheid verschillende objecten (links, video’s, etc. met eigen extra functionaliteit) en de historie die niet versleuteld is maar toch toegankelijk moet blijven. Terwijl het opzetten van een nieuwe e2e chat zou kunnen gaan via een apart systeem.

[Reactie gewijzigd door mrdemc op 11 januari 2020 19:14]

supersnathan94
@BugBoy12 januari 2020 00:50
Het probleem daarmee is dat een private key dus niet meer aan een device gelinkt is. Hierdoor kan de key dus zonder weten van beide partijen door een ander apparaat in gebruik worden genomen (lees kwaadwillenden, overheden, veiligheidsdiensten). Dat is dus exact wat je niet wil kunnen faciliteren.
Waterfietser
@i-chat11 januari 2020 15:44
Berichten (lange tijd) ergens op gaan slaan, dat wil je toch juist niet met end-to-end?
armageddon_2k1
@Waterfietser11 januari 2020 17:50
Wat heeft persistence met E2E encryptie te maken dan?

Als je bedoelt dat je vanuit veiligheidsoverwegingen liever niet wil dat je encrypte data ook nog eens ergens lang blijft staan, met het oog op eventuele decryptie mogelikheden in de toekomst, snap ik je punt wel.
Waterfietser
@armageddon_2k111 januari 2020 18:05
Precies dit bedoel ik!
erikmeuk3
@Waterfietser11 januari 2020 16:31
Berichten lang opslaan en analyseren is toch het winstmodel van FB?
WhatsappHack
@i-chat11 januari 2020 15:46
Ik zeg niet dat het onmogelijk is, maar dat het niet gebruiksvriendelijk is. ;) Plus risico op dataverlies. Je kan een Tweaker dit wel laten doen, maar je moet ff in het achterhoofd houden dat er een paar miljard mensen op Facebook zitten waarvan een groot deel enkel iets geeft om gebruiksvriendelijkheid. WhatsApp had dat probleem al, maar zat in de positie dat ze toch enkel op mobiele telefoons zaten en backups kunnen maken naar SD-kaart/Google Drive/iCloud dus daar was het een stuk minder groot probleem. De meeste mensen weten niet eens dat er encryptie in zit. :+

[Reactie gewijzigd door WhatsappHack op 11 januari 2020 15:48]

GekkePrutser
@WhatsappHack11 januari 2020 17:10
Aan de andere kant bulkt Facebook natuurlijk van het geld, laten we eerlijk wezen. Als dit een prioriteit voor ze was, dan zou het geen jaren duren.
jabwd
@GekkePrutser11 januari 2020 20:30
Technisch is het gewoon complex. Het is niet even een 'pub/priv' key pair secure delen over devices; je moet er van uit gaan dat elke node die je toevoegd compromised kan worden. Dit is het hele probleem, en heeft niks te maken met meer mensen tegen het probleem aan gooien. De magische million man month is hier echt niet de oplossing.
tonkie_67
@jabwd12 januari 2020 12:33
Helemaal mee eens, maar als FB het echt as prioriteit zou zien geloof ik niet dat het jaren moet duren (en dat al een jaar of zo na de aankondiging, dus jaren+1).
Ik vermoed haast dat het idee dat FB bij e2e encryptie zelf ook niet meer bij de data kan komen niet echt 'prioriteits verhogend' werkt...
GekkePrutser
@jabwd12 januari 2020 12:40
Er zijn zat andere messengers die dit allang gedaan hebben met een veel lager budget. Ze hebben allemaal andere keuzes gemaakt en hebben allemaal wat zwakheden hier en daar maar ze zijn al met al een heel stuk veiliger dan Messenger nu is. Als je om privacy geeft kan je het ook gefaseerd invoeren. Want momenteel heeft Messenger helemaal niks en dat is veruit de slechtste optie.

Maargoed we hebben allemaal gezien dat Mark Zuckerberg met droge ogen liegt tegen de Amerikaanse senaat en het Europese parlement dus ik zou dit soort beloften ook met een kilo zout nemen.

[Reactie gewijzigd door GekkePrutser op 12 januari 2020 12:43]

brabbelaar
@WhatsappHack11 januari 2020 17:08
Andere multi-platform apps lukt het ook. Maar ja, de advertenties moeten misschien wel content-aware blijven, en dat wordt lastig natuurlijk.
WhatsappHack
@brabbelaar11 januari 2020 17:56
Welke lukt dat op een gebruiksvriendelijke manier? De enige die ik kan bedenken is Signal wat redelijk vriendelijk werkt en daar zitten ook nog wat haken en ogen aan zoals dat je de sessie niet kan starten zonder je mobiele telefoon. Daarna is die niet perse meer nodig, maar dat is fundamenteel anders dan FB Messenger waar je in een willekeurig internetcafé bij je berichten kan zonder een reeds authorised apparaat bij de hand te hebben.
MadEgg
@WhatsappHack11 januari 2020 19:56
Bij Wire werkt dat prima en hoeft niet per se vanuit de mobiele telefoon opgezet te worden.

Je krijgt wel dat als je te lang een apparaat niet gebruikt, je niet alle berichten meer krijgt. En er zit een limiet op van 5 devices per account.
The Zep Man
@WhatsappHack11 januari 2020 22:57
De enige die ik kan bedenken is Signal wat redelijk vriendelijk werkt en daar zitten ook nog wat haken en ogen aan zoals dat je de sessie niet kan starten zonder je mobiele telefoon. Daarna is die niet perse meer nodig,
Klopt. Let op dat dit nog steeds gebruiksvriendelijker is dan bijvoorbeeld WhatsApp, waar de telefoon ook nog eens aan moet blijven en een internetverbinding nodig heeft om het op de desktop te gebruiken.
maar dat is fundamenteel anders dan FB Messenger waar je in een willekeurig internetcafé bij je berichten kan zonder een reeds authorised apparaat bij de hand te hebben.
Gekeken naar de doelgroep van Signal zijn dat niet de mensen die op een willekeurige internetcafé computer lekker gaan chatten.

Nog steeds is end-to-end encryptie toepassen niet moeilijk. Dat het standaard misschien niet veilig is voor een man-in-the-middle aanval is iets anders, maar de facto (ongeverifieerde) encryptie inschakelen waarbij Facebook geen sleutels heeft zou kunnen werken om te beschermen tegen passieve afluisteraanvallen. Dat gaat echter in tegen het verdienmodel van Facebook. Verder zal de vraag ook minimaal zijn ten opzichte van het gemiddelde Feesboek publiek. :+

[Reactie gewijzigd door The Zep Man op 11 januari 2020 23:00]

WillySis
@WhatsappHack11 januari 2020 16:51
Messenger is complexer dan Whatsapp destijds, maar dat maakt nog niet dat e2e encryptie niet op korte termijn (binnen een half jaar) gerealiseerd kan worden.Het feit dat e2e al wel mogelijk is bij een losse "Secret Conversation" bewijst dat het gewoon mogelijk moet zijn. Het snel algeheel implementeren zal betekenen dat de prioriteiten verschoven moeten worden. Het zal ook wel extra werk inhouden ipv het implementeren via regulier onderhoud.
Het is dus vooral een kwestie van de prioriteiten. Facebook heeft de privacy van gebruikers nooit een hoge prioriteit gegeven, dus dat we nog lang zullen moeten wachten op e2e past daar prima bij.
WhatsappHack
@WillySis11 januari 2020 17:59
“ Het feit dat e2e al wel mogelijk is bij een losse "Secret Conversation" bewijst dat het gewoon mogelijk moet zijn”

En dat werkt net als WhatsApp en verlies je alle multi-device features. Zowel FB Messenger als Telegram hebben dat probleem. Secret chat = geen enkele optie meer om op meerdere devices die chat(s) te benaderen. WhatsApp maar al helemaal Signal pakken dat beter aan, maar zijn in dit opzicht iets minder gebruiksvriendelijk om de sessie te starten plus WhatsApp heeft te allen tijde een verbinding met je telefoon nodig.

Er zit een verschil tussen E2EE aanbieden en de default maken als je de gebruiksvriendelijkheid/toegankelijkheid niet durft aan te raken.

[Reactie gewijzigd door WhatsappHack op 11 januari 2020 17:59]

WillySis
@WhatsappHack11 januari 2020 19:19
Ik schrijf niet dat het even snel te implementeren moet zijn. De encryptie is echter al wel aanwezig en moet op de juiste manier geïmplementeerd worden. Dat moet Facebook echt wel kunnen in 3 tot 6 maanden. Dan moet men wel een aantal prioriteiten aanpassen en accepteren dat het meer werk oplevert dan meenemen met regulier onderhoud.
magician2000
@WhatsappHack11 januari 2020 23:21
Maar kan het ook niet zijn dat Facebook er helemaal (nog) niet zo'n behoefte aan heeft om hier vaart achter te zetten? Ze blijven het liefst zoveel mogelijk persoonsgegevens verzamelen.

Wellicht dat ze eerst het geheel dusdanig op willen zetten dat ze dat kunnen blijven doen. Dat DAT niet in een jaar lukt kan ik me al beter voorstellen.

Verder, er lopen al discussies over encryptie. Wie weet dat er externe factoren een rol spelen in het nog niet in een jaar implementeren van dit geheel.

Maar misschien ben ik te wantrouwend (kan dat jegens bedrijven als Facebook?) en is het echt van technische aard.
Het.Draakje
@WhatsappHack11 januari 2020 15:16
Maar zo werkt Whatsapp toch ook: Op dektop, tablet en telefoon ?

https://www.whatsapp.com/features/
Sorcerer8472
@Het.Draakje11 januari 2020 15:18
Je hebt bij WhatsApp één basisapparaat dat de communicatie met het platform doet. Gebruik je vervolgens Web WhatsApp, dan gebeurt dat doordat je server een soort van server opzet voor je computer. Wat dat betreft is er dus wel degelijk sprake van dat het één-op-één is allemaal wat het sterk vereenvoudigt.
tonkie_67
@Sorcerer847212 januari 2020 12:41
Je zou natuurlijk een eigen virtueel basisapparaat in de cloud kunnen hangen voor iedere gebruiker en die als 'zelf beheerd' mitm decryptie en encryptie per remote apparaat kunnen laten doen. Maar dan moet jij wel (als enige) vol beheer van die box hebben
Niet practisch voor 1 mljrd FB ers...
BrokenTable
@Het.Draakje11 januari 2020 15:20
WhatsApp op desktop en tablet werkt via een website die verbinding maakt met verbinding met je mobiel en die is de feitelijke en enige client.

Bij bijv. Telegram (en ik denk ook Messenger als ik het zo lees) zijn er meerdere clients mogelijk. Mobiel hoeft niet aan te staan om via de Desktop app of iPad app of zelfs webapp berichten te versturen.

[Reactie gewijzigd door BrokenTable op 11 januari 2020 15:21]

Typecast-L
@WhatsappHack12 januari 2020 04:03
Ergens kan ik me wel voorstellen dat het veel complexer is dan met WhatsApp. Mensen zijn vanaf het begin af aan gewend om Messenger overal te kunnen gebruiken. Desktop, tablet, telefoon(s) - zoveel devices als je wil, los van elkaar en gelijktijdig en alles blijft in sync. En gebruiksvriendelijk, dus gewoon je login gegevens intikken en de hele rotzooi wordt uit de cloud opgehaald. Met end-to-end encryptie is dat een stuk lastiger en Facebook kan niet zomaar die gebruiksvriendelijkheid wegknikkeren.
Correct me if I'm wrong maar Whatsapp heeft toch ook een Android app, iOS app, Windows 10 app, is te benaderen via een webbrowser en is overal in sync. Als encryptie met Whatsapp geen probleem is waarom dan met Messenger wel?

[Reactie gewijzigd door Typecast-L op 12 januari 2020 04:08]

WhatsappHack
@Typecast-L12 januari 2020 12:18
WhatsApp is cross-platform ja, maar niet multi-device. ;) Je kan niet tegelijk inloggen op Android, iOS en Windows en ook niet op bijvoorbeeld 2 iOS apparaten tegelijk. Eén telefoonnummer == één apparaat ingelogd. Bij FB Messenger kan dat wel. Daarnaast log je bij FB Messenger op de browser in met je user/pass en komt je data uit hun cloud zeilen. Bij WhatsApp is dat niet het geval, ook voor Web/Desktop niet: je telefoon opent een socket en daar verbindt de web/desktop-app mee en is er dus niets werkelijk “in sync” op een hele kleine buffer na. Je desktop/web sessie pre-load maar x gesprekken en daarvan x (ik geloof 10) berichten vanuit je telefoon. De rest blijft op je toestel of moet je beetje bij beetje terugscrollen. Verliest je telefoon z’n dataverbinding dan kan je ook niets meer omdat de data en encryptie sleutels enkel daar staan. Dat kan je niet bepaald “in sync met elkaar” noemen. :P Bij FB heb je op alle apparaten je complete geschiedenis en geen afhankelijkheid van je telefoontoestel.

Dat is een mega groot verschil tussen de manier van werken en de opbouw van het platform.

Signal kan dat wel trouwens, daar kan je je mobiel en desktop “in sync” krijgen, maar pas vanaf het moment dat je ze linkt. (En je mag niet meer dan 1000 berichten in de queue hebben voor een apparaat noch mag die langer dan 30 dagen offline zijn) Link je ze direct vanaf het begin en open je beiden minstens eens per week dan zullen die onafhankelijk van elkaar volledig in sync zijn én volledig end to end versleuteld. Het zou fijn zijn als WhatsApp dat port, immers draait WhatsApp op Signal Protocol.

[Reactie gewijzigd door WhatsappHack op 12 januari 2020 12:24]

Typecast-L
@WhatsappHack12 januari 2020 13:19
Bijna allemaal terechte constateringen maar ik lees nergens waarom e2e voor Messenger lastiger is dan voor andere vergelijkbare diensten en het voor dit miljardenbedrijf jaren moet duren. Alles wat je aanhaalt is een relatief eenvoudige oplossing voor te implementeren die je met een paar slimme koppen binnen enkele weken/maanden hebt draaien om te testen.
Niet crossplatform
het is weldegelijk crossplatform alleen met veel meer beperkingen, die je zelf ook aanhaalt.
Telefoonnummer
Ik meen mij te herinneren dat niet al te lang geleden aangekondigd is dat ze willen aanpassen en daar al mee bezig zijn (kan er zo snel niets over terugvinden behalve een boel artikels die mobiel nummer gebruik met trucs omzeilen). Als dat zo klopt, dan is dit ook geen reden voor vertraging van e2e encryptie implementatie.
Socket
Klopt wat je zegt maar ook geen reden tot jaren vertraging voor implementatie van e2e.
Afgaand op jou uitleg. Het enige wat men hoeft te doen is het stuk dat naar de cloud gecashed wordt vergroten en zorgen dat elk device in staat is om de gegenereerde sleutel te decrypten als jij op dat apparaat geverifieerd bent. Facebook hoeft echt het wiel niet opnieuw uit te vinden, zo'n beetje elke secure cloud dienst doet dit al.

Speculatief:
Facebook is een miljardenbedrijf. Als men morgen besluit dat e2e encryptie een prio is dan is voor einde van 2020 elk onderdeel van hun bedrijf bijgewerkt. Het is voor Facebook alleen totaal niet gunstig om dit te doen. Als FB al haar diensten met e2e encryptie versleuteld dan werkt ineens geen enkele van hun datamine tools meer. Zeg maar dag tegen gebruikersprofielen opbouwen etc. Ik gok dat het geen wat zo lang duurt niet e2e implementatie is, maar de rest van hun systemen aanpassen zodat ze toch nog alles van je kunnen blijven zien ondanks encryptie.

[Reactie gewijzigd door Typecast-L op 12 januari 2020 13:36]

Bitmaster
@WhatsappHack12 januari 2020 22:55
Signal kan intussen wél meerdere devices tegelijk onafhankelijk van elkaar hebben werken, al heeft dat ook caveats, hopelijk wordt dat nog eens geport naar WhatsApp.)
De end-to-end encryptie in Whatsapp is gemaakt door de ontwikkelaars van Signal, laten we hopen dat hierin een keer verbetering komt. De desktop-versie van Whatsapp is handig maar ik vind de vereiste verbinding met de telefoon erg irritant.
Kiragi
11 januari 2020 14:41
Is het echt technisch moeilijk om die E2E toe te voegen aan bestaande systemen? Facebook heeft nu Whatsapp overgenomen en die hebben het wel geflikt toentertijd. Nu zal het systeem onderling wel verschillen, maar een miljardenbedrijf zoals Facebook moet het wel sneller kunnen dan wat nu beloofd is.

Ik heb meer het idee dat Facebook dit liever zo veel mogelijk vertraagd dan het echt aan te moedigen.. Maar dat men een positief imago wil behouden door dit soort info te verspreiden.
WhatsappHack
@Kiragi11 januari 2020 14:49
Facebook heeft nu Whatsapp overgenomen en die hebben het wel geflikt toentertijd.
Dat klopt, maar WhatsApp draait enkel op een mobiele telefoon, terwijl FB Messenger op telefoons, tablets, desktop/browser draait én gelijktijdig op al die devices de berichten beschikbaar moeten zijn. Dat is lastiger voor elkaar te boksen als je de wat gebruiksvriendelijkere opzet wilt behouden. WhatsApp is in dat opzicht iets minder gebruiksvriendelijk, je moet een QR-code scannen op je Desktop én je telefoon moet ingeschakeld zijn en een internetverbinding hebben, maar wel een heel stuk veiliger.

-edit- Let dus op: FB Messenger biedt wel degelijk E2EE. Maar zodra je dat inschakelt is dat gesprek enkel in te zien op het toestel waarmee je de chat bent gestart, net als bij WhatsApp dus. (Alleen bij FB dan ook geen "Desktop" optie.) Als het op die manier werkt kunnen ze dat niet de default maken, want dat druist in tegen de gebruiksvriendelijkheid die men gewend is geraakt.

[Reactie gewijzigd door WhatsappHack op 11 januari 2020 14:58]

MicBenSte
@WhatsappHack11 januari 2020 15:50
Hm, valt zo'n probleem niet op te lossen met een algemene Session_ID die op accountniveau ipv apparaatniveau werkt? Zou (tot zover ik het zelf kan beoordelen) te doen moeten zijn, alleen dan kan FB natuurlijk minder goed tracken waar welke 'versie' van FB voor gebruikt wordt.
WhatsappHack
@MicBenSte11 januari 2020 15:55
Signal heeft het opgelost door simpelweg meerdere keys te gebruiken, al zit daar een caveat aan vast dat als je veel berichten uitwisselt er een probleem ontstaat. Bij meer dan 1000 berichten in de queue voor een device worden de oudste berichten simpelweg weggeknikkerd en dit gebeurt geloof ik ook automatisch als ze ouder dan 30 dagen zijn en nog steeds niet opgehaald zijn van de server. Je moet Signal op alle devices dus regelmatig openen wil je dat ze volledig in-sync zijn qua berichten.
mae-t.net
@WhatsappHack11 januari 2020 16:46
Whatsapp draait niet alleen op meer mobiele platforms dan de gemiddelde applicatie, maar ook op de browser.What dat betreft verschilt het dus niet van Facebook messenger. Misschien moet FB maar gewoon op het protocol van Whatsapp overstappen zoals Skype destijds op MSNP gezet is.
WhatsappHack
@mae-t.net11 januari 2020 17:52
Dat is anders. Je browser/desktop maakt een verbinding met je mobiele telefoon die de sleutels heeft en alles verloopt vervolgens via dat toestel. Voor bijlagen hebben ze t zelfs slim opgelost, die wordt gewoon met een aparte key versleuteld, in een blob store geupload direct vanaf je PC en je telefoon verstuurd vervolgens met E2EE die sleutel plus blobpointer. Zet je telefoon uit en de boel werkt niet meer. Dat is fundamenteel anders dan FB Messenger dat alles in hun cloud opslaat en waar en wanneer je maar wilt je enkel je fb login nodig hebt om erbij te komen.
Yamotek
@Kiragi11 januari 2020 14:47
Het lijkt mij dat er achter de schermen vanuit overheden er op wordt aangestuurd dit niet in te voeren. Er zijn al meerdere nieuwsberichten langsgekomen dat vooral de Amerikaanse overheid dit wilt voorkomen en het lijkt tot nu toe dus te werken.

Het lastige met messenger is denk ik wel dat er meerdere accounts over dezelfde sleutel moeten beschikken. Bij what's app is het niet mogelijk om op de desktop in te loggen (alles loopt nog via de telefoon). Misschien dat dit het wat lastiger maakt, maar voor een bedrijf als Facebook lijkt mij dit ook niet onmogelijk om dit op te lossen, zeker niet dat dit nog jaren duurt.
Wim-Bart
@Yamotek11 januari 2020 16:58
Het is helemaal niet zo lastig. Versleutelen kan vrij eenvoudig. En je kan het op twee Methoden implementeren. 1 methode is dat de ontvanger een fixed private/public key pair heeft. Dan is het inderdaad moeilijk om encryptie te implementeren waarbij ontvanger meerdere devices simultaan heeft. De tweede methode is een dynamisch paar, waarbij deze alleen geldt tussen twee devices in een conversatie. Nadeel is dat je bijvoorbeeld dus niet je berichten kan meelezen op meerdere devices.

Bij een fixed pair is dit laatste niet het geval en zal je dus je key-pair in je account online moeten opslaan wat weer een veiligheidsissue kan betekenen.
Yamotek
@Wim-Bart11 januari 2020 18:51
Laat de crux nu net in de afweging zitten die je zelft aangeeft, die afweging is waar ik op doelde. Het klopt wat je zegt dat 'versleutelen' niet zo lastig is, het onkraakbaar maken van versleuteling daarentegen is een heel ander verhaal als er niet op gebruiksvriendelijkheid ingeleverd mag worden.
Wim-Bart
@Kiragi11 januari 2020 16:46
Het is helemaal niet moeilijk om end to end encryptie in te bouwen wanneer het onderliggende protocol goed ontworpen is. Maar ik denk zelf dat het meer onwil is dan een technisch probleem. Er zijn al zo veel producten die het kunnen en in theorie is het niks anders dan een kleine aanpassing. En het is niet moeilijker dan een bericht te versleutelen met de openbare key van je tegenpartij, bericht versturen en aan de andere kant uitpakken met de private key.
dez11de
@Kiragi11 januari 2020 17:29
Veel mensen zeggen dat security een basisfeature moet zijn. Voor een bestaand product zonder encryptie is het lastig om dat er aan te plakken.
Facebook messenger is de afgelopen jaren gegroeid van een berichten app tot een Berichtenapp met Voice, video, plaatjes, betalingen etc etc.
Dus eigenlijk moeten ze helemaal opnieuw beginnen. Daarbij zegt iemand die er dagelijks tot aan z’n knieën inzit dat het moeilijk is. Ik denk dat maar weinig tweakers in de positie zijn om hem tegen te spreken.
SgtElPotato
@Kiragi11 januari 2020 14:43
Een goede manier natuurlijk om voor 'het typische Facebook volk' goodwill te creëren.
Fonsie001
11 januari 2020 14:52
Is het zo ingewikkeld? iMessage draait toch ook op desktop, telefoon en tablet?
Ik weet dat ik in de minderheid ben maar ik prefereer iMessage echt toch boven WhatsApp
efari
@Fonsie00111 januari 2020 17:14
iMessage is inderdaad e2e geencrypteerd.
Maar je private sleutel wordt wel bijgehouden in iCloud, om zo te kunnen synchroniseren tussen al je apparaten.
Dus als Apple wil (of als ze daartoe verplicht worden) kunnen ze wel degelijk aan al je berichten.
Messages in iCloud also uses end-to-end encryption. If you have iCloud Backup turned on, your backup includes a copy of the key protecting your Messages. This ensures you can recover your Messages if you lose access to iCloud Keychain and your trusted devices.

[Reactie gewijzigd door efari op 11 januari 2020 17:17]

Het.Draakje
@efari11 januari 2020 17:45
Ik lees daarin dat zonder iCloud backup de key niet bekend is bij Apple.

Sowieso heb ik het idee dat als je iets privé wilt houden, dat je niets met de cloud moet doen.
WhatsappHack
@Fonsie00111 januari 2020 14:54
Maar enkel op Apple devices, en die hebben het voordeel van iCloud. ;) Zonder iCloud werkt dat ook niet op die manier. En het introduceert een window of opportunity aan de kant van Apple.
michaelkamen
11 januari 2020 14:44
Facebook Messenger heeft al wel de mogelijkheid tot eind-tot-eindversleuteling, maar dit is nu nog een opt-in: gebruikers moeten aangeven dat ze meer privacy willen, waarna een Secret Conversation opgezet wordt. Die is dan versleuteld, maar gewone chatgesprekken niet.
Wat is het probleem met gewoon alle gesprekken standaard opzetten als 'secret conversation'?
WhatsappHack
@michaelkamen11 januari 2020 14:48
Dan zijn de gesprekken niet zomaar op alle devices beschikbaar. Als je nu secret chats wil kan dat ook enkel op een mobiele telefoon en zijn de berichten enkel op dat toestel beschikbaar. Dat gaat in tegen wat de meeste mensen die diensten als FB Messenger en Telegram gebruiken vaak willen: directe toegang op elke device die je maar wilt, met enkel je gebruikersnaam + wachtwoord. Veiligheid is van ondergeschikt belang.

Daar zijn wel oplossingen voor, maar dat is makkelijker gezegd dan gedaan om tegelijk die gebruiksvriendelijkheid te behouden.
erikmeuk3
@WhatsappHack11 januari 2020 16:11
Ik denk dat FB ook helemaal geen belang bij totale E2E versleuteling heeft.
Uit eigen ervaring weet ik dat ze het gesprek analyseren om advertenties aan te passen.
Als het echt E2E is, zou FB ook niet meer mee kunnen kijken.
Ingewikkelde procedures met kopiëren van sleutels op je apparaten zorgt er ook voor dat mensen afhaken.
De 'ik heb niets te verbergen types' gaan mopperen dat het te moeilijk is.
WhatsappHack
@erikmeuk312 januari 2020 02:01
“ Ingewikkelde procedures met kopiëren van sleutels op je apparaten zorgt er ook voor dat mensen afhaken.”

En dat somt het hele probleem op. Ga x miljard mensen die geen reet om veiligheid geven maar eens opleggen dat ze allerlei stappen moeten ondernemen om de boel multi-device en willekeurig toegankelijk te krijgen en houden. Dat kost gebruikers, dat kost geld en dat gaat dus niet gebeuren.

Ze moeten het slim aanpakken, maar om eerlijk te zijn: ik snap sowieso niet waarom ze in godsnaam hebben gezegd dat ze de boel willen encrypten. Op PR-redenen na is er echt geen reden te bedenken waarom ze dat zouden moeten willen als we kijken naar de userbase. Het merendeel geeft er geen hol om, en die relatief weinig mensen die er wel wat om geven zijn al voorzien met de Secret Chat-modus...

Ik denk dat Facebook PR-punten wilde scoren en nu met een “belofte maakt schuld” probleem zit, het op de lange baan schuift en vervolgens horen we er nooit meer iets van omdat het sowieso al onbegonnen werk was binnen de modus operandi van Messenger... Het gaat gewoon niet zonder die gebruiksvriendelijkheid en “overal te benaderen” setup ongedaan te maken. Ja met een oplossing waarbij de keys op FB staan met een user-defined sleutel misschien, maar dat gaat ook nergens over en maakt het er niet betrouwbaarder op. :+

[Reactie gewijzigd door WhatsappHack op 12 januari 2020 02:04]

i-chat
@WhatsappHack11 januari 2020 15:27
dan kies je de verkeerde encryptie-methode. door een symetische key, te gebruiken of door deze gemakkelijker te laten lekken.

als je de key te eenvoudig houdt, dan is de beveiliging te zwak, maak je hem te moeilijk dan is hij niet gebruiksvriendelijk genoeg.

Dit probleem heb je niet (of minder) wanneer je user-based keys gebruikt. het enige nadeel daarvan is dat je die techniek niet (goed) kunt gebruiken voor groepsgesprekken.
Rudie_V
11 januari 2020 15:53
Elk bedrijf kan e2e encryptie toevoegen maar voor techreus en miljardenbedrijf facebook gaat dit jaren duren.. jaja...

Maar willen ze zelf de e2e encryptie uivinden of willen ze een opensource implementatie gebruiken, zoals whatsapp ook heeft gedaan met het signal protocol?
nieuws: WhatsApp schakelt end-to-end-encryptie in op alle platformen
WhatsappHack
@Rudie_V11 januari 2020 16:09
Facebook Messenger gebruikt ook Signal Protocol voor secret chats. Alleen werkt Messenger anders dan WhatsApp en daar zit de crux.

[Reactie gewijzigd door WhatsappHack op 11 januari 2020 16:10]

koelpasta
@WhatsappHack11 januari 2020 20:48
E2E encryptie staat volgens mij redelijk los van het transport.
Ik denk dat het grote probleem voor facebook is dat ze dan de berichten zelf niet meer kunnen lezen. Ze willen het denk ik gewoon niet implementeren omdat ze dan minder geld verdienen aan de infromatie van mensen.
WhatsappHack
@koelpasta12 januari 2020 01:46
Wat bedoel je precies met transport in deze? :) Snap niet naar welk gedeelte in m’n post je verwijst. :)

Mja dat zou kunnen, maar dat zou niet verklaren waarom ze wel een volledig functionele end-to-end encrypted optie hebben. Dat bieden ze al aan, alleen verlies je dan alle gebruiksvriendelijkheid. En dat laatste is hét grote probleem bij massaimplenentatie, zeker als die massa het voornamelijk geen reet interesseert of het wel of niet encrypted is. :P

Facebook zelf beweert overigens dat ze aan metadata veel meer hebben dan aan gespreksinhoud ivm context-herkenning. Wat daar waar van is laat ik ff in ‘t midden...
koelpasta
@WhatsappHack12 januari 2020 19:46
Wat ik bedoelde was dat e2e encryptie in principe onafhankelijk is van het transportnetwerk en dus 'er overheen' geimplementeerd kan worden. Het is niet iets waar het transportsysteem (hetgeen de berichten van A naar B laat komen, in dit geval zei je iets over Signal) zich bewust van hoeft te zijn.

Ik las je andere posts en begrijp nu dat multi-device een ding is. Ja, dan zou je idd een apparte key management ding op elk device moeten hebben en dat wordt inderdaad minder gebruiksvriendelijk.
Mushroomician
11 januari 2020 15:51
Al die fuzz, in principe kun je toch een soort OpenPGP extensie maken voor fb waarna je de key over devices distribueerd. Dan wordt dus lokaal op je device een bericht versleuteld, de onleesbare text zogenaamd als "plaintext" over de bestaande lijn (het textveld zegmaar), en dan aan de andere kant op zelfde manier ontcijferen. Een externe developper kan dit zelfs, maar dan moet de gebruiker wel een extra app downloaden.
erikmeuk3
@Mushroomician11 januari 2020 16:24
PGP zit al in FB voor je mailtjes van FB.
Als je het hebt over versleutelen, moet je wel vertrouwen hebben in degene die de dienst aan bied.
Dat vertrouwen zal er bij mij nooit komen bij die club.
Hoe waterdicht het ook lijkt.
En als FB mee kan kijken in de app van de externe ontwikkelaar, heb je weer een lek.
Mushroomician
@erikmeuk311 januari 2020 19:16
Ik heb ook geen vertrouwen in die partij, maar wat ik bedoelde met externe app is een soort overlay. Stel jij en ik gebruiken een toetsenbord-app die input versleuteld in een willekeurig tekstveld, dus ook deze hier op tweakers. Alleen jij en ik kunnen deze dan ontcijferen, als dit bericht was versleuteld met jouw modulus. Ook handig voor signen met mijn priv.key., maar andere lezers zien er niets van.
Leejjon
11 januari 2020 14:55
Het is ook best moeilijk om neppe end to end versleuteling te doen en wel de overheden toegang te geven tot de data zonder dat mensen erachter komen en er negatieve media aandacht komt :P

[Reactie gewijzigd door Leejjon op 12 januari 2020 11:50]

amsterdamned
@Leejjon11 januari 2020 15:42
Het zou me eigenlijk helemaal niks verbazen als dit de echte reden is waarom het zo lang moet duren! Vooral nu met Trump, waarvan bekend is dat hij een enorme hekel heeft aan encryptie waaroverheden niet bij kunnen, is het goed mogelijk dat Facebook de huidige encryptie mogelijkheden niet kan/mag benutten.
HollowGamer
11 januari 2020 16:27
Wat een onzin, ja, WhatsApp mag dan 'minder ingewikkeld' zijn, maar daarvoor was er ook geen encryptie en toch is het hun prima gelukt. Ik begrijp wel dat het moeilijker is, zeker wat de nieuwe eigenaar van WA (FB) niet lukt, namelijk gericht advertenties injecteren of het (volledig) kunnen volgen van gebruikers. Bij Whatsapp zijn die inderdaad moeilijk(er) of onmogelijk, of je moet het helemaal opnieuw opbouwen.

Ik zou graag Telegram willen gebruiken, maar vind hun eigen encryptie nog altijd geen pluspunt. Dan liever producten met Signal.

[Reactie gewijzigd door HollowGamer op 11 januari 2020 16:27]

WhatsappHack
@HollowGamer12 januari 2020 01:50
WhatsApp is niet werkelijk multi-device en slaat niets op in de cloud (behalve als buffer), daar zit de wereld van verschil hem in. Advertenties injecteren lijkt me overigens best makkelijk in WhatsApp, alleen om dat te doen zonder de hele app te verkrachten met banners is een lastig punt. Een optie is al om voor of na het afspelen van een video een ad in te laden. Maakt niet uit of de blob encrypted is, daarna de client gewoon verbinding laten leggen met de adserver en hopsa. Zelfde verhaal met Status, daar gaan ze iets soortgelijks doen.
jpsch
11 januari 2020 16:48
Standaard hoeft ook niet, als je het maar aan kunt zetten.
WhatsappHack
@jpsch12 januari 2020 01:50
Die optie heb je al, behalve in de browser. Dus beperkt tot de Messenger-app.
brigada
11 januari 2020 23:51
Van Durov's channel:


In May, I predicted that backdoors in WhatsApp would keep getting discovered, and one serious security issue would follow another, as it did in the past [1] (https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15). This week a new backdoor was quietly found in WhatsApp [2] (https://www.independent.c...ia-cert-nso-a9210236.html). Just like the previous WhatsApp backdoor and the one before it, this new backdoor made all data on your phone vulnerable to hackers and government agencies. All a hacker had to do was send you a video – and all your data was at the attacker’s mercy [3] (https://in.mashable.com/t...rom-malicious-video-files).

WhatsApp doesn’t only fail to protect your WhatsApp messages – this app is being consistently used as a Trojan horse to spy on your non-WhatsApp photos and messages. Why would they do it? Facebook has been part of surveillance programs long before it acquired WhatsApp [4] (https://www.theverge.com/...-surveillance-cheat-sheet)[5] (https://www.usatoday.com/...ternet-companies/2398345/). It is naive to think the company would change its policies after the acquisition, which has been made even more obvious by the WhatsApp founder’s admission regarding the sale of WhatsApp to Facebook: “I sold my users’ privacy” [6] (https://mashable.com/article/brian-acton-whatsapp-interview/).

Following the discovery of this week’s backdoor, Facebook tried to confuse the public by claiming they had no evidence that the backdoor had been exploited by hackers [7] (https://www.techspot.com/...aw-way-handles-video.html). Of course, they have no such evidence – in order to obtain it, they would need to be able to analyze videos shared by WhatsApp users, and WhatsApp doesn’t permanently store video files on its servers (instead, it sends unencrypted messages and media of the vast majority of their users straight to Google’s and Apple’s servers [8] (https://www.theinquirer.n...ckup-data-on-google-drive)). So – nothing to analyze – “no evidence”. Convenient.

But rest assured, a security vulnerability of this magnitude is bound to have been exploited – just like the previous WhatsApp backdoor had been used against human rights activists and journalists naive enough to be WhatsApp users [9] (https://www.ft.com/conten...71-11e9-a354-36acbbb0d9b6)[10] (https://www.reuters.com/a...app-sources-idUSKBN1XA27H). It was reported in September that the data obtained as a result of the exploitation of such WhatsApp backdoors will now be shared with other countries by US agencies [11] (https://www.thetimes.co.u...in-deal-with-us-q7lrfmchz)[12] (https://www.bloomberg.com...-messages-with-u-k-police).

Despite this ever-increasing evidence of WhatsApp being a honeypot for people that still trust Facebook in 2019, it might also be the case that WhatsApp just accidentally implements critical security vulnerabilities across all their apps every few months. I doubt that – Telegram, a similar app in its complexity, hasn’t had any issues of WhatsApp-level severity in the six years since its launch. It’s very unlikely that anyone can accidentally commit major security errors, conveniently suitable for surveillance, on a regular basis.

Regardless of the underlying intentions of WhatsApp’s parent company, the advice for their end-users is the same: unless you are cool with all your photos and messages becoming public one day, you should delete WhatsApp from your phone.

[1] – Why WhatsApp will never be secure

(https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15)[2] – WhatsApp users urged to update app immediately over spying fears (https://www.independent.c...ia-cert-nso-a9210236.html)

[3] – WhatsApp Android and iOS users are now at risk from malicious video files

(https://in.mashable.com/t...rom-malicious-video-files)[4] – Everything you need to know about PRISM (https://www.theverge.com/...-surveillance-cheat-sheet)

[5] – NSA taps data from 9 major Net firms

(https://www.usatoday.com/...ternet-companies/2398345/)[6] – WhatsApp co-founder Brian Acton: 'I sold my users' privacy'

(https://mashable.com/article/brian-acton-whatsapp-interview/)[7] – Hackers can use a WhatsApp flaw in the way it handles video to take control of your phone

(https://www.techspot.com/...aw-way-handles-video.html)[8] – WhatsApp is storing unencrypted backup data on Google Drive

(https://www.theinquirer.n...ckup-data-on-google-drive)[9] – WhatsApp hack led to targeting of 100 journalists and dissidents (https://www.ft.com/conten...71-11e9-a354-36acbbb0d9b6)

[10] – Exclusive: Government officials around the globe targeted for hacking through WhatsApp - sources

(https://www.reuters.com/a...app-sources-idUSKBN1XA27H)[11] – Police can access suspects’ Facebook and WhatsApp messages in deal with US (https://www.thetimes.co.u...in-deal-with-us-q7lrfmchz)

[12] – Facebook, WhatsApp Will Have to Share Messages With U.K. (https://www.bloomberg.com...-messages-with-u-k-police)
WhatsappHack
@brigada12 januari 2020 01:54
Lol, Durov met z’n wc-eendjes verhaaltjes zijn altijd grappig - zeker als de helft uit overdreven bullshit bestaat. Laat die sjaak eerst zijn eigen Telegram maar eens veilig maken, dan heeft ie misschien recht van spreken - maar dat gaat nooit gebeuren. Tot die tijd is het elke keer weer een nogal trieste vertoning.

Zolang zelfs FB Messenger nog veiliger is dan Telegram is de man echt niet serieus te nemen.

[Reactie gewijzigd door WhatsappHack op 12 januari 2020 01:56]

1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee