Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook: standaard e2e-versleuteling Messenger kan nog jaren duren

Volgens Facebook-programmeur Jon Millican moeten gebruikers in ieder geval de komende jaren nog geen standaard end-to-end-versleuteling verwachten bij Facebook Messenger. Dat beloofde Mark Zuckerberg een jaar geleden, maar hij noemde daarbij geen tijdpad.

De Facebook-ontwikkelaar deed de uitspraken bij de Real World Crypto Conference in New York. "We hebben het plan jaren voordat we het konden waarmaken, aangekondigd", stelt hij in een interview met Wired op de beurs. Hij wilde verder niet zeggen wanneer Facebook verwacht dat het project dan volbracht is. Dat schrijft Wired.

Facebook Messenger heeft al wel de mogelijkheid tot eind-tot-eindversleuteling, maar dit is nu nog een opt-in: gebruikers moeten aangeven dat ze meer privacy willen, waarna een Secret Conversation opgezet wordt. Die is dan versleuteld, maar gewone chatgesprekken niet.

Ondanks de aanwezigheid van de Secret Chats, is het volgens Millican alsnog een grote uitdaging om e2e-crypto standaard te maken. "We hebben op het moment meer vragen dan antwoorden", zei hij tijdens zijn presentatie. "E2e-versleuteling toevoegen aan een bestaand systeem is ongelofelijk uitdagend en daarbij moet alles opnieuw". Zijn presentatie benoemde dan ook voornamelijk meer uitdagingen dan oplossingen, aldus Wired.

Millican stelt dat de versleuteling van WhatsApp een ongelukkig voorbeeld is: niet alleen zou dat ook jaren geduurd hebben, maar WhatsApp was ten tijde van die wijziging een veel simpeler product dan Messenger nu is. Desalniettemin is niet iedereen overtuigd van de argumentatie van Facebook: een cryptograaf aan de Johns Hopkins-universiteit, die ook meehielp met de introductie van Secret Conversations, vindt dat Facebook blijkbaar niet genoeg van zijn grootste voorraad middelen erop heeft gezet als het nog jaren moet duren.

Mark Zuckerberg deed de belofte van e2e-versleuteling in maart van vorig jaar. Het is een onderdeel van de slag om zichzelf meer privacyvriendelijk neer te zetten na het uitbreken van het Cambridge Analytica-schandaal.

Door Mark Hendrikman

Nieuwsposter

11-01-2020 • 14:38

119 Linkedin Google+

Reacties (119)

Wijzig sortering
Ergens kan ik me wel voorstellen dat het veel complexer is dan met WhatsApp. Mensen zijn vanaf het begin af aan gewend om Messenger overal te kunnen gebruiken. Desktop, tablet, telefoon(s) - zoveel devices als je wil, los van elkaar en gelijktijdig en alles blijft in sync. En gebruiksvriendelijk, dus gewoon je login gegevens intikken en de hele rotzooi wordt uit de cloud opgehaald. Met end-to-end encryptie is dat een stuk lastiger en Facebook kan niet zomaar die gebruiksvriendelijkheid wegknikkeren.

Ik maak me overigens geen illusies dat ze er wel haast bij zouden hebben, daar niet van. Maar ik geloof het best als ze zeggen dat het een heel stuk lastiger is dan met WhatsApp destijds dat enkel op mobiele telefoons draait en te allen tijde daar je private keys bewaard. (Ja tegenwoordig kan je dmv een QR-code ook een sessie starten op desktop/browser, maar dat loopt op het moment nog altijd via je telefoon en de sleutels verlaten het toestel niet. Als die uitstaat = einde verhaal. Signal kan intussen wél meerdere devices tegelijk onafhankelijk van elkaar hebben werken, al heeft dat ook caveats, hopelijk wordt dat nog eens geport naar WhatsApp.)

[Reactie gewijzigd door WhatsappHack op 11 januari 2020 14:59]

Whatsapp web werkt doordat jouw telefoon al het verkeer afhandelt. Eigenlijk ben je zelf een MITM aan het doen. Je webbrowser heeft de keys niet En haalt de onversleutelde data op jouw telefoon op. Whatsapp draait eigenlijk een kleine webserver waar whatsapp web op draait. Dat maakt dan ook dat FB de hele zwik opnieuw moet gaan uitfigulieren. Het syncen van data met versleuteling is dan een hele overhaul van het backend en de onderlinge communicatie. Apple heeft dit met icloud messages ook gedaan maar dan vanaf scratch. Greenfield is het leven een stuk makkelijker.
Dat gaat om een pre-shared secret. Het eerste bericht is een manier om over een onveilige verbinding een manier op te zetten om het veilig te maken door middel van async encryptie. Helaas moet het keypair dus in de browser worden gegenereerd. Dus de private key is uit te lezen in de browser. Dat betekent niet dat het daarna verstuurde secret de Private key is. Dit wordt ook nergens geïnsinueerd gelukkig. Aan de andere kant hadden ze er wel bij mogen zeggen dat het dit expliciet niet is of wel, want nu is het dus open voor speculatie.
Nee het verzwakt de beveiliging niet iets, het komplete idee is ineens niks meer waard. Het punt van e2e is dat ik altijd weet dat ik met jou praat tenzij er een nieuw keypair wordt gegenereerd als jij een nieuw toestel hebt bijvoorbeeld. Dan kan ik checken of jij wel degelijk bent wie je zegt door jou persoonlijk te vragen of je een nieuw toestel is en met welke code ik de boel zou moeten signen (dat kan je dus ook fysiek checken bij whatsapp).
Dat is gewoonweg onzin. Het hele idee van e2e encryptie heeft niks te maken met het fysieke toestel. e2e betekend alleen dat pas op het laatste apparaat de boel ontcijfert wordt en niet ergens tussenin de ketting. dat er meerdere apparaten zijn die die private key hebben verzwakt alleen de beveiliging in de zin dat nu drie apparaten de keys van gestolen kunnen worden ipv 1. PGP via email werkt bijvoorbeeld zo. ik heb bijvoorbeeld met een geroote telefoon gewoon mijn private whatsapp keys en chats overgezet naar mijn nieuwe telefoon, dat kan je niet controleren. een kwaadwillende kan ook gewoon je prive keys stelen van whatsapp. dat is niet iets wat te beveiligen is, dat is het hele idee van een private key namelijk. dat je de berichten kan zien als je die key weet. hier is bijvoorbeeld code waarmee je dat kan doen: https://github.com/MarcoG3/WhatsDump
WhatsDump‘s approach is different: it exploits the way WhatsApp generates the private key. In fact, cipher key is linked to the mobile phone number which is used to initially register to WhatsApp service. If we register using the same number and trick the application in thinking that we have a local backup, we would both decrypt the database and get the decryption key.
https://plainsec.org/extr...and-greater-without-root/

[Reactie gewijzigd door t link op 12 januari 2020 11:52]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True