Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chatapp Threema voegt ondersteuning voor versleuteld videobellen toe

Threema heeft updates uitgebracht van zijn apps voor Android en iOS met ondersteuning voor videobellen. De functie was al beschikbaar als bèta, maar is nu publiek uitgebracht. De Zwitserse app belooft volledige versleuteling van de videogesprekken.

Volgens de ontwikkelaar is de videobelfunctie uitgebreid getest en nu geschikt voor het grote publiek. Het was al mogelijk om audiogesprekken te voeren met Threema en videobellen kan door tijdens zo'n gesprek de camera aan te zetten.

De videobelfunctie gebruikt eind-tot-eindversleuteling en volgens Threema voldoet de functie ook aan zijn strenge standaarden voor het versleutelen van metadata, zoals data van de oriëntatiesensor van de camera. Daarvoor heeft het team aanpassingen gemaakt aan de WebRTC-standaard. Die beveiligingsverbeteringen worden ook in het WebRTC-project opgenomen, zodat andere apps er ook van kunnen profiteren.

Videobellen zit in Threema 4.6 voor iOS en in versie 4.4 voor Android. Threema is een Zwitserse chatapp met focus op privacy. In tegenstelling tot concurrenten is de app niet gratis. De software staat voor vier euro in de downloadwinkels van Apple en Google.

Threema bestaat sinds 2012 en heette oorspronkelijk Eeema, wat staat voor End-to-end encrypted messaging application. De drie e's werden vervangen door Three. Volgens de makers had de app begin dit jaar acht miljoen gebruikers, waarvan twee miljoen zakelijke gebruikers.

Door Julian Huijbregts

Nieuwsredacteur

10-08-2020 • 14:53

26 Linkedin

Submitter: begintmeta

Reacties (26)

Wijzig sortering
Maar nu de vraag, is het p2p of heeft Threema een relay server?

Beetje 'deels' off-topic hier, maar Telegram komt binnenkort ook eindelijk met video bellen. Het zit in de 7.0 versie van Testflight voor iOS. Daarin kan je kiezen of je het via de Telegram relay server doet of P2P. (mits dit buiten de beta ook komt hoor).

[Reactie gewijzigd door slijkie op 10 augustus 2020 15:08]

Maakt dat iets uit dan? Als het end-to-end versleuteld is dan maakt die relay server het niet minder betrouwbaar.
Ja, want als het P2P is kan je volgens mij het IP van de ander zien. Met een relay server niet.
Een p2p videogesprek is naar mijn weten best lastig omdat je in de meeste gevallen geen rechtstreekse verbinding met het apparaat kan maken. Daar zitten veelal routers tussen die NAT-forwarding nodig hebben enzo. Skype probeerde het wel met een techniek die UDP Hole Punching wordt genoemd maar of andere chat apps dit soort technieken ook toepassen is mij niet bekend. Het is eenvoudiger om gewoon een relay server gebruiken lijkt me.
UDP Hole punching heb ik toevallig gebruikt in mijn laatste schoolopdracht.. Voor zover ik het van mijn leraar te horen had gekregen is dit niet een goede oplossing. Beide apparaten moeten dan communiceren via een NAT.
De techniek werkt op zich prima, als beide apparaten maar achter een standaard/consumenten-NAT zitten. Bedrijfsfirewalls hebben vaak al meer problemen en ook de routering tussen verschillende providers kan roet in het eten gooien. Voor een bedrijfsapplicatie zou ik de techniek daarom niet zo snel kiezen.

De techniek werkt verder wel gewoon, het is alleen een oplossing voor een probleem dat makkelijker op te lossen is met een proxy- of relayserver te werken.
De techniek werkt op zich prima, als beide apparaten maar achter een standaard/consumenten-NAT zitten. Bedrijfsfirewalls hebben vaak al meer problemen en ook de routering tussen verschillende providers kan roet in het eten gooien. Voor een bedrijfsapplicatie zou ik de techniek daarom niet zo snel kiezen.
Let op dat de ene techniek de ander niet uitsluit. Vaak is er een escalatie, gebaseerd op dat de vorige techniek niet werkt:

• Directe verbinding
• UDP hole punching
• Relay server

[Reactie gewijzigd door The Zep Man op 10 augustus 2020 17:30]

Inderdaad, je probeert doorgaans van zo direct mogelijk naar omwegen te gaan. Dit is ook een "gevaar" met sommige chat-apps, aangezien bij sommige apps het IP van je telefoon werd opgestuurd als je op "bellen" drukt.

Vaak wordt er daarom gemixt, dus de handshake van de verbinding via een relay, dan proberen direct of via hole punching de datalijn op te zetten. Zo lekt je IP niet tot je opneemt.
We moesten een P2P game maken m.b.v. UPnP. Omdat het VOLLEDIG gedecentraliseerd moest zijn mochten wij geen relayserver gebruiken en moest er een manier bedacht worden om links te leggen tussen alle clients. Hole punching was toen de beste oplossing.
Is een prima oplossing hoor. het is gewoon niet echt iets wat je wil als het anders kan. het is eigenlijk een exploitatie van de standaard maar dat maakt het niet minder functioneel. Maar als je gewoon duidelijk een afweging hebt gemaakt waarom andere oplossingen niet haalbaar zijn zie ik niet hoe het geen goede oplossing is.

[Reactie gewijzigd door t link op 10 augustus 2020 18:02]

Zodra er iemand achter een NAT zit heb je een STUN/TURN server nodig om verbinding op te kunnen zetten en de pakketjes te kunnen ontvangen.Daar hebben ze vast over nagedacht.
De aanpassing aan libwebrtc is bijna triviaal te noemen (afgaande op de commit). Dat dit nog niet eerder is geconstateerd....
Niet helemaal waar. je kan UDP hole punch gebruiken om ondanks een NAT verbinding te krijgen. daarnaast zal met de overgang naar ipv6 hopelijk de hele onhandige NAT situatie opgelost zijn. al zal dat nogwel duren aangezien we al zn 20 jaar in de transitie naar ipv6 zitten haha.
In de settings kan je kiezen voor “Always relay calls” zodat je ip-adres afgeschermd is voor diegene met wie je belt. Threema is erg sterk in privacy/anonymity het is een van de weinige apps die je zonder 06 nr. te registreren kan gebruiken. Dat is ook een van de redenen waarom journalisten het wel vaker gebruiken bv. ivm anonieme tipgevers.
Ja, volgens hun security whitepaper gaat al het verkeer, volledig versleuteld, door hun eigen server heen.
https://threema.ch/press-...yptography_whitepaper.pdf (pagina 3)
Volgens die whitepaper is het een keuze die alleen standaard op relay staat voor ongecontroleerde contacten. Bellen met geverifieerde contacten is standaard p2p met een STUN server voor nat.
Privacy / IP exposure

WebRTC connections can be established in two ways: Either a direct connection between the two devices is used (using STUN to help with NAT traversal), or one or both sides use a TURN server to relay the encrypted packets.

Relaying has the advantage of hiding the public IP address from the call partner, thus providing added privacy when the peer is not trusted. On the other hand it exposes some metadata towards the TURN server, and the connection quality (especially latency) may be worse than in a direct call. By default, Threema enforces relaying through TURN for all unverified contacts (with a single red dot as verification status). Optionally, users can enforce relaying for all calls through the “Always relay calls” option in the “Privacy” settings
Maar nu de vraag, is het p2p of heeft Threema een relay server?

Beetje 'deels' off-topic hier, maar Telegram komt binnenkort ook eindelijk met video bellen. Het zit in de 7.0 versie van Testflight voor iOS. Maar hoe dat met privacy zal zitten is de vraag.
Ze hebben een relay server als ik me niet vergis.

[Reactie gewijzigd door aeensing op 10 augustus 2020 15:07]

Signal heeft het al sinds ik me kan herinneren, het heeft alleen wel een paar dingetjes:
- je hebt beide een stevige verbinding nodig.
- je telefoon word loei heet (met hoes oververhit mijn mi note 10 in anderhalf uur)
- je batterij gaat heeeel snel leeg, xD.

Daarnaast kan je signal zelf hosten dus ik vermoed dat je zelfs via enkel je eigen server kan gaan.
Als je belt via mobiel abonnement, kan door de maand heen je bundel snel leeg gaan, is echt handig om tenminste 10GB te hebben en voorzichtig te zijn met video-bellen.
De kwaliteit van het beeld is wel mooi en doet het vaak erg goed.

Ik meen te herinneren (maar kan fout zijn) dat er geen dynamische compressie wordt gebruikt als de connectie slechter of beter wordt, vanwege een privacy ding, dus de kwaliteit van de verbinding wordt denk ik alleen vanaf het begin bepaald.

Is trouwens leuk hoe je video's, foto's en andere bestanden kan versturen tot 100MB via Signal, gaat vrij snel ook nog.

Ik zou nog wel graag videobellen in groep willen zien in Signal, misschien in de toekomst ooit...

[Reactie gewijzigd door TweetCu op 10 augustus 2020 18:40]

Niet gratis is goed, want dan ben je zelf minder snel het product.
Maar met closed source weet je dat nog steeds niet zeker.
En de Google heeft de app signing keys van apps uit de Play store, dus alsnog: 'dag privacy'.
https://twitter.com/t_grote/status/1290991628862345216

[Reactie gewijzigd door Wilglide op 10 augustus 2020 15:46]

Je kan eventueel ook een apk verkregen buiten de Play Store installeren en gebruik maken van polling ipv firebase.

Hoe dan ook blijft het nadeel dat je bij Threema normaalgesproken niet kan nagaan wat de code exact doet en of code die is geauditeerd inderdaad op je device draait natuurlijk bestaan, maar ik moet bekennen dat dat in mijn geval voor bijvoorbeeld Firefox (en veel OS-delen en ook firm-en hardware) ook zo is. Voor mijn doeleinden kan ik me uiteindelijk ook wel wat vertrouwen in derden permitteren

[Reactie gewijzigd door begintmeta op 10 augustus 2020 16:33]

Voor mijn doeleinden kan ik me uiteindelijk ook wel wat vertrouwen in derden permitteren
Tja criminelen die dan dus betaalde netwerken gebruiken, zich veilig waanden zijn ook al paar keer van koude kermis thuisgekomen. Misschien is Threema voor hun een goedkoper alternatief ?
Daar zijn de toestellen vaak ook extra beveiligd. Niet alleen chat software
Ze hebben wel audits. Een onafhankelijke partij die de broncode controleert. WhatsApp is ook closed source en dat gebruikt zowat iedereen zonder mokken. Ik als ex-ontwikkelaar snap de keuze en vind dat niet direct aanleiding tot wantrouwen.

Wat app signing keys aangaat. Hebben niet alle chatapps hier straks last van? Slechte actie van Google vind ik. Één datalekje bij hun hierin en je hebt de poppen aan het dansen.
Dat klopt inderdaad, er is een relay server.

Je moet wel opletten is dat ingesteld kan worden of altijd een relay moet worden gebruikt, of of p2p ook wordt toegestaan, waarbij (meen ik, kan het me niet helemaal meer herinneren, maar vermoedelijk is dat in de documentatie te vinden) p2p default is.

Even snel gekeken:
If possible, a direct connection between caller and callee is established (peer to peer) after the connection buildup
Calls with IDs that are not contained in the contact list are routed through the Threema server in order to obscure the IP address
Dus: standaard (indien technisch mogelijk) p2p voor verbindingen met in contactenlijst opgenomen IDs, voor andere IDs relayed via Threema. Je kan het zo instellen dat altijd een relay wordt gebruikt, maar dat moet je dan dus wel even zelf doen.

(Dit was eigenlijk bedoeld als reactie op aeensing in 'nieuws: Chatapp Threema voegt ondersteuning voor versleuteld vid...)

@michaelkamen, voor (video)calls (via WebRTC) ligt het wat genuanceerder dan voor de gewone berichten, zie pagina 18 en verder in het document dat je linkt.

[Reactie gewijzigd door begintmeta op 10 augustus 2020 15:25]

Een fantastische app, ongeveer de enige onderhevig aan de Europese privacyrichtlijnen zonder data buiten Europa. En zeer gelikte interface.
Inderdaad. Delta Chat werkt ook goed via mail servers maar wel met e2e

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True