Versleutelde chat-app Threema wordt opensource

Oh dat van die chat backups is wel een mega goede optie inderdaad. Als ze ook third party clients toelaten is het helemaal beter dan Signal.

[Reactie gewijzigd door GekkePrutser op 4 september 2020 23:22]

Dat het Amerikaans is maakt vrij weinig uit natuurlijk. Maar die “steun van de overheid” vind ik altijd zo’n stompzinnige opmerking bij Signal. Ze hebben een aantal jaar geleden een donatie gekregen van een denktank van de overheid die allerlei (opensource) projecten een donatie geeft. Eenmalig en no strings attached. En dat is dan opeens “staatssteun”, wat het doet klinken alsof ze constant gefinancierd worden door de overheid en de overheid iets te zeggen zou hebben, veelal met de nodeloze intentie om het te doen klinken alsof we daarom voor Signal moeten oppassen of zo... Volstrekt belachelijk. Dat het al jaren uitsluitend draait op donaties en zowel de crypto als de app tot in den treure zijn geaudit de afgelopen jaren vergeten we voor ‘t gemak maar even. Daarnaast is Signal opensource. Nu wordt Threema dat ook, maar voor dat goed en wel door de community is ge-audit ben je ook weer ff verder.

“ De broncode is wel inzichtelijk, maar dat maakt het niet open-source.”

Dat doet het wel degelijk. Dat sommige mensen proberen de definitie te wijzigen van opensource naar niet enkel de publicatie van de bron, maar daarnaast ook een permissive licentie of zelfs zo’n extreem agressieve FOSS-licentie als GPL maakt het niet opeens minder opensource. Dat fundamentalisten er een ander idee bij hebben is hartstikke leuk hoor, maar dat “vrije software” vs “proprietary software”-debat moet men eens mee stoppen om te proberen “opensource” toe te eigenen of de betekenis te wijzigen. Signal is 100% opensource, zowel de client als de server. De bron is inzichtelijk, volledig, dus opensource.

Daarnaast is dit echter sowieso niet van toepassing en wat je hier zegt is eigenlijk onzin:

De broncode is wel inzichtelijk, maar dat maakt het niet open-source. het is een beetje een "kijken met je ogen, niet met je handen"-situatie waar je wel de broncode mag bekijken die zij beweren dat gebruikt wordt voor hun applicatie, maar niet zelf je eigen kopie van de applicatie mag bouwen waarvan je zeker weet dat die afkomstig is van de broncode.

Dat is niet waar. Je mag wel degelijk je eigen client vanaf source bouwen, dat is geen enkel probleem. Maar als je die client aanpast en dus een eigen alternatieve build gaat maken: dán moet je ook je eigen server bouwen. Ze willen, en dat is hun goed recht, geen andere clients op hun netwerk. Hebben ze ook zo hun redenen voor, waaronder financieel. (Third-party apps heffen nogal eens limieten zoals bestandsgrootte op en dat soort geintjes.) Wat jij nu eigenlijk zegt is “als ik de code gratis kan krijgen, maar niet gratis gebruik mag maken van de infrastructuur waar ik zelf geen cent voor betaal, dan is de app niet opensource!”. Met die uitgangspositie is bijvoorbeeld een WordPress, phpBB of SMF ook niet opensource. De bron is open, je mag het installeren waar je wil, maar de developers bieden je niet aan om hun serverruimte te gebruiken voor jouw persoonlijke website. Nou, dan zijn het dus geen opensource projecten als ik jouw beredenering volg, toch?

Dus als het je dwars zit, dan draai je gewoon je eigen server en bouw je je eigen client en klaar. Dat kan, want het is opensource. Nergens is vastgesteld dat om je software opensource te mogen noemen dat je dan ook je zuur betaalde infrastructuur geheel voor jan en alleman moet openzetten. Niets ervan.

Privacy is het doel ook niet van signal, maar veiligheid.
Waarom signal zo word aangeprezen is mij dus een raadsel. iedereen lijkt gewoon elkaar na te doen zonder echt erin te verdiepen.

Privacy is juist wel een mededoel van Signal en die verkrijg je dankzij de veiligheid.
Signal wordt zo aangeprezen omdat het een hele goede en veilige app is, daar kan je lastig op afdingen. Niets meer, niets minder. Geen rocketscience.

Daarnaast moet je naar het grote plaatje kijken. Is een eigen Matrix server draaien mogelijk nóg veiliger dan Signal? Dat zou best kunnen, al kleven daar ook wat haken en ogen aan (met name hoe goed de persoon is die de server onderhoudt en wat voor apparaten in het netwerk hangen). Maar dan moet je jezelf ook even afvragen: is dat te doen voor de massa...? Je kan een extreem veilige app gebruiken, maar als slechts een paar duizend man de skillset hebben om dat te doen, of überhaupt zin hebben om daar de moeite en tijd in te steken, dan heb je er geen reet aan als je doel is om de technologie aan zoveel mogelijk mensen hurdleless beschikbaar te stellen. Dat is ook waarom het zo vet was dat WhatsApp een paar jaar geleden opeens ff encryptie geforceerd inschakelde bij meer dan 1 miljard mensen en waarbij 90% waarschijnlijk niet eens wist noch weet dat het er in zit. Dat was ongekend.

Dus is het een kwestie van afwegingen maken. De massa zit gewoon graag op WhatsApp hier in NL. Dat is vrij simpel de feitelijke situatie. Op zich geen ramp, WhatsApp is acceptabel veilig dankzij Signal Protocol. Maar het liefst zetten we ze over op een app die nog veiliger is en ook toekomstbestendiger is, gezien met WhatsApp altijd het zwaard van FacebookDamocles boven je hoofd hangt. Wat is dan een oplossing die a.) zeer gebruiksvriendelijk is, b.) tenminste net zo veilig is als WhatsApp maar natuurlijk liever nog veiliger is, c.) al wat gebruikers heeft zodat je ook daadwerkelijk de app kan gebruiken om met mensen te communiceren, d.) een aantal functies heeft die de massa wil hebben en e.) die zichzelf bewezen heeft als veilig.

En dan kom je toch echt heel snel uit op Signal. Het is gratis, het is opensource, het lijkt een beetje op WhatsApp in gebruik en is daarmee zeer gebruiksvriendelijk, het is uitzonderlijk privacy vriendelijk door het gebrek aan metadata collectie, het is multi-device en het is een van de veiligste messengers die er is met een protocol dat door héél veel mensen, bedrijven en instanties is getest en uitermate veilig is bevonden - keer op keer weer. Signal is zowel qua veiligheid, privacy als geschiktheid voor een grotere groep mensen bij uitstek dé keuze als je iets anders wilt dan WhatsApp wat door iedereen, dus ook je noobish oma, gebruikt kan worden zónder hulp en al teveel uitleg.

Signal is gewoon een goede app, een goede keuze en het is dus heel logisch dat heel veel Tweakers (en met hen tig experts op het gebied van IT-Security) Signal aanraden als WhatsApp-replacement. Ik vind het juist vreemd dat dat voor jou een raadsel is, zo moeilijk is de puzzel niet. Signal is dus prima aan te raden en het is niet vreemd dat het de eerste keuze is van velen hier. (Al moeten we eerlijk zijn, verreweg de meesten gebruiken volop WhatsApp omdat daar nu eenmaal vaak het merendeel van familie en vrienden op zit. Maar dat is niet erg, ik zou zeggen installeer Signal ernaast en haal stuk voor stuk mensen over om het ook naast WhatsApp te installeren en raad ze aan dat te gebruiken met wie ze maar kunnen. Langzaam wordt je netwerkje dan steeds groter.)

Ik vind de (aanvankelijke) keuze voor een telefoonnummer als ID jammer, omdat telefoonnummers vaak lastig privacy-neutraal te verkrijgen of gebruiken zijn. Een applicatie-specifieke ID zoals Threema heeft vind ik wat dat betreft beter, al brengt dat natuurlijk ook weer het nadeel dat mensen op moeten letten dat ze desgewenst hun ID weer kunnen herstellen of revoken als een apparaat verloren gaat.

De opzet voor dataoverdracht die wat betreft privacy misschien het beste zou zijn is denk ik een p2p broadcast van een constante datastroom, waar geadresseerden de voor hen bedoelde content uit kunnen filteren. Maar zoiets vreet natuurlijk bandbreedte, zeker zodra er afbeeldingen etc moeten worden overgedragen.

In de praktijk gebruik ik de afgelopen ~6jaar alleen threema en signal als messengers, en het probleem voor mij bij beide messengers blijft een beetje dat er maar een vrij langzame groei van het (absolute&relatieve) aantal gebruikers is.

[Reactie gewijzigd door begintmeta op 6 september 2020 09:07]