Threema maakt broncode apps voor versleutelde chats beschikbaar

Threema meldt de broncode en documentatie van zijn apps onder een AGPLv3-licentie vrij te hebben gegeven. Volgens het bedrijf kan iedereen daarmee de beveiliging die het met zijn chat-app biedt controleren.

Threema heeft de broncode van zijn apps voor Android en iOS, en de code van Threema Web, Push Relay, Compose Area en App Remote Protocol op Github gezet. In de repositories biedt het bedrijf instructies hoe de code te testen en op te bouwen is, waarbij aangetekend is dat Apples restricties het bieden van reproduceerbare builds voor iOS bemoeilijken. Met reproduceerbare builds kunnen ontwikkelaars verifiëren dat de broncode ook daadwerkelijk correspondeert met die uiteindelijke app.

Ontwikkelaars kunnen suggesties doen om bij te dragen aan de code. Threema meldt daarnaast dat gebruikers nu niet langer de claims van het bedrijf over de veiligheid hoeven te geloven, en ook niet hoeven te vertrouwen op de bevindingen van audits, maar dit zelf kunnen verifiëren.

Threema is een betaalde app die zich als chatdienst probeert te onderscheiden met versleutelde communicatie. In het verleden heeft het bedrijf meerdere audits laten uitvoeren om zijn claims over beveiliging bevestigd te krijgen, waarvan de bevindingen van de laatste in november gepubliceerd werden.

Threema

IT-banen

Reacties (68)

falcon186 21 december 2020 16:11

Ik vraag me eigenlijk af welke chatclient nu het veiligste is: Telegram, Threema, Signal..... Misschien is iets voor een achtergrond stuk op tweakers.

MadEgg @falcon186 • 21 december 2020 16:14

Telegram niet in ieder geval, want die heeft standaard geen E2E-encryptie, dat moet je expliciet aanzetten. Het protocol is ook niet best practice, al is het nog niet gekraakt voor zover bekend.

Signal mag je vanuit gaan dat die zeer privacy-vriendelijk & veilig is, ze doen consequent hun best om zo min mogelijk data van je te verzamelen en waar nodig alles te encrypten, daar waar bijvoorbeeld WhatsApp nog z'n best doen om zo veel mogelijk meta-data buiten de chats om onversleuteld te houden.

jja2000 @MadEgg • 21 december 2020 16:19

Intussen laten ze niet toe om de developers van LibreSignal om probleem libraries uit de app te slopen.
Ik sla Signal dan liever over

Matrix vind ik dan een beter alternatief al zijn de apps niet het beste...

WhatsappHack

Privacy

@jja2000 • 21 december 2020 16:33

Zeer zeker laten ze dat wel toe, alleen zitten ze niet te wachten op third-party apps op hun eigen netwerk. De bron van zowel de client als de server is volledig open, dus als je wilt kun je prima je eigen server en client met alles er in (of juist niet) wat je wil. WhatsApp doet dat bijvoorbeeld ook, zijn er wel meer die het doen zonder enig probleem

Loesje @WhatsappHack • 21 december 2020 17:43

Deze insteek heeft een heleboel nare consequenties. Bijvoorbeeld dat het niet mogelijk om je eigen client te ontwikkelen voor een systeem dat Signal zelf niet ondersteund. (Zelfs al zou je de originele code als basis gebruiken)

Telegram mag volgens 'experts' minder veilig zijn, het is veilig genoeg en veel flexibeler. En bewijst ook het ongelijk van de makers van Signal, namelijk dat het niet mogelijk is om een centrale server te beheren, met clients van verschillende makelaardij.

WhatsappHack

Privacy

@Loesje • 21 december 2020 18:06

Deze insteek heeft een heleboel nare consequenties. Bijvoorbeeld dat het niet mogelijk om je eigen client te ontwikkelen voor een systeem dat Signal zelf niet ondersteund. (Zelfs al zou je de originele code als basis gebruiken)

Dat klopt, je kan dan een verzoek indienen bij OWS natuurlijk om een bepaald platform te ondersteunen. Ik vraag me wel af wat dat zou zijn, want eigenlijk supporten ze 99% van de huidige markt. Er zijn wat "dumbphones" en wat China phones (al draaien die eigenlijk ook allemaal Android - dus ondersteund), maar dat is zo'n mini percentage van de markt... En dan moet je er toevallig software op kunnen draaien ook nog. Je kan niet alles hebben.

Daarnaast: je krijgt natuurlijk de broncode van client en server, helemaal gratis en voor niets. Als je iets anders wilt bouwen met meer supported OS'es: ga je gang.

Niemand houdt je tegen... Maar OWS ondersteunt het niet nee, maar ik zie ook niet in waarom die forks (financieel/met infra) zouden moeten ondersteunen. Als je de resources niet hebt om een fork te maken/onderhouden, dan kan je er beter simpelweg niet aan beginnen natuurlijk.

Er zijn zat voorbeelden waar je dus kan zien dat dat prima kan. WhatsApp is daar het grootste voorbeeld van en er zijn er meer, zoals Wire. Allemaal forks van Signal of op zijn minst Signal Protocol (de kern van Signal) met hun eigen infrastructuur.

Overigens kan iedereen contributen aan Signal he? Dus je zou bijvoorbeeld een client voor een bepaald OS kunnen submitten en als OWS dat accepteert dan kan het er prima mee babbelen en mag je ook op die infrastructuur.

Telegram mag volgens 'experts' minder veilig zijn, het is veilig genoeg en veel flexibeler.

Het is ook onveilig. "veilig genoeg", voor wie?

Er is helemaal niets veiligs aan. En ik vind dat ook wat ironisch om te zeggen. Ik geloof niet dat mensen die zich zorgen maken om een vrij onschuldige library in een app, dan opeens wel genoegen zouden nemen met een bijzonder onveilige messenger als Telegram. Als dat "veilig genoeg is", dan is Signal dat al helemaal; zelfs met die libs, hehe.

En bewijst ook het ongelijk van de makers van Signal, namelijk dat het niet mogelijk is om een centrale server te beheren, met clients van verschillende makelaardij.

Volgens mij kan je geen ongelijk hebben als je nooit beweerd hebt dat het onmogelijk zou zijn?

Ik kan me niet herinneren dat ze gezegd hebben dat dit niet mogelijk zou zijn, enkel dat ze het simpelweg niet willen. Als iemand een eigen chatdienst wilt opzetten met gebruik van Signal Protocol: ga je gang. Zat doen het en OWS hoeft daar niet voor te betalen lijkt me.

timvisee @WhatsappHack • 21 december 2020 18:51

Je gaat langs het originele punt heen. Waarbij Signal in feite een gesloten en gecontroleerd platform is, ze verbeteringen/aanpassingen en 3rd party gebruik zoals genoemd eigenlijk niet toelaten, waarom je dus vraagtekens kunt zetten bij het statement dat 'Signal zo enorm privacy vriendelijk is, en ze daar goed hun best voor doen'.

Ze zijn (in mijn optiek) ook 'gewoon' weer een chat platform dat het vooral goed doet in PR. Ja, ze maken gebruik van een protocol dat je veilig kunt achten, en ja, er zijn best een aantal zaken goed op orde. Tegelijkertijd maken ze beslissing op allerlei fronten waarbij je je kunt afvragen of ze wel echt zo 'true privacy zijn', waarbij de business kant en controle een grotere rol lijken te spelen.

[Reactie gewijzigd door timvisee op 23 juli 2024 05:24]

WhatsappHack

Privacy

@timvisee • 22 december 2020 02:00

Waarbij Signal in feite een gesloten en gecontroleerd platform is, ze verbeteringen/aanpassingen en 3rd party gebruik zoals genoemd eigenlijk niet toelaten, waarom je dus vraagtekens kunt zetten bij het statement dat 'Signal zo enorm privacy vriendelijk is, en ze daar goed hun best voor doen'.

En waarom kan je daar vraagtekens bij zetten omdat ze niet de infrastructuur willen bekostigen/geheel openstellen voor jan en alleman met hun fork...?

Dat is naar mijn mening echt een drogredenatie van jewelste. Dus omdat ze weigeren te betalen om jouw fork te ondersteunen met server resources moeten we gaan twijfelen aan hoe privacy vriendelijk ze zijn...? "Als ze de forks toestaan zijn ze privacy vriendelijk, anders niet!" Wut? Als je dat als dev zou zeggen riekt het zelfs naar chantage... Daarnaast staan ze verbeteringen/aanpassingen juist wel toe, het staat een ieder vrij om een pull request te doen naar hun GitHub repositories. Dat ze niet allemaal geaccepteerd zullen worden: sure, je kunt niet alles hebben. Als het je niet bevalt: fork. Heel simpel.

Als je vraagtekens zet bij hoe privacy vriendelijk het is, wat je overigens zeker moet doen - bij elke app die je gebruikt, waarom neem je dan niet gewoon de broncode van de client en/of server door die gewoon integraal op GitHub staat?

Die staat daar niet voor niets, open en transparant. Dat ze geen zin hebben om sinterklaas en volledig open platform te spelen voor alle forks doet echt he-le-maal niets af aan hun opensource karakter noch zegt het ook maar iets over hun missie om een privacy vriendelijke app te bouwen en daar hun best voor doen...

Als je twijfelt aan hun privacy waarborging en de source bevalt je toch niet, dan kun je deze altijd forken als je dat wilt en aanpassen naar wens - de code om je eigen client te maken en je eigen server te installeren staan gratis tot je beschikking.

Tegelijkertijd maken ze beslissing op allerlei fronten waarbij je je kunt afvragen of ze wel echt zo 'true privacy zijn', waarbij de business kant en controle een grotere rol lijken te spelen.

Welke business kant? Ze leven van donaties... De app kost je welgeteld €0,00 (tel maar na als je wilt) en er wordt ook geen data voor advertenties o.i.d. verzameld.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 05:24]

bloq @WhatsappHack • 22 december 2020 10:51

Ze hebben in het verleden ook al aangegeven geen federation toe te staan, want het onderhouden van een stabiel protocol zou zgn teveel werk zijn als ze zelf itereren op hun code. (complete drogreden als je het mij vraagt, iets met versioning) De requesters gaven expliciet aan dat ze zelf servers zouden hosten, en dat dit dus niet ten koste zou gaan van de Signal infra. Ook zou er geen extra werk verwacht worden van Signal devs. Toch werden de requesters praktisch weggehoond in het ticket.

Heb mezelf voorgenomen nooit Signal te installeren, zou eerder een Matrix alternatief supporten dan mee te gaan in de secure lock-in ego-trip van zulke devs.

Hoe ze met zulke requests omgaan spreekt echt boekdelen.

[Reactie gewijzigd door bloq op 23 juli 2024 05:24]

jja2000 @WhatsappHack • 21 december 2020 16:38

Het idee achter deze (bepaald niet) brakke third party app is juist dat de Privacy Schendende libraries er uit worden gehaald. Meer niet. Je kan je service niet privacy vriendelijk noemen als deze er in blijven zitten en als je forceert om deze te gebruiken.

Er zijn meer apps die dit gewoon toelaten en dus ook gepubliceerd zijn op f-droid, deze verdienen mijn steun eerder dan Signal in dat geval.

(CC: @Aftansert )

WhatsappHack

Privacy

@jja2000 • 21 december 2020 16:42

Zoals ik al zei: prima als jij en zij dat vinden, maar dan moeten ze wel ook de bijbehorende infrastructuur opzetten in plaats van te willen meeliften op die van Signal.

Welke problematische libraries hebben we het over trouwens? Ik dacht dat Signal intussen ook een versie had die niet op Google Services leunt. Als je een toestel hebt dat het heeft wel, maar dan snap ik de klacht niet want dan moet je in principe je complete telefoon als onveilig beschouwen als je dat draait en is een functie in Signal dat er simpelweg gebruik van maakt toch je minste probleem of ben ik nou gek?

jja2000 @WhatsappHack • 21 december 2020 16:57

Welke problematische libraries hebben we het over trouwens? Ik dacht dat Signal intussen ook een versie had die niet op Google Services leunt.

https://gitlab.com/fdroid/rfp/-/issues/451 issue van een jaar geleden, maar het probleem bestaat nog steeds
Zo lang dat Signal geen reproducible builds toelaat + de afhankelijkheden opschoont is het geen veilige messaging app.

Als je een toestel hebt dat het heeft wel, maar dan snap ik de klacht niet want dan moet je in principe je complete telefoon als onveilig beschouwen

Ja, waarom denk je dat de hardcore FOSS/security mensen dumbphones hebben. Zelf de proprietary libraries er uit slopen of het door community members te laten doen is geen werk. De support die OWS er voor moet leveren is de server zelf (wat ze nu al doen voor de Play Store en de APK versies), meer betrokken hoeven ze er niet bij te zijn.

als je dat draait en is een functie in Signal dat er simpelweg gebruik van maakt toch je minste probleem

Ook telegram-foss heeft vervangers voor hun locatie/maps api (osmand) en berichten service (die van Telegram zelf of polling).

Aftansert @jja2000 • 21 december 2020 16:49

Je bent gewoon niet goed geïnformeerd. LibreSignal is abandoned, al een behoorlijke tijd (laatste update in Aug 2017), en official Signal doet precies wat je wilt.

[Reactie gewijzigd door Aftansert op 23 juli 2024 05:24]

jja2000 @Aftansert • 21 december 2020 17:00

Je bent gewoon niet goed geïnformeerd. LibreSignal is abandoned, al een behoorlijke tijd (laatste update in Aug 2017),

Waar denk je dat dit door komt? Signal heeft de maintainer verteld dat ie moet stoppen met zijn werk.

official Signal doet precies wat je wilt.

Als dit zo was geweest was de app al gepubliceerd op fdroid, maar dat is niet zo.

Aftansert @jja2000 • 21 december 2020 16:34

Ze hebben helemaal geen mogelijk om het niet 'toe te laten'; de applicatie is volledig open source, werkt prima op telefoons zonder Google services, en wordt inmiddels ook buiten de Play store gedistribueerd.

Open Whisper Systems heeft vooral aangegeven dat ze liever niet willen dat iedereen allerlei (brakke) versies van Signal gaat opzetten om ze vervolgens weer dood te laten bloeden.

[Reactie gewijzigd door Aftansert op 23 juli 2024 05:24]

jja2000 @Aftansert • 21 december 2020 16:42

Een directe link naar de issue die uitlegt waarom dit niks uit maakt

Aftansert @jja2000 • 21 december 2020 16:51

Misschien kan je gewoon zelf uitleggen wat je bedoelt in plaats van te linkdroppen; scheelt een hoop communicatieproblemen. In de issue wordt m.i. juist uitgelegd hoe LibreSignal faalt in het onderhouden van een fork.

[Reactie gewijzigd door Aftansert op 23 juli 2024 05:24]

jja2000 @Aftansert • 21 december 2020 17:03

"Draai je eigen infra" is geen oplossing voor de mensen die de app zonder Play Services willen draaien. Ook apk's kunnen daaronder vallen en zijn voor de meeste security-minded mensen niet genoeg.

Rob Coops @jja2000 • 21 december 2020 17:21

En toch he lijkt het er sterk op dat Signal de de-facto standaard aan het worden is voor communicatie tussen mensen die graag hun data prive willen houden. Ondanks dat het nog steeds niet geheel voldoet aan alle eisen om echt helemaal veilig te zijn is het inmiddels zo wijd verspreid dat het waarschijnlijk wel de standaard zal worden.

Het argument dat @Aftansert maakt dat signal mensen niet toe zou laten een eigen versie te maken is onzin het is gewoon een open source protocol dat voor een ieder in te zien de gebruiken en te forken is. Het geen ze wel hebben gezegd van uit de ontwikkelaars is dat ze liever zouden zien dat het werk zich beperkt tot een centraal systeem zodat je niet honderden niet geheel compatible versies van het zelfde protocol krijgt waarvan een flink aantal na een paar dagen/weken/maanden/jaren niet meer bijgewerkt wordt en dus na verloop van tijd ook incompatible kan worden met de originele versie.

Zal het echt de andere oplossingen vervangen? Waarschijnlijk wel omdat het nu eenmaal de beste manier lijkt te zijn om veilig met andere te communiceren zonder dat de een derde partij redelijkerwijs de communicatie kan afluisteren. Die veilige communicatie staat of valt geheel bij de twee partijen die communiceren omdat je beide na de conversatie de conversatie zult moeten verwijderen (op een veilige manier) om zo er voor te zorgen dat mocht iemand anders de client die je gebruikt in handen krijgen zij dan niet als nog de gehele chat geschiedenis kunnen lezen. Het op een veilige manier wissen is heel erg veel moeilijker dan dat lijkt en voor zo ver ik weet is is er geen client die je de mogelijkheid geeft een chat geschiedenis bij te houden en deze ook echt veilig te wissen. Zonder chat geschiedenis met alleen de berichten die nu binnen komen en dus alleen deze gegevens in het geheugen van de client is een mogelijke omweg maar dan zul je ook na elk gesprek het apparaat uit moeten zetten om er zeker van te zijn dat de data echt verloren gaat (even een minuut wachten en dan weer starten)

Echt veilig is geen enkele chat applicatie simpel weg omdat het een digitaal verhaal is en er dus hel erg veel verschillende processen betrokken zijn bij het ontvangen/verzenden, encrypten/decrypten, weergeven, invoeren , etc, etc die allemaal in meer of mindere mate kwetsbaar zijn voor afluisteren. Maar Signal lijkt op dit moment wel het meest veel belovende protocol om een zo veilig mogelijke communicatie op te zetten zonder naar exotische hardware te hoeven grijpen.

CAPSLOCK2000

Privacy
Software development
Open source

@Rob Coops • 21 december 2020 17:38

En toch he lijkt het er sterk op dat Signal de de-facto standaard aan het worden is voor communicatie tussen mensen die graag hun data prive willen houden. Ondanks dat het nog steeds niet geheel voldoet aan alle eisen om echt helemaal veilig te zijn is het inmiddels zo wijd verspreid dat het waarschijnlijk wel de standaard zal worden.

Voor mij is Signal op dit moment het beste compromis tussen veiligheid en een app die geschikt is voor een breed publiek.

Het argument dat @Aftansert maakt dat signal mensen niet toe zou laten een eigen versie te maken is onzin het is gewoon een open source protocol dat voor een ieder in te zien de gebruiken en te forken is.
Het geen ze wel hebben gezegd van uit de ontwikkelaars is dat ze liever zouden zien dat het werk zich beperkt tot een centraal systeem zodat je niet honderden niet geheel compatible versies van het zelfde protocol krijgt waarvan een flink aantal na een paar dagen/weken/maanden/jaren niet meer bijgewerkt wordt en dus na verloop van tijd ook incompatible kan worden met de originele versie.

Dat klinkt redelijk maar in praktijk komt het er toch op neer dat alternatieven worden buitengesloten. Je mag inderdaad je eigen implementatie schrijven maar die mag je niet koppelen aan de centrale servers van Signal. Je kan dus niet communiceren met gebruikers van de officiele Signal client. Dat is nogal een barriere voor een applicatie die om communicatie gaat.
Technisch gezien voldoet het aan de regels van Open Source, wat dat betreft geen bezwaar.

Wat me wel dwars zit is het centralistische karakter van Signal. Ik vind het geen goed idee om afhankelijk te zijn van een setje centrale servers. Centrale punten zijn zwak. Als een centraal punt stuk gaat (of dat nu door een aanval is of omdat de beheerder failliet is) dan gaat het hele netwerk stuk. Helaas werkt Threema (voor zover ik weet) ook met centrale servers.

GertMenkel

Software development

@jja2000 • 21 december 2020 18:06

Re: matrix ben ik het met je eens, maar er zijn diverse apps die aardig de goede kant op gaan (FluffyChat is er een, encryptie is nog in de testfase maar de UX van de app is oneindig veel beter dan die van de Element app).

Ik krijg er alleen geen notificaties van, dat vind ik wel jammer dingetje.

teek2

@jja2000 • 21 december 2020 21:59

Ik vind element best aardig moet ik zeggen. NextCloud talk is nog een andere, met misschien wel de makkelijkste zelf op te zetten server.

Nas T @MadEgg • 21 december 2020 16:33

Is het mogelijk dat Whatsapp, naast dat het end2end encrypted is naar de ontvanger, ook een kopietje naar Facebook stuurt? Aangezien de broncode niet in te zien is, zou het me niet verbazen dat dit gebeurt en dat Facebook toch berichten scant. Of: zou Facebook je berichten scannen, voordat het end2end encrypted verstuurd wordt en informatie over wat gescand is naar Facebook sturen?

Uchy @Nas T • 21 december 2020 17:28

Recent een artikel gelezen uit 2019 waarin stond dat FB dat daadwerkelijk van plan is (geweest?) voor content moderatie-AI... Dat nog wel door mensen getrained moest worden.

Reezy @Uchy • 21 december 2020 22:30

Heb je hier een bron voor?

Uchy @Reezy • 22 december 2020 13:18

Zie hier: https://techobserver.net/...moderation-plan-whatsapp/
edit, na nog wat meer research zie ik dat dit onzin is:
https://www.schneier.com/...9/08/more_on_backdoo.html

[Reactie gewijzigd door Uchy op 23 juli 2024 05:24]

MartinoLatino @Nas T • 21 december 2020 16:45

Zover ik weet- iig voor Iphone, delen alle Facebook apps een library. en aangezien het E2EE alleen geldt voor data in transitie, heb ik zo mijn bedenkingen bij wat Facebook wel en niet kan zien, op de client.

Verwijderd @Nas T • 21 december 2020 17:04

Geen idee waarom je gedownvote wordt, maar dat is inderdaad mogelijk. We hebben geen inzicht in wat Feesboek meepikt en waar het alle sleutels neerzet of naartoe kopieert. Alles in de app zelf is niet per se versleuteld, dat is het alleen in-transit.

Daarnaast zijn er ook nog methodes binnen iOS/Android waarin fabrikanten informatie tussen apps kunnen delen zonder gebruik van het internet. Vandaar dat je bvb. gelijk ingelogd kunt worden bij een verse installatie van Google Drive, als je dat ook in een andere Google app bent. Ik hou het geheel voor mogelijk en waarschijnlijk dat Messenger <> Instagram <> Facebook <> Whatsapp van alles met elkaar delen. Wellicht niet direct hele foto's en chatgesprekken, maar ook niet niks.

Zie ook: https://medium.com/@dines...between-apps-de75a0a46d4a

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:24]

Matthijs8 @Nas T • 22 december 2020 09:56

Volgens mij kan dat inderdaad theoretisch gezien. Even los daarvan, zijn alleenberichten en (video)gesprekken versteuteld. Andere zaken zoals profielfoto, groepsnaam, groepsafbeelding, lijst van deelnemers aan de groep niet.
Signal versleuteld dat wel allemaal.

W00fer @MadEgg • 22 december 2020 00:42

Signal is een Amerikaans bedrijf. Dat op zichzelf zegt al genoeg over de privacy. Threema heeft zijn servers in Zwitserland staan.

WhatsappHack

Privacy

@W00fer • 22 december 2020 02:03

Dat op zichzelf zegt al genoeg over de privacy.

Dat zegt daar echt helemaal niets over.

Matthijs8 @WhatsappHack • 22 december 2020 16:15

Inderdaad, en Zwitserland zegt ook niets. Zie bijv:
https://en.wikipedia.org/wiki/Crypto_AG

W00fer @WhatsappHack • 23 december 2020 00:12

Helemaal wel, want de servers vallen onder het five eyes principe en de bekende patriot act.

[Reactie gewijzigd door W00fer op 23 juli 2024 05:24]

MadEgg @W00fer • 22 december 2020 08:00

Signal is een stichting, geen bedrijf. En er wordt zo goed als niets op de servers opgeslagen dus maakt het ook weinig uit waar ze staan. Ze zullen mee moeten werken met de US Overheid als die toegang tot servers wil maar als daar niets bruikbaars opstaat zijn ze snel klaar.

Matthijs8 @MadEgg • 22 december 2020 11:52

Voor zover ik weet gebruikt Threema geen rare/slechte encryptie, maar het is wel wat simpel. Er zit op Threema's End to End encryptie geen Forward Secrecy, alles wordt dus met dezelfde private key ge-encrypt, bijv. net zoals bij PGP en met het bemachtigen van die private key zou je dan de alle eerdere en toekomstige onderschepte berichten kunnen ontsleutelen.

Aardbol_23564 @MadEgg • 22 december 2020 13:51

Daarnaast is die e2e encryptie niet compatibel met de desktop versie. De dev is niet geïnteresseerd om dit re implementeren

GieltjE

@falcon186 • 21 december 2020 16:13

Begin eens met: https://www.securemessagingapps.com/

MartenBE @GieltjE • 21 december 2020 17:19

Laatst geupdated in 2018

GieltjE

@MartenBE • 21 december 2020 17:20

Word volgens de bovenste tekst deze kerst waarschijnlijk geupdate.

slijkie @falcon186 • 21 december 2020 16:58

Fijne aan Threema vind ik dat ik geen telefoon nummer hoef af te geven. QR code en klaar. Erg fijn.

RogerDad @slijkie • 21 december 2020 19:38

Ook fijn aan Threema is dat ze een verdienmodel hebben, ze hoeven dus geen geld te verdienen door het doorverkopen van jouw data.
De code van Threema is dit jaar en vorig jaar nog geaudit, de rapporten zijn na te lezen op: https://threema.ch/en/faq/code_audit

En validatie van je contacten in Threema is handig en zichtbaar in je contactenlijst:
https://threema.ch/en/faq/levels_expl

DigitalExorcist @falcon186 • 21 december 2020 16:43

Sowieso Telegram niet (zoals vaker gezegd geloof ik hier). Daar slaan ze de boel unencrypted in plain text op hun servers op.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 05:24]

N8w8 @falcon186 • 21 december 2020 16:52

Gedecentraliseerde chat systemen zoals Matrix (Riot/Element) en XMPP (Conversations/Gajim), zijn beveiligd tegen monopoliemisbruik.
Bijv nu heeft Whatsapp monopolie en sommigen vinden de gevolgen daarvan niet leuk.
Dan is het mss handig over te stappen naar iets dat daar geen last van heeft lijkt mij.
In plaats van overstappen naar de volgende gecentraliseerde app du jour, hopen dat iedereen die gaat gebruiken (lees: monopolie krijgt), en hopen dat die nooit wordt overgenomen door n partij die daar misbruik van maakt.
Tenzij je dan gewoon weer overstapt naar de volgende natuurlijk, maar dat lijkt nu al moeilijk van de grond te kunnen komen.
Lijkt mij iig wel fijn om zoiets als email te hebben, waarbij je zelf de dienst en de client kan kiezen, daarvan wisselen wanneer je maar zin hebt, en toch altijd iedereen kan blijven bereiken.

Verwijderd @falcon186 • 21 december 2020 17:53

telegram heeft secure chats, maar das niet standaard.. zover bekend niet niet gekraakt hun encryptie. ik gebruik telegram voornamelijk om de cloud chats zodat het niet van je opslag afgaat

DKSCC @falcon186 • 21 december 2020 16:28

Geen, nog Signal of Telegram.

edit: voor de fanboys van Telegram en Signal

[Reactie gewijzigd door DKSCC op 23 juli 2024 05:24]

Da_Plague

@falcon186 • 21 december 2020 19:23

https://privacytools.io/

Dit is een mooie plek om te beginnen lijkt mij.

pven @falcon186 • 21 december 2020 22:45

Tipje voor een premium-artikel?

Indir 21 december 2020 16:46

Threema is momenteel in de Google Play Store en Apple App Store voor €1,99 i.p.v. €3,99 verkrijgbaar. Maar ik twijfel alsnog met het aankopen ervan omdat er straks nadat bijv. Threema is geïnstalleerd er nauwelijks of geen contacten uit mijn contactenlijst gebruik van blijken te maken..

Bor Coördinator Frontpage Admins / FP Powermod @Indir • 21 december 2020 20:12

Dat is absoluut een punt. De mensen die ik ken die tot aankoop zijn overgegaan zijn er allemaal alweer mee gestopt omdat er simpelweg maar een heel kleine userbase is. Dat probleem heeft Signal maar ook Telegram ook. Het gros van de mensen zit nog steeds op Whatsapp en overweegt geen andere app. "Overhalen" lijkt in de praktijk ook niet tot nauwelijks te werken, zeker niet wanneer je een app moet kopen en er legio gratis alternatieven zijn.

RogerDad @Bor • 22 december 2020 11:50

Ik heb Threema jaren geleden gekocht en gebruik het nog steeds, maar wel vooral met contacten die ook professioneel in cybersecurity zitten.

begintmeta @Indir • 21 december 2020 17:02

Ik gebruik threema nu zo’n zes jaar, en de hoeveelheid gebruikers die ik ken is, na de groep die in eerste instantie voor mij ook Threema is gaaan gebruiken, maar langzaam gegroeid, vooral door mensen die werkgerelateerd threema gebruiken.

Over de app en de betrouwbaarheid van de dienst ben ik verder erg tevreden. Algemeen prettig te gebruiken app, het verificeren van de identiteit van andere gebruikers door een QR-code is in mijn ogen erg gebruiksvriendelijk. Het gegeven dat je je telefoonnummer niet als ID hoeft te gebruiken zie ik als een voordeel, maar het is wel zaak in de gaten te houden dat je een ID-backup hebt als je een ID nog eens wil herstellen. Ik ken wat mensen die bij elke telefoonwinkel weer met een nieuwe ID kwamen.

PrisonerOfPain @Indir • 21 december 2020 18:09

Daarintegen is het maar 2 euro en maak je de userbase groter. Om het nuttig te maken hoeft niet iedereen hoeft er op te zitten natuurlijk.

Fuzzillogic 21 december 2020 17:00

OpenWashing, om via "open source" extra punten bij het publiek te scoren, is dat al term zoals greenwashing? Zo nee, bij deze. Open source maken van de client code maakt op mij erg weinig indruk, als de hele dienst nog steeds volledig gecentraliseerd is, waarbij één partij het hele netwerkwerk beheert, en, in geval van Signal, niet eens third-party clients toelaat.
Er zijn volledig decentrale chatsystemen zoals Ring en Tox, waarbij er geen server is, en geen "account" om aan te maken. Dat heeft ook weer zo zijn nadelen, de tussenweg is federated systeem, zoals e-mail. Matrix vult dat gat. Ik heb mijn eigen server draaien, en kan toch met alles en iedereen op het netwerk communiceren. Maar als dat je te lastig is, dan kun je gewoon een account aanmaken op element.io. De info op de hier aangestipte https://www.securemessagingapps.com/ is verouderd: matrix (iig Element client) is nu standaard volledig E2EE. Dus: host je eigen open source server, op een decentraal netwerk, met een open source client, E2EE encryptie, community driven ontwikkeling. Dat Threema nu open source client heeft, steekt dan wel povertjes af.

[edit] Natuurlijk is het al een term. https://openwashing.org/ dat dus.

[Reactie gewijzigd door Fuzzillogic op 23 juli 2024 05:24]

WhatsappHack

Privacy

@Fuzzillogic • 21 december 2020 17:22

Waarom zou de keuze voor een gecentraliseerd systeem iets af doen aan het wel of niet opensource zijn van de client en/of server?

Het een sluit het ander niet uit. Ten tweede: waarom moet een organisatie die betaald voor hun eigen resources, dit gratis ter beschikking stellen van alles en iedereen die maar een fork wil maken? Ik ga toch ook niet bij Apache klagen dat ik httpd noch mijn fork daarvan niet op hun severs kan draaien maar perse een eigen server moet kopen/huren? Ik vind dat zo'n vage redenatie. Je krijgt de broncode al gratis, je kan je eigen client én eigen server bouwen - geen enkel probleem. Maar om de een of andere reden moet de developer blijkbaar ook nog eens betalen voor de infrastructuur van *jouw* fork. Beetje vaag, maar goed - ieder mag zo zo'n mening hebben.

Mexxwelll @WhatsappHack • 21 december 2020 18:22

Klopt wat je zegt, maar als je code vrijgeeft onder het motto van kijk eens hoe goed we onze zaakjes op orde hebben dan moet je ook het server gedeelte publiceren.

Dat is denk ik het punt wat fuzzilogic probeerde te maken.

Fuzzillogic @WhatsappHack • 21 december 2020 18:33

Een gecentraliseerd systeem kan nog steeds leiden tot censuur en privacy-schade, omdat bij te houden is wie met wie en wanneer communiceert. Natuurlijk mogen ze bij Threema bepalen wie van hun diensten gebruik mag maken, en op welke manier, maar dat is dan tevens het probleem. Dat wordt niet opgelost met het open source maken van de client.

En met een eigen server zit je niet op het netwerk. Dan kun je net zo goed een XMPP of Matrix-server installeren, die al direct veel beter geschikt zijn voor non-federated privégebruik.

Jace / TBL @Fuzzillogic • 21 december 2020 20:55

Inhoudelijk nog niet naar gekeken maar hoe zouden ze geen 3rd party clients kunnen toelaten als het open source is?

Je kunt die van hun gewoon aanpassen (of desnoods nabouwen) en allerlei features aanpassen of toevoegen zonder dat dat (detecteerbaar) iets verandert in de communicatie met de server.

RogerDad @Fuzzillogic • 22 december 2020 11:58

Voor professioneel gebruik wil je graag zoveel mogelijk zekerheid dat de oplossing ook inderdaad zo veilig is als het beloofd. Een goed bedrijf met voldoende professionele ontwikkelaars en beheerders, goede monitoring en snelle fix voor ontdekte bugs zijn dan een voordeel.

Fuzzillogic @RogerDad • 22 december 2020 13:09

De Franse overheid gebruikt Matrix met 300.000 gebruikers. Juist omdat je zelf in full control kunt blijven, of een andere aanbieder kunt kiezen zonder het netwerk te verlaten is een pluspunt voor decentrale systemen met een vrij protocol.

RogerDad @Fuzzillogic • 23 december 2020 12:45

hmm, overheidsprojecten, daar hebben we in Nederland ook heel goede ervaring mee

Full control, betekent ook dat je verantwoordelijk bent voor de onderhoud, bugfixes, uitbreiding, monitoring, borgen van beschikbaarheid, enzovoorts. Dat is echt geen sinecure en je zult goed moeten analyseren of je het echt beter doet tov. wat in de markt beschikbaar is. Dat is geen "grosso modo" beter, maar specifiek gericht op de dreigingsactoren die voor jouw situatie gelden. Voor een overheid kan dat inderdaad leiden tot andere keuzes dan voor een bedrijf, aan de andere kant gebruiken ze ook genoeg commerciële producten die ge-audit zijn en goedgekeurd voor een bepaald classificatieniveau, zie bv. https://www.aivd.nl/onder...en/geevalueerde-producten misschien dat Threema nu toegevoegd wordt nu het open source is.
Open protocollen ben ik trouwens helemaal voor en zolang je geen integraties hebt, kan je vrij gemakkelijk switchen naar een ander product.

W00fer 22 december 2020 00:46

Threema heeft nog een aantal andere voordelen, zoals een veel betere implementatie van de synchronisatie met de pc client. Bij Signal is dat nog altijd een drama.

Vergeet daarnaast Wire niet, welke ook erg goed is qua features.

WhatsappHack

Privacy

@W00fer • 22 december 2020 02:09

Bij Signal is dat nog altijd een drama.

Mag ik vragen wat het probleem is?

Hier werkt het probleemloos, ben erg benieuwd wat er bij jou misgaat.

Als ik een kritiekpuntje heb is het dat alles tot het moment dat je het activeert niet beschikbaar is; dit is ook niet lokaal over te zetten o.i.d.. Maar vanaf dat moment wordt alles gesynchroniseerd, onafhankelijk van het toestel. (Toestel hoeft dus ook niet online te zijn.)

W00fer @WhatsappHack • 23 december 2020 00:11

Wat er mis gaat??? Mijn issue staat al 3 jaar open:
https://github.com/signalapp/Signal-Desktop/issues/1296
En er zijn meer dan TWAALFHONDERD open issues / bugs / errors op de Signal Desktop client.
Het is gewoon rotten to the bone, niet meer en niet minder. Wire en Threema werken perfect.

steveman 21 december 2020 16:12

Dus iets als zelf bouwen en een hash, sha1 ofzo, vergelijken van de apk op je telefoon en die uit de build komt?

Oh wacht:
https://threema.ch/en/open-source/reproducible-builds

5. Verify the Result
You can use the verify-build.sh script to verify the locally compiled APK against the extracted APK.

$ ./scripts/verify-build.sh -n $VERSION -v $VARIANT -p threema-extracted.apk
...
==> Comparing releases
==> Success! The APKs match.

[Reactie gewijzigd door steveman op 23 juli 2024 05:24]

MartinoLatino 21 december 2020 16:21

Ben zelf een tevreden gebruiker van Threema, de app is met name populair in Duitsland.
Vooral het feit dat je de QR-code van een medegebruiker kan scannen, zodat je altijd weet dat je met de juiste persoon praat, is echt perfect.

Enige jammere is dat ze PFS alleen gebruiken over de TLS en niet op de server.

NoUser

21 december 2020 20:34

En alle meta data is versleuteld

tweakmember 22 december 2020 21:09

nog steeds weinig mensen begrijpen dat alles wat aan een server hangt en niet beheert kan worden door diegene niet te vertrouwen is.
Signal kan bijv alles beloven maar je weet nooit wat er achter de schermen gebeurt.
Signal zou de perfecte honeypot kunnen wezen.
Er word niet steeds voor niks verteld dat je erin moet geloven dat ze veilig met je data zullen omgaan.

Matrix is alleen interresant als je eigen server hebt maarja maar 1% van de burgers is een nerd en heeft de kennis om een server te beheren. 99% van alle andere burgers hebben dit niet dus totaal niet interresant.

Dan blijven er nog apps over zoals Jami en Session. Deze versturen rechtstreeks versleutelde berichten van persoon A naar B zonder tussen zittende server. (p2p)
Niemand kan dus meekijken of je berichten beheren of opslaan om later in de toekomst alsnog je berichten te ontsleutelen als daarvoor het software eindelijk ervoor is ontworpen (ga maar vast ervan uit dat met dit idee miljoenen berichten worden opgeslagen)
Geen registratie of telefoon nr is verreisd wat het meest veilig maakt en simpel in gebruik vergeleken met alle andere apps. (of zelfs mail)
Nog een voordeel is dat het op bijna op elke bestaand apparaat met een internet verbinding geïnstalleerd worden.

[Reactie gewijzigd door tweakmember op 23 juli 2024 05:24]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (68)

Sorteer op:

Weergave: