Versleuteling van Twitter-dm's is enkel beschikbaar voor betalende Blue-abonnees

De end-to-endencryptie voor Twitter-dm's geldt alleen voor Blue-abonnees. Groepsgesprekken kunnen daarnaast niet worden versleuteld en de encryptie is alleen van toepassing op berichtinhoud. Metadata en media worden niet versleuteld.

Twitter end-to-end Dat blijkt uit een hulppagina over de nieuwe end-to-endversleuteling van Twitter-berichten. Eerder deze week zei ceo Elon Musk dat privéberichten op het platform vanaf woensdag versleuteld zouden worden. Nu geeft Twitter daar meer informatie over, waaruit blijkt dat er flinke beperkingen aan de functie zitten.

De belangrijkste beperking is dat berichten alleen versleuteld worden als beide gesprekspartners een geverifieerd account hebben. In de praktijk betekent dat dat de functie alleen beschikbaar is voor abonnees van Twitter Blue of van leden van een geverifieerde organisatie. Beide abonnementen zijn betaald, al kan het bij geverifieerde organisaties ook gaan om een overheidsaccount waarvoor niet betaald hoeft te worden. Het is niet duidelijk of die voorwaarde blijft bestaan of dat ook niet-betalende gebruikers in de toekomst versleutelde berichten kunnen versturen. Twitter schrijft daar niets over. Gebruikers moeten verder ook de recentste iOS- of Android-versie van de Twitter-app of de webapp gebruiken. Alternatieve apps, zelfs officiële zoals Tweetdeck, kunnen nog niet met de encryptie overweg.

Twitter zegt verder ook dat er nog limieten aan de versleuteling zitten. Zo is het nog niet mogelijk om versleuteling in groepschats toe te passen. De versleuteling geldt bovendien alleen voor inhoud van berichten en eventuele emojireacties daarop. Metadata wordt niet versleuteld, net zoals bijlagen als afbeeldingen of video's.

Verder kunnen gebruikers geen versleuteld gesprek voortzetten vanaf een nieuw apparaat of als zij de Twitter-app opnieuw installeren. Als gebruikers uitloggen op hun apparaat, verdwijnen daar ook alle versleutelde berichten op.

Reacties (89)

CH4OS 11 mei 2023 09:20

Flinke beperkingen wel, ik ben benieuwd wat daar achter zit (behalve het verdienmodel). Als diensten zoals Signal en WhatsApp wél op alles E2EE kunnen doen voor gratis, waarom Twitter niet?

dutchnltweaker @CH4OS • 11 mei 2023 09:27

Flinke beperkingen wel, ik ben benieuwd wat daar achter zit (behalve het verdienmodel). Als diensten zoals Signal en WhatsApp wél op alles E2EE kunnen doen voor gratis, waarom Twitter niet?

Is ook niet gratis, Signal moet het van donaties of investeringen hebben. WhatsApp is opgeslokt door Facebook/Meta. Dus die hebben geld zat en hebben gezegd dat ze het gratis blijven aanbieden, maar je snapt zelf wel hoe ze anders geld verdienen.

Dat je bij Twitter moet voor betalen, is eigenlijk niet gek. Ja in eerste instantie voor de meeste wel, maar hoe wordt er anders betaald voor servers, devs etc etc.

[Reactie gewijzigd door dutchnltweaker op 24 juli 2024 02:54]

sapphire @dutchnltweaker • 11 mei 2023 09:43

Want Twitter verkoopt je data niet net als Meta/Facebook om inkomsten te genereren?

Kenhas @sapphire • 11 mei 2023 10:18

Nee, twitter verkoopt geen persoonlijke data. Ook Facebook, Google,... doen dat niet. Je kunt bijvoorbeeld geen lijst kopen van alle vrouwen tussen de 19jaar en 25 jaar die interesse hebben in breien.

Je kunt als adverteerder wel een campagne kopen bij Facebook, Google die zich richt op die doelgroep. Maar wie die advertenties te zien krijgt, ga jij als adverteerder niet te weten komen als ze er niet op klikken en dan nog.

Toch wel een groot verschil

hawke84 @Kenhas • 11 mei 2023 11:46

Nee ?

https://mashable.com/arti...e-advertising-data-change

Kenhas @hawke84 • 11 mei 2023 16:04

uit het door jou gelinkte artikel

However, Twitter reiterates in its updated terms that it still does not share your name, email, phone number, or Twitter username.

These new privacy settings are now the default for most Twitter users. The exception is for users in the European Union, European Free Trade Association states, and the United Kingdom. Due to their stringent laws protecting users’ privacy online, a user would need to opt in to sharing this information, if they’d like to allow Twitter to share it with its advertisers

Snowfall @hawke84 • 11 mei 2023 11:56

Jeetje een artikel van 3 jaar geleden

Gorbulas @Snowfall • 11 mei 2023 12:45

Waar zie je dat ze ermee opgehouden zijn in die drie jaar dan?

biteMark @sapphire • 11 mei 2023 10:15

En ze plaatsen niet zoveel mogelijk advertenties

bzuidgeest @sapphire • 11 mei 2023 12:36

Op zijn hoogst in een anonieme vorm, niet met naam of toenaam en adres. Dat zou volgens onze wetten gewoon niet mogen. Maar iemand zou wel kunnen vragen hoeveel mannen of vrouwen tussen 12 en 18 interesse tonen in pokemon. Dat is nog steeds informatie over personen, maar niets dat herleid tot een specifieke persoon.

fl2001 @dutchnltweaker • 11 mei 2023 09:56

Niet gek? Encryptie hoort tegenwoordig gewoon standaard te zijn, net zoals het goed kunnen beveiligen van je account, moet je ook voor betalen bij twitter.

Ik vind het echt niet erg om voor bepaalde functie's te betalen, maar daarvoor? Kom op het moet niet gekker worden.

Hatsjoe @fl2001 • 11 mei 2023 10:08

Het ligt aan de context vind ik. Een berichtendienst zoals WhatsApp, Signal, Telegram? Jazeker. Op een website als Twitter en Tweakers DMs E2E encrypten? Lijkt mij niet nodig. Tuurlijk zou het fijn zijn, maar het is absoluut geen standaard.

Yalopa @Hatsjoe • 12 mei 2023 08:58

Als twitter een allesomvattende app wil worden (en dat willen ze) dan verwacht ik toch dat elke functionaliteit in orde is..

Caelestis @fl2001 • 11 mei 2023 11:45

Je zou denken van wel maar niks is minder waar. Encryptie is zo sterk als het zwakste schakel.
Iedereen is bezig met "wetgeving" om encryptie te verzwakken, verbieden of te omzeilen met achterdeurtjes.
Allemaal onder het mom van kindermisbruik.
Of je encryptie stelt niks voor en vertraagt enkel het werking van de app.
Of het encryptie is te goed en je bent automatisch een verdachte van kindermisbruik.
Of je leeft in de waan dat je data beschermt wordt.
Dat is de huidige standard encryptie model over de hele wereld.

bzuidgeest @Caelestis • 11 mei 2023 12:40

Dat "Iedereen" valt wel mee. Het is vooral iets dat geroepen word door domme politici die de implicaties niet begrijpen en goed willen overkomen op emotie gestuurde onderwerpen. Geen enkel zo een voorstel heeft het ooit gehaald. En zelfs al krijgen we DPI bij providers, niets houd je tegen zelf een versleuteld netwerk op te zetten.

Encryptie word in de praktijk alleen maar sterker. En we hebben ook al algoritmes die veilig zijn voor quantum computers.

Caelestis @bzuidgeest • 11 mei 2023 13:37

En zelfs al krijgen we DPI bij providers, niets houd je tegen zelf een versleuteld netwerk op te zetten.

Jawel hoor. Je hebt het zelf niet door maar het komt dan automatisch in het cybercrime politie database als verdachte verkeer.
Vanaf dat moment wordt alle data van en naar jou locatie permanent in de gaten gehouden.

Encryptie word in de praktijk alleen maar sterker.

En hoe weet je dat? Vanwege een of ander marketing praatje?
De tijd dat je nog een security audit op je eigen software kon doen is allang voorbij.
Alle projecten waar je dat bij kon doen (bijv. True crypt) zijn opgekocht en onzichtbaar gemaakt, verboden geworden of de grond in geboord onder het mom van faciliteren van kindermisbruik.

Nu moet je maar geloven wat een ander je vertelt.
Quantum computing vindt ik nogal een ding.
Eerst was het zo dat er geen beveiliging sterk genoeg was.
Toen was het zo dat we modelen konden maken die het onmogelijk maken voor quantum computing.
Maar als je naar de vaste feiten kijkt die we hebben. Weet niemand wat.
De kans dat er ook maar 1 person hier op tweakers met een weekend quantum computer heeft mogen klooien is 1 op een biljoen.
Het is nog steeds allemaal theoretischse abracadabra voor ons.
Eerst zien, dan geloven.

Hatseflats @Caelestis • 11 mei 2023 14:19

Vanaf dat moment wordt alle data van en naar jou locatie permanent in de gaten gehouden.

Je kunt je dan afvragen of we dan een haar beter zijn dan alle regimes die we hiervoor veroordelen.

En hoe weet je dat? Vanwege een of ander marketing praatje?

Het feit dat je niet bekend bent met de encryptie wereld, houdt nog niet in dat daar geen vorderingen worden gemaakt.

De tijd dat je nog een security audit op je eigen software kon doen is allang voorbij.

Waar blijkt dat uit?

Alle projecten waar je dat bij kon doen (bijv. True crypt) zijn opgekocht en onzichtbaar gemaakt, verboden geworden of de grond in geboord onder het mom van faciliteren van kindermisbruik.

Klinkklare onzin. Gesproken vanuit consumenten perspectief.

Maar als je naar de vaste feiten kijkt die we hebben. Weet niemand wat.

Die jij hebt, spreek voor jezelf.

[Reactie gewijzigd door Hatseflats op 24 juli 2024 02:54]

Caelestis @Hatseflats • 11 mei 2023 16:09

Klinkklare onzin. Gesproken vanuit consumenten perspectief.

Maar als je naar de vaste feiten kijkt die we hebben. Weet niemand wat.

Die jij hebt, spreek voor jezelf.

Maar het zijn de consumenten tools waar we het over hebben, niet je hobby projectje.

Ik neem dan aan dat jij persoonlijk iemand kent die met een quantum computer mag klooien? Anders spreek ik dus ook voor jou.

Hatseflats @Caelestis • 11 mei 2023 19:59

Maar het zijn de consumenten tools waar we het over hebben, niet je hobby projectje.

Oh, en ik maar denken dat we het over encryptie hadden. Wat kan een mens zich toch vergissen, niet?

Ik neem dan aan dat jij persoonlijk iemand kent die met een quantum computer mag klooien? Anders spreek ik dus ook voor jou.

Ik ken ook niemand die stratenmaker op zee is, maar gelukkig spreek je nu ook voor mij.

[Reactie gewijzigd door Hatseflats op 24 juli 2024 02:54]

Caelestis @Hatseflats • 11 mei 2023 20:37

Oh, en ik maar denken dat we het over encryptie hadden. Wat kan een mens zich toch vergissen, niet?

Blijkbaar wel ja. Ik heb nergens gezegd dat encryptie slecht is.
Waar we het over hebben is encryptie in social media communicatie platformen. Die gebruiken geen openbare encryptie tools. Ze geven je enkel wat ze willen dat je denkt.
Het gaat om de politieke BS omtrent wetgevingen en hoe het verhaal "veiligheid" = encryptie verzwakken wordt ipv veiligheid = encryptie versterken.
Quantum computing is nooit de goude kogel door de kerk geweest maar omdat 1 gast een algoritme heeft ontwikkeld wat zo genaamd patronen kan herkenen in prime getallen is het een "gevaar" voor de meest gebruikte RSA encryptie dat daarvan gebruik maakt.
Letwel er is nog niks gekraakt met een quantum computer. De schatting is dat er rond de miljoen qbits nodig zijn om het te doen. Op dit moment is de grootste capaciteit rond 400 qbits.
Hele lange weg nog te gaan dus over 10-20 jaar is het hoogst waarschijnlijk een feit.
Dat betekent dan ook dat iedereen die zich nog druk maakt over RSA encryptie technieken maar even moet vergeten en over nieuw beginnen. Het is een dood lopend weg.
Dit is allemaal maar bijzaak wat betreft de mogelijkheden van quantum computing.
Ga je ooit een quantum computer in je broek zak hebben? Nope.

Hatseflats @Caelestis • 12 mei 2023 00:30

Ik bewonder je inzicht.

> 400 qubits?

Wat een relaas, maar waar is het eigenlijk allemaal op gebaseerd?

[Reactie gewijzigd door Hatseflats op 24 juli 2024 02:54]

Caelestis @Hatseflats • 12 mei 2023 08:02

Ooooooh 5000 we zitten bijna op de miljoen

. De marketing pamflet ziet er strak uit.
Waar ik mijn info op dit moment vandaan heb? IBM

bzuidgeest @Caelestis • 13 mei 2023 15:22

Ik zie heel veel emotie en aannames en heb enkel feit.

Waarom quantum computers de huidige encryptie makkelijk zouden moeten kunnen brute forcen , maar sommige nieuwe algoritmes niet is gewoon wiskunde. Niet een complot zoals jij lijkt te denken. De nieuwe algoritmes zijn gemaakt om rekening te houden met de specifieke eigenschappen die de huidige encryptie zwak zou maken op dat moment.

Met open source software en de optie om zelf te compileren is het nooit makkelijker geweest om een audit op je software te doen. Iets anders beweren is waanzin.

Een met een vpn mij in een verdacht rij zetten is prima. Ze moeten nog steeds eerst wat bewijzen. Maar die stelling name van jou is gewoon puur paranoia. Eigenlijk niet waard om op te reageren.

Caelestis @bzuidgeest • 14 mei 2023 00:12

Waarom quantum computers de huidige encryptie makkelijk zouden moeten kunnen brute forcen

De humor alleen al dat je denkt dat Quantum computing iets te maken heeft met brute force hacking laat zien dat je er werkelijk niks van snapt. Ik ben ook geen expert maar ik doe in iedergeval wel een beetje moeite om er in te duiken.
Brute force betekent niks anders dan dat je elke mogelijk combo probeert tot je de juiste vindt.
Met RSA encryptie en de "standaard" computer techniek kan dat oplopen tot miljoenen jaren zo niet billijoenen jaren om de zwaarste vorm te brute forcen.

Een Quantum computer kan dat theoratisch binnen een paar uur/dagen voorspellen. Het "probleem" is dat iemand een algoritme heeft ontwikkeld om patronen te herkenen in prime getallen. Laat dat nou toevallig de basis van RSA encryptie zijn.
BoeHoe RSA encryptie is obsolete..... boeie, het is lang niet de enige encryptie techniek maar het is goed een verhaaltje om iedereen bang te maken dat Quantum Computing alle beveiliging teniet doet.
Het was al vanaf dag 1 duidelijk bij de wetenschappers dat het niet de grootste riscico van beveiliging was.

De commerciele socialmedia partijen gebruiken geen opensource software dus dat kan je gelijk vergeten. Dat mijn PC met mijn andere PC veilig kan communiceren geloof ik wel.
Het gaat erom of jij erop vertrouwt dat je whatapp, twitter, mastodon, instagram, enz werkelijk de veiligheid bieden dat je hoopt dat ze leveren. Ik geloof best dat jij ze vertrouwt maar wantrouwen is niet gelijk aan een complot theorie. Ze hebben nou niet echt bepaald een stralend reputatie.

Je VPN intereseert ze niks. De encryptie van je VPN loopt enkel tot de uitgangs port daarna is het vrij spel. Of jij leeft in de waan dat je een 1 op 1 VPN verbinding maakt met de ontvanger van je berichtje.
Het gaat om de encryptie op het berichtje zelf en niet en of jij je IP probeert te verbergen.

Je maakt wel een goed punt wat betreft de nut van reageren op jou. Je moet je eens gaan verdiepen in Quantum Computing, het is een best leuk onderwerp en de mogelijkheden zijn eindeloos behalve voor encryptie breken. Dat zijn sprokjes verhalen.

Hatseflats @bzuidgeest • 15 mei 2023 15:12

Ach, maak je niet druk. Dat krijg je ervan als je een groot publiek aan wilt spreken, Libelle volk.

field33P @dutchnltweaker • 11 mei 2023 09:46

Het hele idee van end-to-end is toch dat encryptie en decryptie op de clients plaatsvindt - waardoor het Twitter nagenoeg geen computerkracht kost?

Anoniem: 1322 @field33P • 11 mei 2023 10:47

Het kost je wel extra data en heeft zeker impact op je infrastructuur. Tevens kun je vaak niet meer optimaliseren (want je hebt geen idee van de inhoud).

.oisyn Moderator Devschuur® @field33P • 11 mei 2023 11:09

Even naast de al genoemde argumenten, denk je dat zo'n feature uit het niets ontstaat?

svenk91 @dutchnltweaker • 11 mei 2023 09:50

Buiten het initiële ontwikkel werk zal E2EE encryptie niet significant veel kosten voor Twitter, zeker niet ten opzichte van de non-encrypted versie die ze nu wel gratis aanbieden. Aan de andere kant is dit wel een goede premium feature om mensen te overtuigen voor Twitter Blue te gaan, en dat is niet gek. Ik denk dus dat echt alleen het verdienmodel erachter zit in deze.

DigitalExorcist @dutchnltweaker • 11 mei 2023 10:05

Door na elke 2 tweets een irrelevante, hinderlijke advertentie te tonen....

r03n_d @dutchnltweaker • 11 mei 2023 10:47

maar hoe wordt er anders betaald voor servers, devs etc etc.

Advertenties? Net als bij Facebook/Meta en Google.

TccT @CH4OS • 11 mei 2023 09:45

Omdat er te veel voor Twitter is betaald tijdens de aanschaf, en dat moet linksom of rechtsom allemaal worden terugverdiend.

jip_86 @CH4OS • 11 mei 2023 10:58

...ben benieuwd wat daar achter zit ...

Neem aan omdat het een early version is: https://twitter.com/elonmusk/status/1656570790039678976

Tintel

Twitter

11 mei 2023 09:20

Metadata wordt niet versleuteld, net zoals bijlagen zoals afbeeldingen of video's.

Begrijp ik enigszins maar doet nog ernstig afbreuk aan de bruikbaarheid van versleuteling.

Net zoiets als de voordeur heeft 3 sloten maar de ramen kunnen gewoon open...

een overheidsaccount waarvoor niet betaald hoeft te worden.

blijft apart...

Anoniem: 1322 @Tintel • 11 mei 2023 10:51

Begrijp ik enigszins maar doet nog ernstig afbreuk aan de bruikbaarheid van versleuteling.
Ik zou bij geen enkel medium ervan uitgaan dat metadata versleuteld is. Je moet immers nog steeds zorgen dat het bericht bij de geadresseerde aankomt. Een PGP bericht heeft ook onversleutelde 'metadata' (niet bijlagen maar headers).

Tintel

Twitter

@Anoniem: 1322 • 11 mei 2023 11:00

Ik doelde op niet op de metadata maar op de afbeeldingen... (was niet duidelijk, sorry).

WhatsappHack

Twitter
Beveiliging en antivirus

@Tintel • 11 mei 2023 09:41

Net zoiets als de voordeur heeft 3 sloten maar de ramen kunnen gewoon open...

Niet als je het bij tekst houdt. Als je de beperking kent, en die staan er dus duidelijk vermeld, dan weet je dus dat je tekst op slot zit maar bijlagen niet. Dan moet je gewoon geen bijlagen versturen als die (privacy)gevoelig zijn. Ik zie dat niet als "maar de ramen kunnen gewoon open", het is immers precies as advertised: tekst versleuteld, bijlagen niet. Voor de tekst staan de ramen niet open, voor afbeeldingen en video's is er simpelweg geen slot. Je tekst zit veilig achter de voordeur, je bijlagen leven in het hondenhok. En dat is netjes vermeld.

Zoop @WhatsappHack • 11 mei 2023 09:56

Netjes vermeld dan wel, maakt het niet bruikbaarder imo.

Auto rijd van geen meter, mist een wiel, remmen doen het niet.
Maar het is netjes vermeld! Dus geeft het niet (?)

WhatsappHack

Twitter
Beveiliging en antivirus

@Zoop • 11 mei 2023 10:06

Beetje rare vergelijking. De auto rijdt prima, mist ook geen wiel en remt ook naar behoren. Hij heeft alleen geen extra opties zoals een achteruitrijcamera en airco terwijl jij die wel heel graag wil hebben. In de advertentie staat dat hij die niet heeft. Als je hem dan toch aanschaft of achteruit gaat rijden terwijl jij dat niet zonder camera kan, dan is dat toch zeker je eigen schuld? De advertentie is er glashelder over.

Twitter zegt "we bieden encryptie op enkel de tekst". Binnen die context werkt dat, of "je auto", gewoon naar behoren en zoals geadverteerd. Dat jij er eigenlijk meer van wil zien, zoals versleutelde bijlagen, betekent niet dat het opeens niet naar behoren werkt/het tekst deel ook kreupel is of niet goed werkt. En ik snap dat je het graag wil hebben en het zou ook de betere keuze zijn geweest, het is zegmaar een Fiat Multipla in plaats van een Mercedes, maar dat doet er niets aan af dat het doel waarvoor het gemaakt is en zoals het geadverteerd wordt gewoon netjes wordt behaald. Dus ja: dat geeft niet.

Ik had het ook graag anders gezien, maar als het enkel belooft tekst te versleutelen dan weet je waar je aan toe bent als je besluit het te gaan gebruiken...

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 02:54]

Zoop @WhatsappHack • 11 mei 2023 10:19

Nouja, dan koop ik die auto dus niet. En dus, zal ik Twitter nooit gebruiken voor encrypted messaging want het is gewoon te summier. Laat staan dat ik er ooit voor zou betalen.

Weet inderdaad waar ik aan toe ben, dat ik Twitter links laat liggen, deze feature is te beperkt om enige meerwaarde te kunnen bieden.

Maar ik zie twitter nog steeds als een gare auto die van ellonde uit elkaar flikkert.

[Reactie gewijzigd door Zoop op 24 juli 2024 02:54]

Tintel

Twitter

@WhatsappHack • 11 mei 2023 10:33

Het niet encrypten van afbeeldingen (waar vaak juist ook privacy van toepassing is) is niet het missen van de airco of achteruitrij camera... dat is het missen van cruciale onderdelen.

Het is niet dat de auto niet rijdt - dat ben ik wel met je eens.

!GN!T!ON @Tintel • 11 mei 2023 11:23

De auto in de analogie mist alleen gordels, deursloten en ABS

t_o_c @Zoop • 11 mei 2023 10:39

Nee dan geeft het inderdaad niet want je weet immers dat de auto overduidelijk rijdt. Als je opzoek bent naar een auto die je dagelijks kan gebruiken, dan weet je dat je deze auto kan laten staan want de beperkingen zijn duidelijk vermeld. Ben je opzoek naar een project auto dan is deze auto misschien wel een goede keuze.

Zelfde geld voor DMs. Als je weet dat de encryptie beperkt is dan kan je je gebruik daar op instellen. Is het ideaal? Nee, maar dan is een ander verhaal.

[Reactie gewijzigd door t_o_c op 24 juli 2024 02:54]

Tintel

Twitter

@WhatsappHack • 11 mei 2023 10:23

Wat? Je hebt een medium waar data over wordt verstuurd en al die data is persoonlijk - dus is privacy gewenst. Tekst en afbeeldingen (vaak juist de afbeeldingen...) dus.

Gewoon maar stellen: dan maar geen afbeeldingen sturen...tja.. dat beperkt toch enorm de bruikbaarheid? Het is niet alsof afbeeldingen een zeldzaamheid zijn.

WhatsappHack

Twitter
Beveiliging en antivirus

@Tintel • 11 mei 2023 10:36

Ik heb ook niet gezegd dat het de bruikbaarheid niet beperkt, ik heb gezegd dat het precies werkt zoals geadverteerd en je dus weet waar je aan toe bent; en binnen dat doel klopt het imho niet wat je zegt. Als je dus een medium wilt waarbij alles versleuteld wordt, dan moet je Twitter DM's niet gebruiken. Als het je enkel om tekst gaat, of je houdt dat in gedachte, dan is het prima en werkt het voor het beoogde doel.

Ik snap niet waarom er moeite is om de twee los van elkaar zien ipv het zomaar op een hoop te gooien. Dat afbeeldingen en andere bijlagen niet versleuteld worden, betekent niet dat de versleuteling op het tekst deel dan ook niet goed is. Dat is wel wat je suggereert (althans: zo komt het op mij over) met "Er zijn 3 sloten maar de ramen kunnen open". Nee, als het gaat om het doel wat duidelijk gecommuniceerd staat: de tekst, dan zijn er 3 sloten en de ramen kunnen niet open. Dat is gewoon beveiligd en geen backdoors (gaan we voor het gemak even vanuit

). Als het gaat om de bijlagen, dan zijn er überhaupt geen sloten; dus boeien die ramen ook niets.

En gezien er netjes wordt gezegd dat de encryptie enkel van toepassing is op de tekst, kan je dus niet stellen dat de encryptie op de tekst problematisch is ("ramen kunnen open") omdat de bijlagen, zoals geadverteerd, niet eveneens over een versleuteld kanaal gestuurd worden.

Dat de bruikbaarheid beperkt is, dus enkel geschikt als je enkel tekst wil uitwisselen/enkel geschikt om veilig tekst uit te wisselen, klopt. Maar dat verandert niets aan het doel waarvoor het kennelijk gemaakt is en waarvoor het geadverteerd wordt. Als dat niet aansluit bij je wensen: dan is dit dus niet voor jou en moet je een ander systeem dan Twitter's DM's gebruiken. Maar dat wil niet zeggen dat het dan automatisch geheel onveilig is, maar dat is wel wat jij suggereert met de stelling dat de sloten nutteloos zouden zijn vanwege 'de ramen'. De sloten werken prima en er zijn geen ramen om de beveiliging te omzeilen (op tekst), er zitten alleen überhaupt geen sloten op al hetgeen buiten tekst om; wat ook duidelijk vermeld wordt.

Ik zeg ook niet dat ik het een goed ontwerp vind he? Absoluut niet, ik gebruik zelf ook liever een dienst waarbij wél het hele zooitje versleuteld is - dus ook de bijlagen. Maar ik vind wel dat er best verschil mag zijn tussen ontwikkelingsstrategie en verschillende producten. Als Twitter om de een of andere reden meent dat enkel de tekst versleutelen prima is: have at it, prima. Dat het dan maar beperkt geschikt is, of maar deels veilig, voor het veilig uitwisselen van berichten is een heel ander verhaal dan de effectiviteit of veiligheid van de versleuteling zelf. En ik vind dat dat los van elkaar gezien moet worden en je dus niet zomaar kan stellen dat de encryptie an sich helemaal brak is; die kan best heel goed in elkaar zitten voor het deel waarop het van toepassing is...

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 02:54]

Tintel

Twitter

@WhatsappHack • 11 mei 2023 10:47

Okay - ik ga mee met jouw opmerking dat de analogie van sloten op deur en ramen open niet helemaal klopt. Want dat impliceert gheen enkele veiligheid. Het ging mij enkel om de bruikbaarheid.

Maar buiten dat: als we een tool maken die data kan encrypten dan is het technisch gezien geen enkel probleem om die data tekst te laten zijn of afbeeldingen. Voor het encryptie systeem is het niets meer dan een bak met bytes.
Dat het misschien meer storage kost of meer CPU dat kan nog wel. Maar het blijft vreemd.

xorpd @Tintel • 11 mei 2023 14:18

Bijlagen opslaan in een versleuteld archief met wachtwoord, wachtwoord in tekst versturen.

Maurits van Baerle

Twitter

@Tintel • 11 mei 2023 13:21

Zo vreemd is dat niet. Twitter heeft de laatste maanden al voldoende problemen met een explosie aan afbeeldingen met kindermisbruik en dergelijke. Als ze foto's en video's onversleuteld opslaan kun je daar ook geen CSAM hashes meer op loslaten en is Twitter in no-time hét wereldwijde kinderpornonetwerk geworden.

Het is Level Two van de Content Moderation Learning Curve: Hey Elon: Let Me Help You Speed Run The Content Moderation Learning Curve.

Hingj0n 11 mei 2023 09:19

Verder kunnen gebruikers geen versleuteld gesprek verder gaan vanaf een nieuw apparaat of als zij de Twitter-app opnieuw installeren. Als gebruikers uitloggen op hun apparaat, verdwijnen daar ook alle versleutelde berichten op.

Dit is dan wel interessant. Meestal worden versleutelde berichten gewoon opgeslagen (bijv Whatsapp) maar Twitter doet dit kennelijk anders. Ben benieuwd hoe en waarom ze dit zo implementeren.

WhatsappHack

Twitter
Beveiliging en antivirus

@Hingj0n • 11 mei 2023 09:39

Wat bedoel je precies met "gewoon opgeslagen"?

Twitter slaat de berichten ook 'gewoon' op en knikkert de sleutels weg als je uitlogt. WhatsApp doet hetzelfde als je de app opnieuw installeert (of op een ander device), je kan alleen de inhoud weer herstellen als je een back-up hebt en biedt de optie om een re-key te doen op een gesprek. (Dan krijg je, als je dit aan hebt staan, de melding dat je beveiligingscode met die persoon veranderd is.)

Hingj0n @WhatsappHack • 11 mei 2023 10:19

En het gebrek aan back-up mogelijkheid vind ik zowaar interessant. Twitter doet daar schijnbaar niet aan? Bij Whatsapp kun je inderdaad inhoud herstellen door een back-up van de database. Lijkt dan op een bijzondere manier opgeslagen te zijn. Of de lokale db voor twitterberichten wordt gewoon per direct verwijderd bij uitloggen niet alleen de sleutels lijkt me.

In hoeverre komt Twitters e2ee overeen met de encryptie van Whatsapp?

SteenNE47 @Hingj0n • 11 mei 2023 11:37

Bij WhatsApp zijn e2e chatlogs gebackuped bijzonder als in unencrypted

Tadango @Hingj0n • 11 mei 2023 09:31

Elke installatie genereert een sleutel. En alleen met de juiste sleutel kan je de berichten lezen. Sleutels worden niet gedeeld met andere apparaten.

LurkZ 11 mei 2023 09:24

De end-to-endencryptie voor Twitter-dm's geldt alleen voor Blue-abonnees.

En waarschijnlijk alleen tussen Blue-abonnees onderling.

WhatsappHack

Twitter
Beveiliging en antivirus

@LurkZ • 11 mei 2023 09:42

Dat staat in het artikel:
"De belangrijkste beperking is dat berichten alleen versleuteld worden als beide gesprekspartners een geverifieerd account hebben."

pmeter

@WhatsappHack • 11 mei 2023 10:12

Ah dank. Ik had het artikel daar nog op nagelezen, maar had niet scherp dat betalen in de vorm van een blue abonnement synoniem is aan een geverifieerd account hebben. Ik dacht dat je ook een geverifieerd account kon hebben zonder betaald abonnement, zij het dat die verificatie dan niet voor andere gebruikers zichtbaar is. Maar soms doe ik iets teveel aan close reading. Beroepsdeformatie vrees ik.

[Reactie gewijzigd door pmeter op 24 juli 2024 02:54]

moeilijkenaam @pmeter • 11 mei 2023 10:48

Was eerst ook zo, maar de naam en functie en betaling van vinkjes op Twitter is een paar keer gewisseld

jpsch @pmeter • 11 mei 2023 13:29

Stephen King heeft een vinkje een betaalt niets. Lijkt me dus wel degelijk een onbetaald verificatie vinkje.

IStealYourGun 11 mei 2023 09:26

Klinkt logisch dat je alle berichten verliest als je afmeldt, anders zou dat betekenen dat de private key gewoon op de servers van Twitter staan (al dan niet beveiligd met je wachtwoord).

Alleen blijft daarmee de cliënt de zwakste schakel, wat het nu al is.

Zoop @IStealYourGun • 11 mei 2023 09:28

Whatsapp versleuteld ook de boel en daar kan ik het wel gewoon van mee nemen, evenals bij tig andere diensten, signal etc. Deze implementatie van Twitter zitten wel erg veel beperkingen aan.

Skit3000

@Zoop • 11 mei 2023 09:39

Het lijkt er op dat dit door Twitter met opzet is gedaan:

We currently allow a maximum of ten devices per user for encrypted messages. After you have reached the limit, you will not be able to send and receive encrypted messages on any new devices that are logged into Twitter. Also, we don’t support the ability for users to see a list of registered devices or to de-register a registered device.

Ze slaan dus per gebruik maximaal tien public keys op hun eigen servers op. Als de achterliggende gedachte vanaf het begin was om later een manier toe te voegen om je private key te delen, dan zou er geen limiet van 10 apparaten per gebruiker ingesteld hoeven te worden maar dan was de limiet gelijk op 1 gezet.

chemokar 11 mei 2023 11:50

En hoe weten we dan zeker dat ze versleuteld zijn? is de broncode beschikbaar gemaakt? is er iemand die een onafhankelijke audit mag uitvoeren?

phrank @chemokar • 11 mei 2023 14:22

Hoe hebben ze dat bij WhatsApp inzichtelijk gemaakt?

Vexxon @phrank • 11 mei 2023 15:25

Wat heeft dat ermee te maken met hoe het bij Twitter geregeld is?

phrank @Vexxon • 11 mei 2023 21:11

Was benieuwd hoe dat normaliter gaat, wie weet gaat Twitter dit nog doen, aangezien dit een nieuwe feature is.

avlt @phrank • 11 mei 2023 17:03

Whatsapp heeft een audit laten doen, zie : https://research.nccgroup...kups-security-assessment/

phrank @avlt • 11 mei 2023 21:11

Bedankt, dit is inzicht vol!

kodak

Beveiliging en antivirus

@chemokar • 11 mei 2023 18:29

Er is kennelijk wat uitleg over wat gebruikers mogen verwachten. Maar dat lijkt al niet heel goed doordacht te zijn.

Loller1

Twitter

11 mei 2023 09:39

Wat een zielige implementatie. Dus je moet betalen en communiceren met iemand die betaald om berichten te versleutelen, en dan nog is de helft van je content niet versleuteld... Bha.

eric.1

11 mei 2023 09:39

Dus, blij gemaakt met een dode mus. Dit is wel erg beperkt voor zo'n basale functie.

Kwizz @eric.1 • 11 mei 2023 12:08

In plaats van dat Musk me blij maakt met een dode mus, wil ik dat ik blijgemaakt wordt met een dode Musk.
...sorry, ik kon de woordgrap niet weerstaan. Ik wens 'm niet daadwerkelijk de dood toe.

phrank @Kwizz • 11 mei 2023 21:13

Weet je dat zeker?

Jerie

11 mei 2023 09:56

Bij mij vinden dit soort diensten iedere keer dat ik inlog een aparte sessie, vanwege browser hardening. Dan is een limiet van 10 best irritant. En dan ook nog plaintext metadata en alleen tussen geverifieerde gebruikers. Hoe dan ook een sneue implementatie. Je kunt zelf niet verifiëren hoe de client het doet. Je kunt dan beter via de browser op Twitter inloggen en bijvoorbeeld OTR of GPG gebruiken (evt via een extensie oid). Je bent dan niet afhankelijk van een proprietary client (bij Signal ben je dat ook maar dat is geen databoer en heeft geen megalomane CEO zoals Meta of Twitter). Beter gebruik je geen server-side netwerk (server-side code zoals JS) voor E2EE. Dat is ook de kritiek op Protonmail's E2EE implementatie middels OpenPGP.js

slijkie 11 mei 2023 10:08

Musk zojuist:

Early version of encrypted direct messages just launched.

Try it, but don’t trust it yet.

@TijsZonderH

[Reactie gewijzigd door slijkie op 24 juli 2024 02:54]

Op dit item kan niet meer gereageerd worden.

Versleuteling van Twitter-dm's is enkel beschikbaar voor betalende Blue-abonnees

Lees meer

Reacties (89)

Sorteer op:

Weergave: