Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties
Submitter: rockmanz

Gebruikers van CyanogenMod kunnen elkaar versleuteld gaan sms'en. Cyanogen zet daarvoor een encryptie standaard aan. Naar gebruikers van andere Android-software zullen berichten nog altijd niet versleuteld zijn.

Sms-versleuteling CyanogenModDe stap heeft geen zichtbare gevolgen voor gebruikers. Een gebruiker hoeft niets aan te zetten en ziet behalve een visuele indicatie dat een sms-gesprek versleuteld is geen verschil, claimt Open Whispersystems, het bedrijf dat Cyanogen helpt met de versleuteling.

De versleuteling werkt alleen met andere gebruikers van CyanogenMod of TextSecure. Het maakt niet uit welke app gebruikers ingesteld hebben voor sms, omdat de versleuteling los van de app plaatsvindt.

De versleuteling is gemaakt door Open Whispersystems zelf. Cyanogen neemt deze stap na de recente onthullingen rondom massaspionage door Amerikaanse en Britse geheime diensten. De versleuteling moet gebruikers privacy geven bij het sms'en.

De functionaliteit zal komende tijd uitrollen naar diverse CyanogenMod-versies, te beginnen bij versie 10.2, die is gebaseerd op Android 4.3. Wanneer alle gebruikers van CyanogenMod de versleuteling kunnen gebruiken, is onduidelijk.

Moderatie-faq Wijzig weergave

Reacties (43)

Leuk, maar voor zover bekend zijn de veiligheidsdiensten vooral geïnteresseerd in de meta-data, niet zozeer in de inhoud. Dat wil zeggen: wie heeft contact met wie, en hoe intensief. Daar helpt dit niets tegen.
klopt, dat is fase 1 om te kijken wie wat doet.
Fase 2 is dat als er een vermoede is ze alles willen lezen.

Als ik nu elke dag 10 tallen sms berichten naar Afghanistan stuur zal de geheime dienst wel degelijk willen weten wat er in die berichten staat.
Tegen die tijd hacken ze je telefoon zelf voor full-access. Lijkt me effectiever dan alleen naar SMS berichtjes gaan zitten luisteren.
Klopt, maar sms lezen kan automatisch.

Maar je hebt gelijk want op deze mannier dwing je ze te gaan hacken omdat ze het niet kunnen lezen.
Leuk, maar voor zover bekend zijn de veiligheidsdiensten vooral geïnteresseerd in de meta-data, niet zozeer in de inhoud. Dat wil zeggen: wie heeft contact met wie, en hoe intensief. Daar helpt dit niets tegen.
Dat mag zo zijn, maar het is wel een eerste stap om je data (hoe onzinnig ook) niet zomaar op een presenteerblaadje aan te bieden aan onze overheden.
En hoe werkt dit? Ofwel moet je ergens een public key publiceren ofwel moet je een 2 richtings communicatie hebben om een encryptiesleutel af te spreken?
Check https://whispersystems.org/blog/advanced-ratcheting/ voor de details :) Ze hebben een nieuw protocol uitgevonden om asynchrone key-exchange te kunnen doen mét forward secrecy.
Als ik het zo goed begrijp moet je die bepaalde TextSecure app oid hebben. Ik kan me voorstellen dat je telefoon een lijst bijhoud van contact personen waarbij die TextSecure app zich nesteld achter je normale sms app en die contacten lijst bekijkt bij het versturen / ontvangen

OID haha
Hoe weet je als verstuurder dan wie die encryptie dan wel of niet aan heeft staan?
Mensen zonder encrpytie app kunnen het natuurlijk niet lezen.
Zal wel een check worden uitgevoerd die checkt of iemand cyanogenmod heeft en zo ja is het bericht versleuteld, so nee dan niet. Lijkt me niet heel lastig om te programeren, aangezien je als cyanogenmod gebruiken inlogd op je cyanogenmod account als je je telefoon insteld. Dus er kan worden gechecked via deze tool, of zit ik nou verkeerd na te denken en is dit juist niet wat je wil (omdat dit dan weer niet versleuteld is)
Dat ligt er net aan of en zo ja wanneer je de gapps (Google apps) installeerd.
Een maat van me heeft namelijk tegelijkertijd met mijzelf een telefoon geflasht met CyanogenMod (10.1) en direct de gapps meegeflasht en kreeg vervolgens alleen de Google login te zien.
Ik heb zelf eerst alleen Cyanogen gedraaid en pas later de gapps geflasht. In eerste instantie kreeg ik de Cyanogen, na het flashen van de gapps ook de Google login. Ik heb dan ook in mijn 'Accounts' een account extra staan.

Kan zijn dat dit 'toevallig' is, en ik weet niet of er meer mensen zijn die dit kunnen onderschrijven, maar het hebben van een Cyanogen account is niet zo vanzelfsprekend als het zou moeten zijn.

EDIT:
Zover ik me kan herinneren draaien we beiden 10.1.3, maar weet het niet zeker.
Als zijn HTC geen 10.1.3 draait dan is het logisch(er) dat 'ie geen CM-account heeft, volgens Jesse zit de ondersteuning er pas sinds 10.1.3 in.
Het kan ook nog zijn dat CM vanaf versie 10.2 standaard beide wil hebben, maar in de versies daarvoor het Google account voorrang geeft of iets dergelijks. Dan is het noodzakelijk om eerst CM te flashen en pas nadat de telefoon een keer gestart is de gapps, of handmatig een account toe te voegen.

[Reactie gewijzigd door Raventhorn op 10 december 2013 15:58]

Ik kan dit bevestigen. Ik gebruik Cyanogen met gapps en heb die direct geflashd. Ik heb nooit een ander account gebruikt dan mijn Google account.
Gisteren heb ik CM11 op mijn HTC one S gezet, en mocht bij het instellen van het toestel eerst een Cyanogenmod account aanmaken en kon vervolgens ook nog met mijn Google account inloggen.

Zou het niet zo kunnen zijn dat CM de eigen account in nieuwe installaties standaard 'pusht'?
Edit: CM account zit erin sinds 10.1.3 volgens de changelog.

[Reactie gewijzigd door Jesse op 10 december 2013 11:32]

Ik heb ook al het aanbod gekregen om een CM-account te maken maar dat was met CM10.1 en CM10.2 optioneel, tot nu toe.
Dus zonder internet werkt het niet. Lijkt me redelijk essentieel om erbij te vermelden... Je zal maar in Noord-Korea staan en denken je sms'je versleuteld te versturen. Dat werkt dan dus niet, en sta je een uur later achter stalen tralies met je bericht "die gekke kim jong un toch ook!".

Het OS moet het dus heel duidelijk en prominent aangeven wanneer versleuteling niet kan, als je aangegeven hebt het wel te willen. Zeker als je erop vertrouwt, is een zgn. "silent fail" zo ongeveer het ergste in een dergelijk systeem.

[Reactie gewijzigd door _Thanatos_ op 10 december 2013 12:42]

CM10.1 is een lange tijd geleden, en ik heb deze gebruikt nog voordat CM account in het leven werd geroepen. Als ondersteuning voor CM account in de rom zit, dan kan hij alsnog gewoon een CM account toevoegen bij instellingen/accounts... In CM 10.2, dat recent stabiel is verklaard, zit het sowieso ingebakken.
Dit werkt waarschijnlijk gewoon net zoals iMessage op iOS. Ook encrypted en alleen naar iOS gebruikers onderling te versturen. Heeft een gebruiker geen iOS wordt er een 'ouderwetse' niet encrypte SMS verstuurd.
Dus de sms wordt naar een 3th party verzonden ?
en van daaruit bepaald of het encrypted moet zijn ....

handig, op mijn oude s2 ben ik ingelogd als CM user, op mijn Note dus niet.

Er zal meer zijn dan alleen sms ....
Als de ontvanger geen encryptie ondersteund wordt de sms gewoon unencrypted verstuurd:
In the event your receiving party isn’t on CM or using TextSecure, the implementation will silently fall back to a normal SMS message (unencrypted).
Bron

Ik zou het wel fijn vinden als er een slotje of iets dergelijks naast de sms komt te staan als deze encrypted verzonden is.
Maar dan moet je toch eerst weten of de gebruiker het ondersteund, anders kan die beslissing niet gemaakt worden ;-)

Maar Timmehhhehehehhh gaf al aan dat het mogelijk via een cyanogenmod account gaat, maar ik vraag me dan wel af hoe vaak dit gesynced wordt want smsen doen de meeste als internet niet beschikbaar is denk ik.
Het is openbaar en er hoeft geen master key te zijn. Twee publieke en private sleutels zijn genoeg.
Jup, maar ik weet niet hoe veilig je je private key op een telefoon kan houden deze dagen. NSA zit tegenwoordig overal, ik ben zelfs overgestapt om de source van mijn projecten op een zelf-gehoste git server te zetten omdat het toch wel soms om gevoelige code gaat. Niet dat ik github niet vertrouw, maar de NSA niet echt.

Ik bedoel, als blijkt dat ze zelfs angela merkel aan het afluisteren zijn terwijl de duitse overheid zich openlijk tegen het spionage schandaal had gekeerd.
Alhoewel ik mij niet in de OpenWhisper methode heb verdiept hoeft een private key niet opgeslagen/hergebruikt te worden. Je kunt voor iedere sessie een tijdelijke public/private key maken voor uitwisseling van je (tijdelijke) shared key voor symmetrische encryptie (bv AES).
Ik gebruik met vrienden al een sms-encryptie-app (proberen/kopen). Een van die vrienden heeft een iPhone, dus daar werkt het ook prima mee. Je kan een keypair maken en je publieke sleutel naar vrienden sturen. Als je echt zeker wil zijn dat je niet word gehackt moet je elkaar natuurlijk even ontmoeten IRL en de sleutels even vergelijken. Alles wat je vanuit deze app verstuurd is encrypted met de sleutel van de ontvanger, alleen je ontvanger kan dat dus lezen. Ik hoop dat CM iets vergelijkbaars gebruikt, dan heb je ook wat meer zekerheid dat als je het goed gebruikt, dat ook niemand kan afluisteren.
Allemaal leuk en aardig, maar hoeveel overhead zit erop die encryptie? Als een simpel sms'je van 5 woorden dadelijk 800+ characters is en je hebt geen ongelimiteerde SMS bundel, dan kan je voor een aardige verrassing komen te staan aan het einde van de maand.

Anderzijds, goed gevonden en coole feature. Kat en Muisspel 2.0 :Y)
Nu is het onderlinge verkeer misschien wel beveiligd, maar het is nu wachten op software op je telefoon die dit soort communicatie onderschept voordat het wordt verzonden.

Kat en muis it is. :D
Altijd leuk, kat- en muisspel met een onzichtbare kat ;)
Volgens mij werkt het gedeelte als zo:
De geëncrypte sms wordt niet verstuurd als een normale sms, maar als een push bericht.
De ontvanger decrypt het push bericht en stuurt hem als normale sms het android os in.
Gaaf, hier zat ik op te wachten. Overigens is Open Whisper Systems de ontwikkelaar van TextSecure en RedPhone, die beiden encryptie mogelijk maken.

Nu nog wachten op een ios client.
er komt hoogstwaarschijnlijk geen iOS versie, aangezien iOS veel te locked-down is in vergelijking met android
Ik vind het persoonlijk een goede zaak, er is een gebrek aan geencrypteerde messaging apps. Langs de andere kant ken ik niet veel andere mensen die ook Cyanogenmod gebruiken, dus dat zie ik wel als een grote belemmering, ik zou er niets mee kunnen doen.

edit: zie nu pas dat het over smsjes gaat. Mijn punt blijft wel natuurlijk, al roept dit nog meer vragen op :p

[Reactie gewijzigd door zwiep666 op 10 december 2013 10:23]

Goeie stap dit! Ik ben ook gebruiker van CyanogenMod, nog een reden waarom ik er zo'n voorstander van ben! :)
En hoe gaat dit werken met dumbphones?

Niet dus, zoals ik begrijp is dit alleen bedoeld voor mensen die in de CyanogenMod tuin rondwandelen.

[Reactie gewijzigd door CapTVK op 10 december 2013 09:55]

Wel, als de aflees/afluister- software net voor het tijpen of na het ontvangen en ontcijferen van de sms al zijn werk heeft gedaan helpt dit weinig. Wel een stap in de goeie richting.
Ik denk dat als je op wifi zit ofzo je contactlijst gesynct wordt en dan al je contacten die berichten encrypted kunnen ontvangen genoteerd worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True