Ontwikkelaar Cryptocat: iedereen moet versleuteld kunnen communiceren

Elke internetgebruiker moet veilig kunnen communiceren op het moment dat hij of zij dat wil. Dat stelt de ontwikkelaar van de versleutelde-berichtendienst Cryptocat. Momenteel werken hij en zijn team aan mobiele versies van de chatdienst.

"Ik wil dat iedereen in de wereld op het moment dat hij of zij dat wil een privégesprek kan hebben, daar en op dat moment", zo zegt Nadim Kobeissi in een gesprek met Tweakers op de CCC-hackersconferentie in Hamburg. Kobeissi is de bedenker en hoofdontwikkelaar van de versleutelde-berichtendienst Cryptocat. "Ik wil Cryptocat naar het grootst mogelijke publiek brengen", zo zegt de ontwikkelaar.

"Mijn doel met Cryptocat is dat dat veilige alternatief bestaat, dat het goed werkt en dat gebruikers weten hoe ze het moeten gebruiken. En het liefst ook nog in hun eigen taal", aldus Kobeissi. Laagdrempeligheid is daarbij belangrijk. "Het is belangrijk om te begrijpen dat het in onze kringen misschien heel normaal lijkt dat mensen veel van computers weten, maar dat is in de rest van de wereld niet zo."

Momenteel werkt de ontwikkelaar samen met zijn team samen aan mobiele versies van de apps. "Een iOS-versie is al ingediend bij Apple en zou binnen twee weken moeten verschijnen", aldus Kobeissi. "Een Android-versie komt later." Ook heeft een onafhankelijke ontwikkelaar al een Windows Phone-versie gemaakt. "Maar ik weet niet hoe goed die werkt ", aldus Kobeissi.

Volgens Kobeissi is zijn opensource-chatdienst ondanks de op handen zijnde mobiele apps geen concurrent voor andere chat-apps als WhatsApp en Facebook Messenger. "Die apps hebben een ander doel dan Cryptocat", aldus Kobeissi. "Zij hebben bijvoorbeeld user-accounts, waardoor gebruikers vaker zullen terugkeren. Voor Cryptocat hoeven gebruikers geen account te hebben."

Bij Cryptocat kiezen gebruikers een chatroom en een gebruikersnaam, waarna ze veilig kunnen communiceren. Zelfs Cryptocat zelf kan berichten van gebruikers niet lezen, benadrukken de ontwikkelaars, omdat de tekst ervan in de browser zelf wordt versleuteld. Op dit moment is de dienst beschikbaar als browser-extensie of standalone-OS X-app.

Deze zomer kampte Cryptocat met een beveiligingsprobleem waardoor gesprekken redelijk makkelijk, binnen twee uur, waren te ontsleutelen. Dat terwijl de dienst werd aangeprezen als veilige chatdienst. Volgens Kobeissi zijn er maatregelen genomen om te verzekeren dat dat niet nogmaals gebeurt. "Zo laten we nu door een team cryptografie-experts nogmaals een audit uitvoeren", aldus Kobeissi.

Door Joost Schellevis

Redacteur

Feedback • 27-12-2013 14:0057

27-12-2013 • 14:00

57 Linkedin

Lees meer

WhatsApp introduceert privacy-instellingen in Android-versie Nieuws van 11 maart 2014
Op privacy gerichte chat-app Cryptocat verschijnt na afwijzing toch in App Store Nieuws van 5 maart 2014
'NSA manipuleert internetverkeer en tapt af via usb-stekkers' Nieuws van 30 december 2013
Onderzoeker kraakt beveiliging appartementencomplexen met skipas Nieuws van 29 december 2013
Onderzoekster hackt Tamagotchi en draait eigen software Nieuws van 28 december 2013
Pirate Bay-oprichter wil veilige berichtendienst opzetten Nieuws van 10 juli 2013
Meer producten en artikelen
Privacy

Reacties (57)

-Moderatie-faq
57
54
44
9
3
5
Wijzig sortering
PolarWolf
27 december 2013 16:09
Het probleem is niet zozeer een gebrek aan tools, applicaties en protocollen, maar de onwil van het generieke publiek om ze te gebruiken. Wat heb je aan een chat protocol/applicatie waar verder niemand die je kent gebruik van maakt? Kip en ei probleem, en ook deze variant zal in de vergetelheid verdwijnen. Guess what, iedereen kan al versleuteld communiceren. Alleen slechts een beperkt aantal mensen doet het ook daadwerkelijk, en dan vooral met elkaar.

Ik ben benieuwd hoeveel van dit soort "nieuws" berichten we nog krijgen over organisaties en/of mensen die hun "oplossing" (lees: product) voor "het probleem" de wereld in proberen te slingeren ter meerdere eer en glorie van vooral zichzelf. En dat terwijl het daadwerkelijke probleem helemaal niet technisch van aard is.

[Reactie gewijzigd door PolarWolf op 27 december 2013 16:10]

Anoniem: 16328
@PolarWolf27 december 2013 16:36
Dit probleem zie je zelfs bij een grote aanbieder zoals Google met G+ en Hangouts wat flink wordt gepusht maar mensen stappen niet af van hun Facebook en Whatsapp.

[Reactie gewijzigd door Anoniem: 16328 op 27 december 2013 17:08]

beantherio
27 december 2013 14:34
Het is een trend en dat is niet vreemd. Zie o.a. nieuws: BitTorrent komt met gedecentraliseerde p2p-chat-dienst
Texamicz
@beantherio28 december 2013 09:45
Het idee vind ik geweldig. De visie en de gedachte erachter ook. :) Hopelijk zal het opensource zijn en op elk platform toe te passen zijn.
Daarnaast hoop ik ook dat ze qua media ook verder kijken. Delen van afbeeldingen naar elkaar toe en dergelijke. Groeps chat. Webcam sessie en geluid. En dat alles encrypted. :) Ideaal dus
jellebaris
@Texamicz28 december 2013 09:54
Chatten in een chatroom houd dus meestal een groepschat in, te weten iedereen die je toegang geeft tot die chatroom. Verder ben ik het met je eens.
brunoj
27 december 2013 18:38
Of gewoon huidige communicatiekanalen gebruiken, maar dan met een toevoeging van iets als http://www.nonopticon.com/ ... Lokale encryptie en dan masking, zodat het geen argwaan wekt voor de points in the middle.
jflietstra
27 december 2013 14:29
Wij waren hiermee al gestart in de zomer van dit jaar...

http://www.navichat.nl/

Er blijkt weinig belangstelling te zijn.. Overall vind men dat je 'toch niks te verbergen hebt'
Rafe
@jflietstra27 december 2013 14:57
Geen beschrijving van het protocol/cryptografie (principe van Kerckhoff!), geen source code; dit is net zo controleerbaar als Skype of WhatsApp. Uitspraken als 'custom crypto' doet me denken aan Telegram, die $200.000 hebben uitgeloofd voor diegene die hun systeem konden kraken. Daar kwamen binnen een week wel wat dingen naar voren.

Verder staat er ook niet op de site wie het maakt, dus op eventuele goede reputatie kunnen we je ook niet beoordelen. Wat ik met even snel zoeken vind heb je dit ook niet gepost op plekken waar veel security bewuste mensen komen, zoals bepaalde subreddits of Hacker News. Dan gebruik ik liever bekendere projecten zoals Cryptocat of TextSecure.

Edit: ik kom misschien als een zuurpruim over. Ik denk dat er wel degelijk belangstelling is, maar niet op de manier zoals je het nu aanpakt. Zie bovenstaand verhaal als ideeën voor verbetering, want zo was het ook bedoeld :)

[Reactie gewijzigd door Rafe op 27 december 2013 15:01]

jflietstra
@Rafe28 december 2013 12:01
Volgens mij wordt in grote lijnen uitgelegd hoe de communicatie en de encrypty verloop..
Als iemand de methode en werkwijze wil controleren en beoordelen is dat geen enkel probleem. Is bij deze uitgenodigd...En om nu het hele idee als open source neer te leggen leek ons in de eerste instantie niet handig.

Dit project is ontstaan de ophef rondom Snowden en Prism, en door 5 programmeurs opgezet.

Ja en programmeurs zijn niet van de marketing.. Dus als je een goede partij weet voor het vermarkten... laat het maar weten.
Rafe
@jflietstra28 december 2013 14:09
Het enige concrete wat genoemd wordt op de site RC5, de rest zijn niet controleerbare beloftes. Die informatie is ook te mager om een een eigen client of server maken als die ik van Navichat niet vertrouw. Hoe worden die RC5 keys uitgewisseld? Hoe sign je messages? Los van crypto, hoe zitten de berichten in elkaar?

Met dit soort programma's zal het internet je niet vertrouwen zonder een hele grote mate van openheid/controleerbaarheid. Zodra je dat op orde heb kan je het zelf posten op reddits als /r/crypto, /r/privacy en /r/security, en het eerder genoemde Hacker News. Met een beetje mazzel krijg je goede feedback en kom je wat in de schijnwerpers te staan.
SlaadjeBla
@Rafe27 december 2013 16:21
-verwijderd-
ik las verkeerd

[Reactie gewijzigd door SlaadjeBla op 27 december 2013 16:23]

MadEgg
@jflietstra27 december 2013 15:57
A - nog nooit van gehoord
B - 17.6 megabyte voor een chat-applicatie? OMG. Om die reden alleen al zou ik het niet vertrouwen.
C - Windows only, geen mobiele versies.

Op geen enkele manier te vergelijken dus, dus de populairiteit of impopulariteit van deze app zegt weinig over de markt voor bv Cryptocat of Hemlis.

[Reactie gewijzigd door MadEgg op 27 december 2013 15:57]

jflietstra
@MadEgg28 december 2013 12:05
A- alles moet een eerste keer zijn :)
B- Het is een eerste versie om te laten zien dat het werkt.
C- Wij hebben vermeld dat bij belangstelling er mobile versies komen en extra functies.

Het is een andere nieuwe wijze van communiceren. Het zou ook in de TCP/IP laag kunnen worden opgenomen zodat al het verkeer op deze manier wordt afgehandeld.

Het was ook de bedoeling om te kijken of er überhaupt vraag/markt voor is.
MadEgg
@jflietstra28 december 2013 12:29
Op zich heb je gelijk, maar ik verwacht dat de belangstelling laag zal blijven zolang er geen mobiele versie beschikbaar is. Dat is toch wel de #1 doelgroep van dergelijke applicaties: een chat-applicatie die prive chatten laagdrempelig mogelijk maakt op mobiele apparaten.

Je zou, bij wijze van spreken, net zo goed een applicatie draaiend op Dos 6.2 gepubliceerd kunnen hebben en weinig downloads wijten aan gebrek aan interesse. En marketing doet ook een hoop.

Dat er op zich interesse is is wel gebleken uit de bak geld die is binnengehaald voor de ontwikkeling van hemlis. Helaas nog steeds geen werkende versie van beschikbaar.
krosis
@jflietstra27 december 2013 14:37
Ik denk eerder omdat het nog niet af is.
jflietstra
@krosis28 december 2013 11:56
We gaan uiteraard niet investeren in iets wat men niet gaat gebruiken...
De Windows variant, werk prima, we kunnen aan het aantal downloads zien dat er weinig belangstelling is..

En een veelgehoord antwoord is... 'ik heb niets te verbergen'
thegve
@jflietstra28 december 2013 13:53
Of omdat het geen hond gaat chatten alleen vanaf zijn desktop natuurlijk. Nog los van de 9232 andere chat apps.
reinouts
@jflietstra27 december 2013 22:30
Heb even gekeken op je site, en ik kan geen Linux-versie en zelfs geen source code vinden.
Dan houdt het snel op...
jflietstra
@reinouts28 december 2013 12:06
Andere versie komen er pas als het idee opgepakt wordt.
Open source wordt het pas als deze versie de Beta status heeft verlaten.
bogy
@jflietstra27 december 2013 14:40
zelfs de mensen die thepiratebay hadden opgestart indertijd hebben een cryptotool in ontwikkeling en hebben daar ook een crowdfunding voor gedaan... ik weet nog dat ik eraan heb meegedaan maar het is alweer even stil geweest daar rond (of ik heb mail gemist)...

de naam van de tool was "geheim' in het zweeds ofzoiets ... ah ja... hemlis .. dat was het .. http://tweakers.net/nieuw...chtendienst-opzetten.html
lappro
@jflietstra27 december 2013 14:46
Dan moeten we daar wat aan doen. Ik ben het met je eens want ik zie hetzelfde, veel mensen snappen niet waarom privacy zo belangrijk is en die massa spionage programmas zo slecht zijn. Daar moeten we dus verandering in brengen. De maatschappij op de hoogte brengen van de gevaren en waarom beveiligde communicatie/internet, waar je niet afgeluisterd wordt en je dus privacy hebt, zo belangrijk zijn.
Het is dan goed om een goedwerkende service te hebben die makkelijk in gebruik is. Tegen de tijd dat je doorgedrongen bent tot het volk en men snapt dat privacy belangrijk is, hebben ze direct een alternatief om op over te stappen.

Dat je dienst nu dus weinig aandacht trekt wilt niet zeggen dat je dan maar de handdoek in de ring moet gooien.
Jace / TBL
@jflietstra27 december 2013 15:37
Geen open source zo te zien. Hoe weet ik dan dat die claims die jullie maken, waar zijn? Ik kan nu niet uitsluiten dat mijn communicatie toch op jullie server belandt (hetzij door kwade bedoelingen, hetzij door fouten).

En alleen een Windows client, geen web versie, geen mobiele app? Dat werkt niet meer anno 2013.
Qwerty-273
27 december 2013 15:14
Het hele idee van public key and korte chat berichtjes werken gewoon niet lekker met elkaar. Of je brengt een enorme overhead aan op de data, of je maakt het "makkelijker" voor de afluisteraar om via reverse engineering de sleutels te achterhalen - publieke deel is natuurlijk al bekend. En als je altijd met "Hallo" een bericht de wereld in stuurd is dat natuurlijk wel erg herkenbaar - welke compressie je daar dan ook eerste over los laat. Dat is het nadeel van chat berichten die gewoon te kort daarvoor zijn / encryptie methoden die dan behoorlijk makkelijk te brute forcen zijn.
Jace / TBL
@Qwerty-27327 december 2013 16:05
Niet mee eens. Iedere thread encrypten met AES-256 met een random key, geeft 0-31 bytes overhead. En die random thread key voor iedere user encrypted opslaan met diens public key, geeft (uitgaande van ECC) nog eens 32 byte overhead per user. Peanuts dus, en valt niets aan te kraken of te brute forcen.

En mochten er in de toekomst kwetsbaarheden in AES256 of ECC aan de horizon verschijnen, heb je nog tijd om te switchen naar iets anders wat je ter plekke kunt toepassen wanneer iemand inlogt. Allemaal zonder dat de server of beheerder toegang hoeft te hebben tot de communicatie.
Rafe
@Qwerty-27327 december 2013 15:47
Net als bij SSL/TLS wordt public key crypto gebruikt voor key uitwisseling, de daadwerkelijke berichten worden versleuteld met AES.
Spockz
27 december 2013 14:20
Hoe kunnen ze garanderen dat andere gebruikers het bericht wat je stuurt niet kunnen lezen dan? Je zult dan toch de publieke key moeten weten van degene naar wie je het stuurt, en hoe kom je daar aan?
Rafe
@Spockz27 december 2013 14:40
Het Cryptocat-protocol wordt hier beschreven. Je werkt met rooms (a la IRC) en verder lijkt het zo op het eerste gezicht redelijk standaard public key crypto.
Spockz
@Rafe27 december 2013 15:29
Ah blijkbaar wordt er voor private chat dus OTR gebruikt wat inhoudt dat je altijd de public key van de andere partij kunt controleren.
WouterR10
27 december 2013 15:10
Ik vind deze versleutelde diensten geen goede ontwikkeling, deze diensten zijn natuurlijk heel handig voor terroristen en met name criminelen. Daarnaast is het ook nog eens een keer symptoom bestrijding, want geheime diensten hebben goede hackers in dienst die de encryptie wellicht op een gegeven moment omzijlen. De enige oplossing voor het afluisterprobleem is een groot maatschappelijk debat in de verschillende landen, waarbij de mogelijkheden en controle op de geheime diensten in een goed wettelijk kader wordt vastgelegd.
geez
@WouterR1027 december 2013 15:24
Weet je voor wie deze diensten nog meer handig zijn? Jan en alleman, wiens communicatie niet afgeluisterd díent te worden.
Jace / TBL
@WouterR1027 december 2013 15:33
deze diensten zijn natuurlijk heel handig voor terroristen
Vergeet de pedofielen niet! :{
De enige oplossing voor het afluisterprobleem is een groot maatschappelijk debat in de verschillende landen, waarbij de mogelijkheden en controle op de geheime diensten in een goed wettelijk kader wordt vastgelegd.
Ach kom nou toch, dat soort diensten (en soms ook de overheden die achter die diensten staan) hebben in de praktijk compleet schijt aan regels. En zelfs als er geen kwade bedoelingen in het spel zijn, regels voorkomen geen fouten.

De enige oplossing voor het afluisterprobleem is de technologie zodanig inrichten dat controle domweg onmogelijk is. Ik vertrouw wat dat betreft alleen oplossingen die niet van vertrouwen afhankelijk zijn. Client side open source encryptie dus.
TheCapK
27 december 2013 14:34
[conspiracy modus]
Misschien dat ik nou doorsla maar: is de hele soap met Snowden en de NSA niet bedoeld om een nieuwe bedrijfstak in de software industrie een flinke boost te geven? De hele cryptografische softwareindustrie profiteert enorm van dit soort lekken. En wie weet wat voor backdoors er ingebouwd zitten.
iedereen denkt veilig onafgeluisterd te kunnen werken terwijl het hele gevoel van veiligheid nergens op is gebaseerd.
[/conspiracy modus]
arjankoole
@TheCapK27 december 2013 14:53
er is weinig 'nieuw' aan die bedrijfstak. Hij staat nu alleen veel meer in de schijnwerpers, en lang niet altijd positief. (kijk naar het gedonder om de mogelijke vertrouwensbreuk door RSA labs)
Teijgetje
@TheCapK27 december 2013 14:57
Je vergeet criminelen mee te nemen, zonder hen heb je ook hele bedrijfstakken niet nodig, politie bewaking, beveiligingsapparatuur, opslag, camera`s, sloten en kluizen, etc.
Volgens jouw optiek zouden we dan ook meer criminelen moeten nemen om de economie eens lekker een flinke boost te geven. 8)7
Jace / TBL
27 december 2013 15:26
"Voor Cryptocat hoeven gebruikers geen account te hebben."
Hoe weet ik dan dat degene met wie ik denk veilig te communiceren, wel echt diegene is?
Rafe
@Jace / TBL27 december 2013 15:43
Door de public key fingerprint van diegene met wie je chat te controleren via een ander kanaal (bijv. telefoon).
90710
@Rafe27 december 2013 19:49
Dat is veilig met de telefoon tabs ;)
esak
@9071028 december 2013 00:13
Jazeker, daarom gebruik je ook de public key, daar kan je de berichten niet mee decrypten maar het kan wel gebruikt worden als een soort identificatie.
Niemand anders kan met die public key berichten versturen omdat jij de enige bent die de bijbehorende private key hebt.
klepje
27 december 2013 14:15
Zelf wacht ik nog steeds op Hemlis Messenger, lijkt wat meer op Whatsapp. Ik vind contacten in ieder geval een stuk fijner dan een soort chatbox, waarbij de privacy bij Cryptocat natuurlijk wel wat beter zal zijn.

In ieder geval goed dat de beveiliging van Cryptocat stuk verbeterd is, was wel nodig naar aanleiding van die korte duur van ontsleuteling.
MadEgg
@klepje27 december 2013 15:52
Ik zit ook op Hemlis te wachten na mijn bijdrage. Helaas zitten er steeds lange periodes tussen de updates. De laatste update zag er weer veelbelovend uit, maar was in oktober.

En als het uit is moet ik nog maar hopen dat ze mijn telefoon met S40 erop gaan ondersteunen, in eerste instantie richten zij zich ook alleen op Android en iOS maar ik hook dat dat snel veranderd.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee