Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties

Elke internetgebruiker moet veilig kunnen communiceren op het moment dat hij of zij dat wil. Dat stelt de ontwikkelaar van de versleutelde-berichtendienst Cryptocat. Momenteel werken hij en zijn team aan mobiele versies van de chatdienst.

CryptoCat "Ik wil dat iedereen in de wereld op het moment dat hij of zij dat wil een privégesprek kan hebben, daar en op dat moment", zo zegt Nadim Kobeissi in een gesprek met Tweakers op de CCC-hackersconferentie in Hamburg. Kobeissi is de bedenker en hoofdontwikkelaar van de versleutelde-berichtendienst Cryptocat. "Ik wil Cryptocat naar het grootst mogelijke publiek brengen", zo zegt de ontwikkelaar.

"Mijn doel met Cryptocat is dat dat veilige alternatief bestaat, dat het goed werkt en dat gebruikers weten hoe ze het moeten gebruiken. En het liefst ook nog in hun eigen taal", aldus Kobeissi. Laagdrempeligheid is daarbij belangrijk. "Het is belangrijk om te begrijpen dat het in onze kringen misschien heel normaal lijkt dat mensen veel van computers weten, maar dat is in de rest van de wereld niet zo."

Momenteel werkt de ontwikkelaar samen met zijn team samen aan mobiele versies van de apps. "Een iOS-versie is al ingediend bij Apple en zou binnen twee weken moeten verschijnen", aldus Kobeissi. "Een Android-versie komt later." Ook heeft een onafhankelijke ontwikkelaar al een Windows Phone-versie gemaakt. "Maar ik weet niet hoe goed die werkt ", aldus Kobeissi.

Volgens Kobeissi is zijn opensource-chatdienst ondanks de op handen zijnde mobiele apps geen concurrent voor andere chat-apps als WhatsApp en Facebook Messenger. "Die apps hebben een ander doel dan Cryptocat", aldus Kobeissi. "Zij hebben bijvoorbeeld user-accounts, waardoor gebruikers vaker zullen terugkeren. Voor Cryptocat hoeven gebruikers geen account te hebben."

Bij Cryptocat kiezen gebruikers een chatroom en een gebruikersnaam, waarna ze veilig kunnen communiceren. Zelfs Cryptocat zelf kan berichten van gebruikers niet lezen, benadrukken de ontwikkelaars, omdat de tekst ervan in de browser zelf wordt versleuteld. Op dit moment is de dienst beschikbaar als browser-extensie of standalone-OS X-app.

Deze zomer kampte Cryptocat met een beveiligingsprobleem waardoor gesprekken redelijk makkelijk, binnen twee uur, waren te ontsleutelen. Dat terwijl de dienst werd aangeprezen als veilige chatdienst. Volgens Kobeissi zijn er maatregelen genomen om te verzekeren dat dat niet nogmaals gebeurt. "Zo laten we nu door een team cryptografie-experts nogmaals een audit uitvoeren", aldus Kobeissi.

Moderatie-faq Wijzig weergave

Reacties (57)

Het probleem is niet zozeer een gebrek aan tools, applicaties en protocollen, maar de onwil van het generieke publiek om ze te gebruiken. Wat heb je aan een chat protocol/applicatie waar verder niemand die je kent gebruik van maakt? Kip en ei probleem, en ook deze variant zal in de vergetelheid verdwijnen. Guess what, iedereen kan al versleuteld communiceren. Alleen slechts een beperkt aantal mensen doet het ook daadwerkelijk, en dan vooral met elkaar.

Ik ben benieuwd hoeveel van dit soort "nieuws" berichten we nog krijgen over organisaties en/of mensen die hun "oplossing" (lees: product) voor "het probleem" de wereld in proberen te slingeren ter meerdere eer en glorie van vooral zichzelf. En dat terwijl het daadwerkelijke probleem helemaal niet technisch van aard is.

[Reactie gewijzigd door PolarWolf op 27 december 2013 16:10]

Dit probleem zie je zelfs bij een grote aanbieder zoals Google met G+ en Hangouts wat flink wordt gepusht maar mensen stappen niet af van hun Facebook en Whatsapp.

[Reactie gewijzigd door ChicaneBT op 27 december 2013 17:08]

Het idee vind ik geweldig. De visie en de gedachte erachter ook. :) Hopelijk zal het opensource zijn en op elk platform toe te passen zijn.
Daarnaast hoop ik ook dat ze qua media ook verder kijken. Delen van afbeeldingen naar elkaar toe en dergelijke. Groeps chat. Webcam sessie en geluid. En dat alles encrypted. :) Ideaal dus
Chatten in een chatroom houd dus meestal een groepschat in, te weten iedereen die je toegang geeft tot die chatroom. Verder ben ik het met je eens.
Of gewoon huidige communicatiekanalen gebruiken, maar dan met een toevoeging van iets als http://www.nonopticon.com/ ... Lokale encryptie en dan masking, zodat het geen argwaan wekt voor de points in the middle.
Wij waren hiermee al gestart in de zomer van dit jaar...

http://www.navichat.nl/

Er blijkt weinig belangstelling te zijn.. Overall vind men dat je 'toch niks te verbergen hebt'
Geen beschrijving van het protocol/cryptografie (principe van Kerckhoff!), geen source code; dit is net zo controleerbaar als Skype of WhatsApp. Uitspraken als 'custom crypto' doet me denken aan Telegram, die $200.000 hebben uitgeloofd voor diegene die hun systeem konden kraken. Daar kwamen binnen een week wel wat dingen naar voren.

Verder staat er ook niet op de site wie het maakt, dus op eventuele goede reputatie kunnen we je ook niet beoordelen. Wat ik met even snel zoeken vind heb je dit ook niet gepost op plekken waar veel security bewuste mensen komen, zoals bepaalde subreddits of Hacker News. Dan gebruik ik liever bekendere projecten zoals Cryptocat of TextSecure.

Edit: ik kom misschien als een zuurpruim over. Ik denk dat er wel degelijk belangstelling is, maar niet op de manier zoals je het nu aanpakt. Zie bovenstaand verhaal als ideeŽn voor verbetering, want zo was het ook bedoeld :)

[Reactie gewijzigd door Rafe op 27 december 2013 15:01]

Volgens mij wordt in grote lijnen uitgelegd hoe de communicatie en de encrypty verloop..
Als iemand de methode en werkwijze wil controleren en beoordelen is dat geen enkel probleem. Is bij deze uitgenodigd...En om nu het hele idee als open source neer te leggen leek ons in de eerste instantie niet handig.

Dit project is ontstaan de ophef rondom Snowden en Prism, en door 5 programmeurs opgezet.

Ja en programmeurs zijn niet van de marketing.. Dus als je een goede partij weet voor het vermarkten... laat het maar weten.
Het enige concrete wat genoemd wordt op de site RC5, de rest zijn niet controleerbare beloftes. Die informatie is ook te mager om een een eigen client of server maken als die ik van Navichat niet vertrouw. Hoe worden die RC5 keys uitgewisseld? Hoe sign je messages? Los van crypto, hoe zitten de berichten in elkaar?

Met dit soort programma's zal het internet je niet vertrouwen zonder een hele grote mate van openheid/controleerbaarheid. Zodra je dat op orde heb kan je het zelf posten op reddits als /r/crypto, /r/privacy en /r/security, en het eerder genoemde Hacker News. Met een beetje mazzel krijg je goede feedback en kom je wat in de schijnwerpers te staan.
-verwijderd-
ik las verkeerd

[Reactie gewijzigd door SlaadjeBla op 27 december 2013 16:23]

A - nog nooit van gehoord
B - 17.6 megabyte voor een chat-applicatie? OMG. Om die reden alleen al zou ik het niet vertrouwen.
C - Windows only, geen mobiele versies.

Op geen enkele manier te vergelijken dus, dus de populairiteit of impopulariteit van deze app zegt weinig over de markt voor bv Cryptocat of Hemlis.

[Reactie gewijzigd door MadEgg op 27 december 2013 15:57]

A- alles moet een eerste keer zijn :)
B- Het is een eerste versie om te laten zien dat het werkt.
C- Wij hebben vermeld dat bij belangstelling er mobile versies komen en extra functies.

Het is een andere nieuwe wijze van communiceren. Het zou ook in de TCP/IP laag kunnen worden opgenomen zodat al het verkeer op deze manier wordt afgehandeld.

Het was ook de bedoeling om te kijken of er Łberhaupt vraag/markt voor is.
Op zich heb je gelijk, maar ik verwacht dat de belangstelling laag zal blijven zolang er geen mobiele versie beschikbaar is. Dat is toch wel de #1 doelgroep van dergelijke applicaties: een chat-applicatie die prive chatten laagdrempelig mogelijk maakt op mobiele apparaten.

Je zou, bij wijze van spreken, net zo goed een applicatie draaiend op Dos 6.2 gepubliceerd kunnen hebben en weinig downloads wijten aan gebrek aan interesse. En marketing doet ook een hoop.

Dat er op zich interesse is is wel gebleken uit de bak geld die is binnengehaald voor de ontwikkeling van hemlis. Helaas nog steeds geen werkende versie van beschikbaar.
Ik denk eerder omdat het nog niet af is.
We gaan uiteraard niet investeren in iets wat men niet gaat gebruiken...
De Windows variant, werk prima, we kunnen aan het aantal downloads zien dat er weinig belangstelling is..

En een veelgehoord antwoord is... 'ik heb niets te verbergen'
Of omdat het geen hond gaat chatten alleen vanaf zijn desktop natuurlijk. Nog los van de 9232 andere chat apps.
Heb even gekeken op je site, en ik kan geen Linux-versie en zelfs geen source code vinden.
Dan houdt het snel op...
Andere versie komen er pas als het idee opgepakt wordt.
Open source wordt het pas als deze versie de Beta status heeft verlaten.
zelfs de mensen die thepiratebay hadden opgestart indertijd hebben een cryptotool in ontwikkeling en hebben daar ook een crowdfunding voor gedaan... ik weet nog dat ik eraan heb meegedaan maar het is alweer even stil geweest daar rond (of ik heb mail gemist)...

de naam van de tool was "geheim' in het zweeds ofzoiets ... ah ja... hemlis .. dat was het .. http://tweakers.net/nieuw...chtendienst-opzetten.html
Dan moeten we daar wat aan doen. Ik ben het met je eens want ik zie hetzelfde, veel mensen snappen niet waarom privacy zo belangrijk is en die massa spionage programmas zo slecht zijn. Daar moeten we dus verandering in brengen. De maatschappij op de hoogte brengen van de gevaren en waarom beveiligde communicatie/internet, waar je niet afgeluisterd wordt en je dus privacy hebt, zo belangrijk zijn.
Het is dan goed om een goedwerkende service te hebben die makkelijk in gebruik is. Tegen de tijd dat je doorgedrongen bent tot het volk en men snapt dat privacy belangrijk is, hebben ze direct een alternatief om op over te stappen.

Dat je dienst nu dus weinig aandacht trekt wilt niet zeggen dat je dan maar de handdoek in de ring moet gooien.
Geen open source zo te zien. Hoe weet ik dan dat die claims die jullie maken, waar zijn? Ik kan nu niet uitsluiten dat mijn communicatie toch op jullie server belandt (hetzij door kwade bedoelingen, hetzij door fouten).

En alleen een Windows client, geen web versie, geen mobiele app? Dat werkt niet meer anno 2013.
Het hele idee van public key and korte chat berichtjes werken gewoon niet lekker met elkaar. Of je brengt een enorme overhead aan op de data, of je maakt het "makkelijker" voor de afluisteraar om via reverse engineering de sleutels te achterhalen - publieke deel is natuurlijk al bekend. En als je altijd met "Hallo" een bericht de wereld in stuurd is dat natuurlijk wel erg herkenbaar - welke compressie je daar dan ook eerste over los laat. Dat is het nadeel van chat berichten die gewoon te kort daarvoor zijn / encryptie methoden die dan behoorlijk makkelijk te brute forcen zijn.
Niet mee eens. Iedere thread encrypten met AES-256 met een random key, geeft 0-31 bytes overhead. En die random thread key voor iedere user encrypted opslaan met diens public key, geeft (uitgaande van ECC) nog eens 32 byte overhead per user. Peanuts dus, en valt niets aan te kraken of te brute forcen.

En mochten er in de toekomst kwetsbaarheden in AES256 of ECC aan de horizon verschijnen, heb je nog tijd om te switchen naar iets anders wat je ter plekke kunt toepassen wanneer iemand inlogt. Allemaal zonder dat de server of beheerder toegang hoeft te hebben tot de communicatie.
Net als bij SSL/TLS wordt public key crypto gebruikt voor key uitwisseling, de daadwerkelijke berichten worden versleuteld met AES.
Hoe kunnen ze garanderen dat andere gebruikers het bericht wat je stuurt niet kunnen lezen dan? Je zult dan toch de publieke key moeten weten van degene naar wie je het stuurt, en hoe kom je daar aan?
Het Cryptocat-protocol wordt hier beschreven. Je werkt met rooms (a la IRC) en verder lijkt het zo op het eerste gezicht redelijk standaard public key crypto.
Ah blijkbaar wordt er voor private chat dus OTR gebruikt wat inhoudt dat je altijd de public key van de andere partij kunt controleren.
Ik vind deze versleutelde diensten geen goede ontwikkeling, deze diensten zijn natuurlijk heel handig voor terroristen en met name criminelen. Daarnaast is het ook nog eens een keer symptoom bestrijding, want geheime diensten hebben goede hackers in dienst die de encryptie wellicht op een gegeven moment omzijlen. De enige oplossing voor het afluisterprobleem is een groot maatschappelijk debat in de verschillende landen, waarbij de mogelijkheden en controle op de geheime diensten in een goed wettelijk kader wordt vastgelegd.
Weet je voor wie deze diensten nog meer handig zijn? Jan en alleman, wiens communicatie niet afgeluisterd dŪent te worden.
deze diensten zijn natuurlijk heel handig voor terroristen
Vergeet de pedofielen niet! :{
De enige oplossing voor het afluisterprobleem is een groot maatschappelijk debat in de verschillende landen, waarbij de mogelijkheden en controle op de geheime diensten in een goed wettelijk kader wordt vastgelegd.
Ach kom nou toch, dat soort diensten (en soms ook de overheden die achter die diensten staan) hebben in de praktijk compleet schijt aan regels. En zelfs als er geen kwade bedoelingen in het spel zijn, regels voorkomen geen fouten.

De enige oplossing voor het afluisterprobleem is de technologie zodanig inrichten dat controle domweg onmogelijk is. Ik vertrouw wat dat betreft alleen oplossingen die niet van vertrouwen afhankelijk zijn. Client side open source encryptie dus.
[conspiracy modus]
Misschien dat ik nou doorsla maar: is de hele soap met Snowden en de NSA niet bedoeld om een nieuwe bedrijfstak in de software industrie een flinke boost te geven? De hele cryptografische softwareindustrie profiteert enorm van dit soort lekken. En wie weet wat voor backdoors er ingebouwd zitten.
iedereen denkt veilig onafgeluisterd te kunnen werken terwijl het hele gevoel van veiligheid nergens op is gebaseerd.
[/conspiracy modus]
er is weinig 'nieuw' aan die bedrijfstak. Hij staat nu alleen veel meer in de schijnwerpers, en lang niet altijd positief. (kijk naar het gedonder om de mogelijke vertrouwensbreuk door RSA labs)
Je vergeet criminelen mee te nemen, zonder hen heb je ook hele bedrijfstakken niet nodig, politie bewaking, beveiligingsapparatuur, opslag, camera`s, sloten en kluizen, etc.
Volgens jouw optiek zouden we dan ook meer criminelen moeten nemen om de economie eens lekker een flinke boost te geven. 8)7
"Voor Cryptocat hoeven gebruikers geen account te hebben."
Hoe weet ik dan dat degene met wie ik denk veilig te communiceren, wel echt diegene is?
Door de public key fingerprint van diegene met wie je chat te controleren via een ander kanaal (bijv. telefoon).
Dat is veilig met de telefoon tabs ;)
Jazeker, daarom gebruik je ook de public key, daar kan je de berichten niet mee decrypten maar het kan wel gebruikt worden als een soort identificatie.
Niemand anders kan met die public key berichten versturen omdat jij de enige bent die de bijbehorende private key hebt.
Zelf wacht ik nog steeds op Hemlis Messenger, lijkt wat meer op Whatsapp. Ik vind contacten in ieder geval een stuk fijner dan een soort chatbox, waarbij de privacy bij Cryptocat natuurlijk wel wat beter zal zijn.

In ieder geval goed dat de beveiliging van Cryptocat stuk verbeterd is, was wel nodig naar aanleiding van die korte duur van ontsleuteling.
Ik zit ook op Hemlis te wachten na mijn bijdrage. Helaas zitten er steeds lange periodes tussen de updates. De laatste update zag er weer veelbelovend uit, maar was in oktober.

En als het uit is moet ik nog maar hopen dat ze mijn telefoon met S40 erop gaan ondersteunen, in eerste instantie richten zij zich ook alleen op Android en iOS maar ik hook dat dat snel veranderd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True