BitTorrent geeft openbare testversie 'veilige chatclient' vrij

BitTorrent heeft openbare alpha-versies van zijn 'veilige chatapp' Bleep vrijgegeven. Een groep testers kreeg echter al een versie voor Windows, maar nu is de app voor iedereen te gebruiken en ook beschikbaar voor Mac OS X en Android-toestellen.

Met de app kunnen gebruikers vertrouwelijk berichten uitwisselen en voip-gesprekken voeren, belooft BitTorrent. Daarbij wordt gebruikgemaakt van end-to-end-encryptie: berichten worden versleuteld op het apparaat van de verzender en pas weer ontsleuteld op het apparaat van de ontvanger. Daarnaast is de dienst decentraal en worden metadata dus niet door een centrale server verwerkt. In plaats daarvan is elke chatclient tevens een server.

Gebruikers kunnen zich aanmelden met hun e-mailadres of telefoonnummer, om zo makkelijk te kunnen worden gevonden door andere gebruikers, maar ze kunnen zich ook anoniem aanmelden. Daarbij moet een unieke sleutel worden gebruikt om een anonieme gebruiker toe te voegen.

De alpha-versies beschikken wel nog over de nodige bugs en tekortkomingen. Zo kunnen berichten alleen worden verzonden naar gebruikers die de app op de achtergrond hebben draaien en verbinding met internet hebben. Daarnaast kunnen gebruikers weliswaar vanaf meerdere apparaten chatten, maar verzonden berichten worden niet gesynchroniseerd. Ook is het wel mogelijk om een profiel dat op een Mac- of Windows-pc is aangemaakt te gebruiken in de Android-app, maar andersom kan dat nog niet.

Ook wijst een test van Tweakers uit dat de voip-functionaliteit niet feilloos werkt: slechts het geluid van één gesprekspartner werd daadwerkelijk doorgegeven. Ook is er op Android een probleem waarbij de app veel van de accu eist en veel data verstookt; de ontwikkelaars raden gebruikers daarom aan om de app voorlopig op wifi-only in te stellen.

Er is overigens geen manier om de claims van BitTorrent over de toegepaste encryptie te verifiëren: de broncode van Bleep is, net als die van BitTorrent Sync, niet open source.

bleep

Door Joost Schellevis

Redacteur

Feedback • 18-09-2014 10:23 62

18-09-2014 • 10:23

62

Lees meer

BitTorrent brengt versleutelde p2p-chatapplicatie Bleep officieel uit
BitTorrent brengt versleutelde p2p-chatapplicatie Bleep officieel uit Nieuws van 13 mei 2015
BitTorrent brengt Sync 2.0 uit met nieuwe features
BitTorrent brengt Sync 2.0 uit met nieuwe features Nieuws van 3 maart 2015
BitTorrent kondigt betaalde versie van Sync-tool aan
BitTorrent kondigt betaalde versie van Sync-tool aan Nieuws van 20 november 2014
BitTorrent verwerpt beschuldigingen dat Sync kwetsbaar is
BitTorrent verwerpt beschuldigingen dat Sync kwetsbaar is Nieuws van 19 november 2014
BitTorrent geeft testversie anonieme chatdienst vrij
BitTorrent geeft testversie anonieme chatdienst vrij Nieuws van 31 juli 2014
Meer producten en artikelen
Websites en community's

Reacties (62)

-Moderatie-faq
62
62
47
5
0
12
Wijzig sortering
kingpol 18 september 2014 10:25
niet opensource = niet gebruiken
Soggney @kingpol18 september 2014 10:27
Mag ik vragen welke open source chatclient u gebruikt?

Niettemin, ondanks de release, zal de alpha versie nog niet veel mensen aantrekken wegens de tekortkomingen

[Reactie gewijzigd door Soggney op 25 juli 2024 03:27]

henk717 @Soggney18 september 2014 10:37
Het opensource project wat ik gebruik als alternatief voor Bittorrent Bleep is Tox. Een p2p chat netwerk in vergelijkbare opzet.
majic @Soggney18 september 2014 10:30
Pidgin is volledig opensource. Ik gebruik hem niet meer omdat ik niet meer chat (op msn of google), maar het is een prima client.

Linphone is een opensource VOIP client waar je ook mee kunt chatten. Volgens mij heeft Pidgin geen voip ingebouwd, of iig, dat had het een jaar of wat geleden niet.
himlims_ @majic18 september 2014 12:37
bekijk eens: https://securityinabox.org/pidgin_main
best veel mogelijk, p2p, secure, encrypted, etc. Pidgin is default niet meest veilige, verre van, maar met nodige addons en plugins is het een van de betere.
zie ook; https://pidgin.im/news/security/

[Reactie gewijzigd door himlims_ op 25 juli 2024 03:27]

BazB @himlims_18 september 2014 17:18
Helaas moet je een security expert zijn om het veilig te maken.
Niet gebruiksvriendelijk, en zeker geen potentie om een "Veilige WhatsApp" te worden.
Stevie-P @Soggney18 september 2014 11:08
Text Secure bijvoorbeeld en hier is de link naar de source code.

Een van de main selling points van deze app is dat de berichten van end-to-end zijn encrypted. Als zo'n app vervolgens closed source is moet je er maar op vertrouwen dat dit op een goede manier gebeurt. Er worden veel fouten gemaakt bij het gebruik van encryptie, door mensen die zelf een implementatie maken, geen goede random keys gebruiken etc.

Als een programma het moet hebben van zijn goede encryptie, laat dan zien hoe het werk, dat geeft vertrouwen.
Hamish @Soggney18 september 2014 11:30
Deze:

https://subrosa.io/
Hun praatje: Subrosa is an encrypted communication platform.
Reclaim your privacy and talk freely.
It's free and open source, with no ads
Webxorcist @Soggney18 september 2014 11:41
Chat secure
roel0 @kingpol18 september 2014 10:32
Je kan altijd de uitgaande berichten controleren met wireshark ;)
Stevie-P @roel018 september 2014 11:15
en dan weet je dat er een vorm van versleuteling toe is gepast. Maar hoe zijn de keys gemaakt? Hoe random zijn deze? Welke versleuteling is precies gebruikt? Wordt een key hergebruikt zoals bij Whatsapp?
robvanwijk @roel019 september 2014 01:28
Voor elk uitgaand pakketje:
  • Pak de SHA-1 (een 20 byte waarde) van de timestamp (die je ergens in een header meestuurt)
  • XOR elk blok van 20 bytes met die hash
Kijken met Wireshark:
Ziet er op het eerste gezicht best prima uit eigenlijk.

Echte cryptografische sterkte:
Zo ongeveer nul. Zelfs een passieve aanval (alleen verkeer afluisteren) breekt er binnen de kortste keren doorheen. Als je zelf ook verkeer kunt genereren (een realistisch scenario bij een openbaar beschikbaar stuk software) is het letterlijk binnen een paar minuten gekraakt.
Verwijderd @kingpol18 september 2014 10:27
Is het ergens niet zo dat het makkelijker te kraken zou zijn als het opensource was? Denk dat het een voordeel en een nadeel heeft, en niet alleen een nadeel.
JAVE @Verwijderd18 september 2014 10:34
Zoek eens naar 'security by obscurity' en hoe goed dat werkt...

Kijk ook eens naar bijvoorbeeld de hoeveelheid exploits voor Windows in vergelijking met de hoeveelheid exploits voor OpenBSD.

Als je veiligheid afhangt van het geheimhouden van je code, dan heb ik liever open source.

Maar goed, er is genoeg goede open source code te vinden, en genoeg slechte.
Dat zelfde geldt voor closed source code.

Oftewel: Het maakt helemaal niet uit welke licentie er aan de code hangt.
vide @JAVE18 september 2014 10:49
Ik denk dat marktaandeel een heel belangrijke rol speelt in hoeveel exploits er de ronde doen voor een OS: als OpenBSD populair zou zijn, zou er ook veel meer moeite gedaan worden om er exploits voor te vinden.
JAVE @vide18 september 2014 10:59
Volgens merryb's redenatie moet het een stuk makkelijker zijn om exploits te vinden voor OpenBSD dan voor Windows.
Het argument dat exploits alleen worden gezocht als iets populair is getuigt niet van begrip van de mindset van een exploit hunter. Het gaat om de exploit vinden, niet om het gebruiken.
vide @JAVE18 september 2014 11:59
Voor de exploit hunters van de Russische mafia zal marktaandeel wel een rol spelen.
kingpol @Verwijderd18 september 2014 10:29
security by obscurity werkt nooit, zie maar de malware op pc
Verwijderd @kingpol18 september 2014 10:31
nooit? Is dat niet een beetje overdreven? Alles wat jij gebruikt is opensource?
JAVE @Verwijderd18 september 2014 10:43
Dat zegt kingpol niet.
Open source is zelf te controleren op grove programmeerfouten. Bij closed source moet je er maar vanuit gaan dat de programmeur het netjes heeft gedaan.

Als de programmeur er een zooitje van heeft gemaakt, maar hoopt dat het niet opvalt omdat niemand zijn/haar code ziet, dan is er sprake van security by obscurity.
Dat werkt nooit.

Als de code goed is geschreven is er geen probleem dat de code beschikbaar is.
Het maakt het programma niet makkelijker te kraken dan wanneer de code niet beschikbaar is
crazylemon @JAVE18 september 2014 11:27
Maar wel makkelijker te "tappen".. dat leek me ook de vraag van Merryb. Ik zit zelf met dezelfde vraagstelling. Als de code bekend is kun je hier toch makkelijker op "in haken".
geishin @crazylemon18 september 2014 14:17
als code onbekend kan men daarentegen weer niet zien of er bepaalde backdoors zijn ingeboud ;). Vandaar dat de meeste mensen dit geen goed idee vinden, je wil juist in dit geval kunnen controleren of de maker van het programma doet wat hij claimt.
David Mulder @kingpol18 september 2014 11:06
Het kan wel degelijk helpen, maar het heeft meer nadelen dan voordelen. Security through obscurity houd bijvoorbeeld bijna alle script kiddies weg, maar de kans dat een doelgerichtte aanvaller het weet te kraken is dan weer relatief groter.
Contrez @Verwijderd18 september 2014 10:33
Klopt, alles heeft zijn voor en nadelen. Dat Bleep niet opensource is vindt ik persoonlijk niet echt een probleem.
YopY @Verwijderd18 september 2014 10:59
Nee, maar iets open source maken is ook geen garantie; zie de Heartbleed bug. Veel mensen vertrouwen (vertrouwden?) op OpenSSL omdat het open source was, maar tegelijkertijd glipte die kritische bug door de tientallen / honderden / ??? mensen die de broncode konden bekijken.
Verwijderd @kingpol18 september 2014 10:46
Ik ben pro-opensource maar opensource kent zeker zijn zwakheden.

Door de source openlijk beschikbaar te maken leg je namelijk wel lekken op straat. Zowel goed - als kwaadwillende kunnen daar mee aan de haal gaan.
Er kunnen ook eenvoudig aanpassingen gemaakt worden en deze versie als officiële versie de wereld in slingeren.

De wereld is niet zo zwart/wit als jij stelt.
YStec @Verwijderd18 september 2014 10:59
Door de source openlijk beschikbaar te maken leg je namelijk wel lekken op straat. Zowel goed - als kwaadwillende kunnen daar mee aan de haal gaan.
Liever dat dan security through obscurity.
Verwijderd @YStec19 september 2014 08:20
Dat is inderdaad een keuze. Ik zeg alleen dat het ook zijn zwakheden heeft. Iets wat moeilijk te ontkennen valt. Ik ben er zelf nog niet uit wat het beste is.
Cilph @Verwijderd18 september 2014 11:09
Er kunnen ook eenvoudig aanpassingen gemaakt worden en deze versie als officiële versie de wereld in slingeren.
Kwestie van hashes controleren voordat je het installeert als je echt zeker wilt zijn.
Door de source openlijk beschikbaar te maken leg je namelijk wel lekken op straat. Zowel goed - als kwaadwillende kunnen daar mee aan de haal gaan.
Meestal is er dan ook een patch uit binnen een dag: er zijn meer whitehatters dan blackhatters in de OSS community.

[Reactie gewijzigd door Cilph op 25 juli 2024 03:27]

Verwijderd @Cilph19 september 2014 08:24
Was het maar zo eenvoudig. Helaas werkt het bij 99% van de mensen niet zo. Het gros installeert gewoon. Vergeet niet dat verreweg de grootste markt en doelgroep, windows gebruikers zijn.
Dorank @Verwijderd18 september 2014 11:10
Maar laat dit ook allemaal mogelijk zijn met closed source.
- er worden lekken gevonden in closed source door zowel goed als kwaadwillenden
- je kan gewoon eenvoudige aanpassingen maken en de wereld inslingeren als officieel (ik paste op de c64 al als grap een fast loader aan zodat deze mijn nick toonde en verspreide die)
Verwijderd @Dorank19 september 2014 08:25
Dat is niet de kern van mijn opmerking. Ik zeg alleen dat Open Source zijn zwakheden kent. Jij geeft als verweer dat de buurman het ook doet.
Akufen @Verwijderd18 september 2014 11:22
Lekken 'op straat leggen' is positief, dat is geen zwakheid van open source, dat is net de kracht. Het is het equivalent van met je wagen naar de garage te gaan waarvan heel de bodem verroest is zonder dat jij het wist. Dat 'lek' bestaat, of je het nu blootstelt of niet. Maar aannemen dat er geen probleem is zolang niemand het merkt en er mee blijven rondrijden is dom en gevaarlijk.

Dat open source makkelijker kan aangepast worden, klopt mijn inziens ook niet. Het is niet omdat een bedrijf closed source uitbrengt dat de coders binnen dat bedrijf op 1 lijn staan en geen nefaste bedoelingen hebben. Als zij dat wel hebben, dan is er bij closed source net méér kans op misbruik omdat er, in tegenstelling tot open source, waarschijnlijk een allow-deny manier denken bestaat, ipv een deny-allow. Iedereen vertrouwt elkaar, terwijl er bij open-source een wantrouwen zou moeten bestaan.

Er zijn natuurlijk uitzonderingen op de regel, maar dat is correcter dan te suggereren dat de problemen inherent zijn aan open source.
Verwijderd @Akufen19 september 2014 08:28
Dat is mooi als ze door goedwillenden ontdekt worden....jij gaat gemakshalve aan het feit voorbij dat er ook kwaadwillende zijn die gericht op zoek zijn naar dit soort lekken.
Vraag me af of je de kern van mijn post wel begrijpt, ik zeg niet dat Open Source verkeerd of slecht is, in tegendeel. Ik zeg alleen dat er potentieel (de verkeerde) mensen aan de haal kunnen met die openheid..
Akufen @Verwijderd19 september 2014 12:38
Kwaadwillende die hiernaar op zoek zijn een gegeven bij open source, in die mate dat het een eigenschap wordt van open source, geen nadeel. Ik begrijp je post, ik was enkel niet akkoord met je label 'zwakheid'.
Verwijderd @Akufen19 september 2014 12:42
dus jij ziet het als een eigenschap dat kwaadwillenden lekken zoeken in de sources maar niet als een zwak punt van opensource?
Ben je helemaal kwijt man :)
Akufen @Verwijderd19 september 2014 13:55
Natuurlijk is het niet leuk dat er een lek gevonden wordt in je software, maar dat is zo, ongeacht het doel van diegene die het lek heeft gevonden en ongeacht de licentie van je software.
QUICKSORT @kingpol18 september 2014 10:37
Dus jij gebruikt enkel en aleen Linux of andere Unix based Operating Systems (buiten OSX dan)?
Jij gebruikt geen enkele applicatie van adobe? (acrobat reader, photoshop, flash, ...)

Jij gebruikt Open source varianten van office, zoals openoffice?
Jij speelt bijna geen enkele spel op uw computer (zeker en vooral geen triple A tietels).

En ik kan zo blijven door gaan.

Wat een interessante advies van u ಠ_ಠ
Dorank @QUICKSORT18 september 2014 11:12
Ga door, tot nu toe zijn de antwoorden: ja.
kritischelezer @Dorank18 september 2014 12:20
Het advies is om inderdaad programmas te gebruiken die te vertrouwen zijn in een kritieke omgeving. Spellen en browser flash zaken moeten op een andere computer worden gedraaid.

Wat ik doe op mijn werk pc is alleen een paar programma´s draaien (en toevallig is dat linux met openoffice etc). Browsen doe ik via TORbrowser (geen flash of java). Wil ik wel die opties hebben, dan gebruik ik een virtuele desktop op een andere computer welk flash en java ondersteunt. Zo kan dit nooit mijn eigen PC besmetten. De virtuele desktop is alleen het scherm laten zien van de andere computer. Daar kan ik dus gerust sites bezoeken die alleen met flash of java te benaderen zijn.

Ik ben voorstander van betaalsystemen los te koppelen van onze gewone devices, dit is in mijn optiek de enige manier om er veiliger mee te kunnen omgaan. Waarom moet alles aan elkaar? De keten is zo sterk als de zwakste schakel :z
elleP @QUICKSORT18 september 2014 10:41
Ik weet niet wat kingpol doet, maar in mijn geval:

Ja, Ja, Ja en Ja.
hotfrost @kingpol18 september 2014 10:26
Waarom? Dan kan je heel veel programma's niet gebruiken
Fermion @hotfrost18 september 2014 10:48
Hij doelt erop, omdat ze namelijk veilig communiceren beloven, dat het software eigenlijk dan ook opensource zou moeten zijn. Daarom zijn korte maar krachtige redenering, niet gebruiken. Maar zelf is het open source, geeft je dit geen 100% garantie, kijk maar naar True Crypt. Wel heel jammer dit allemaal.


edit: jammer in de context dat de overheid werkelijk overval zicht aan schuurt.

[Reactie gewijzigd door Fermion op 25 juli 2024 03:27]

Safaci @hotfrost18 september 2014 12:05
Hij doelt op: Security by obscurity.
En dat is meestal geen goede zaak.

[Reactie gewijzigd door Safaci op 25 juli 2024 03:27]

Kain_niaK @hotfrost18 september 2014 22:02
Programma's die zich profileren als cryptografisch beveiligd en niet opensource zijn doen iets verkeerd. Het is uiterst belangrijk dat alles wat met encryptie voor het publiek te maken heeft opensource is. Anders kun je roepen wat je wilt en iedereen moet het maar geloven, terwijl als het open source is kunnen vele mensen je claims onderzoeken.
sentiao @kingpol18 september 2014 11:55
niet opensource = niet gebruiken
Deze website is niet opensource, toch log je erop in, plaats je berichten, en ontvang je reclame van andere partijen.
Ryangr0 @sentiao18 september 2014 13:49
Er zit wel een redelijk groot verschil tussen een prive IM dienst en een nieuwssite.
Sand0rf @kingpol18 september 2014 10:33
Verklaar u nader? Ik heb in deze applicaties meer vertrouwen dan bijvoorbeeld de 'prive'-app van Facebook die we een paar dagen geleden zagen
fantafriday @kingpol18 september 2014 10:46
Opensource houdt niet in dat iets "veilig" of "betrouwbaar" etc is. Die garantie kan geen enkel bedrijf bieden op dit moment.
M.l. @kingpol18 september 2014 11:06
Dat is wel heel erg kort door de bocht, maar ik snap wat je bedoelt. Dit soort apps zullen er ookw el voor zorgen dat er opensource-alternatieven komen, dus uiteindelijk is het toch een vooruitgang.
ignitem @kingpol18 september 2014 11:11
Niet gebruiken is wellicht iets te kort door de bocht. Het lijkt erop dat het programma vele malen veiliger is dan bijvoorbeeld een Whatsapp.

Echter zijn de claims ten aanzien van end-to-end encryptie niet te verifiëren, noch is te controleren of de code correct is geschreven of backdoors bevat.

Mijn voorkeur zou ook uitgaan naar een Open Source variant. Enige suggesties?
Thystan @ignitem18 september 2014 16:44
SecureChat icm GnuProject & Orbot
En Ostel.co als je ook wilt bellen
Terminus 18 september 2014 10:51
Heel erg leuk en aardig maar ik zie niemand dit gebruiken. Leuk voor mensen die bang zijn voor de NSA of echt dingen te verbergen hebben, maar voor gewoon dagelijks gebruik om te chatten met vrienden etc gaat dit echt geen hype worden.
ThinkPad @Terminus18 september 2014 11:03
Dat merk je met Telegram ook al. Maar weinig van m'n vrienden gebruiken het. Op WhatsApp heb ik 41 contacten, op Telegram zijn het er 22, maar de meesten zijn sinds februari al niet meer online geweest. Die hebben Telegram alleen even geïnstalleerd om te proberen denk ik.

Maar een beetje concurrentie is nooit verkeerd. Vanuit het privacy oogpunt zeker niet, maar ook omdat WhatsApp geen desktopversie aanbied.

[Reactie gewijzigd door ThinkPad op 25 juli 2024 03:27]

Verwijderd @Terminus18 september 2014 11:12
Iedereen heeft wel wat te verbergen, daar hoef je echt geen boef of terrorist voor te zijn.

Om maar wat voorbeelden te geven.
Als je bezig bent met het kopen van een huis, vind je het dan leuk dat potentiele verkopers weten tot hoever de bank wil gaan met het verstreken van een hypotheek?
Als je bezig bent in een sollicitatieprocedure, vind je het dan leuk als de personeelschef op de hoogte is van wat vage gezondheidsklachten?
Als je bij de mediamarkt komt kijken naar een nieuwe tablet, vind je het dan nodig dat de verkoper weet dat je vlak daarvoor bij de bcc bent geweest voor hetzelfde?
Allemaal zaken die niet wereldschokkend zijn, maar die je toch liever voor je houdt.

De essentie is dat de automatische verwerking van gegevens zich zo snel ontwikkeld, dat de voorbeelden die ik noem nu nog slechts denkbeeldig zijn, maar als we er voor kiezen om standaard geen encryptie te gebruiken in onze communicatie dan komt vroeger of later de dag dat we daarvoor de prijs zullen betalen: privacy bestaat dan niet meer.
Wereldreiziger 18 september 2014 10:35
Als dit uiteindelijk net zo simpel en snel werkt als Whatsapp, zie ik geen reden om het niet te gaan gebruiken.

Ik bedoel, ik heb niets te verbergen ofzo, maar vind ook weer niet erg fijn dat jan en alleman meekijkt of mee kan kijken.
Verwijderd 18 september 2014 10:40
Tja leuke ontwikelling want meer mensen zitten te wachten op encryptie. Alleen een no go als het niet een industrie standaard wordt en de closed source enkel bij bittorent blijft. Destijds al overstap naar qbittorent gemaakt en erg tevreden over de overstap. Neemt niet weg dat ik de innovaties van Bittorent op prijs stel. Ze zijn wat dat betreft goed bezig.
GeoBeo 18 september 2014 10:47
Ook is er op Android een probleem waarbij de app veel van de accu eist en veel data verstookt;
Doet niet onder voor het populaire Skype dus. Die heeft daar ook al jaren last van.
crackletinned 18 september 2014 11:03
Tja als je absolute veiligheid wilt zul je toch wat features moeten missen. Zaken als offline berichten en syncronisatie van berichten gaan moeilijk worden zonder centrale server.

Vind het ook jammer dat het niet open source is. Dit lijkt me nou echt iets waar de open source community veel aan kan bijdragen.

@Terminus Niemand denkt dat dit een hype gaat worden.
jimmy_dg 18 september 2014 11:20
Link naar Google Play: https://play.google.com/s...ls?id=com.bittorrent.chat
Thystan 18 september 2014 16:42
SecureChat maakt ook al gebruik van GnuPG (The Guardian Project) bijvoorbeeld, en ik zie dat er een mobiele versie van TAILS op komst is. Jammer dat het Dark Mail project van Lavabit+SilentCircle zo lang op zich laat wachten (de donaties ervoor zijn al gehaald).

Overigens vind ik dit geen oplossing tegen de NSA, dat heeft Lavabit wel bewezen.
Verwijderd 18 september 2014 18:43
pEp ziet er anders ook veelbelovend uit!
https://www.indiegogo.com...ty-easy-privacy/x/1175174

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq