Mega, het bedrijf van MegaUpload-oprichter Kim Dotcom, werkt eveneens aan een end-to-end-messagingdienst. Dat zegt de Nederlandse ontwikkelaar Bram van der Kolk, de hoofdontwikkelaar bij Mega. "In april komt een browserversie. Mobiele apps voor Android en iOS volgen later. Ik wil niet te optimistisch zijn, maar ik gok wel ergens in augustus of september", aldus de Nederlander, die net als Dotcom verdachte is in de MegaUpload-zaak maar het proces in relatieve vrijheid mag afwachten.
De applicatie is volgens Van der Kolk het beste te vergelijken met een hybride vorm van WhatsApp en Skype: het is zowel mogelijk om te chatten, als te bellen, waarbij ook ondersteuning voor versleutelde videochats is. "Daarbij is alles echt end to end encrypted. Ook passen we off the record toe", zegt Van der Kolk. Daarbij wordt per chatsessie een nieuwe cryptografische sleutel aangemaakt. "Op het moment dat je stopt met chatten, zijn daardoor alle sleutels weg." Dat heeft als nadeel dat er geen gespreksgeschiedenis kan worden opgeslagen. "We zitten er aan te denken om gebruikers dat optioneel in te laten schakelen. Dan is de gespreksgeschiedenis alleen lokaal toegankelijk", aldus Van der Kolk.
De chatdienst van Mega moet het mogelijk maken om vanaf meerdere apparaten te kunnen chatten. Multi-party off the record is volgens Van der Kolk lastig te implementeren. "Je wil zeker weten dat alle apparaten die zijn ingelogd, van dezelfde gebruiker zijn", aldus de ontwikkelaar. "Een chatdienst maken is niet zo moeilijk; de cryptografie in orde krijgen is het ingewikkeldst."
Ook een van de oprichters van The Pirate Bay, Peter Sunde, werkt aan een veilige berichtendienst. Heml.is gaat gebruikmaken van xmpp en pgp, beproefde technologieën om veilig te communiceren. Wanneer de dienst komt, is echter nog onduidelijk. Een andere chatdienst die off the record-messaging aanbiedt is Cryptocat. Voor elke chat worden nieuwe cryptografische sleutels gegenereerd. Overigens kampte Cryptocat wel met een bug, waardoor gedurende een halfjaar groepsgesprekken konden worden ontsleuteld.
Silent Circle
Onlangs bleek dat KPN de software van het Amerikaanse bedrijf Silent Circle gaat aanbieden. Dat bedrijf biedt ook versleutelde chat-apps, tegen betaling. "Wij willen zo weinig mogelijk van onze klanten weten en slaan dus zo weinig mogelijk op", zei directeur Mike Janke van Silent Circle afgelopen week op de RSA Conference in San Francisco. "Wij willen een systeem opzetten dat niet draait om het te gelde maken van data van klanten."
Volgens Janke moeten internetters meer controle krijgen over hun privégegevens: "Op internet ruil je je privacy in voor gratis diensten. Maar ik heb niet het gevoel dat ik Google ooit toestemming heb gegeven om een heel dossier samen te stellen over mijn leven." Dat terwijl er een minicomputer in iedereens zak zit die precies datgene doet, tekent de Silent Circle-ceo aan.
Silent Circle werkt bovendien aan een telefoon waarbij privacy centraal staat, de Blackphone. Die telefoon draait op een aangepaste Android-versie en bevat tweaks voor de privacy. Zo wordt wifi uitgeschakeld als een gebruiker niet in de buurt van een bekend wifi-netwerk is, waarmee wifi-tracking moet worden tegengegaan. Daarnaast zijn de Silent Circle-apps standaard geïnstalleerd en krijgt een koper vier jaarabonnementen op de diensten van het bedrijf: een voor hemzelf, en drie voor de mensen met wie hij communiceert.
Laagdrempelig
Een voordeel van chatdiensten die de versleuteling voor de gebruiker regelen, is de laagdrempeligheid. Via pgp/gpg en off the record-messaging in xmpp is het al veel langer mogelijk om versleuteld te communiceren, maar dat is vooralsnog niet weggelegd voor de massa. "Pgp is zó ingewikkeld in gebruik, zelfs voor beveiligingsexperts", zegt Irippuge Milinda Perera tegen Tweakers. Hij doet aan de universiteit van New York onderzoek naar cryptografie en sprak afgelopen week op de RSA Conference. "Er zijn zoveel dingen waar je op moet letten."
Mega-ontwikkelaar Van der Kolk is het daarmee eens. "Wij willen onze applicatie zo laagdrempelig mogelijk maken. Een gebruiker moet van de encryptie eigenlijk niets merken: het moet aanvoelen als een normale dienst", zegt hij.
De Nederlander Arne Renkema-Padmos, die onderzoek doet aan een Duitse universiteit in Darmstadt, doet sinds zes maanden onderzoek naar het eenvoudiger maken van e-mailcryptografie. "De gemiddelde burger is nu niet geïnteresseerd in cryptografie. Veel mensen hebben bovendien geen idee hoe internet en e-mail in elkaar zitten", aldus Renkema-Padmos. "Dat verbaast me wel."
Uit onderzoek blijkt daarnaast dat mensen het principe van pgp, dat leunt op asymmetrische encryptie, niet begrepen. "In één onderzoek begonnen mensen elkaar hun privésleutels te sturen", zegt Renkema-Padmos. Dat terwijl ze juist hun publieke sleutel moeten sturen: de privésleutel is enkel bedoeld voor de ontvanger, om mail die met de publieke sleutel is versleuteld te ontsleutelen.
/i/1393553647.png?f=imagenormal)
Concrete voorstellen over hoe e-mailcryptografie eenvoudiger kan worden gemaakt, heeft Renkema-Padmos nog niet. "Maar ik heb wel wat ideeën. Ik zou me bijvoorbeeld een polsband kunnen voorstellen die automatisch publieke sleutels uitwisselt. Als je dan iemand ontmoet en je schudt zijn hand, zou je automatisch zijn publieke pgp-sleutel hebben", aldus Renkema-Padmos.
Bits of Freedom vindt het een goed idee als pgp makkelijker te gebruiken zou zijn. "Als pgp niet meer een interface en de gebruikersvriendelijkheid uit de jaren tachtig zou hebben, zou een grote hindernis om jezelf te beschermen worden weggenomen", zegt woordvoerder Siedsma.
Een opensource-webmailclient die probeert om cryptografie toegankelijker te maken, is Mailpile. Die software heeft ondersteuning voor pgp ingebouwd, waar dat bij andere mailclients moet gebeuren via een plug-in. "E-mail zal nog lange tijd bij ons blijven", zei ontwikkelaar van de client Bjarni Rúnar Einarsson afgelopen zomer tegen Wired. "We moeten doen wat we kunnen om het veilig te maken."
Xmpp en een single point of failure
Wat ook veel wordt gebruikt om vertrouwelijk te communiceren, onder meer door hackers en journalisten, is het opensource-chatprotocol xmpp in combinatie met een off the record-plugin. Onderzoeker Soghoian: "Een probleem daarbij is dat heel veel mensen de server van de CCC gebruiken." Die Duitse hackersclub heeft een openbare XMPP-server. "Begrijp me niet verkeerd: ik hou van de CCC en wat ze doen. Maar die xmpp-server is een single point of failure."
Volgens Soghoian is het veilig om aan te nemen dat elke inlichtingendienst heeft geprobeerd om in te breken op de chatserver. "Dus dan kun je ook aannemen dat het in ieder geval een paar inlichtingendiensten is gelukt. Ik denk dus niet dat het een goed idee is om één computer al die communicatie toe te vertrouwen."
/i/2001386269.png?f=fpa)
/i/2000777301.png?f=fpa)
:strip_exif()/i/1219071389.gif?f=fpa)
/i/1392970851.png?f=fpa)
:strip_exif()/i/1263478208.gif?f=fpa)
:strip_exif()/i/1302263769.gif?f=fpa)