Door Joost Schellevis

Redacteur

Feedback • 01-03-2014 12:00 261

Écht veilig communiceren

Zijn diensten als Telegram de oplossing?

01-03-2014 • 12:00

261

Singlepage-opmaak

Do it yourself

Een manier om zeker te weten dat de opslagdienst je data niet kan ontsleutelen, is door de encryptie zelf op je te nemen. Een veelgebruikte cryptografietool is het opensource-programma Truecrypt, waarmee beveiligde 'containers' kunnen worden gemaakt. Alle bestanden die in die container worden geplaatst, worden versleuteld.

Op het eerste gezicht is Truecrypt daarmee goed geschikt voor encryptie in cloudopslagdiensten, maar er is één belangrijk nadeel. Dropbox en andere opslagdiensten werken vrij efficiënt: als je in een bestand tien bytes wijzigt, worden enkel die tien bytes gesynchroniseerd, en de rest van het bestand niet. Maar als in een Truecrypt-container één bestand wordt gewijzigd, verandert de samenstelling van de gehele container. Daardoor moet het hele bestand opnieuw worden gesynchroniseerd. Bij grotere containers is dat niet efficiënt.

Een Duits bedrijf heeft daarom software ontwikkeld die wel geschikt is voor het versleutelen van bestanden in clouddiensten. Boxcryptor, dat voor alle grote opslagdiensten beschikbaar is, versleutelt alle bestanden los, en creëert dus geen container. De software is er zowel in gratis als betaalde varianten. Onder meer voor het versleutelen van bestandsnamen is de betaalde versie nodig, die voor particulieren 36 euro per jaar kost.

Voor Linux-gebruikers is Boxcryptor niet eens vereist: het bestandssysteem EncFS, dat inmiddels standaard onderdeel uitmaakt van de Linux-kernel, biedt dezelfde functionaliteit.

Achilleshiel

Uiteindelijk vormen ook bij zero knowledge-diensten en end-to-end-encryption de gebruikte software en diensten de achilleshiel. Voor normale gebruikers is niet te ontdekken of er daadwerkelijk end-to-end-encryptie wordt toegepast en er geen backdoor in de software zit, zeker als de software closed-source is.

Uiteindelijk is het een kwestie van vertrouwen, zegt beveiligingsgoeroe Bruce Schneier tegen Tweakers. "We vertrouwen er ook op dat dit gebouw nu niet instort. Jij drinkt nu een Dr. Pepper, je gaat er ook van uit dat die niet vergiftigd is. Ik vertrouw mijn iPhone, en ik vertrouw mijn Windows-computer. Uiteindelijk moet je iemand vertrouwen."

Bovendien is de mate van beveiliging uiteindelijk altijd beperkt: als inlichtingendiensten bijvoorbeeld écht bij je data willen komen, kunnen ze dat alsnog, bijvoorbeeld via een kwetsbaarheid in je hardware. "Cryptografie maakt het leven van de NSA moeilijker", zegt Schneier. "Maar we weten ook dat de NSA geavanceerde tools tot z'n beschikking heeft. Als ze écht achter je aan willen komen, dan lukt ze dat. Maar als mensen cryptografie gebruiken, kan dat niet meer op massale schaal."

Singlepage-opmaak

Lees meer

Firmware-update maakt 'onofficiële' Blackphones onbruikbaar
Firmware-update maakt 'onofficiële' Blackphones onbruikbaar Nieuws van 28 januari 2017
Belgische hoofdontwikkelaar Signal voor iOS gaat voor Apple werken
Belgische hoofdontwikkelaar Signal voor iOS gaat voor Apple werken Nieuws van 25 februari 2016
Crypto-chat-app Signal vervangt TextSecure en RedPhone op Android
Crypto-chat-app Signal vervangt TextSecure en RedPhone op Android Nieuws van 3 november 2015
Telegram vervangt 'broadcast'-functie door 'channels'
Telegram vervangt 'broadcast'-functie door 'channels' Nieuws van 23 september 2015
Britse premier wil communicatiediensten met end-to-endencryptie verbieden
Britse premier wil communicatiediensten met end-to-endencryptie verbieden Nieuws van 12 januari 2015
'Dropbox misleidde gebruikers met claims over veiligheid'
'Dropbox misleidde gebruikers met claims over veiligheid' Nieuws van 16 mei 2011
Netwerk en systeembeheer

Reacties (261)

-Moderatie-faq
261
246
162
43
6
63
Wijzig sortering
Mickey77 1 maart 2014 12:52
Ik vind de titel een beetje vreemd. Wat is "Echt veilig communiceren"? Wordt de wereld een betere veiligere planeet als we met zijn allen alles dat we communiceren gaan encrypten? Lijkt mij niet.

Ik ben ook geen aanhanger van het credo 'You have nothing to fear if you have nothing to hide'. Wie dat zegt, moet dit artikel lezen: https://decorrespondent.n...rgen/11327750049-6c3fe4e1 (link van iemand anders hier op Tweakers)

De goeroe in de conclusie praat over grote bedrijven en zegt: "Uiteindelijk moet je iemand vertrouwen." Ik vind dat we dat om moeten draaien, we moeten EISEN dat de overheid ons vertrouwt. De overheid is nu eigenlijk aan het vissen met een drijfnet (http://nl.wikipedia.org/wiki/Drijfnet_(vistechniek) maar dat vond de burger massaal verkeerd en dat is nu verboden.

Ik (als naieve IT-er) wens een maatschappij waarin juist weinig encryptie wordt gebruikt (voor 'normale' communicatie), waarin de overheid meer regels krijgt opgelegd (of de huidige regels beter volgt).
Anoniem: 445817 @Mickey771 maart 2014 13:44
Ik snap je gedachtegang maar ben bang dat dat niet realistisch is. Het liefst zou ik ook gewoon de voordeur open laten voor vertrouwde bezoekers. Of mijn fiets zonder slot in de voortuin laten staan als ik hem over een uurtje toch weer nodig heb. Tenzij je in een kleiner dorp of gesloten gemeenschap leeft zijn dat echter geen verstandige keuzes.

Je hebt vast wel eens een verborgen camera programma gezien waarbij geld, een portomonnee of iets anders waardevols wordt achtergelaten om te zien hoe mensen daarop reageren. Helaas kiest een vrij groot aantal mensen ervoor om misbruik te maken van de situatie. Dat zal ook zo zijn wanneer het op persoonlijke informatie aankomt, deze wordt immers steeds waardevoller.

De Nederlandse overheid vragen onze privacy te respecteren is prima, maar daarmee zijn we nog niet beschermd tegen buitenlandse mogendheden en andere kwaadwillenden. Tenzij je het Nederlandse internet achter een grote firewall wilt zetten is het gewoon belangrijk je eigen gegevens te beschermen.
3x3 @Mickey772 maart 2014 01:09
Wordt de wereld een betere veiligere planeet als we met zijn allen alles dat we communiceren gaan encrypten?
Privacy is veiligheid,
Alleen al doordat het je beschermt tegen willekeur of machtsmisbruik van overheden en bedrijven.
Ook beschermt het je tegen die jeugdzonde die je je voor de rest van je leven kan achtervolgen.

Daarnaast brengt privacy ook economische veiligheid. Als een economisch concurrent namelijk in jouw besluitvorming kan kijken, jouw volgende stap altijd weet, zul je het afleggen tegen die concurrent.

Ik ben het eens met je betoog, dat het handelen van overheden beperkt moet worden tot buiten de voordeur.
Maar het grootste probleem, is dat mensen zelf ermee instemmen om te veel van hun data te lenen voor analyses van grote bedrijven. Onze overheid zal ons ook daartegen moeten beschermen. En ook Europees kritisch moeten kijken naar bepaalde totalitaire manieren van het afdwingen van totale data verzamelingen van enkele oligopolisten.

[Reactie gewijzigd door 3x3 op 22 juli 2024 18:25]

FreshMaker @Mickey771 maart 2014 14:34
Ik ben ook geen aanhanger van het credo 'You have nothing to fear if you have nothing to hide'. Wie dat zegt, moet dit artikel lezen: https://decorrespondent.n...rgen/11327750049-6c3fe4e1 (link van iemand anders hier op Tweakers)
De Correspondent is een lichtelijk opruiende en overdreven onderzoekssite, welke graag in hun hoekje schrijft ( bevestigende teksten dat iedereen slecht is )

Ik ben eerder van mening dat hoe meer er verborgen wordt, hoe dieper er gegraven wordt.
Ik verberg weinig, en wat ik niet wil delen deel ik niet.
Net als in mijn privésituatie vs werkomgeving, ik vertel best dat mijn vrouw hoofdpijn heeft gehad, tegen de collega's maar of het dan ook de volledige waarheid is, dat is in het midden.
GekkePrutser 1 maart 2014 15:02
Uiteindelijk is het een kwestie van vertrouwen, zegt beveiligingsgoeroe Bruce Schneier tegen Tweakers. "We vertrouwen er ook op dat dit gebouw nu niet instort. Jij drinkt nu een Dr. Pepper, je gaat er ook van uit dat die niet vergiftigd is. Ik vertrouw mijn iPhone, en ik vertrouw mijn Windows-computer. Uiteindelijk moet je iemand vertrouwen."
Wat een ontzettend slappe uitspraak van Bruce Schneier.

Dit is de man die zelf 3 boeken heeft geschreven over hoe encryptie juist te implementeren is (waarin hij aangeeft dat het correct implementeren ontzettend moeilijk is, zonder gaten te introduceren). De man die blowfish heeft bedacht. En die vele 'veilige' encryptie pakketten ontmaskerd heeft omdat ze fouten hadden in de implementatie (in zijn mailing list 'Cryptogram' destijds onder het kopje 'Snake Oil'). Die er altijd op hamerde dat je niet moest vertrouwen in de veiligheid alleen maar omdat het 'AES-256' had, maar dat het ging om de hele keten van begin tot eind.

En diezelfde man zegt nu dat we de producenten van encryptiesoftware blind moeten vertrouwen :X Terwijl al is aangetoond dat Apple iCloud bijvoorbeeld niet eens de mud puddle test doorstaat, dus van een end-to-end encryptie waarbij Apple niet kan meelezen is duidelijk geen sprake.

Iets zegt me dat hij nu een iets ander belang heeft, vroeger was hij CEO van zijn eigen onafhankelijk beveiligingsbedrijf, Counterpane. Maar sindsdien heeft hij voor BT gewerkt en in allerlei overheids comités plaats genomen. Ik vermoed dat er nu veel meer zakelijke belangen aan hem trekken dan alleen maar de deugdelijkheid van de gebruikte techniek. Want een uitspraak in de trant van 'Joh, Apple en Microsoft hebben het beste met je voor, daar hoef je je geen zorgen over te maken' vind ik niet passen bij hem.
Jorgen @GekkePrutser2 maart 2014 14:03
Deels waar, deels niet waar wat je hier zegt. Natuurlijk moet je een fatsoenlijke dienst uitkiezen, maar niets werkt als er niet aan de andere basisvoorwaarden voldaan wordt:

* vertrouwen in de dienst en
* zorgvuldig gebruik door jezelf
Anoniem: 156329 1 maart 2014 12:21
Ik zie bij veel nieuwsberichten mensen negatief op Telegram reageren, maar ik denk dat het gedeeltelijk onterecht is.
Ongeacht of je data nu via een centrale server gaat in Amerika of in Rusland, het is lastig om een goed veilig alternatief te vinden die ook het gebruiksgemak bied om veel mensen over te laten stappen.

Waar Telegram erg sterk in is, is dat het opensource is en dat het voor het eerst de mogelijkheid bied om makkelijker over te stappen.
En dat het ons programmeurs nu de mogelijkheid geeft om de Telegram api zo aan te passen dat het wel een goed veilig alternatief kan zijn.
Momenteel moet je erg veel moeite doen al wil je je vrienden over laten stappen naar een andere messaging dienst, maar als er veel mensen op Telegram zitten dan hoeft dat niet meer, omdat de api van Telegram heel eenvoudig uit te breiden is.

[Reactie gewijzigd door Anoniem: 156329 op 22 juli 2024 18:25]

Rawit @Anoniem: 1563291 maart 2014 17:12
Er is inderdaad veel negatief nieuws over Telegram, maar tot nu toe is er maar 1 hack geweest, namelijk het achterhalen van geo locaties. Telegram is een van de weinige die mensen motiveert om de boel te hacken, om zo de dienst te verbeteren.
Al die artikelen die closed source messaging software aanbevelen kan ik niet meer serieus nemen, het lijkt allemaal verkapte reclame. Op dit moment zijn het denk ik Telegram en Surespot die de open source route nemen en beschikbaar zijn voor meerdere platformen, waarbij Telegram verreweg de meeste gebruikers heeft.
RwinG @WhatsappHack1 maart 2014 19:42
Bedoel je dat Telegram in gewone chat mode (dus niet secret chat) de berichten op de server opslaat? Dat klopt, want daarmee kunnen wij gebruikers op al onze devices (telefoon, pc, tablet) de chats synchroniseren en terugzien. Dat is enorm handig. Wil je echt veilig dan neem je een secret chat, die is end-to-end geencrypt. Maar dan is er geen opslag van berichten en geen synchronisatie mogelijk.
WhatsappHack
@RwinG2 maart 2014 01:43
Precies. En ze kunnen dus doen met die data wat ze willen.
En dan klaagt men over WhatsApp en privacy; en Google en privacy bijvoorbeeld.
Want... Wat is nu precies het verschil tussen Hangouts (Die ook alles opslaat) en Telegram? Behalve dat bij de een Google erachter zit? Google laat tenminste nog zien wat ze met de data doen, Telegram is hier *bijzonder* vaag over en is tevens niet onderheven aan normale wetgevingen...
RwinG @WhatsappHack2 maart 2014 16:07
Precies.
Nee, niet precies. Lees nou eens goed voordat post.
https://telegram.org/privacy
Je hebt een keuze, of berichten encrypted op de servers opslaan zolang nodig voor sync, of end-to-end encryptie waarbij er niks op de server staat. Telegram is juist bezonder duidelijk in wat ze met de gegevens doen.
Telegram zit in Duitsland en heeft zich dus te houden aan de Duitse wet. Als jij lever een US bedrijf hebt (google, facebook..) ga je gang. Maar verkondig geen onzin.
Anoniem: 66431 @RwinG3 maart 2014 05:05
Wat whatsappwhatthehack zegt is volgens mij geen onzin hoor! Erg flauw dat iemand hem systematisch aan het dood voten is!
RwinG @Anoniem: 664313 maart 2014 23:35
Voorbeeld: whatsapphack zegt dat telegram alles opslaat dat blijft hij herhalen. Hij verwijst dan naar de privacy policy. Wat staat daar: "We do not store your secret chats on our servers" en zo zijn er wel meer beweringen. Een discussie is prima maar dan moet je wel serieus ingaan op de inhoud van wat de ander zegt. Dat doet hij niet.

Het is ook de manier waarop hij schrijft. "Nee dank u, dat hele Telegram is een pot nat". Waarom dat dan is wordt niet duidelijk hij klinkt heel boos en geeft een mening zonder feitelijke onderbouwing. Tsja dan vraag je om .... Hopelijk begrijp je wat ik bedoel.
Rawit @WhatsappHack3 maart 2014 10:31
Je oppert BBM als alternatief, maar die gebruiken ook servers om je chats te relayen. Ze doen precies hetzelfde, behalve dat er over de RIM infrastructuur een stuk minder bekend is dan van de concurrentie. Ze maken ook gebruik van hun eigen push code ipv. van de API van Android of iPhone te gebruiken. Dit kan natuurlijk zowel als een voordeel en als een nadeel worden uitgelegd.
Berichten die nog niet aangekomen zijn blijven een week staan op de server blijkt uit de ervaring van gebruikers, maar wat er daarna gebeurt? Uit de privacy policy waar naar gelinkt wordt via de Play Store wordt ik ook niet heel veel wijzer, al staan er wel leuke dingen in als:

"Geaggregeerde of anonieme informatie
RIM behoudt zich het recht voor om geaggregeerde of anonieme informatie die niet met een identificeerbaar
persoon geassocieerde om verbonden informatie te verwerken, verkopen, verhandelen, of te verhuren."

Wat als anoniem wordt beschouwd kan ik niet zo snel terug vinden. Telegram is zeker niet ideaal, maar hun belofte om het server gedeelte open source te maken, Duitse servers en de hoeveelheid gebruikers maakt het een van de betere alternatieven. En door kritische mensen zoals jij aan Telegram de taak om zich te bewijzen.
TDeK @WhatsappHack1 maart 2014 18:29
Kun je quoten waar je dat ziet staan? Ik zie jouw stelling namelijk niet terug in hun Privacy Policy.
Anoniem: 441648 @WhatsappHack2 maart 2014 02:30
2. Storing data

Telegram only stores the data it needs to function properly — for as long as you want Telegram to function.
Ordinary Messages

Telegram is a cloud service. We store messages, photos, videos and documents from your ordinary chats on our servers, so that you can access your data from any of your devices anytime. All data is stored heavily encrypted and the encryption keys in each case are stored in several other DCs in different jurisdictions. This way local engineers or physical intruders cannot get access to user data.
Secret Chats

Secret chats use end-to-end encryption. We do not store your secret chats on our servers. We also do not keep any logs for messages in secret chats. What this all means, is that there is no way for us to know who or when you message via secret chats — as soon as the messages are delivered, they're gone. And there is no way for anybody, including us, to learn what was in those messages, photos or videos. For the same reasons secret chats are not available in the cloud — you can only access those messages from the device they were sent to or from.
Contacts

Telegram uses phone numbers as unique identifiers, so that it is easy for you to switch from other messaging apps (SMS, WhatsApp, etc.) and retain your social graph. We always ask your permission before syncing your contacts.

We store your contacts in order to notify you as soon as one of your contacts signs up for Telegram and to properly display names in notifications.
TheVivaldi @Rawit2 maart 2014 13:22
Facebook moedigt dat ook aan en heeft zelfs onlangs iemand die een security hole vond beloond met een leuk bedrag.
Anoniem: 415735 @Anoniem: 1563291 maart 2014 13:31
Dat men negatief (of beter gezegd afwachtend) reageert op Telegram heeft hoofdzakelijk te maken met dat juist de informatie ontbreekt die nodig is om te kunnen oordelen of een dienst veilig is. Dat komt in dit artikel van Joost Schellevis ook duidelijk naar voren. Daarnaast zie de reactie van Omegium,@tweakers, dd 1-3-2014 13:11.

Tenslotte is Telegram niet open source; het bedrijf heeft wel de intentie uitgesproken om het open source te maken. Afwachten dan maar?

[Reactie gewijzigd door Anoniem: 415735 op 22 juli 2024 18:25]

Anoniem: 445817 @Anoniem: 4157351 maart 2014 14:47
De Telegram client is gewoon Open Source. Zowel de Android als de iOS versie. De Telegram server is dat (nog) niet, maar aan de sources van clients heb je voldoende om de end-to-end encryptie mechanismen te bestuderen en te beoordelen. Dat is juist het hele idee van end-to-end encryptie: de server speelt geen rol van betekenis.
Anoniem: 415735 @Anoniem: 4458171 maart 2014 17:50
Desalniettemin is het oordeel over de open source client onderhevig aan het oordeel van de server. Immers, de server is nodig nodig om de contacten te identificeren, toch?

[Reactie gewijzigd door Anoniem: 415735 op 22 juli 2024 18:25]

RwinG @Anoniem: 4157351 maart 2014 19:38
Ja je 06 nummer is je login dus die moet bij de server bekend zijn anders kun je elkaar niet vinden. Maar daarna zetten de clients tussen elkaar een encrypted verbinding op. De server speelt daar nauwelijks een rol in. Encrypted berichten in een secret chat worden niet opgeslagen op de server en die kun je op een ander device dus ook niet meer terugzien. In een gewone chat zit de server er wel tussen, dan verschijnen je berichten op alle devices die je aangemeldt hebt. Die encryptie heeft dus minder vertrouwen dan de end-to-end encryptie. Maar het is dan wel weer erg handig om op je tablet, pc en telefoon alle berichten te hebben. Je hebt in ieder geval een keuze.
Anoniem: 415735 @RwinG2 maart 2014 19:04
En (omwille van de functionaliteit die je aangeeft) zal op termijn dus >99% (gok ik) van al het Telegram-verkeer via de server lopen.

In dat geval is de end-to-end functionaliteit meer een gimmick, niet?

[Reactie gewijzigd door Anoniem: 415735 op 22 juli 2024 18:25]

RwinG @Anoniem: 4157352 maart 2014 19:28
En (omwille van de functionaliteit die je aangeeft) zal op termijn dus >99% (gok ik) van al het Telegram-verkeer via de server lopen.
Maar dat is bekend en dat is dan je eigen keuze. Telegram zegt zelf over de server opslag: Telegram is a cloud service. We store messages, photos, videos and documents from your ordinary chats on our servers, so that you can access your data from any of your devices anytime. All data is stored heavily encrypted and the encryption keys in each case are stored in several other DCs in different jurisdictions. This way local engineers or physical intruders cannot get access to user data.
maar ok daar moet je dan maar op vertrouwen. In ieder geval is het een bedrijfs policy, dat kun je van facebook, google, whatsapp en co. niet zeggen. Daar stem je in met het gebruik van al je chats, data, foto's voor commerciele doeleinden.
In dat geval is de end-to-end functionaliteit meer een gimmick, niet?
Nee dat vind ik niet. Het is een keuze. Je hoeft het ook niet te gebruiken. Maar in het zakelijke verkeer stuur ik liever een bestand via Telegram end-to-end dan via Whatsapp (behalve dat Whatsapp dat natuurlijk niet kan, willekeurige bestanden sturen). Telegram, whatsapp, dat kan allemaal naast elkaar, ruimte zat op de telefoon.

[Reactie gewijzigd door RwinG op 22 juli 2024 18:25]

Anoniem: 415735 @RwinG3 maart 2014 14:26
Telegram stelt dat jouw data met niemand wordt gedeeld. Over meta-data wordt überhaupt niets gesteld. Volgens mij is dat de crux. Daarnaast is het nog maar de vraag of de privacy-policy van Telegram juridisch wel stand houdt (voorbeelden Google, Lavabit).

Ik benoem het end-to-end gedeelte om twee redenen een gimmick:
1) Er kan nog steeds meta-data worden verzameld.
2) Het lijkt een unique selling point te zijn om zich te kunnen onderscheiden van de concurrentie, zonder dat het een significant deel van het verkeer zal genereren.

Verder zou ik me voor zakelijk verkeer willen beperken tot betaalde diensten.

Tenslotte komen we tot dezefde conclusie als Bruce Schneier en Joost Schellevis: het is een kwestie van vertrouwen. Op basis daarvan zal ik geen early-adopter zijn. (Al maakte ik dat al duidelijk in mijn eerste bericht.)
RwinG @Anoniem: 4157353 maart 2014 23:50
Telegram stelt dat jouw data met niemand wordt gedeeld. Over meta-data wordt überhaupt niets gesteld. Volgens mij is dat de crux
Dat is een goed punt maar niet de crux. Ze stellen in het algemeen: "Telegram only stores the data it needs to function properly — for as long as you want Telegram to function". Ik denk dat je bij geen enkele messenger dienst mag aannemen dat je metadata veilig is. B.v. wie met wie chat. Alleen b.v. de NSA weet al alles. En de internet providers ook. Hier heeft telegram geen meerwaarde noch is het slechter dan anderen.
ik benoem het end-to-end gedeelte om twee redenen een gimmick:
Hier zijn we het dus niet over eens zie antwoord boven. Er komen ook steeds meer messengers met deze functionaliteit. Zie b.v. hier.
Verder zou ik me voor zakelijk verkeer willen beperken tot betaalde diensten.
Whatsapp is een dienst waarvoor betaald moet worden (na een tijdje). Telegram niet. Toch kies ik de laatste :)
Tenslotte komen we tot dezefde conclusie ... het is een kwestie van vertrouwen.
Niet helemaal dezelfde conclusie, omdat ik de end-to-end communicatie zelf kan verifieren. Dat geeft wel wat meer vertrouwen dan bij een gewone chat messenger waarbij alles over de server loopt.

En intussen gebruik ik ze allebei. Geen probleem!
Anoniem: 415735 @RwinG5 maart 2014 13:33
Ik zal kort zijn:
1. Naast overheden en ISP's bestaan andere partijen. Bovendien is "properly" een hele vage term.
2. Prima, agree to disagree.
3. Ik beschouw Whatsapp niet als alternatief voor zakelijk verkeer.
4. Dan verwacht ik dat je bij die verificatie ook secundaire validatie-methoden gebruikt. Immers, de identificatie verloopt via de server.
Eloy @Anoniem: 1563291 maart 2014 12:44
Het enige alternatief dat daadwerkelijk decentraal verloopt (ze gebruiken een library van Bittorrent in combinatie met Bitcoin) is twister.net.co

Ik zet mijn vraagtekens bij de veiligheid, maar het is ook nog alhpa software.

[Reactie gewijzigd door Eloy op 22 juli 2024 18:25]

Anoniem: 445817 @Eloy1 maart 2014 13:22
E-mail is ook decentraal. Iemand zou een IM client moeten maken die over IMAP/SMTP loopt. Je kunt verder dezelfde OTR protocollen toepassen als men bij XMPP etc doet, alleen maak je gebruikt van een gigantische en reeds aanwezige de-centrale server infratructuur.
Anoniem: 55563 @Anoniem: 4458171 maart 2014 17:50
Het aloude smtp inderdaad. Nog een goed voorbeeld van decentraliseren is het sociale netwerk Diaspora. Dat is een soort facebook@priveserver waar bij je makkelijk kunt netwerken met vrienden op allerhande servers. De interface ziet er ongeveer zoals facebook uit, vrienden zijn vriend1@server1, vriend2@server1, vriend3@server2, vriend4@server3 etc, en migreren naar een andere server is heel laagdrempelig gemaakt. Handig als je de huidige niet meer vertrouwt. Helaas wil het maar niet populair worden. Het had ook al een twitterachtige functie met hashtags voor volgen van niet-vrienden, voor Google en ruim voor facebook daarmee kwam.
TheVivaldi @Anoniem: 555632 maart 2014 13:17
Het nadeel van Diaspora vind ik dat sommige posts niet doorkomen op een andere server. Zo wilde ik Jolla volgen op joindiaspora.com maar die accepteert geen registraties meer. Dus dan maar een lokale POD en ze daarop volgen. Maar staan dan ineens veel van hun posts niet meer terwijl ik van andere 'vrienden' wel posts over verschillende PODs zie... Als ze daarmee beginnen met verbeteren en dan wat meer marketing doen dan zie ik het nog heel groot worden!
Eloy @TheVivaldi2 maart 2014 20:36
Je kan gewoon een account maken op bijvoorbeeld Poddery.com en dan jolla@joindiaspora.com volgen?

Vind het inderdaad jammer dat Diaspora maar niet populair wil worden, het is een mooi concept, alleen word er niet echt veel gedaan met encryptie. (je berichten worden gewoon plain-text op de server opgeslagen volgensmij)

[Reactie gewijzigd door Eloy op 22 juli 2024 18:25]

N8w8 @Anoniem: 4458171 maart 2014 13:44
XMPP is net zo decentraal als SMTP.
Oftewel, je stuurt n bericht vanaf "zender@server" naar "ontvanger@andereserver". En dan wisselen "server" en "andereserver" je berichtje uit.
Probleem is alleen, dat de populairste XMPP servers, geen berichten accepteren vanaf andere servers, maar alles op hun eigen server houden. Dat is het geval bij bijv. Google Talk en Facebook (geloof ik).
Maar dat is geen probleem met XMPP, maar een bewuste keuze van Google/Facebook om dat uit te zetten, het XMPP protocol zelf ondersteunt dat gewoon ("federation" genaamd).
Nog geen jaar geleden, accepteerde Google Talk nog berichten van andere XMPP servers bijvoorbeeld, maar dat hebben ze uitgezet wegens spam.
bron: mijn geheugen
Anoniem: 445817 @N8w81 maart 2014 13:55
Klopt, zo is mijn jabber servertje helaas ook aan zijn einde gekomen.

Overigens snap ik wel dat XMPP zo zijn voordelen heeft, maar als je een veilige, robuste, de-centrale, onafhankelijke, chat client wilt uitrollen zijn de e-mail protocollen simpelweg het makkelijkst. Je hoeft niks te investeren in een server infrastructuur en iedereen heeft het.

Volgens mij is de enige reden dat dit niet gebeurd, en ook een van de redenen waarom XMPP servers vaak eilandjes onder eigen merknaam zijn, simpelweg dat men er uiteindelijk geld aan wil verdienen. En dat lukt natuurlijk alleen als je mensen afhankelijk maakt van jouw infrastructuur.

Om niet meteen roepen "vroeger was alles beter" vind ik het op zich wel zorgelijk dat steeds meer belangrijke Internet diensten centraal uitgevoerd en beheerd worden. Dingen als e-mail, usenet etc. zijn misschien erg verouderd, maar de principes die erachter zitten zijn nog altijd belangrijk.
N8w8 @Anoniem: 4458171 maart 2014 16:38
Ah, ik miste je punt even, al snapte ik het letterlijk wel.
Want ja inderdaad is SMTP/IMAP al overal en bij iedereen, veel meer dan XMPP.
Daar OTR op bouwen is mss moeilijk (maar mss wel mogelijk).
Maar PGP daarentegen, bestaat al gewoon, en is erg goed te gebruiken met email. Al is dat anders dan OTR, in elk geval is het veel geheimer dan plaintext en daarmee een vooruitgang.
Het grote nadeel van PGP is echter dat t te onhandig is voor de meesten. En al helemaal voor IM, dan moet je bij elk berichtje je password geven enzo.
Wat dan alleen nog maar* nodig is om veilig te IM'en over SMTP/IMAP(+PGP), is een speciaal daarvoor gemaakte mailclient/-interface, met voor gewone stervelingen te gebruiken PGP keybeheer.
En mailservers met lage latency, maar dat is een kwestie van configuratie.
Het is maar een idee :) En tot die tijd blijf ik lekker mailen.
* ja, dat is vast erg veel werk
Eswip 1 maart 2014 12:14
De grootste vraag die ik heb, is hoe gratis applicaties die zeggen dat ze alles encrypten, hun geld verdienen? Telegram zegt bijvoorbeeld dat ze nooit ads zullen tonen en dat het altijd gratis zal blijven. Ook zullen ze investeerders niet toelaten. Op dit moment wordt alles uit hun eigen zak betaalt, maar dat is natuurlijk geen schatbare oplossing. Ze stellen zelf dat als het geld op is, ze zullen vragen om donaties of dat ze "non essential" features zullen gaan verkopen. Ik heb er nogal een hard hoofd in dat ze daarmee genoeg geld gaan binnen halen wat er dus uiteindelijk voor kan zorgen dat de dienstverlening ondermaats wordt.
Noeandee @Eswip1 maart 2014 12:25
En ik snap ook niet zo goed waarom mensen overstappen van Whatsapp naar Telegram. Al encrypt Telegram misschien hun berichtjes, maar dit gebeurd met SHA-1. En laat nou SHA-1 1 van de meest onveilige encryptie protocollen zijn. Zelfs Microsoft stopt in 2016 met de ondersteuning van SHA-1 en enkele andere protocollen, omdat die te onveilig geacht worden. De ontwikkelaars van Telegram hebben bovendien hun eigen protocollen in elkaar geknutselt, die verre van veilig zijn.

Telegram is makkelijk nog onveiliger dan Whatsapp. En of je nu blij moet zijn dat de Russische overheid toegang krijgt tot deze gegevens in tegenstelling tot de VS, is ook een vraag die je hierbij kunt stellen.

Bron1: http://www.cryptofails.co...ams-cryptanalysis-contest
Bron2: https://www.security.nl/p...HA1+encryptie+in+software

[Reactie gewijzigd door Noeandee op 22 juli 2024 18:25]

geekeep @Noeandee1 maart 2014 14:41
Waarom moet iedereen telkens die blog aanhalen met de gesuggereerde mankementen van Telegram, die overigens grotendeels keihard onderuit gehaald worden door Telegram zelf in de comments.
Telegram is inderdaad niet 100% veilig. In mijn ogen is geen een gebruiksvriendelijk stuk software veilig, aangezien veiligheid en gebruiksvriendelijkheid elkaars tegenpolen zijn (anders zou Henk en Ingrid ook wel private/public keys gebruiken..)

Die kritiek op Telegram gaat voorbij aan het punt waarom mensen overstappen: Whatsapp in handen van Facebook is TE veel informatie bij 1 organisatie. Daarom stappen mensen over.

Niet te vergeten heeft Whatsapp daarnaast het geluk dat ze closed source zijn. Wie weet wat daar voor encryptie gedrochten te vinden zijn in hun code..?

Ten slotte is het een vrij loze opmerking om continu te herhalen dat Telegram Russisch is, aangezien je dan ook erbij moet vermelden dat Whatsapp bedacht/gestart is door een Roemeen...
nst6ldr @geekeep1 maart 2014 17:05
Die kritiek op Telegram gaat voorbij aan het punt waarom mensen overstappen: Whatsapp in handen van Facebook is TE veel informatie bij 1 organisatie. Daarom stappen mensen over.
En wat dan nog? Het geld zit 'm in het verhandelen van informatie. Wat ze niet hebben kunnen ze kopen of hebben ze al.
Niet te vergeten heeft Whatsapp daarnaast het geluk dat ze closed source zijn. Wie weet wat daar voor encryptie gedrochten te vinden zijn in hun code..?
WhatsApp pretendeert niet veilig te zijn door met termen als encryptie te gooien. Dat ze encryptie hebben is puur bijzaak. Telegram verkondigt het veilige en privacyvriendelijke alternatief te zijn, maar dat is gewoon absoluut niet waar.
RwinG @nst6ldr1 maart 2014 19:28
Telegram verkondigt het veilige en privacyvriendelijke alternatief te zijn, maar dat is gewoon absoluut niet waar.
Iedereen op internet praat die bewering na gebaseerd op dat ene blog van cryptofails. Er zou wat rammelen aan de encryptie van Telegram. In de reacties onder dat blog worden alle beweringen door Telegram onderuit gehaald. De encryptie, gebaseerd op AES maar in een aparte variant die efficienter is voor messaging, is opensource en openbaar dus iedereen kan dat napluizen. De twee weg encryptie heeft een extra check in de vorm van visualisatie van je sleutel die een man-in-the-middle aanval voorkomt. Ik ben verder geen expert, maar zit wel te wachten op een andere expert die er een keer goed naar kijkt want die cryptofails heeft wel een hele hoge dunk van zichzelf. Hij werkt trouwens zelf aan een alternatieve messenger zo lijkt het.
nst6ldr @RwinG1 maart 2014 19:58
Ik kijk vooral naar dit artikel waar een ontwikkelaar van Telegram niet in staat lijkt zijn keuze te onderbouwen anders dan "wij vinden dat bestaande algoritmieken teveel cycles vereisen dus mogen we wel iets lichters implementeren", wat natuurlijk bizar is als je verkondigt veiligheid en privacy hoog in het vaandel te hebben. Daar komt bij dat het sowieso een zeer slechte reden is.

Tevens vond ik het eng dat er plain en simple in de code staat hoe het hele adresboek in een container gepropt wordt en naar de servers van Telegram gaat. Usability feature of niet, als je alle contacten van mensen gaat bewaren is er natuurlijk weinig privacy aan de orde.

[Reactie gewijzigd door nst6ldr op 22 juli 2024 18:25]

RwinG @nst6ldr1 maart 2014 20:02
Dank we gaan eens door dat aritkel heen. Dat ze iets lichters willen is toch geen slecht argument?
Het hele adresboek naar de server ja dat doen veel populaire messengers. Whatsapp ook. Het gaat mij meer om de privacy van de data die je heen en weer gooit (het meeluisteren).
nst6ldr @RwinG1 maart 2014 20:11
Dat ze iets lichters willen is toch geen slecht argument?
Het impliceert dat andere versleuteling te zwaar is, en dat is toch raar? Wat voor hardware draaien smartphones vandaag de dag, en hoeveel data wordt er nu verzonden? We hebben het in het gunstigste geval over een enkele string, en in het uiterste geval over een filmpje. Met een beetje compressie, zoals onze bekende concurrent ook doet, zit je dan vaak rond de 300kb? Zo spannend is dat niet.
Het hele adresboek naar de server ja dat doen veel populaire messengers. Whatsapp ook. Het gaat mij meer om de privacy van de data die je heen en weer gooit (het meeluisteren).
Dat zeg ik: Usability feature of niet, als je alle contacten van mensen gaat bewaren is er natuurlijk weinig privacy aan de orde. Tenslotte weet ik nu dat dankzij een aantal 'overstappers' mijn telefoonnummer op hun server staat zonder dat ik daar toestemming voor heb gegeven. Ze weten domweg niet dat dit gebeurd.
RwinG @nst6ldr1 maart 2014 21:01
Het impliceert dat andere versleuteling te zwaar is, en dat is toch raar?
Dat kan ik niet goed beoordelen. Het moet ook werken op low-end smartphones van < 100 euro die nu op de markt komen. Het zal een trade-off zijn tussen kraakbaarheid/veiligheid en snelheid/usability. Dat is altijd zo met encryptie. Als je verstand hebt van encryptie kun zelf beoordelen hoe veilig het is. De tijd zal het leren. Het is in ieder geval te prefereren boven whatsapp.
als je alle contacten van mensen gaat bewaren is er natuurlijk weinig privacy aan de orde.
Je moet de contact info los zien van de data die je over en weer zendt...:
Tenslotte weet ik nu dat dankzij een aantal 'overstappers' mijn telefoonnummer op hun server staat zonder dat ik daar toestemming voor heb gegeven. Ze weten domweg niet dat dit gebeurd.
Je bedoelt die mensen die al hun contacten en dus ook jouw info al syncen met google en met whatsapp? Dat je contact info/06 nummer prive kan blijven - vergeet het maar. Zie het maar als het ouderwetse telefoonboek, vroeger stonden alle telefoonnummers, namen en adressen gewoon in een papieren boek. Dat was publieke informatie. Nu zijn we nog niet eens zo ver, maar mensen geven die info al wel aan bedrijven. Niks aan te doen helaas. Dat is niet Telegram specifiek.
Anoniem: 55563 @geekeep1 maart 2014 17:14
Als Whatsapp opgekocht wordt dan kun je er donder op zeggen dat een succesvol Telegram ook wordt opgekocht. Als je dus overstapt, kun je beter voor een alternatief kiezen waarbij de achterliggende infrastructuur de gebruikers niet kan afluisteren. Dan is end to end encryptie een betere keuze en dan kun je dus Telegram ook maar beter links laten liggen. Iets met een ezel en een steen...

[Reactie gewijzigd door Anoniem: 55563 op 22 juli 2024 18:25]

RwinG @Anoniem: 555631 maart 2014 19:30
Dan is end to end encryptie een betere keuze en dan kun je dus Telegram ook maar beter links laten liggen. Iets met een ezel en een steen...
Telegram kan end-to-end encryptie doen (in "secret chat" modus) . Met een mogelijheid om een eventuele man-in-the-middle attack te signaleren. Waar haal jij je bewering vandaan?
Anoniem: 55563 @RwinG1 maart 2014 19:36
Telegram gebruikt een zelf ontwikkeld algoritme dat nog allerminst bewezen veilig is. Ik kraak het niet af maar het gaat om op dit moment realistische alternatieven voor Whatsapp waarmee we een herhaling van de geschiedenis kunnen voorkomen. M.i. hoort Telegram daar nu niet bij.
RwinG @Anoniem: 555631 maart 2014 20:04
Maar het Telegram protocol is opensource, ik kan mijn eigen client schrijven en het zelf uittesten en uitpluizen, dat is toch wel een enorm voordeel in ieder geval voor een tweaker. Ik kan b.v. met netwerk monitoring zelf zien dat het niet over de server gaat maar direct p2p (wat skype vroeger ook deed).

[Reactie gewijzigd door RwinG op 22 juli 2024 18:25]

Anoniem: 55563 @RwinG2 maart 2014 12:07
Ja ja, dat is allemaal wel zo. Het probleem is dat nog lang niet zeker is of het protocol dat ze gebruiken wiskundig goed in elkaar zit. De mogelijkheid bestaat dat de data makkelijk te ontsleutelen valt.

TextSecure zit beter in elkaar. Dat gebruikt bewezen lastig te ontsleutelen encryptie, is ook volledig opensource en wordt ontwikkeld zonder commercieel doeleinde.
Mahone @geekeep1 maart 2014 15:18
Misschien een domme vraag, maar is dit niet al het geval?
Ik bedoel, ik kan nu wel overstappen op Telegram, maar bij Whatsapp hebben ze mijn gegevens toch al? Dan maakt het m.i. toch niet meer uit of ik nu nog overstap naar een telegram oid? Of zie ik dit verkeerd?
Tk55 @Mahone1 maart 2014 17:49
Door over te stappen zul je ervoor zorgen dat je nieuwe informatie (berichten) in ieder geval niet meer rechtstreeks aan WA/FB geeft. Dat is ook wat waard.
Erendiz @geekeep3 maart 2014 02:39
Oprichter Jan Koum van WhatsApp komt uit Oekraïne en niet uit Roemenië...
Omegium @Noeandee1 maart 2014 13:11
SHA-1 is geen encryptie, het is hashing. En hoewel men verwacht dat het binnen afzienbare tijd mogelijk wordt om collisions te genereren, is dat nog niet gelukt. We kunnen met SHA-1 dus nog wel even vooruit, maar voor nieuwe projecten is SHA-256 beter.

Maar het echte punt is het zelf maken van encryptie door Telegram. Je kunt de mooiste algorithmes hebben, maar als ze niet goed geïmplementeerd zijn, dan maakt het niks uit. En encryptie implementeren is heel moeilijk, en als je het zelf doet, zonder peer review van een team van experts, dan kun je er donder op zeggen dat je fouten gemaakt hebt en dat het niet veilig is.
lagefrequentie @Noeandee1 maart 2014 14:09
Ik zal je mijn reden geven waarom ik overstapte van whatsapp naar telegram:
19 miljard dollar.
Voor 6 miljard euro heeft iedereen op aarde schoon drinkwater.
Men weet van gekheid niet meer wat te doen met hun geld.
Rinzwind @lagefrequentie1 maart 2014 15:34
Uhm ja het is waanzin, maar schoon drinkwater voor 6 miljard red je niet
TheVivaldi @lagefrequentie2 maart 2014 12:32
En wat denk je dat WhatsApp heeft uitgegeven de afgelopen jaren? Of dacht je dat een bedrijf opzetten, vele, vele servers aankopen of huren en hoge electriciteitskosten, ontwikkelkosten en alles allemaal gratis is?
el frikandel @lagefrequentie2 maart 2014 20:41
Ja en als iedereen in het westen 5% salaris inlevert, dan hebben we geen honger in de wereld, wat een bullshit.
Anoniem: 449164 @Eswip1 maart 2014 18:12
Ze moeten het hebben van giften, ik denk dat die er ook wel komen maar ik kan me inderdaad moeilijk voorstellen dat iemand van giften kan leven voor zijn hele leven en ondertussen elke dag aan het sleutelen is met zijn chatdienst.
RwinG @Anoniem: 4491641 maart 2014 19:33
ik denk dat die er ook wel komen maar ik kan me inderdaad moeilijk voorstellen dat iemand van giften kan leven
Wikipedia iemand? Ik zou graag doneren aan een open organisatie die met een open source project een goede en veilige messenger maakt. Telegram komt daar nu het dichtste bij.
Anoniem: 449164 @RwinG2 maart 2014 02:26
Maar Wikipedia is ietsje groter dan Telegram. Daarbij zijn het twee heel erg verschillende organisaties. Een overheid kan bijvoorbeeld geld aan Wikipedia doneren maar hoe denk je dat er wordt gereageerd als een overheid geld in Telegram zou steken?
RwinG @Anoniem: 4491642 maart 2014 16:18
Zolang de sourcecode open en verifieerbaar is mag een overheid doneren wat ze willen. Daar zou ik geen probleem mee hebben.
Anoniem: 449164 @RwinG2 maart 2014 16:23
Ik weet zeker dat het CDA en de PVV er een probleem mee zullen hebben,
Anoniem: 66431 @Anoniem: 4491643 maart 2014 04:44
En ik kan me niet een wereld voorstellen waar niemand nooit een gift geeft! Betalen voor extra features zijn trouwens ook niet echt giften natuurlijk O-)
Anoniem: 449164 @Anoniem: 664313 maart 2014 06:53
Maar de basis is altijd gratis en daar gaat het om.
BoringDay @Eswip1 maart 2014 12:27
Ze zeggen dat om veel gebruikers te trekken (ze hebben vast wel ergens een investeerder).
Een App maken zal wel niet zo lastig en duur zijn maar meer de servers die nodig zijn om de dienst te kunnen verlenen aan een grote hoeveelheid gebruikers.

Ik kan me maar 1 reden bedenken waarom je zo'n App nog maakt en dat is 'big money'.
Er zijn al 100den van dat soort apps kwestie van poging doen en geluk hebben.
Eswip @BoringDay1 maart 2014 12:38
Ze zeggen dat ze geen externe investeerder hebben. De twee Russische broers betalen nu alles zelf. Maar dit is natuurlijk niet vol te houden als het echt heel populair wordt. WhatsApp heeft al aangetoond dat je met heel weinig personeel een app kan maken die door heel veel mensen gebruikt wordt, maar je hebt natuurlijk wel veel servers nodig..
BoringDay @Eswip1 maart 2014 12:49
De servers lijken me dan ook niet iets wat je met twee personen en modaal inkomen kan permitteren, neem aan dat daar redelijk wat cash in rond gaat.

Apps maken is kwestie van verdiepen in de materie van programmeren.
Een goed concept hebben en geluk is een ander aspect.
TheBigB86 @BoringDay1 maart 2014 13:02
Deze jongens hebben echt iets meer dan een modaal inkomen. Zij zijn namelijk ook de makers van VK.com (ook wel de Russische Facebook te noemen). In tegenstelling tot Facebook, heeft VK.com een heel ander verdienmodel, niet enkel gefocussed op reclame.
FreshMaker @TheBigB861 maart 2014 14:14
VK is ook ietswat 'opener' van opzet, er wordt niet zo gelet op bloot, en copyright ( althans, tot vorig jaar nog niet zo )

Diverse apps hebben de dienst "misbruikt" als opslag, een oud programma'tje wat ik tot vorig jaar zo nog eens gebruikte, was mp3 pirate.
Kon je op de kazaa manier naar muziekjes zoeken, en zelfs oude NL liedjes waren eenvoudig te vinden.

Het bood ook een "mooie" search voor NSFW plaatjes, waar best wat echte ranzige rommel voorbij kwam.
Het meeste is ondertussen verbeterd, maar verder zijn ze bij VK ( de ontwikkelaars ) zo buigzaam als bamboe in een tsunami ;) niets mis mee, maar wees wel eerlijk.
( hetzelfde idee heb ik btw. met Kim Dotcom .... maar ieder zijn hobby :) )
TheVivaldi @Eswip2 maart 2014 13:12
Eindelijk iemand die het wel snapt. Dank. Iemand hierboven was aan het hypen over die 19 mil van Facebook maar die persoon dacht niet na over wat het WA allemaal gekost heeft totnutoe... Ze houden er vast een leuke bonus aan over door die 19 mil maar een hoop is ook gewoon terugverdienen van investeringen...
Anoniem: 66431 @BoringDay3 maart 2014 04:41
ik geef je een andere reden waarom iemand iets maakt in een gezonde denkwereld: omdat ze het leuk vinden om het te doen! Veel computer nerds (meestal technisch aangelegde jonge jongens) maken super leuke apps en systemen omdat het hun passie nu eenmaal is!

Het blijft waar dat ook zij misschien wel er van dromen rijk te worden maar dat is vandaag de dag nog niet echt een schande! :)

En dat je van giften niet kan leven is ook een waan idee, kijk maar eens naar de vele uitkeringstrekkers in nederland, die vallen toch ook niet met bosjes dood neer?

[Reactie gewijzigd door Anoniem: 66431 op 22 juli 2024 18:25]

BoringDay @Anoniem: 664313 maart 2014 07:24
Ik denk niet je zomaar ff wat tigtal servers wereldwijd kan veroorloven met een modaal inkomen (laat staan met een uitkering, zie ook niet in wat het ermee te maken heeft).

Je hebt echt wel een flinke geld injectie nodig als je grootschalig service wil verlenen.
martijnvanegdom 1 maart 2014 12:12
Ik gebruik zelf EncFS, werkt goed, hoewel ook daar over de veiligheid word gediscussieerd (https://defuse.ca/audits/encfs.htm). Maar je moet je keys wel goed bewaren en backupen..

De transparantie van dat systeem is mooi, je schrijft al je bestanden weg naar een volume, en op de achtergrond word het geencrypt naar bijvoorbeeld Dropbox, al werkt het met vrijwel elke aanbieder..

edit: Overigens encfs is ook beschikbaar voor mac via MacPorts. Er was een tijd een probleem onder Mavericks maar dat is nu ook opgelost.

[Reactie gewijzigd door martijnvanegdom op 22 juli 2024 18:25]

mxcreep @martijnvanegdom1 maart 2014 16:36
Ik zie weinig in EncFS, misschien dat het voor prive gebruik handig is maar wij werken met grote storage oplossingen en hebben echt veel opslag te verwerken, daarvoor zijn echt maar een paar bestandssystemen beschikbaar die geschikt zijn. Wat ik persoonlijk een veel betere oplossing zou vinden is encryptie al toepassen op blockdevice nivo, dus bijvoorbeeld als dm device, net als multipath. lvm etc... Dan hou je gewoon de mogelijkheid om je filesysteem deel transparant te houden.
martijnvanegdom @mxcreep1 maart 2014 17:29
Maar daar is EncFS ook niet voor bedoeld..

En voor encryptie op device niveau zijn hele andere oplossingen.. Bij Apple heb je Filevault, dat ecnrypt je hele schijf. En ongetwijfeld zul voor grote storage oplossingen zulke oplossingen ook wel hebben..

En daarbij.. als je met zulke opslag storage werkt.. dan heb je niks aan cloud oplossingen van een paar GB.. en klein en te traag.
Anoniem: 417179 @martijnvanegdom2 maart 2014 22:50
Encfs gebruik ik nu ook een tijdje en werkt super goed.
Note: er is ook een windows client te vinden op http://members.ferrara.linux.it/freddy77/encfs.html
die heel goed werkt.
0fficer 1 maart 2014 12:21
Jammer dat Tresorit niet langs komt. Er wordt veel geroepen over initiatieven vanuit Europa, dit vind ik een mooi voorbeeld.

https://tresorit.com/

25.000 dollar voor degene die de encryptie weet te kraken.
Anoniem: 449164 @0fficer1 maart 2014 18:14
Telegram heeft 200 000€ uitgeloofd voor degene die de versleuteling kan kraken.
TheVivaldi @Anoniem: 4491642 maart 2014 13:13
Dat lijkt me dan niet moeilijk. Telegram's encryptie gebruikt AES, iets wat zelfs MS aan het uitfaseren is vanwege de gaten. Even het juiste gat vinden en hallo 2 ton...
Anoniem: 449164 @TheVivaldi2 maart 2014 15:57
Maar nog niemand die dat dus heeft ontdekt en ik denk dat er echt wel wat mensen aan het zoeken zijn voor twee ton.
Safaci @TheVivaldi3 maart 2014 12:00
Je weet niet waarover je het hebt. MS is AES helemaal niet aan het uitfaseren. AES is een uitermate veilige block cipher en is een standaard in vele crypto protocollen. Je bent waarschijnlijk in de war met SHA-1 wat een hash functie is, die in theorie al gekraakt is.
idef1x @0fficer1 maart 2014 19:26
Het artikel gaat over communicatie en niet over opslag zoals tresorit. Wellicht mis ik wat maar ik zie alleen maar een dropbox alike functie bij tresorit.
Jimmy89 1 maart 2014 13:23
Ik mis Surespot in het lijstje met alternatieven.
https://play.google.com/s...m.twofours.surespot&hl=en
Waarom?
- Het is open source (zowel server als client)
- Berichten worden in een encrypted container opgeslagen.
- Bij het aanmaken van een account is alleen een nickname en wachtwoord nodig (geen telefoonnummer etc).
- "uses 256 bit AES-GCM encryption using keys created with 521 bit ECDH"
- Bestanden (ook plaatjes) worden geencrypt verstuurd.
- Bij het verwijderen van een bericht wordt deze zowel op de server als bij ontvanger verwijderd.
- Geen ads (mocht je je dit afvragen).

Nadelen:
- Door gebruik van Google push services niet beschikbaar op FDroid.
- Ondersteund geen groepsgesprekken.
- Hinderlijk voor mensen die niet regelmatig hun wachtwoord willen invoeren als ze hun app openen.

Bij surespot hebben ze gemerkt dat er meer mensen hun app zijn gaan gebruiken, waardoor ze tegenwoordig een uitgebreide analyze van aanvallen en databescherming op hun website hebben staan:
https://www.surespot.me/documents/threat.html

[Reactie gewijzigd door Jimmy89 op 22 juli 2024 18:25]

OkselFris 1 maart 2014 12:55
1 ding staat mij heel erg tegen van dit stuk en dat is opensource vs closed source. Er worden veel aannames door deze heer gemaakt.
Opensource is geen enkele garantie dat het veiliger of enige privacy garandeert . Het is ook niet zo dat we direct elk bedrijf met closed source maar als een stel bandieten moeten benaderen.
Als ik op dit moment zou moeten kiezen dan zou ik juist voor Threema gaan. Die lijken de zaakjes wat beter op orde te hebben dan Telegram.
Ultraman Moderator VB @OkselFris1 maart 2014 13:42
Opensource is geen enkele garantie dat het veiliger of enige privacy garandeert .
Maar doordat de code inzichtelijk is kunnen mensen met verstand van zaken deze wel controleren en er uitspraken over doen. En heb jij een (goede) kans dat de software veilig is.
Zou een ontwikkelaar namelijk open en bloot backdoors inbouwen, dan kun je gif op innemen dat men dit ontdekt en je reputatie naar de maan is.

Met closed source software is er zeker geen enkele garantie op veiligheid of respect voor privacy. Je kunt de code namelijk niet inzien en dus niet bewijzen of de software veilig is. Je verspeelt met closed source software de kans op zekerheid/garantie dat de software veilig is. In dit geval kun je dus enkel vertrouwen dat het waarschijnlijk goed zit, onzekerheid dus.
Ultraman Moderator VB @WhatsappHack2 maart 2014 12:21
Met opensource is er ook geen garantie voor Privacy.
Dat claim ik ook nergens. Maar je hebt een betere kans, omdat je de broncode kunt inzien, terwijl je met closed source alleen maar kunt vertrouwen op de blauwe ogen van de ontwikkelaar.
Telegram heeft bijvoorbeeld 0% respect voor je privacy en zeggen zelfs open en eerlijk dat ze al je data verzamelen en er mee kunnen doen wat ze willen.
Dat houdt het open-source aspect van de app zelf echt niet tegen.
Kan kloppen, maar waar wordt beweert dat een open source policy het verzamelen van data tegengaat? Nergens.
Maar het geeft wel inzicht in de broncode en er is een open API waardoor iedereen de client kan controleren en een eigen een client kan maken. Bij WhatsApp is dit niet het geval.
Telegram is wat vrijheid betreft een upgrade ten opzicht van WhatsApp, maar geen eindbestemming. Privacy is een andere meetstaaf dan vrijheid.
(want het is overduidelijk dat toch niemand die privacy policy leest, dus wat boeit het!)
Ik wel gelukkig. Jij ook? :)
Wat dat betreft geeft opensource dus een enorme schijnveiligheid;
Kan wel zijn. Maar nog altijd meer dan closed source.
je privacy wordt totaal NIET gegarandeerd doordat het opensource is.
Dat is dan ook niet het doel van open source & free software.
En dit is ook niets waar een bepaald software-ontwikkelingsmodel bij kan helpen. Je eigen privacy moe je zelf voor vechten, dat kan software niet voor je doen.

[Reactie gewijzigd door Ultraman op 22 juli 2024 18:25]

RwinG @WhatsappHack1 maart 2014 19:55
Met opensource is er ook geen garantie voor Privacy. Er is enkel een garantie voor de veiligheid van de app, tot op zekere hoogte want ook open source apps worden bij de vleet gehacked: maar dat zegt helemaal niets over de intenties van de beheerders van de server systemen die een dienst gebruiken.
Met opensource kan ik zelf zien hoe het zit met veiligheid van communicatie. Met closed source kan dat niet.
En privacy heeft helemaal niks met open source te maken. Dat hoef je er in elke reactie van je niet steeds weer bij te halen.
OkselFris @Ultraman1 maart 2014 14:51
Ik speel even advocaat van de duivel. Het hoeft geen backdoor te zijn, het kan ook gewoon een security leak zijn welke men misbruikt. En die komen voor ook in Opensource en die kunnen er ook jaren lang in zitten. En in opensource zijn er gevallen van backdoors bekend.
Kortom het is geen enkele garantie, ja inderdaad ze kunnen worden gevonden maar dat is ook het geval voor closed source.
Ook bij closed source heeft een bedrijf er belang bij dat er geen backdoors in komen. Ook hun reputatie staat op het spel.
Er zijn een paar uitzonderingen, maar het is gek om dan maar closed source over éen hoop te scheren net zoals opensource.
Beiden geven mijn geen garantie en het is uiteindelijk vertrouwen in de makers en de bewakers van de code.
Booster @OkselFris1 maart 2014 13:24
Ik denk dat het stuk heel feitelijk de verschillen tussen closed source en open source belicht.

Het voordeel van open source is, exact zoals het stuk al stelt, dat onafhankelijke partijen (en in principe zelfs -iedereen-) een kans hebben om de code te bekijken en die te toetsen op werking en veiligheid. Dat lijkt mij een simpel feit. Er staat echter niet dat dat per definitie veiliger is.

Ik denk wel dat we gezien de leugens (dropbox) en spionagezaken (o.a. NSA) ons kritisch moeten opstellen tegenover bedrijven die juist niet willen dat iedereen zelfstandig na kan gaan of hun software veilig is. De vraag die je jezelf dan moet stellen is: waarom? Al maak je enkel maar de protocollen openbaar, dan zou dit al een groot stuk transparantie bieden. Maar vaak is er meer nodig dan enkel de protocollen om te zien of iets daadwerkelijk veilig is.

Het vertrouwen in bedrijven is al zo vaak geschaad.
strikey 1 maart 2014 12:28
Jammer dat Hemlis niet wordt genoemd , bij mijn weten de enige die te 'vertrouwen' is.
Ultraman Moderator VB @strikey1 maart 2014 13:25
Heml.is is niet beschikbaar, er zijn geen sources tot nu toe, geen uitgebreide documentatie over de werking en wat ik tot nu toe gelezen heb wil men eigenlijk alleen de cliënt open source maken.

Voor Telegram zijn sources beschikbaar voor client, er is een open API, er is wel eens geopperd om ook de server software open source te maken. De encryptie is verder nog niet bewezen, dus daar kun je (nog) niet op vertrouwen.
Maar het is al veel beter dan WhatsApp door de open source houding, er zijn meerdere clienten (ook voor de desktop), en er is tenminste aandacht voor veiligheid waar deze er bij WhatsApp in het begin totaal niet was en zelfs nu nog maar matig is.

Zelf mis ik TextSecure in het verhaal. Dat lijkt mij weer een vergrotende trap ten opzichte van Telegram, volledig open en de encryptie is gebaseerd op bewezen techniek. Maar daarvan is enkel nog de Android client beschikbaar. Zodra er meer clienten beschikbaar komen voor TextSecure is het wellicht een beter alternatief.
Maar voorlopig zit je in mijn ogen bij Telegram goed. Veel mensen hebben het, het is breder beschikbaar en als je WhatsApp kunt accepteren zie ik geen reden om Telegram niet te accepteren.

[Reactie gewijzigd door Ultraman op 22 juli 2024 18:25]

RwinG @strikey1 maart 2014 19:45
Wat gemaakt is in de UUSR is niet te vertrouwen security wise.... net zo min als een software pakket dat wat uit de USA komt.
Kun je dat nader toelichten? Dit is tweakers niet fok.
Je kunt trouwens gewoon zelf je Telegram client programmeren hoor, het protocol is opensource. Vertrouw je jezelf wel? :)
strikey @RwinG2 maart 2014 11:22
Hot topic nr 1 uit Rusland:
-Mensen rechten worden daar continu geschonden.
-Politie staat
- Maker van telegram is een taoist , niet echt schoolvoorbeeld voor vrijheid.

Software pakket USA :
-Patriot act
nieuws: Congres VS: verplicht 'backdoors' in encryptie-software
RwinG @strikey2 maart 2014 16:26
Hot topic nr 1 uit Rusland:
-Mensen rechten worden daar continu geschonden.
-Politie staat
- Maker van telegram is een taoist , niet echt schoolvoorbeeld voor vrijheid.
Het bedrijf Telegram zit in Duitsland die moeten zich aan de Duitse wetten houden. Dan nog, we kunnen de sourcecode toch zien, maak je je eigen app.
En Taoist? Waar haal je dat vandaan? Tenslotte, als je in een "politie staat" woont en idealist bent denk ik dat je een goede motivatie hebt om een messenger te maken die niet door die politie afgeluisterd kan worden, toch? Dus dat argument kunnen we ook omdraaien.
Software pakket USA :
-Patriot act
nieuws: Congres VS: verplicht 'backdoors' in encryptie-software
Dat was een wens van het Congres, is die wet aangenomen? Dacht het niet?
Ultraman Moderator VB @strikey2 maart 2014 12:25
Controleer je feiten even alvorens je loze beweringen maakt zonder onderbouwing.
Telegram is niet "made in the USSR".
Er is een Russische geldschieter, dat is wat anders dan de ontwikkelaar. Zoek maar eens op waar het hoofdkantoor van Telegram staat. Ik zal vast verklappen dat dat niet in Rusland is en ook niet in Amerika.

[Reactie gewijzigd door Ultraman op 22 juli 2024 18:25]

strikey @Ultraman2 maart 2014 12:46
Geen geld = geen applicatie he.. dat snap jij ook?
TheVivaldi @strikey2 maart 2014 13:24
Telegram is gebaseerd in de USA, de maker ervan komt uit Rusland. Dus weet niet waarom het 'gemaakt' zou zijn in Rusland als het bedrijf in de USA zit?
strikey @TheVivaldi2 maart 2014 13:26
BS , telegram HQ staat in Berlijn....
TheVivaldi @strikey4 maart 2014 14:23
BS, Telegram HQ staat in de USA: http://www.ewdn.com/2013/...nstant-messenger-service/
http://venturevillage.eu/...instant-messenger-service

"Digital Fortress, a US-based software developer with Russian roots, rolled out in mid-August its inaugural mobile app, an English-language instant messenger named Telegram. "

US-based = gevestigd in de USA

Hoewel een beetje apart vertaald door Google Translate, maar zelfs de Russische Wikipedia zegt het: http://translate.google.c...2Fwiki%2FDigital_Fortress

"Het hoofdkantoor is gevestigd in BUFFALO, NY"

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 18:25]

strikey @TheVivaldi4 maart 2014 22:29
https://telegram.org/faq

Telegram is supported by Pavel and Nikolai Durov. Pavel supports Telegram financially and ideologically, while Nikolai's input is technological. To make Telegram possible, Nikolai developed a unique custom data protocol, which is open, secure and optimized for work with multiple data-centers. As a result, Telegram combines security, reliability and speed on any network.

While the Durov brothers were born in Russia, as were some of the key developers, Telegram is not connected to Russia – legally or physically. Telegram's HQ is in Berlin.
Anoniem: 66431 @strikey3 maart 2014 05:08
wat een generalisatie! maar je hebt een punt(je)
FreshMaker @strikey1 maart 2014 14:19
Jammer dat Hemlis niet wordt genoemd , bij mijn weten de enige die te 'vertrouwen' is.
En waar baseer jij dan op dat hemlis WEL betrouwbaar is ?
omdat het van de hand van Peter Sunde is ?
omdat het ergens in een verleden affiliatie heeft/had met TPB, en omdat je in de strijd TPB vs auteursorganisatie's je voor TPB gekozen hebt ?

Ik wil een echte onderbouwing van zo'n appmaker, en daarnaast harde bewijzen dat het ook 100% open en veilig is.
Niet "het woord" van een veroordeelde crimineel ( no offence, no judgement ) die op een vreemde manier als held gezien wordt.
strikey @FreshMaker1 maart 2014 18:05
Freshmaker , voor mij heeft hij zich bewezen. Hij komt wel op tegen de gevestigde orde. En Nu probeert hij dit weer met Hemlis. Dat hij er een zakcentje van over houd is mooi meegenomen. Er zijn genoeg andere mensen die niks doen en alleen maar blijven klagen over security en open source maar zelf niks ondernemen of (financieel) steunen.

100% open en veilig is onzin. Hoe ga je iets 100% beveiligen als je deur open staat?
FreshMaker @strikey1 maart 2014 18:16
Ja, Hoe heeft hij zich bewezen dan ?

Want als je eerlijk kijkt naar de manier waarop, is het omdat je zelf waarschijnlijk een torrentgebruiker bent / was die zijn films daarvandaan haalde.
Dat is niet jezelf bewijzen, of opstaan tegen de gevestigde orde, de site is echt nie uit idealisme ontstaan, maar uit een gebrek van goede structuur.

Die jongens achter TPB hebben een goed idee uitgewerkt, wat enorm populair bleek te zijn, en waar ze bijzonder goed aan verdiend hebben.
alleen zijn die verdiensten te danken aan het voornamelijk faciliteren van auteursrechterlijke materialen.
En de discussie niet omzetten naar "er stond ook legaal meteriaal op de site" want maar weinig mensen zochten daadwerkelijk naar DIE content.

Net als Megaupload en Rapidshare puur een dienst was om je documenten veilig te stellen, en er een "paar" uploaders per ongeluk een dvdtje op deelden.

Maar ik weet nu al dat deze discussie onmogelijk wordt, en ik hierdoor niet populairder zal worden ( wat me niet eens kan boeien ), want TPB was de goede, en de geldwolven van de filmhuizen de kwaden .....

( Hemlich wordt ontwikkeld door de centen die hij via TPB en reclame verdiende, en nog steeds wordt Hemli.ch een betaalde dienst .... over verdienen gesproken ... )
Wees reëel en kijk objectief naar dit soort diensten, en de makers.
Er bestaan geen geuzen op internet, de vrijheid en privacy moet je zelf bewaken, zelf geen rare dingen delen, prive of open.
het hele netwerk loopt via de servers en bekabeling van de grotere mogendheden, als de VS een keer wil schoppen, trekken ze de stekker eruit, en gaat 60% van de informatie en "vrijheid" de deur uit.
Geloof maar niet dat de VS een gedrocht heeft gecreeerd wat ze uiteindelijk niet meer kunnen beheersen.
strikey @FreshMaker1 maart 2014 18:56
Freshmaker:
Als Peter en mede tpb collega's cash hadden willen maken hadden ze direct na de eerste keer dat ze een brief kregen van een partij uit Amerika de handdoek in de ring moeten gooien.
Net zoals vele concurenten van TPB of medestanders het is maar hoe je het ziet.
Die hebben wel de handdoek in de ring gegooid.
Rechtzaken tegen je hebben is geen pretje en dat hou je niet vol door ervoor geld te vangen maar je gaat door omdat het tegen je prinipes is. En daar houd ik van !

Copieren is niet stelen.. als je iets steelt is het weg ;) <-- Makkelijk argument he ! Net zoals jouw argument dat ik zou downloaden...

Ik denk dat de VS allang de weg kwijt is betreffend het internet 8)7
TheVivaldi @strikey2 maart 2014 13:26
En NL ook. Meneer Sunde kon niet op de uitspraak van de rechtszaak van Brein verschijnen omdat de brief niet op tijd verstuurd was. Nee, dat is niet de weg kwijt zijn zeker... (zal ik de AIVD er nog even buiten laten i.v.m. meer telefoontaps dan heel de USA bij elkaar)
Rafe @strikey1 maart 2014 12:51
Zolang Hemlis nog niet beschikbaar is kan je er weinig mee. TextSecure lijkt er het meeste op.
djc 1 maart 2014 12:55
Volgens mij is TextSecure met afstand de beste oplossing, zie bijvoorbeeld hier over de cryptografie van Telegram:

https://news.ycombinator.com/item?id=6913456

De mensen achter TextSecure (en het op Curve25519 van Bernstein gebaseerde Axototl-protocol) zijn een stuk betrouwbaarder. Het zou kunnen dat het donatie-gebaseerde business model een zwakte is, maar omdat eea open source is maak ik me daar minder zorgen over.

[Reactie gewijzigd door djc op 22 juli 2024 18:25]

GekkePrutser @djc1 maart 2014 16:04
Diegene die in die link reageert namens TelegramApp heeft er duidelijk geen kaas van gegeten.
1. Kindly be more specific about our RSA implementation. Please note, that we only use RSA with public keys, not private. If you are aware of any possible attacks on this setup, please let us know.
Natuurlijk gebruik je altijd beide keys. Anders kan je wel wat encrypten met de public key maar zonder de private key kan je er niks mee, dan heb je alleen wat random data. Dan heeft het hele proces geen zin. Ze gebruiken ze de private key wel, alleen die houdt de client als het goed is voor zichzelf. Zo hoort het ook (het is niet alsof je de keuze hebt hoe het te implementeren).

RSA is trouwens heel afhankelijk van de gebruikte sleutel, sommigen zijn veel minder veilig dan anderen. Anders dan bijv. bij een AES waarbij elke sleutel even veilig is. Als je daaronder ziet dat ze precies op dat gebied fouten maken (iemand zegt dat hij unpadded RSA keys ziet) dan belooft dat niet veel goeds.

Ik weet alleen niet of ik zo heel veel vertrouwen heb ik dat Axototl, het is een relatief nieuw algoritme, en hoewel het open-source is, heeft het nog lang niet zo veel aandacht gehad van experts als iets als AES of RSA. Maargoed die aandacht krijgt het nu wel dus de tijd moet het uitwijzen.
OkselFris @djc1 maart 2014 13:15
Zolang er geen IOS versie is, is het geen alternatief.
Net zo min als iMessage het is, gezien het IOS only is.
Ultraman Moderator VB @OkselFris1 maart 2014 13:42
Gelukkig komt er wel een iOS client :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq