Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Personal privacy deel II

Tools om veilig te chatten

Verschillende OTR-clients

Off the Record

Het Off-the-Record-protocol, waarvan het TextSecure- of Signal-protocol weer een afgeleide is, kan gebruikt worden met een groot aantal clients. Daarvan wordt hier een aantal besproken. Het protocol werd in 2004 gepresenteerd als een alternatief voor pgp. De reden voor de ontwikkeling van een alternatief was het feit dat pgp gebruikmaakt van encryptiesleutels die lange tijd gebruikt worden. Daarom bestaat het risico dat ze op een gegeven moment in de verkeerde handen vallen.

Ook maakt pgp gebruik van authenticatie door middel van een digitale handtekening. Dit maakt het minder geschikt voor ‘snelle’ communicatie, zoals die vaak plaatsvindt via instant messaging, zo stelden de OTR-auteurs Borisov, Goldberg en Brewer destijds. Hun alternatief is daarom ook voorzien van perfect forward secrecy en repudiability. Daardoor betekent het in verkeerde handen vallen van encryptiesleutels nog niet dat in het verleden gevoerde conversaties ontsleuteld kunnen worden.

Daarnaast zorgt repudiability ervoor dat de gesprekspartners op het moment dat de communicatie plaatsvindt er zeker van kunnen zijn dat zij met geauthenticeerde berichten te maken hebben, maar dat op een later tijdstip niet bewezen kan worden wie aan het gesprek heeft deelgenomen. Een nadeel van het OTR-protocol is dat er geen groepsgesprekken mogelijk zijn.

De OTR-bibliotheek libotr, waarmee clients het protocol kunnen gebruiken, is open source en er is een community waar ontwikkelaars elkaar kunnen vinden en aan de code kunnen werken. Ook is er documentatie beschikbaar. Door een in maart gepatchte kritieke kwetsbaarheid bleek het mogelijk te zijn om willekeurige code uit te voeren, waardoor applicaties die gebaseerd zijn op de bibliotheek, kwetsbaar waren. Beveiligingsbedrijf Elttam besloot in augustus uit eigen beweging libotr aan een audit te onderwerpen, daarbij werden geen nieuwe, kritieke kwetsbaarheden vastgesteld.

ChatSecure

chatsecure logoDeze client is beschikbaar voor iOS en Android, en stelt zijn broncode publiekelijk beschikbaar. De app maakt gebruik van OTR voor end-to-end-encryptie en versleutelt berichten op het apparaat zelf met de opensourcesoftware SqlCipher. Net als Cryptocat verstuurt ChatSecure berichten via xmpp en tls in combinatie met certificate pinning. De software wordt onderhouden door The Guardian Project, een groep ontwikkelaars die zich richten op het schrijven van opensourcesoftware. Deze groep zit bijvoorbeeld ook achter de Orbot-app, waarmee Android-gebruikers verbinding kunnen maken met het Tor-netwerk. Met ChatSecure kunnen gebruikers chatberichten uitwisselen.

Bij het starten van de app worden verschillende opties getoond. Daarbij is te kiezen uit het aanmelden met een Google- of Jabber-account, of het aanmaken van een nieuw account. Daarnaast is het mogelijk om zonder account te communiceren met gebruikers op hetzelfde wifi- of mesh-netwerk, of om een anoniem account aan te maken. Voor die laatste optie is het vereist om ook van Orbot gebruik te maken. Daarna kan een gesprek met een contactpersoon gestart worden. Ook deze app biedt de mogelijkheid om de gesprekspartner te authenticeren door middel van een fingerprint.

Het voordeel van ChatSecure is dat Quarkslab in 2014 een audit van de app heeft doorgevoerd. Naar aanleiding van deze doorlichting van de code is een aantal verbeteringen doorgevoerd. In de toekomst moet ondersteuning voor meer dan één apparaat mogelijk worden door gebruik van de Omemo-standaard, die ook wordt ingezet in Cryptocat. ChatSecure maakt een goede indruk en heeft veel updates met een uitgebreide updategeschiedenis. De software kent ook enkele beperkingen. Zo is deze alleen beschikbaar op iOS en Android, en kan er alleen via chats gecommuniceerd worden.

Jitsi

jitsi logoToen de ontwikkeling van Jitsi in 2003 aan de universiteit van Straatsburg begon, stond de software nog bekend als SIP Communicator. Het is opensourcesoftware waarmee gebruikers chatberichten kunnen versturen, en via spraak en video kunnen communiceren. In eerste instantie was de software een eenmansproject van student Emil Ivov, maar tegenwoordig wordt Jitsi onderhouden door een groot team ontwikkelaars. Een groot deel van hen was werkzaam bij het bedrijf Bue Jimp, dat in 2015 is overgenomen door softwarebedrijf Atlassian. Er zijn versies beschikbaar voor Windows, Linux, OS X en Android. Jitsi ondersteunt verschillende protocollen, zoals xmpp, Google Talk, sip en Yahoo Messenger. In het startscherm van Jitsi kan dan ook met bestaande accounts ingelogd worden.

De beveiliging van tekstberichten gebeurt via OTR. Gebruikers kunnen ervoor kiezen om hun chats op die manier te beveiligen; dit kan per gesprek of automatisch. Ook in Jitsi is het mogelijk om een gesprekspartner aan de hand van een fingerprint te verifiëren. Daarnaast biedt de software de optie om het account met een hoofdwachtwoord te beveiligen. De beveiliging van gesprekken gebeurt onder andere via het zrtp-protocol, dat is ontwikkeld door pgp-uitvinder Phil Zimmermann. Signal gebruikt dit bijvoorbeeld ook voor het beveiligen van spraak. Daarnaast is het mogelijk om Jitsi in combinatie te gebruiken met de tool Ostel, die zorgt voor end-to-end-encryptie voor telefoongesprekken. Ostel is net als ChatSecure een softwareproduct van The Guardian Project.

Jitsi is voorzien van veel documentatie en voor ondersteuning kunnen gebruikers terecht bij de mailinglijst. De laatste versie is 2.8, uitgekomen in maart 2015. Dat betekent dat er al enige tijd geen release meer heeft plaatsgevonden. Op de roadmap is te zien dat Jitsi 3.0 voor 2015 was gepland met ondersteuning voor html 5 en groepsgesprekken met meer dan honderd personen. Het is onduidelijk wat de status hiervan is.

Over het algemeen maakt Jitsi een goede indruk met een groot team aan ontwikkelaars en veel functionaliteit. Het is beschikbaar op verschillende platforms, waarbij de Android-client echter nog in een alfastadium blijkt te zijn. Ook is de code niet onderworpen aan een audit.

Pidgin

pidgin logoPidgin is opensourcesoftware die al sinds de jaren '90 bestaat. Toen stond het nog bekend onder de naam Gaim, omdat het als alternatief voor de AIM-tool van AOL was geschreven. Net als de overige clients maakt het gebruik van de libotr-bibliotheek voor de implemenatie van OTR. Pidgin is beschikbaar voor Windows en Linux, en ondersteunt een grote hoeveelheid protocollen, bijvoorbeeld Bonjour, Google Talk, irc, xmpp en MSN.

De software voorziet niet native in ondersteuning voor versleutelde berichten via OTR, maar dit is op te lossen door de plug-in genaamd Off-the-Record-Messaging te installeren. In de bijgaande readme wordt uitgelegd hoe de installatie van de plug-in uit te voeren is en hoe hij te gebruiken is. Ook zijn er online verschillende handleidingen te vinden. De chatsoftware is gebouwd op basis van de libpurple-bibliotheek, die de basis vormt voor veel instant messaging-applicaties. De veiligheid van deze bibliotheek laat vaak nogal te wensen over; er zijn dan ook veel kwetsbaarheden in te vinden. De kritiek die vaak wordt geuit, is dat beveiliging slechts in de vorm van een plug-in verkrijgbaar is. Dit is problematisch, omdat een dunne laag beveiliging op een grote codebase met veel lekken niet veel vertrouwen wekt.

De ontwikkeling van Pidgin is zeer actief en er is een uitgebreide versiegeschiedenis beschikbaar. De software biedt veel mogelijkheden en ondersteunt veel protocollen, waardoor het een aantrekkelijke alles-in-eenoplossing is. Bovendien is Pidgin te gebruiken in zeventig verschillende talen. Het gebruik van libpurple geeft echter reden om aan de veiligheid van de software te twijfelen.

Adium

adiumWie ondersteuning voor OS X miste bij Pidgin, kan gebruikmaken van Adium. In feite is de opensourcesoftware een OSX-gui voor libpurple op basis van Cocoa. Het verschil met Pidgin is dat Adium OTR-encryptie ingebouwd heeft en geen gebruikmaakt van een plug-in. De software is echter nog steeds afhankelijk van libpurple, wat de nodige problemen met zich meebrengt. De 1.0-versie van Adium kwam beschikbaar in 2001. De software was toen geschreven door de student Adam Iser. Intussen wordt het programma onderhouden door het Adium-team, dat onder leiding staat van tweaker Thijs Alkemade of xnyhps.

Adium biedt de mogelijkheid om gesprekken per account of per contact te versleutelen, waarbij bijvoorbeeld gekozen kan worden voor automatische encryptie.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True