Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Personal privacy deel II

Tools om veilig te chatten

Signal

De opensourcesoftware Signal stond eerst bekend als twee aparte apps: Redphone en TextSecure. Deze waren respectievelijk gericht op versleuteld bellen en berichten versturen. Eind 2015 werden deze apps op het Android-platform samengevoegd tot de app Signal, die al wel op iOS onder deze naam beschikbaar was. De software wordt ontwikkeld door het bedrijf Open Whisper Systems, dat in 2013 is opgericht door de bekende beveiligingsonderzoeker Moxie Marlinspike. Daarvoor werkte hij aan de software onder de naam Whisper Systems; dit bedrijf werd in 2011 overgenomen door Twitter. Open Whisper Systems in een non-profitorganisatie die zich richt op het ontwikkelen van vrije software. Signal is beschikbaar voor iOS en Android. In april is er een publieke bèta voor de desktopclient van start gegaan. Deze is beschikbaar als Chrome-app voor bijvoorbeeld Chrome of Chromium.

De werking van Signal komt in grote mate overeen met die van WhatsApp. Zo stelt de software gebruikers in staat om tekstberichten en bestanden met individuele gebruikers of groepen te delen, en gesprekken te voeren via spraak. In het geval van Signal zijn al deze communicatievormen versleuteld. Dit gebeurt aan de hand van het Signal-protocol, dat daarvoor bekendstond als Axolotl. Dit protocol is op zijn beurt een afgeleide van OTR, waarop weer andere applicaties zijn gebaseerd. Een voordeel van het Signal-protocol is dat het ondersteuning biedt aan versleutelde groepsgesprekken. Ook bouwt het voort op de sterke eigenschappen van OTR, zoals forward secrecy en authenticatie. Een beschrijving van de werking van het Signal-protocol is te vinden in de achtergrond over de beveiliging van WhatsApp, dat ook gebruikmaakt van deze vorm van encryptie.

In Signal zijn alle gesprekken met anderen standaard versleuteld; er is dus geen optie om de beveiliging uit te schakelen. De gesprekspartner kan aan de hand van een qr-code geverifieerd worden, bijvoorbeeld door fysiek af te spreken of de fingerprint via de telefoon op te lezen. Hiermee kan bijvoorbeeld uitgesloten worden dat een kwaadwillende een man-in-the-middle-aanval op de verbinding heeft uitgevoerd.

Android-gebruikers kunnen lokaal opgeslagen berichten beveiligen door een wachtwoordzin te kiezen, hoe langer hoe veiliger. Het is mogelijk om in te stellen dat niet elke keer het wachtwoord ingevoerd moet worden bij het openen van de app. Er is geen manier om een vergeten wachtwoordzin terug te halen. De app moet in dat geval geheel opnieuw geïnstalleerd worden, wat het verlies van alle berichten tot gevolg heeft.

Op iOS is de berichtendatabase versleuteld als er een wachtwoordzin voor het lockscreen is ingesteld. Dit is belangrijk, omdat end-to-end versleutelde berichten alleen zijn versleuteld totdat ze op een apparaat aankomen. Daarom is het ook belangrijk te beschikken over een zo veilig mogelijk toestel.

Die clientsoftware voor Signal is open source en online beschikbaar. Ook de software die op de server wordt gebruikt om berichten te routeren, is in te zien, in tegenstelling tot de code voor het afwerken van gesprekken. Er is echter geen ondersteuning en documentatie voor het opzetten voor een eigen server, hoe vaak deze vraag ook terugkomt in de mailinglijsten. De metadata die op de Signal-server wordt opgeslagen, is volgens Marlinspike beperkt tot het tijdstip wanneer een client voor het laatst contact heeft gelegd met de server. Open Whisper Systems kondigde eind maart aan dat de Signal-builds voor Android volledig te reproduceren zijn. Dat moet ervoor zorgen dat het mogelijk is om te verifiëren dat de code op GitHub dezelfde is als wat daadwerkelijk in de app wordt gebruikt.

Op dit punt is het goed om te vermelden dat de officiële Android-app zelf alleen via Google Play te verkrijgen is en niet als apk. Open Whisper Systems stelt dat dit nodig is voor de beveiliging, omdat op die manier gebruikers snel voorzien kunnen worden van updates. Daarnaast zou Google Cloud Messaging, dat alleen met Play Services werkt, vereist zijn voor de push-functionaliteit. Gebruikers die liever niet met Google werken kunnen dit als groot nadeel ervaren en ook voor een app die privacy als zwaartepunt heeft, is het een tekortkoming. Naast de vermelding in de faq heeft Marlinspike een antwoord geformuleerd op een GitHub-issue over het onderwerp. En voor wie zich afvraagt waarom de app veel permissies vraagt, is er een faq-item aangemaakt met uitleg.

Als je naar de OTR-clients kijkt, zitten deze redelijk goed in elkaar en doen zij hun werk. De vraag is echter hoe makkelijk het is om vrienden en familie zover te krijgen dat ze de overstap maken. De software die dit probleem voor een groot deel wegneemt, is Signal. Het netwerkeffect van WhatsApp is sterk, maar Signal biedt vrijwel overeenkomende functionaliteit met de voordelen van opensourcesoftware. De app wordt ontwikkeld door een gerenommeerd team en maakt gebruik van bewezen encryptieprotocollen. Er is geen poging gedaan tot het ontwikkelen van eigen crypto, zoals Telegram heeft gedaan. Er zijn clients voor zowel iOS als Android, waar sinds kort de bètadesktopclient bij is gekomen. Dit was een van de grootste mankementen van Signal. Dit, in combinatie met de audits van 2013 en 2014, maakt Signal tot een goede keuze voor iedereen die zo veilig en eenvoudig mogelijk wil communiceren


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True