Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 121 reacties

In dit tweede deel van de serie Personal Privacy richten we ons op tools om het uitwisselen van berichten zo veilig mogelijk te maken. In het eerste deel ging het nog over encryptie van lokale bestanden, maar soms wil je informatie uitwisselen zonder dat een derde partij kan meelezen. En waar we 'soms' zeggen, bedoelen we eigenlijk 'altijd', want waarom zou je communicatie inzichtelijk willen maken voor iemand die niets met het gesprek te maken heeft? Nu zijn er sinds de Snowden-onthullingen veel tools verschenen die claimen veilige communicatie te garanderen. Aangezien dit soort claims meteen al alarmbellen moeten doen afgaan, hebben we besloten om een aantal tools op een rijtje te zetten. Daarbij houden we ons weer aan de criteria die we ook in het eerste deel hebben toegepast.

Zo is het de bedoeling om opensourcetools te bespreken, omdat dit de mogelijkheid biedt om de code van de software te inspecteren. Dit is geen garantie op veiligheid, maar wel een vereiste voor software waarmee je mogelijk gevoelige informatie deelt.

Daarnaast hebben we gekeken naar software die gebruikmaakt van bewezen veiligheidspraktijken en waarmee niet is geprobeerd het wiel opnieuw uit te vinden. Dat is een van de redenen waarom je de chat-app Telegram met zijn eigen MTProto-encryptieprotocol niet tussen de besproken tools zult vinden. Dit is niet direct een oordeel over de veiligheid van de app, maar hij past niet tussen de andere geselecteerde programma's. WhatsApp zul je evenmin tegenkomen. Facebook heeft weliswaar door de samenwerking met Moxie Marlinspike en de implementatie van het Signal-protocol een belangrijke stap gezet, maar de broncode van WhatsApp is nog steeds niet openbaar. Dit betekent niet dat WhatsApp per se onveilig is, maar betekent alleen dat er geen oordeel te vellen is over de veiligheid.

geheimAfbeelding van RestrictedData, CC 2.0 Generic

Een derde vereiste voor de in dit stuk opgenomen tools is dat ze gratis moeten zijn, al vloeit dit vaak voort uit het feit dat ze open source zijn. Bovendien moet het hele communicatieproces versleuteld zijn met end-to-end-encryptie, zodat bijvoorbeeld niet alleen het verkeer tussen een gebruiker en de server versleuteld is. Bij een juiste implementatie van end-to-end-encryptie is het namelijk niet mogelijk om berichten te onderscheppen en de inhoud daarvan in te zien, ook niet voor de server die verantwoordelijk is voor het doorgeven van de berichten. Daarom komen in dit artikel tools voor die weliswaar open source zijn, maar waarvan de serversoftware niet geheel toegankelijk is. In een ideale wereld zou deze ook openbaar zijn, maar de realiteit is dat er maar een zeer klein aantal tools is die deze eigenschap bezitten.

Zoals eerder aangestipt, is het natuurlijk de vraag waarom iemand gebruik zou maken van een van de tools uit dit stuk. Hiervoor kunnen uiteenlopende redenen bestaan. Sommigen willen gewoon niet dat de mogelijkheid bestaat dat hun communicatie wordt onderschept. Bijvoorbeeld door een aanbieder die de tekst analyseert en op basis daarvan een profiel voor gerichte advertenties opstelt. Anderen vinden het gewoon niet fijn dat de mogelijkheid bestaat dat berichten in verkeerde handen vallen. Deze groep is op zoek naar een tool die in alle gevallen uitkomst biedt en die op veel platforms beschikbaar is.

Er zijn genoeg redenen om aan te nemen dat communicatie in de gaten wordt gehouden en om stappen te ondernemen die de persoonlijke levenssfeer beschermen. In andere gevallen kan het voorkomen dat je eenmalig een gesprek wil beschermen, bijvoorbeeld omdat je op een netwerk zit dat je niet vertrouwt of omdat je een geweldig idee hebt dat je wil beschermen. Politieke redenen kunnen hierbij eveneens een rol spelen, bijvoorbeeld in landen met een regime dat bepaalde denkwijzen wil onderdrukken. Ook iets eenvoudigs als het eenmalig delen van wachtwoorden is een reden om geschikte software te gebruiken. Gebruikers hebben in dergelijke situaties tools nodig die eenvoudig te gebruiken zijn en snel het gewenste resultaat hebben.

In het overzicht komen verschillende tools voor die end-to-end-encryptie op hun eigen manier realiseren, bijvoorbeeld via het Signal-protocol, via Tor of via OTR. Deze manieren komen per tool aan de orde. Vooropgesteld moet worden dat geen enkele van de genoemde programma's absolute garantie biedt op veilige communicatie. We hebben geprobeerd om tools te selecteren die zoveel mogelijk stappen in de juiste richting hebben gezet om risico's te verkleinen.

Daarnaast moet worden vermeld dat ook perfecte end-to-end-encryptie geen ultieme oplossing biedt. Zo is al langer bekend dat metadata, bijvoorbeeld de duur van en de deelnemers aan een gesprek, veel over de communicatiestromen en -patronen van een persoon kan vertellen. De NSA heeft eerder gesteld erg blij te worden van het gebruik van met pgp versleutelde berichten. Het is dan weliswaar niet mogelijk om de inhoud te lezen, maar het gebruik ervan valt wel op 'als een kerstboom'. Daarom was bijvoorbeeld de stap van WhatsApp om end-to-end-encryptie in te schakelen zo belangrijk, want daarmee schoot het aantal versleutelde verbindingen omhoog.

Mailen met pgp komt in het huidige overzicht nog niet voor; daaraan wordt in het derde deel van deze serie aandacht besteed. Dit overzicht beperkt zich tot diensten die te gebruiken zijn als instant messengers.


Door Sander van Voorst

- Nieuwsredacteur

Sander heeft altijd interesse gehad voor alles wat met security te maken heeft. Vanuit deze voorliefde heeft hij Informatierecht gestudeerd in Amsterdam en is hij thuis op het gebied van privacy en wetgeving. Deze kennis deelt hij op Tweakers in de vorm van nieuwsberichten en reportages.

Volg Sander op Twitter


Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True