Nieuws

Beveiligingsexpert ziet overwinning voor encryptie in WhatsApp

maandag 1 augustus 2016, 12:42 door Redactie, 19 reacties

De man die ervoor zorgde dat meer dan 1 miljard mensen versleuteld via WhatsApp met elkaar communiceren noemt het een overwinning voor encryptie. In het verleden werkten telecomaanbieders nauw samen met opsporingsdiensten, waardoor het aftappen van gesprekken eenvoudig was.

Doordat nu steeds meer applicaties end-to-end-encryptie bieden, zoals WhatsApp, Signal en Facebook Messenger, kan er een communicatie-infrastructuur worden opgezet die tegen dergelijke surveillance bestand is. "De grote winst voor ons is dat een miljard mensen WhatsApp gebruiken en niet eens weten dat het versleuteld is", zegt beveiligingsexpert Moxie Marlinspike, de man die voor de end-to-end-encryptie in WhatsApp verantwoordelijk is. "Ik denk dat we de toekomst al hebben gewonnen", zo laat hij tegenover Wired weten.

Marlinspike ontwikkelde de afgelopen jaren allerlei applicaties, protocollen en systemen die de privacy, data en communicatie van mensen beschermen. Op dit moment werkt hij met zijn onderneming Open Whisper Systems aan Signal, de app om versleuteld mee te communiceren, en het Signal Protocol, dat WhatsApp en Signal voor de end-to-end-encryptie gebruiken.

De beveiligingsexpert en privacy-activist kijkt echter uit naar het moment dat hij kan stoppen. "Op een gegeven moment zal Signal verdwijnen." Hij stelt dat de nalatenschap van Open Whisper Systems is dat nu ook commerciële apps encryptie toepassen. Daardoor ziet hij ook voor zichzelf een andere toekomst. "Ik wil dit niet de rest van mijn leven doen. Uiteindelijk moet je de overwinning opeisen." Daarmee doelt Marlinspike op het debat tussen opsporingsdiensten en voorstanders van encryptie en privacy.

Meesterbrein achter omvangrijke ceo-fraude opgepakt

Spyware in 155 apps in Google Play ontdekt

Reacties (19)

01-08-2016, 13:10 door buttonius - Bijgewerkt: 01-08-2016, 13:14

Nu Skype nog. Dat is misschien wel encrypted, maar zeker niet veilig voor nieuwsgierige overheden. Met zo'n 300 miljoen gebruikers is dat ook wel een grote.

01-08-2016, 13:17 door Anoniem

Na de Snowden-files is het inderdaad opvallend dat de aftapboys geen antwoord hebben op goede encryptie.

01-08-2016, 13:27 door Anoniem

veilig.... jammer dat hier geen images geupload kunnen worden als response.
Wat een onzin.
Gebruikersnaam is het telefoonnummer, wat je aanvaller toch al meestal heeft en je password is niets meer dan een reversed hash van je imei code op android...

Op iOS is het nog erger imo, waar je dus het WLAN MAC adres hebt en dat dan 2x hasht met md5...

Leuk hoor, zo'n hot term als encryptie, maar als je het fout implementeert is het alsnog ruk.

01-08-2016, 13:39 door johanw

Door Anoniem: veilig.... jammer dat hier geen images geupload kunnen worden als response.
Wat een onzin.
Gebruikersnaam is het telefoonnummer, wat je aanvaller toch al meestal heeft en je password is niets meer dan een reversed hash van je imei code op android...

Op iOS is het nog erger imo, waar je dus het WLAN MAC adres hebt en dat dan 2x hasht met md5...

Leuk hoor, zo'n hot term als encryptie, maar als je het fout implementeert is het alsnog ruk.

Ik weet niet precies waar dit over gaat, het lijkt een opmerking over het oude encryptieschema van Whatsapp dat inderdaad niks voorstelt. Het nieuwe gebruikt helemaal geen passwords maar een identiteitssleutel en per bericht een nieuwe encryptiesleutel. Zelfs als men je telefoon in beslag neemt en Whatsapp analyseert zal men oude, van die telefoon gewiste maar onderschepte berichten, niet kunnen ontcijferen omdat de key niet meer bestaat.

De encryptie van Skype is uiteraard breekbaar, MS werkt goed mee met de inlichtingendiensten. Hetzelfde geldt voor BBM.

01-08-2016, 14:01 door Anoniem

Door johanw:

Interessant... Source beschikbaar en datum van publicatie?
Hier heb ik wel oor naar namelijk :).

01-08-2016, 14:27 door Acumen

Door johanw: ...Zelfs als men je telefoon in beslag neemt en Whatsapp analyseert zal men oude, van die telefoon gewiste maar onderschepte berichten, niet kunnen ontcijferen omdat de key niet meer bestaat...

Dus dit maakt verder niet uit: https://www.security.nl/posting/479486/Verwijderde+WhatsApp-berichten+toch+terug+te+halen ?

01-08-2016, 15:35 door linuxpro

Door buttonius: Nu Skype nog. Dat is misschien wel encrypted, maar zeker niet veilig voor nieuwsgierige overheden. Met zo'n 300 miljoen gebruikers is dat ook wel een grote.

Dat gaat niet gebeuren, sinds Skype is overgenomen door Microsoft is die kans verkeken

01-08-2016, 16:26 door Anoniem

Onzin. De frontend servers verzorgen dan wel encryptie naar de eindgebruikers (telefoons e.d.), maar op de backend is het vast niet versleuteld.

01-08-2016, 16:57 door Anoniem

Veel mensen backuppen whatsapp naar de cloud.
Zelfs wanneer de telefoon waarop de private key(s) te vinden zijn niet meer functioneert kun je gewoon via je google account de berichten herstellen !?!?

Weg encryptie

01-08-2016, 17:11 door Anoniem

Het gebruikte protocol is verbeterd ten opzichte van vroeger maar er zijn nog 3 problemen:

1. centraal adresboek voor de koppeling tussen id en sleutel;
2. centraal platform voor het sturen van het bericht;
3. centraal geleverde client-software.

WhatsApp kan dus op elk moment een nieuwe versie van de software leveren dat:
1. een valse sleutel levert;
2. dit bericht ontcijfert en hercijfert met de sleutel van de geaddresseerde;
3. zonder dat de applicatie mij op de hoogte brengt.

End-to-end encryptie is dus waardeloos zonder end-to-end authenticatie.

http://eccentric-authentication.org/blog/2016/07/17/end-to-end-encryption-is-useless

Guido.

01-08-2016, 17:12 door Anoniem

Door Anoniem: Onzin. De frontend servers verzorgen dan wel encryptie naar de eindgebruikers (telefoons e.d.), maar op de backend is het vast niet versleuteld.

Het heet niet voor niets end-to-end encryption?! Als het goed is wordt er in de app zelf per gesprek een aparte key gemaakt (en regelmatig vervangen) en gaan er alleen versleutelde berichten over de lijn en whatsapp servers.

https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

Of dit te controleren is weet ik niet.

01-08-2016, 18:18 door karma4

De metadata van de verbinding is voor de tappers het meest interessant. Berichtinhoud is pas een volgende stap.
Waar lees ik dat de metadata geencrypt is?

01-08-2016, 20:37 door Anoniem

Skype is niet meer peer-to-peer maar gaat rechtstreeks naar ...
Afgeschreven protocol dus.
Alleen weten dat de meeste skypisten niet.

niemand hier gebruikt die troep toch ?

01-08-2016, 20:48 door johanw - Bijgewerkt: 01-08-2016, 20:48

Door Anoniem:Interessant... Source beschikbaar en datum van publicatie?
Hier heb ik wel oor naar namelijk :).

De implementatie van Whatsapp is niet open source, het Signal protocol wel. Maar aangezien Moxie dat blijkbaar zelf ingebouwd heeft heb ik daar wel vertrouwen in. En de reactie van de Braziliaanse overheid is ook bemoedigend. :-)

Door Acumen:

Dus dit maakt verder niet uit: https://www.security.nl/posting/479486/Verwijderde+WhatsApp-berichten+toch+terug+te+halen ?

Dat kan uiteraard een probleem geven, al was dat artikel wel eenzijdig op iOS gericht. Hoe dat in Andrpid werkt weet ik niet.

Door Anoniem: Veel mensen backuppen whatsapp naar de cloud.

Dan heb je dus een probleem als een opsporingsdienst daar bij kan ja.

01-08-2016, 22:07 door Anoniem

Door Anoniem: Na de Snowden-files is het inderdaad opvallend dat de aftapboys geen antwoord hebben op goede encryptie.

Dat hoeven ze ook niet, je kunt encrypten wat je wil ook ze hebben wel veel exploits waar 95% geen weet van heeft.
M.a.w. je kunt zoveel encrypten op je machine, maar als ze gewoon kunnen binnenkomen met een backdoor, expolit
of rat dan heeft encryptie geen enkele zin.

En neem maar van mij aan dat ze dat ook doen.

01-08-2016, 22:12 door Erik van Straten

01-08-2016, 17 door Anoniem (Guido naar verluidt): End-to-end encryptie is dus waardeloos zonder end-to-end authenticatie.

Daar ben ik het deels mee eens. Afhankelijk van de omstandigheden kan end-to-end encryptie je tegen sommige "invaders" beschermen, maar in die gevallen waarbij dat niet lukt, is end-to-end encryptie zonder end-to-end authenticatie erger dan waardeloos: je waant je daarmee dan, onterecht, veilig - terwijl je er wel een prijs voor betaalt (tragere communicatie, meer energieverspilling, minder keuzevrijheid in protocollen etc).

Voorbeeld: opportunistic encryption (mits daadwerkelijk gebruikt en correct geïmplementeerd door beide partijen) tussen mailservers onderling betekent dat passieve afluisteraars tussen die twee mailservers niet meer kunnen afluisteren. Maar of zo'n maatregel ertoe leidt dat passieve afluisteraars het dan maar opgeven (c.q. zich bij de groep actieve afluisteraars voegen en/of zich toegang verschaffen tot de betrokken mailservers zelf), is natuurlijk de vraag...

01-08-2016, 22:41 door Anoniem

Door buttonius: Nu Skype nog. Dat is misschien wel encrypted, maar zeker niet veilig voor nieuwsgierige overheden. Met zo'n 300 miljoen gebruikers is dat ook wel een grote.

skype is ook niet end-to-end encrypted. alleen client-server communicatie is versleuteld.

Voice messages are encrypted when they're delivered to you. However, after you have listened to a voice message, it is transferred from our servers to your local machine, where it is stored as an unencrypted file.

02-08-2016, 11:57 door Anoniem

Eem veiligheidsdienst kan inderdaad je telefoon besmetten en vanuit die kant meekijken, maar dat is wel de duurste optie die je kunt bedenken. Daarnaast moeten ze dan samenwerken met de telco [paper trail] of op pad met de eigen imsi catcher naar jou toe. Ja, dat gebeurt en alles kan, maar niet alles kan op grote schaal.

Beveiliging is niet absoluut; de vraag is welke delen van de keten je beheerst en hoeveel resources je hebt. Die zijn al heel snel eindig omdat interceptie waanzinnige hoeveelheid data genereren. De NP krijg via de data hoses > 500 Miljoen tweets binnen; super gaaf maar haal er maar wat uit; hoe strenger je filtert, hoe zekerder je weet dat de known unknows verdwijnen.

Mass surveillance op content niveau gebeurt overigens nog niet op kanalen als WhatsApp, wel pattern tracking etc op basis van metadata. Daar mee kun je al mooi command chains, communities en burn phones oppikken. Kleine moeite, groot plezier.

02-08-2016, 17:49 door Anoniem

Door Anoniem:

Door Anoniem: Onzin. De frontend servers verzorgen dan wel encryptie naar de eindgebruikers (telefoons e.d.), maar op de backend is het vast niet versleuteld.

Hmmm.... dus zoals hij zegt is het dus onzin. 3 keer raden waar ik mijn afluister apparatuur plaats?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer