image

Onderzoekers vinden geen grote fouten in Signal Protocol

dinsdag 8 november 2016, 12:46 door Redactie, 2 reacties

Het Signal Protocol dat meer dan een miljard mensen gebruiken om versleuteld met elkaar te communiceren bevat geen grote fouten, zo stellen onderzoekers van Australische, Britse en Canadese universiteiten. Het Signal Protocol is ontwikkeld door Open Whisper Systems.

Onder andere WhatsApp, Facebook Messenger en Google Allo maken er gebruik van, alsmede de versleutelde chat-app Signal. Het Signal Protocol heeft een aantal bijzondere beveiligingseigenschappen, zoals "future secrecy" en "post-compromise security", die de gesprekken van gebruikers tegen verschillende aanvallen moeten beschermen. Het wordt mogelijk gemaakt door een nieuwe techniek genaamd ratcheting, waarbij de sessiesleutel bij elk verzonden bericht wordt bijgewerkt.

Ondanks het grote aantal gebruikers en het belang van een veilig chatprotocol is er weinig academisch onderzoek naar het Signal Protocol verricht. Onderzoekers van de Universiteit van Oxford, Queensland University of Technology en McMaster University besloten naar de onderdelen van het Signal Protocol te kijken die voor het uitwisselen van sleutels worden gebruikt. De onderzoekers erkennen dat hun analyse niet compleet is, maar dat het wel tot verschillende bevindingen heeft geleid. Zo blijkt dat de cryptografische kern van het Signal Protocol bruikbare beveiligingseigenschappen bevat. Deze eigenschappen zorgen ervoor dat de inhoud van berichten in verschillende aanvalsscenario's is beschermd.

pdf). De onderzoekers hopen dat nu ook andere onderzoekers het Signal Protocol tegen het licht zullen houden.

Reacties (2)
08-11-2016, 21:26 door Anoniem
Een tikkie verouderd nieuws alweer, stond meer dan een week terug al op Reddit (waar ook één van de co-auteurs meeleest): https://www.reddit.com/r/netsec/comments/59rf92/a_formal_security_analysis_of_the_signal/
09-11-2016, 01:24 door Anoniem
Ik vraag me (als gebruiker met beperkte kennis) af hoe veilig je echt bent.
Een simkaart is simpel te klonen, is het dan niet mogelijk om ongemerkt als 3e partij mee te lezen, ondanks de encryptie?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.