image

Signal ontwikkelt service voor het vinden van contacten

woensdag 27 september 2017, 11:05 door Redactie, 5 reacties

De versleutelde chat-app Signal heeft een service ontwikkeld waarmee gebruikers kunnen controleren of mensen in hun adresboek Signal-gebruikers zijn. De feature is zo gemaakt dat hierbij geen contacten aan de Signal-service worden geopenbaard. Volgens Signal-ontwikkelaar Moxie Marlinspike heeft het adresboek als voordeel dat het eigendom van de gebruiker is en doordat het lokaal op het toestel staat hoeft de Signal-service er geen kopie van te maken.

Traditioneel gebruikte Signal een proces waarbij het een getrunceerde sha-256-hash van elk telefoonnummer in het adresboek berekende. De Signal-client verstuurde deze hashes naar de service, die vervolgens naar de hashes van geregistreerde gebruikers keek. Volgens Marlinspike heeft deze aanpak als probleem dat de hash van de user identifier bijna altijd is terug te draaien. Ongeacht of de identifier een telefoonnummer, naam of e-mailadres is. De 'keyspace' van mogelijke identifiers is te klein.

"Deze methode van het vinden van contacten is door deze tekortkomingen niet ideaal, maar tenminste is het ontwerp van de Signal-service niet afhankelijk van kennis van het adresboek van de gebruiker om te functioneren", laat Marlinspike weten. Hij schetst echter een scenario waarbij Signal wordt gedwongen om de feature aan te passen zodat adresboeken wel worden opgeslagen of dat bijvoorbeeld een hacker dit doet. "We willen niet dat mensen ons hoeven te vertrouwen. Daar gaat privacy niet over", stelt Marlinspike.

Daarom heeft het Signal-ontwikkelteam naar een andere oplossing gekeken. Moderne Intel-chips ondersteunen een feature genaamd Software Guard Extensions (SGX). SGX laat applicaties een "secure enclave" starten die geïsoleerd van het besturingssysteem en de kernel is. De secure enclave biedt weer een feature genaamd "remote attestation", die een cryptografische garantie geeft van de code die in een remote enclave over het netwerk draait. Deze opzet biedt een veiliger platform voor het vinden van contacten.

De nu ontwikkelde Signal-service draait in een secure enclave. Via remote attestation wordt vervolgens gecontroleerd dat de code die in de enclave draait gelijk is aan de gepubliceerde broncode. De Signal-client verstuurt de versleutelde identifiers van het adresboek naar de enclave. De enclave kijkt of contacten in het adresboek tussen al geregistreerde Signal-gebruikers zitten en stuurt de versleutelde resultaten terug naar de Signal-client.

Op deze manier heeft de Signal-service geen kennis van de inhoud van waar de Signal-client om vraagt. "Het is bijna alsof de Signal-client het verzoek lokaal op het toestel uitvoert", aldus Marlinspike. Deze Signal-service voor het vinden van contacten is schaalbaar naar miljarden gebruikers en zorgt ervoor dat gebruikers contact kunnen vinden zonder dit aan de Signal-service te openbaren. De broncode van de service is open source gemaakt.

Reacties (5)
27-09-2017, 15:46 door Anoniem
Als tevreden Signal gebruiker word ik al blij van het feit dat de ontwikkelaar zich inzet voor zo goed mogelijke privacy.
27-09-2017, 17:50 door Anoniem
Ik blijf het vreemd vinden dat Marlinspike Signal ab-so-luut niet Google onafhankelijk wil maken.
27-09-2017, 23:56 door Anoniem
Door Anoniem: Als tevreden Signal gebruiker word ik al blij van het feit dat de ontwikkelaar zich inzet voor zo goed mogelijke privacy.

Jaja, wat was het ook alweer met Google?
Ik wilde de desktop versie zojuist downloaden, en zag iets met Chrome van Google.
Ik scrolde even door de license agreement, en toen haakte ik al af.
Te veel jurische tekst om door te nemen. Iets wat super privacy gerelateerd moet zijn hoort geen Ela te hebben, en in mijn ogen ook geen banden met Google. Tenmiste geen browser achtig iets.
Ik bedoel voor Skype of Lime te gebruiken heb je ook geen IE nodig toch.


Het was beter als het een gewone los install was geweest zonder een browser.

Dus voor mij geen Signal.
28-09-2017, 16:07 door Anoniem
Door Anoniem:
Door Anoniem: Als tevreden Signal gebruiker word ik al blij van het feit dat de ontwikkelaar zich inzet voor zo goed mogelijke privacy.

Jaja, wat was het ook alweer met Google?
Ik wilde de desktop versie zojuist downloaden, en zag iets met Chrome van Google.
Ik scrolde even door de license agreement, en toen haakte ik al af.
Te veel jurische tekst om door te nemen. Iets wat super privacy gerelateerd moet zijn hoort geen Ela te hebben, en in mijn ogen ook geen banden met Google. Tenmiste geen browser achtig iets.
Ik bedoel voor Skype of Lime te gebruiken heb je ook geen IE nodig toch.


Het was beter als het een gewone los install was geweest zonder een browser.

Dus voor mij geen Signal.

Succes dan met het zoeken van een Android app die niks met Google te maken heeft.
28-09-2017, 23:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als tevreden Signal gebruiker word ik al blij van het feit dat de ontwikkelaar zich inzet voor zo goed mogelijke privacy.

Jaja, wat was het ook alweer met Google?
Ik wilde de desktop versie zojuist downloaden, en zag iets met Chrome van Google.
Ik scrolde even door de license agreement, en toen haakte ik al af.
Te veel jurische tekst om door te nemen. Iets wat super privacy gerelateerd moet zijn hoort geen Ela te hebben, en in mijn ogen ook geen banden met Google. Tenmiste geen browser achtig iets.
Ik bedoel voor Skype of Lime te gebruiken heb je ook geen IE nodig toch.


Het was beter als het een gewone los install was geweest zonder een browser.

Dus voor mij geen Signal.

Succes dan met het zoeken van een Android app die niks met Google te maken heeft.

Als je goed had gelezen zocht ik een versie voor mijn Desktop, en die stuurt me naar de browser versie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.