image

Skype biedt gebruikers end-to-end versleutelde gesprekken

dinsdag 21 augustus 2018, 10:08 door Redactie, 9 reacties

In navolging van verschillende andere chatdiensten biedt nu ook Skype end-to-end versleutelde gesprekken. De optie staat echter niet standaard ingeschakeld. Begin dit jaar werd bekend dat Microsoft en Open Whisper Systems samenwerkten om end-to-end-encryptie aan Skype toe te voegen.

Open Whisper Systems is de ontwikkelaar van het Signal Protocol, dat onder andere door WhatsApp en Signal worden gebruikt voor het end-to-end versleutelen van gesprekken. Hierdoor is de inhoud van een gesprek of bericht alleen toegankelijk voor de afzender en ontvanger. Om van de beveiligingsmaatregel in Skype gebruik te maken moeten gebruikers de optie "New Private Conversation" kiezen.

De ontvanger ontvangt nu een uitnodiging. Zodra de ontvanger die accepteert worden alle gesprekken en berichten in die conversatie end-to-end versleuteld, totdat de gebruikers ermee stoppen. Een gebruiker kan op elk gegeven moment aan één versleuteld gesprek op één apparaat deelnemen. Het is mogelijk om het gesprek op een ander apparaat voort te zetten, maar de berichten die worden verstuurd en ontvangen zijn alleen beschikbaar op het apparaat dat op dat moment in gebruik is, zo meldt MSPoweruser.

Image

Reacties (9)
21-08-2018, 11:17 door Anoniem
Kan Skype (Whatsapp, Facebook, ...) ook de E2E encryptie simpelweg uitschakelen wanneer er bijvoorbeeld sprake is van een tap verzoek ?

Ik merk dat discussies over de veiligheid van E2E encryptie meestal gaat over de vraag of het te kraken is. De vraag of het ook uit te schakelen is, wordt vaak over het hoofd gezien.

Zo staat in de voorwaarden van WhatsApp bijvoorbeeld dat E2E ''default'' aan staat. Wat impliceert dat er ook een ''non-default'' mode is ?
21-08-2018, 12:07 door Anoniem
Graag dan ook de hele boel even opensource maken. Lijkt met namelijk sterk dat de amerikaanse overheid er niet alsnog bij kan.
21-08-2018, 14:32 door Anoniem
De gebruiker moet zich eerst afvragen waar zijn de sleutels gehuisvest.
21-08-2018, 15:09 door Anoniem
Door Anoniem: Kan Skype (Whatsapp, Facebook, ...) ook de E2E encryptie simpelweg uitschakelen wanneer er bijvoorbeeld sprake is van een tap verzoek ?

Ik merk dat discussies over de veiligheid van E2E encryptie meestal gaat over de vraag of het te kraken is. De vraag of het ook uit te schakelen is, wordt vaak over het hoofd gezien.

Zo staat in de voorwaarden van WhatsApp bijvoorbeeld dat E2E ''default'' aan staat. Wat impliceert dat er ook een ''non-default'' mode is ?
Goede vraag ik weet bijna zeker dat dit wel kan.

1 Je mist dan wel de voorgaande communicatie die encrypt was je kunt alleen gesprekken uitlezen vanaf het moment dat encryptie is uitgeschakeld.

2 Merk de gebruiker (verdachte) het niet als de encryptie onder water wordt uitgeschakeld.
21-08-2018, 19:20 door [Account Verwijderd]
Het is altijd een wijze vraag te stellen waar precies "de sleutels" liggen opgeslagen.
De SIGSALY-centrales in de 2e Wereldoorlog hadden hun private-keys bijvoorbeeld op een bepaalde plaats op langspeelplaten bewaard waar een vreemde (in dit geval nazi-Duitsland) niet bij kon komen.

Als de digitale opslag van keys op een buitenlandse server plaatsvindt, zou ik daar liefst geen gebruik van willen maken. Je weet immers niet wie nog meer toegang krijgt. Eventueel via een z.g. gag-order.
22-08-2018, 02:35 door johanw
Als het end to end encryptie is staan de sleutels alleen op de apparaten van de gebruikers zelf opgeslagen en nergens anders.
22-08-2018, 07:31 door [Account Verwijderd] - Bijgewerkt: 22-08-2018, 07:46
Door johanw: Als het end to end encryptie is staan de sleutels alleen op de apparaten van de gebruikers zelf opgeslagen en nergens anders.
Klopt. Maar wat voor een zekerheid heb je, als je netwerk - terecht of onterecht - onverhoeds wordt opgerold, de servers en de apparaten (waar de private-keys opgeslagen liggen) in beslag worden genomen? Want dat is toch wat tussen de regels bedoeld wordt door topicstarter op 21 augustus om 14.31 uur.
https://www.security.nl/posting/506803/Politie+ontsleutelt+miljoenen+met+PGP+versleutelde+berichten

En dan is nog niet de vraag beantwoord of de implentatie van het Signal-protocol wel goed gebeurd is en geen fouten van enige importantie is gemaakt (dat mag je dan hopen).
22-08-2018, 09:40 door [Account Verwijderd]
Door Fidelis:
Door johanw: Als het end to end encryptie is staan de sleutels alleen op de apparaten van de gebruikers zelf opgeslagen en nergens anders.
Klopt. Maar wat voor een zekerheid heb je, als je netwerk - terecht of onterecht - onverhoeds wordt opgerold, de servers en de apparaten (waar de private-keys opgeslagen liggen) in beslag worden genomen? Want dat is toch wat tussen de regels bedoeld wordt door topicstarter op 21 augustus om 14.31 uur.
https://www.security.nl/posting/506803/Politie+ontsleutelt+miljoenen+met+PGP+versleutelde+berichten

En dan is nog niet de vraag beantwoord of de implentatie van het Signal-protocol wel goed gebeurd is en geen fouten van enige importantie is gemaakt (dat mag je dan hopen).

Je weet bij b.v. de Signal app ook niet of je al afgetapt wordt voordat Signal je bericht versleutelt. Er kan een backdoor in iOS of Android zitten. Als je zo paranoia bent kun je al je telefoons en computers maar beter meteen goed vernietigen dan kun je ook niet meer afgetapt worden.

Klinkt misschien wat overdreven maar 100% garantie heb je nooit en dat was ook al zo voor het digitale tijdperk. In de voormalige DDR was er ook een uitgebreid verklik netwerk door Stasi plus handlangers.
22-08-2018, 09:42 door Anoniem
Door Fidelis:
Door johanw: Als het end to end encryptie is staan de sleutels alleen op de apparaten van de gebruikers zelf opgeslagen en nergens anders.
Klopt. Maar wat voor een zekerheid heb je, als je netwerk - terecht of onterecht - onverhoeds wordt opgerold, de servers en de apparaten (waar de private-keys opgeslagen liggen) in beslag worden genomen? Want dat is toch wat tussen de regels bedoeld wordt door topicstarter op 21 augustus om 14.31 uur.
https://www.security.nl/posting/506803/Politie+ontsleutelt+miljoenen+met+PGP+versleutelde+berichten

En dan is nog niet de vraag beantwoord of de implentatie van het Signal-protocol wel goed gebeurd is en geen fouten van enige importantie is gemaakt (dat mag je dan hopen).

Er is duidelijk geen enkel antwoord op de vraag "waar de sleutels zijn opgeslagen". Ook het bedrijf hierachter geeft hierover geen uitsluitsel. Ook het encryptiemodel is niet transparant, wat twijfels oproept over de betrouwbaarheid daarvan. Wat vinden gerenommeerde cryptologen hiervan bijvoorbeeld.
Als je echt iets te verbergen hebt, en dat toch met anderen wil delen, zonder paranoia te worden, gewoon ouderwets PGP gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.