Signal laat berichten versturen zonder dat het afzender kent
Om de privacy van gebruikers verder te verbeteren heeft de versleutelde chat-app Signal een nieuwe functie ontwikkeld waarbij het de afzender van berichten niet meer hoeft te kennen. Signal probeert zo min mogelijk gegevens van gebruikers op te slaan. Zo worden locatie, profielfoto, gebruikersnaam, groepen en gesprekslijsten van gebruikers niet opgeslagen.
Wanneer gebruikers echter een bericht versturen ziet Signal naast de ontvanger ook de afzender. "Hoewel Signal altijd moet weten waar een bericht moet worden afgeleverd, zou het idealiter niet moeten weten wie de afzender is", zegt Joshua Lund van Open Whisper Systems, de ontwikkelaar van Signal. "Het zou beter zijn als Signal pakketten kan verwerken waar alleen de bestemming op de buitenkant staat vermeld, met een lege ruimte waar het "van" adres normaliter stond."
Om dit mogelijk te maken maakt Signal gebruik van afzendercertificaten en afleveringstokens. Dit moet spoofing en misbruik voorkomen. Chatberichten die via Signal worden verstuurd zijn standaard end-to-end versleuteld. Bij de nieuwe verzendmethode wordt ook de "envelop" via de identiteitssleutels van de afzender en ontvanger versleuteld. Deze envelop kan door de ontvanger worden ontsleuteld en bevat het afzendercertificaat. Op deze manier kan de ontvanger controleren dat het bericht echt van de afzender afkomstig is.
De nieuwe functionaliteit is nu beschikbaar in de bètaversie van Signal. Uiteindelijk zal de chat-app alle berichten waar mogelijk via deze nieuwe methode versturen. Gebruikers kunnen straks een optioneel statusicoon inschakelen dat wordt weergegeven in de details van een dergelijk bericht. "We verzamelen en slaan geen gevoelige informatie over onze gebruikers op en dat zal nooit veranderen", besluit Lund.
Stel dat bij de uitvinding van het postkantoor was besloten dat alle brieven opengemaakt zouden worden, gescand en voor eeuwig opgelagen. Met de bedoeling om op bais daarvan dagelijks verkopers naar je voordeur te sturen die alles van je weten. En zelfs al die kennis beschikbaar stellen aan politieke partijen, als er verkiezingen aankomen. Het is een formule die al drie revoluties geleden afgeschaft zou zijn. Desnoods bloedig. Zulke postkantoren waren al lang in brand gestoken geweest. Je ziet de andere apps die echt in zulke modellen geloven dan ook meer en meer kritiek krijgen. En terecht. Er wordt steeds vaker en harder geroepen waar men eigen mee bezig denkt te zijn.
Het echte postkantoor werkt beter. Onlangs zijn er via echte postkantoren bijvoorbeeld nog wat pijpbommen verstuurd zelfs. En je leest in geen krant de kreet waar meneer postkantoor eigenlijk mee bezig denkt te zijn. Dat het postkantoor in dit geval zeker meewerkt om de afzender te vinden en verdere verzending van zulke pakketjes te verhinderen, daar hoor je ook niemand zich zorgen om maken of roepen dat het een aantasting van de privacy van de afzender is. Toch?
Communicatie apps kunnen prima werken zoals een echt postkantoor. En ook een gezond verdien model hebben (want wat kost het versturen van een handjevol bytes nou nog helemaal?).
Wat makers van apps als Signal misschien nog eens zouden moeten bedenken is een vorm van inter-operabel zijn. Ik bedoel, als ik een brief naar Duitsland wil sturen, dan hoef ik niet op zoek te gaan naar een Duits postkantoor. Dat is met apps nog wel het geval, in de zin dat de ontvanger dezelfde app moet hebben als ik. Tegelijk, als ik een brief wil sturen naar een land waar nog wel regelmatig brieven worden opengemaakt, dan kan ik ook gewoon bij mijn zelfde postkantoor terecht.
Met al die mooie techniek van nu toch raar dat zoiets bij die ouwerwetse postkantoren wel al eeuwen kan, maar bij apps niet?
<knip>
100% goed verwoord.
Met al die mooie techniek van nu toch raar dat zoiets bij die ouwerwetse postkantoren wel al eeuwen kan, maar bij apps niet?
Productbescherming heet dat.
Als het net zo zou werken als bij postkantoren, dan is dit de methode om spam te gaan versturen. Je kunt dan namelijk volkomen anoniem en zonder kosten een brief in de bus doen. (bij papieren post heb je nog een drempel door de kosten van het papierwerk).
Zonder afzender kun je ook geen spammers blokkeren. Signal heeft hier over nagedacht en doet het vast net iets anders.
Oude truuks. Bij de ANWB een extra voorletter opgeven. Of ook zoeken naar een antwoordnummer en dan ongefrankeerd desnoods een baksteen terug sturen.
Spam is echt niets nieuws. Het is gemakkelijker en vooral goedkoper geworden met emails. Tegelijk is het technisch gemakkelijker geworden om te filteren wat je nog wel en niet wilt ontvangen. Alleen het wordt niet genoeg toegepast. Omdat velen nog geloven in de marketing methodes van boekenclubs en Readers Digest.
Zelfs suffe guppies die hele whatsapps opkopen.
Dat je moet betalen om een bericht te sturen gaat het verschil niet maken. Dat een app je de controle geeft over wat je wel en niet wilt ontvangen wel. En dat is met techniek veel eenvoudiger en goedkoper op te lossen.
De gangbare filosofie blijft dat de consument dom is. Dat heeft in de geschiedenis menig koning of staatshoofd letterlijk de kop gekost.
En dat terwijl al die mooie gratis techniek vooral gratis is weggegeven aan de wereld om de wereld beter te maken.
"Overleven" en "postkantoren" in één zin gebruiken. Wat een analogie.
Ik zie postkantoren alleen maar gesloten worden, en postbodes vervangen worden door bijklussers.
Soms vraag ik me af of hier ook mensen zitten die wel eens buiten komen de laatste paar decennia .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
