Nieuws
image

Versleutelde chat-app Signal ondersteunt nu ook stickers

woensdag 18 december 2019, 11:24 door Redactie, 10 reacties

De end-to-end versleutelde chat-app Signal ondersteunt nu ook stickers, afbeeldingen die gebruikers aan hun berichten kunnen toevoegen. Andere chatapplicaties zoals WhatsApp bieden al langer de optie om stickers toe te voegen. Signal heeft dit echter gedaan op een manier die versleuteld, privé en veilig is, zegt ontwikkelaar Joshua Lund.

Naast twee "sticker packs" die standaard aanwezig zijn kunnen gebruikers ook hun eigen stickers ontwikkelen. De sticker packs zijn versleuteld. Elk sticker pack bestaat uit een willekeurig ID en een symmetrische "pack key" die de packnaam, naam van de auteur en media versleutelt. Deze sleutel wordt niet bij Signal opgeslagen. Gebruikers wisselen deze sleutels tussen zichzelf uit als ze stickers naar elkaar toe sturen. Stickers worden verstuurd als een standaard versleutelde bijlage (met padding), en stickers zijn nooit gekoppeld aan het Signal-account van de maker.

"Het resultaat is dat de content van stickers en andere informatie standaard niet zichtbaar is voor Signal", aldus Lund. Stickers zijn nu beschikbaar in de bètaversie van Signal. Wanneer de optie in de standaardversie beschikbaar komt is nog niet bekend.

Image

Reacties (10)
18-12-2019, 11:37 door Anoniem
Egt?
Echt een meerwaarde ;) :) <3
18-12-2019, 13:59 door Anoniem
Ik vind het wel grappig
Het gaat allemaal iets minder snel bij Signal
Maar dat interesseert de gebruikers niet.
Mensen gebruiken Signal omwille van de privacy specifications
Elke vooruitgang is een verbetering
Fijne woensdag iedereen
peace
Mad Mike
18-12-2019, 14:57 door Anoniem
Door Anoniem: Egt?
Echt een meerwaarde ;) :) <3
Voor jou als (waarschijnlijk) security en privacy specialist niet, maar wel voor de gemiddelde smartphone gebruiker. De adoptie van veilige alternatieven zoals Signal staat of valt bij de z.g. userbase, oftewel hoeveel mensen wereldwijd gebruik maken van bijv. Signal.
18-12-2019, 15:23 door Anoniem
Wat betekent (met padding)?
18-12-2019, 15:39 door Anoniem
Door Anoniem: Egt?
Echt een meerwaarde ;) :) <3
Jazeker meerwaarde. Mijn kinderen (pubers) gebruiken vaak nog WA ipv Signal, ook met mensen die ook Signal hebben. Navraag waarom: vanwege de stickers.
18-12-2019, 16:18 door _R0N_
Door Anoniem:
Elke vooruitgang is een verbetering

Dat is een leugen
19-12-2019, 13:30 door Anoniem
Door _R0N_:
Door Anoniem:
Elke vooruitgang is een verbetering
Dat is een leugen
En andersom is ook al niet waar.

Waar moet het toch heen met de wereld tegenwoordig?!?
21-12-2019, 09:16 door GerBNL - Bijgewerkt: 21-12-2019, 09:24
Door Anoniem: Wat betekent (met padding)?
Gokje: de standaard versleutelde bijdragen hebben een vaste bestandsgrootte. Een kleinere pack wordt aangevuld met (random) vulsel tot die vaste grootte is bereikt. Daarmee valt bestandsgrootte weg als een vector om deze te volgen. Alle (verschillend versleutelde) bijlagen zijn immers precies even groot.

Van mij mogen ze deze functionaliteit overigens houden, Signal wordt er niet veiliger op met toeters en bellen. 1) Met elke feature neemt de kans op missers toe. 2) Hoe hoger het profiel, hoe meer Signal een doelwit wordt.

@redactie: niet om perse een taalnazie te willen zijn, maar voelt nu zo zere duim :(
Gebruikers wisselen deze sleutels tussen zichzelf uit als ze stickers naar elkaar toe sturen.
Gebruikers wisselen deze sleutels uit als ze stickers naar elkaar toe sturen.
of desnoods:
Gebruikers wisselen deze sleutels met elkaar uit als ze stickers gebruiken?
23-12-2019, 11:53 door Anoniem
Ja, leuk hoor; stickers!

Maar liever zag ik dat Signal.app eens ging werken in en IPv6-only omgeving.
24-12-2019, 12:50 door Anoniem
Door Anoniem: Wat betekent (met padding)?

Het Engelse begrip padding in de kledingindustrie verwijst naar een zoom of binnenvoering, of ook wel een vulling. In de cryptografie heeft padding betrekking tot hoe een bericht van een gegeven lengte in een cryptografische envelop of doos wordt gestopt, een doos van een nikszeggende standaard afmeting.

Vergelijk dat het met het aanvullen van een doos met waardeloze piepschuim vlokken, om de eigenlijke grootte van het pakket te verhullen en de verzonden inhoud te beschermen. Een loze schoudervulling, in het geval van kleding, om te verhullen dat er een schriel mannetje een duur maatpak zit.


Uit de Signal.org specificaties van het gebruikte The Double Ratchet Algorithm:

o The plaintext is encrypted using AES-256 in CBC mode with PKCS#7 padding, using the encryption key and IV from the previous step

https://signal.org/docs/specifications/doubleratchet/


De gebruikte afkorting PKCS staat voor "Public Key Cryptography Standards"

https://en.wikipedia.org/wiki/PKCS

zie: PKCS#7 (CMS) en RFC 2315 section 10.3

When the content being enveloped has content type data, then just the
value of the data (e.g., the contents of a file) is encrypted. This
has the advantage that the length of the content being encrypted need
not be known in advance of the encryption process. This method is
compatible with Privacy-Enhanced Mail.

https://tools.ietf.org/html/rfc2315#section-10.3 Content-encryption process

zie: de noten 1. en 2. van RFC 2315 section 10.3, over de toepassing van padding.

Omdat de stickers in de Signal app klein van formaat zijn, worden ze van een schoudervulling voorzien. Dan vallen met een standaard grootte in de grote drukte van het internet verkeer, bij een hoog frequent gebruik, veel minder op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure