image

Versleutelde chat-app Signal krijgt optie voor het uitschakelen van PINs

zaterdag 11 juli 2020, 12:29 door Redactie, 11 reacties

Versleutelde chat-app Signal krijgt een optie voor het uitschakelen van PINs waarmee gebruikers hun Signal-profiel, contacten en instellingen kunnen herstellen als ze hun telefoon zijn verloren of op een nieuw toestel overstappen. Dat heeft ontwikkelaar Moxie Marlinspike bekendgemaakt, nadat verschillende beveiligingsexperts kritiek op de functie hadden geuit.

In tegenstelling tot verschillende andere apps probeert Signal zo min mogelijk informatie van en over gebruikers te verzamelen. Een probleem is echter dat wanneer gebruikers hun telefoon verliezen ook alle Signal-informatie verloren gaat. Om te voorkomen dat gebruikers hun profiel, instellingen en contacten verliezen hebben de Signal-ontwikkelaars "PINs" bedacht, waarbij deze gegevens versleuteld op de servers van Signal worden opgeslagen.

De PIN bestaat uit minimaal vier cijfers, maar kan ook een alfanumerieke passphrase zijn. Aan de hand van de PIN wordt een 32 byte key afgeleid. Met deze key worden twee variabelen gegenereerd, een authenticatietoken en, gecombineerd met willekeurig gegenereerde invoer, een master key. Deze master key is weer te gebruiken om aanvullende keys af te leiden waarmee andere bij Signal opgeslagen data is te beveiligen.

Wanneer een gebruiker zijn telefoon verliest en vervolgens Signal met hetzelfde telefoonnummer op een nieuw toestel registreert en daarna zijn PIN opgeeft, heeft hij zijn profiel, instellingen en contacten meteen terug. Om misbruik te voorkomen hebben de ontwikkelaars ook bescherming tegen bruteforce-aanvallen toegevoegd.

De PIN is letterlijk de sleutel tot de opgeslagen data. Om te voorkomen dat gebruikers die vergeten vraagt Signal gebruikers periodiek om hun PIN in te voeren. Op deze manier moet het eenvoudiger voor gebruikers worden om hun code te herinneren. Daarnaast maken PINs ook andere nieuwe features mogelijk die niet alleen op het telefoonnummer van de gebruiker zijn gebaseerd.

Op dit moment is het niet mogelijk om PINs uit te schakelen, iets wat sommige experts niet lekker zit. "Eerlijk gezegd kan mijn contactenlijst mij niet zoveel schelen. Maar ik vind het geen prettig idee dat ik wordt gedwongen om ze naar een server te uploaden, terwijl ik juist Signal gebruik omdat het ontworpen is om dit soort dingen niet te doen. Ook ben ik bang dat Moxie in de toekomst een feature ontwikkelt om de inhoud van berichten te uploaden en dat die ook niet opt-in zal zijn", stelt Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, tegenover Vice Magazine.

Green liet op Twitter weten dat hij vanwege PINs ging stoppen met het gebruik van Signal. Marlinspike gaf vervolgens een reactie terug op Twitter. Daarin liet hij onder andere weten dat hij het lastig vindt om ontwerpdiscussies met mensen in de it-security te hebben, omdat er een kloof is tussen wat als "praktisch" wordt beschouwd en wat Marlinspike in de praktijk tegenkomt. Daarbij wijst hij onder andere naar de verhalen van Signal-gebruikers.

Desondanks kondigt de Signal-ontwikkelaar aan dat er gebaseerd op de ontvangen feedback een optie voor "geavanceerde gebruikers" komt die het prima vinden om bij een herinstallatie hun contacten te verliezen om PINs uit te schakelen, aldus Marlinspike. Wanneer de optie aan de chat-app wordt toegevoegd is nog onbekend.

Image

Reacties (11)
11-07-2020, 13:14 door Anoniem
Signal gaat achteruit. Het verwijderen van de pins veranderd daar niets aan.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.
11-07-2020, 15:35 door Anoniem
Door Anoniem: Signal gaat achteruit. Het verwijderen van de pins veranderd daar niets aan.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.

Hoe doe jij dat met een IRL gesprek met iemand?
11-07-2020, 18:20 door linux4
Door Anoniem: Signal gaat achteruit. Het verwijderen van de pins veranderd daar niets aan.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.

Het voordeel is nog steeds dat je niets met Facebook te maken hebt maar ik zie ook de eerste scheurtjes ontstaan qua privacy waar Signal zo prat op gaat. Ze gaan teveel hun principes laten varen om het zoveel mogelijk op WhatsApp te laten lijken. Heel jammer...
11-07-2020, 18:21 door Anoniem
Door Anoniem:
Door Anoniem: Signal gaat achteruit. Het verwijderen van de pins veranderd daar niets aan.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.

Hoe doe jij dat met een IRL gesprek met iemand?
Hoe bedoel je?
11-07-2020, 18:59 door Briolet
waarmee gebruikers hun Signal-profiel, contacten en instellingen kunnen herstellen als ze hun telefoon zijn verloren of op een nieuw toestel overstappen.

Wat is er mis met het backuppen van deze data op een eigen server of PC? Dat zou ik als standaard verwacht hebben.
11-07-2020, 19:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Signal gaat achteruit. Het verwijderen van de pins veranderd daar niets aan.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.

Hoe doe jij dat met een IRL gesprek met iemand?
Hoe bedoel je?

Signal is een chat (gespreks) app, hoe exporteer jij een gesprek wat je in real life met iemand gevoerd hebt? Een chat is over het algemeen vluchtig en als je er iets van wilt bewaren kan je dat doen door een aantekening te maken.

M.a.w. ik kan gerust al mijn Signal gesprekken kwijt raken en dan is er niks aan de hand, sterker nog, ik wis zelf regelmatig de gespreksgeschiedenis. En als er iets komt wat beter is kan ik gewoon de overstap maken.
12-07-2020, 12:37 door Anoniem
Ik ben blij dat ik nooit een pin heb aangemaakt en de stug op de "remind me later" knop heb gedrukt. Ik heb helemaal geen behoefte aan opslag bij signal, chats ouder dan een paar dagen hebben toch geen enkele waarde meer.
12-07-2020, 13:50 door Anoniem
Leuk dat de optie komt om het uit te schakelen. Echter velen hebben de data al ge-upload, je moet wel wil je de applicatie nog kunnen gebruiken. Komt er ook een optie om het weer te wissen?

Heb zo'n vermoeden van niet. Daarnaast is het een compleet overbodige functie. Veel valt er niet in te stellen en wie geen offline back-upje heeft van zijn contacten is niet handig bezig. Sowieso een verstandig iemand slaat geen contacten op in zijn smartphone en gebruikt een chat-app waarbij dit niet nodig is.
12-07-2020, 14:46 door Anoniem
Door Anoniem: Leuk dat de optie komt om het uit te schakelen. Echter velen hebben de data al ge-upload, je moet wel wil je de applicatie nog kunnen gebruiken. Komt er ook een optie om het weer te wissen?

Heb zo'n vermoeden van niet. Daarnaast is het een compleet overbodige functie. Veel valt er niet in te stellen en wie geen offline back-upje heeft van zijn contacten is niet handig bezig. Sowieso een verstandig iemand slaat geen contacten op in zijn smartphone en gebruikt een chat-app waarbij dit niet nodig is.
Signal is gericht op privacy, dus het wissen zal wel kunnen, zo niet, dan komt het wel in de volgende versie.
13-07-2020, 08:08 door Anoniem
Door Anoniem:...Sowieso een verstandig iemand slaat geen contacten op in zijn smartphone en gebruikt een chat-app waarbij dit niet nodig is.

Oftewel ik moet iedere keer dat ik iemand een bericht wil sturen of wil bellen zijn of haar nummer uit mijn hoofd weten om in te voeren? Hoe zie je dat voor je? Waarom is het hebben van een contactenlijst zo gevaarlijk?
13-07-2020, 09:12 door Anoniem
Inderdaad, hopeloze optie die pin.
Eerst ellenlang zeuren dat je hem moet invullen en dan bijna iedere 2 dagen zeuren dat ik hem weer moet invullen en dat voor iets dat ik helemaal niet wil.
GElukkig kun je het laatste in advanced wat uitzetten.

Het zou heel wat fraaier zijn geweest als het een opt-in functie was geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.