Nieuws

Signal: berichtgeving BBC over gekraakte encryptie is onjuist

donderdag 24 december 2020, 10:08 door Redactie, 6 reacties

Een bericht van de BBC waarin wordt gesteld dat forensisch softwarebedrijf Cellebrite claimt de encryptie van Signal te hebben gekraakt is onjuist, zo stelt Signal. Cellebrite biedt software waarmee opsporingsdiensten forensisch onderzoek kunnen doen. Ook heeft het bedrijf in het verleden oplossingen geboden voor het ontsleutelen van vergrendelde iPhones.

Twee weken geleden kwam Cellebrite met een blogposting waarin het laat weten dat de software die het aanbiedt in staat is om via Signal versleutelde berichten en bijlagen te ontsleutelen. Voorwaarde is wel dat politie fysieke toegang tot een ontgrendelde telefoon heeft. Signal biedt end-to-end versleutelde communicatie, wat inhoudt dat alleen de afzender en ontvanger de inhoud van berichten kunnen inzien.

Cellebrite claimde in de blogposting niet dat het deze encryptie had gekraakt, maar dat onderzoekers met fysieke toegang tot een ontgrendeld toestel via de Cellebrite-software de chatgeschiedenis van gebruikers kunnen zien. Daarop kwam de BBC met een artikel met de volgende titel: "Signal: Cellebrite claimed to have cracked chat app's encryption."

Volgens Moxie Marlinspike, de man achter Signal, is dit onjuiste berichtgeving. Cellebrite kan de encryptie van Signal niet kraken, maar claimt ook niet dit te kunnen. De BBC had Signal niet om een reactie gevraagd, waarop Marlinspike de berichtgeving nu via een eigen blogposting ontkracht. De Signal-ontwikkelaar noemt het artikel van Cellebrite gênant. De mogelijkheid die het bedrijf beschrijft is namelijk hetzelfde wanneer iemand met fysieke toegang tot het toestel de Signal-app zou openen om verstuurde berichten te bekijken, merkt Marlinspike op.

De blogposting werd door Cellebrite offline gehaald en in aangepaste vorm teruggeplaatst waarbij er niets meer werd vermeld over "de moeite" die het kostte om toegang tot de berichten op een ontgrendeld toestel te krijgen. Marlinspike vraagt zich af hoe het kan dat deze "gênante" blogposting door de BBC en andere media als "succes" werd gepubliceerd.

Het feit dat Cellebrite de blogposting offline haalde en aanpaste laat juist zien dat de technische mogelijkheden van de software helemaal niet zo geavanceerd zijn, gaat de Signal-ontwikkelaar verder. "Het is jammer dat dergelijke misleidende en onnauwkeurige verhalen zich zo snel verspreiden, met name omdat zoveel mensen alleen de kop lezen en zo weinigen de correctie zien", besluit Marlinspike.

Slachtoffers SolarWinds-backdoor opgeroepen datalekken te melden

Antivirussoftware en beveiligde websites lieten Firefox crashen

Reacties (6)

24-12-2020, 14:32 door [Account Verwijderd]

"Het is jammer dat dergelijke misleidende en onnauwkeurige verhalen zich zo snel verspreiden, met name omdat zoveel mensen alleen de kop lezen en zo weinigen de correctie zien", besluit Marlinspike.

Hier slaat Marlinspike de spijker op z'n kop. Jaren terug schreef iemand van de Volkskrant een krantenkop over "chantage" bij een bepaalde organisatie, waarbij de journalist van het verhaal mij via de telefoon vertelde dat hij die kop zelf niet gezegd of geschreven had.

Sommige van die fantasieverhalen zijn dermate de spuigaten uitgelopen, dat ik daarom geen krantenabonnement meer wil hebben.

24-12-2020, 16:00 door Briolet

Door Security is Security: Hier slaat Marlinspike de spijker op z'n kop. Jaren terug schreef iemand van de Volkskrant een krantenkop over "chantage" bij een bepaalde organisatie, waarbij de journalist van het verhaal mij via de telefoon vertelde dat hij die kop zelf niet gezegd of geschreven had.

Dat is gebruikelijk. Meestal schrijft de redactie de kop en niet de journalist. En de redactie kijkt niet of een kop de beste samenvatting van het artikel is, maar of de kop lezers trekt. (klikaas)

Door Security is Security: Sommige van die fantasieverhalen zijn dermate de spuigaten uitgelopen, dat ik daarom geen krantenabonnement meer wil hebben.

Wat heeft dat met een krant te maken? Op deze site stoor ik me vaak meer aan misleidende koppen dan bij mijn eigen krant. Koppen boven digitale artikelen zijn volgens mij vaker misleidend dan bij een krant omdat bij een on-line artikel nog een grotere concurrentie is om lezers te trekken. Bij een krant leest de abonnee de artikel met meer zekerheid omdat hij de krant toch al op de deurmat krijgt. Pakkende koppen zijn er hooguit voor de incidentele koper bij een kiosk.

24-12-2020, 17:28 door Anoniem

De bedoeling was natuurlijk dat als iemand op trafalgar square vraagt ' heej, als je wil chatten met mij, doet dat via signal aub'.. en dat die andere zegt 'nee, joh, die is lek en gekraakt, laat maar zitten, doe het via facebook messenger'...

Niet dat ik snel signal zou gebruiken met vingers van whatsapp en twitter in de pap.

24-12-2020, 22:31 door Anoniem

Door Anoniem: De bedoeling was natuurlijk dat als iemand op trafalgar square vraagt ' heej, als je wil chatten met mij, doet dat via signal aub'.. en dat die andere zegt 'nee, joh, die is lek en gekraakt, laat maar zitten, doe het via facebook messenger'...

Niet dat ik snel signal zou gebruiken met vingers van whatsapp en twitter in de pap.

Hoe bedoel je in de pap?
De makers van Signal hebben het bronbestand van de end-to-end encryptie zoals wij die kennen van bijvoorbeeld Whatsapp bedacht en gedeeld met de rest van de wereld omdat zij privacy dermate belangrijk vinden dat iedereen daar gebruik van zou moeten kunnen maken.

Vinger in de pap lijkt mij niet op zijn plaats.

24-12-2020, 22:43 door Anoniem

Niet dat ik snel signal zou gebruiken met vingers van whatsapp en twitter in de pap.

Je hebt duidelijk geen idee waar de klepel hangt, je bent nu net zo erg als de BBC.

25-12-2020, 21:34 door Anoniem

De mogelijkheid die het bedrijf beschrijft is namelijk hetzelfde wanneer iemand met fysieke toegang tot het toestel de Signal-app zou openen om verstuurde berichten te bekijken, merkt Marlinspike op.

Oftewel, net zo makkelijk als de "$5 wrench attack".

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer