image

Signal-president: WhatsApp is ondanks encryptie niet echt veilig en privé

vrijdag 28 oktober 2022, 15:22 door Redactie, 12 reacties
Laatst bijgewerkt: 28-10-2022, 16:40

Ook al maakt WhatsApp gebruik van het Signal-protocol voor het end-to-end versleutelen van berichten, mede door alle metadata die het verzamelt is de chatapp niet echt veilig en privé, zo stelt Meredith Whittaker, de onlangs aangestelde "president" van chatapp Signal. Whittaker werd recentelijk geïnterviewd door The Verge, waarin ook WhatsApp ter sprake kwam. Ze is sinds september president, een nieuwe functie bij Signal waarbij Whittaker samenwerkt met de ceo en leiding van de chatapp.

Signal en WhatsApp maken gebruik van hetzelfde, door Signal ontwikkelde protocol voor het end-to-end versleutelen van berichten. Toch is dat niet het enige waar volgens Whittaker naar moet worden gekeken. "WhatsApp beschermt je metadata niet zoals Signal doet. Signal weet niet wie je bent. Het heeft geen profielinformatie en heeft encryptiebeveiliging voor groepen geïntroduceerd. We weten niet met wie je praat en wie er in een groep zitten."

WhatsApp verzamelt wel allerlei informatie over het profiel, de profielfoto, wie met wie praat en onderdeel van een groep is, merkt de Signal-president op. "Dat is krachtige metadata", aldus Whittaker. Volgens haar zou het eenvoudig zijn om de WhatsApp-metadata met Facebook-data te combineren, aangezien beide ondernemingen eigendom van Meta zijn.

Daarmee zou het gemakkelijk zijn om "zeer intieme informatie" over mensen te onthullen. Daarnaast ligt de keuze om de encryptieprotocollen te verwijderen of versterken in de handen van Meta. "We moeten goed kijken naar wat voor soort organisatie dat is, wie de controle over die beslissingen heeft, en sommige van deze details worden niet besproken als we het over versleutelde berichten in het algemeen hebben", laat de Signal-president verder weten.

Whittaker benadrukt dat Signal een non-profitorganisatie is die geen toegang tot data zoals Facebook heeft. "We kopen, verkopen of verhandelen je data niet. Het is een ander paradigma. We kunnen niet naar WhatsApp wijzen, hoe gelikt hun marketing ook is, en zeggen dat het echt veilig en privé is. Wanneer we al deze zaken bij elkaar optellen komen we tot de conclusie dat dat niet het geval is. De enige reden dat Signal bestaat is daarvoor." Waarbij Whittaker op veilige en private communicatie doelt.

Reacties (12)
28-10-2022, 17:24 door Anoniem
Signal weet niet wie je bent maar Signal heeft wel een koppeling met je telefoonnummer. Dat is nog steeds erg jammer.
28-10-2022, 22:46 door Anoniem
End to End encryptie is heel mooi maar deze beveiligd de data niet op het moment deze op de bestemming is aangekomen.

Daar wringt hem ook de schoen, want wie zegt dat bijv. een facebook app de whatsapp data welke reeds is ontvangen niet kan uitlezen en vervolgens gericht advertenties kan sturen?
29-10-2022, 11:02 door karma4
End to end is ook bij Signal hooguit wat hun platform betreft. Dat is niet van end to end in de persoonlijke communicatie.
Sleutels bij een technische partij betekent dat die er altijd bij kunnen. Lekken de sleutels dan ligt alles open
29-10-2022, 12:04 door Anoniem
Door Anoniem: Signal weet niet wie je bent maar Signal heeft wel een koppeling met je telefoonnummer. Dat is nog steeds erg jammer.
Maar gelijktijdig ook heel praktisch. Het succes van dit soort chatapps is juist omdat het aan je telefoonnummer gekoppeld is. Nu kan je eenvoudig iemand een berichtje sturen op basis van alleen het telefoonnummer. Hoe zie je dat voor je zonder koppeling met telefoonnummer?

Er is overigens al een chatapp zonder koppeling met je telefoonnummer: E-mail.

Daarnaast, door hashing kan je de koppeling met telefoonnummer maken zonder dat Signal zelf over de telefoonnummers moet beschikken.
29-10-2022, 17:16 door Anoniem
Door Anoniem:
Door Anoniem: Signal weet niet wie je bent maar Signal heeft wel een koppeling met je telefoonnummer. Dat is nog steeds erg jammer.
Maar gelijktijdig ook heel praktisch. Het succes van dit soort chatapps is juist omdat het aan je telefoonnummer gekoppeld is. Nu kan je eenvoudig iemand een berichtje sturen op basis van alleen het telefoonnummer. Hoe zie je dat voor je zonder koppeling met telefoonnummer?

Er is overigens al een chatapp zonder koppeling met je telefoonnummer: E-mail.

Daarnaast, door hashing kan je de koppeling met telefoonnummer maken zonder dat Signal zelf over de telefoonnummers moet beschikken.

Of je gebruikte Threema
30-10-2022, 08:37 door Anoniem

Of je gebruikte Threema

Dat is er nog steeds.
31-10-2022, 08:10 door Anoniem
Hashing over een domein met max 15 cijfers betekent dat de hashes nog steeds uniek zijn.
Tenzij de hash functie bestaat uit neem cijfer 4 t/8 van achteren af geteld....
Dan heb je de beveiliging van collisions die hashes bieden voor ww.
31-10-2022, 10:45 door Anoniem
Door karma4: End to end is ook bij Signal hooguit wat hun platform betreft. Dat is niet van end to end in de persoonlijke communicatie.
Sleutels bij een technische partij betekent dat die er altijd bij kunnen. Lekken de sleutels dan ligt alles open
Signal gebruikt een protocol waarbij de sleutels enkel op de endpoints beschikbaar zijn: jouw sleutel op je eigen telefoon dus en die van de ander op de ander z'n telefoon. Er worden nadrukkelijk GEEN sleutels ' bij een technische partij' bewaard. Geen idee hoe je daar bij komt of ik begrijp je opmerking niet goed, dat kan ook natuurlijk :)
31-10-2022, 13:05 door Anoniem
Door Anoniem: Hashing over een domein met max 15 cijfers betekent dat de hashes nog steeds uniek zijn.
Tenzij de hash functie bestaat uit neem cijfer 4 t/8 van achteren af geteld....
Dan heb je de beveiliging van collisions die hashes bieden voor ww.

Collisions bieden beveiliging voor wachtwoorden...??
31-10-2022, 13:52 door Anoniem
Whatsapp?

Whats next....
31-10-2022, 14:13 door Anoniem
Dit heeft ook weer een aardig WC-eend-gehalte, want of je minder veilig bent wanneer advertenties beter op je zijn afgestemd is nog maar zeer de vraag.
01-11-2022, 16:23 door Anoniem
Door Anoniem: Hashing over een domein met max 15 cijfers betekent dat de hashes nog steeds uniek zijn.

Uhm, zo'n kort stukje informatie hashen heeft naast geen/weinig collisions, heel erg weinig nut, want je kunt eenvoudig voor alle mogelijkheden de hash uitrekenen en dus effectief "terug" van hash naar nummer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.