Was al mogelijk met root rechten. Nu tracken ze dus al je aparaten.

dan moet je de private keys ook op die andere toestellen zetten. Is toch wel een dingetje (ook qua security) om private keys te kopieren. Vraag me af hoe dat wordt gedaan als je alleen maar een code hoeft in te voeren en niet bijvoorbeeld een QR code hoeft te scannen.

nou nee dankje ik pas

Ik beschouw communicatie over Whatsapp niet als private.

Bij WhatsApp beheer jij de private keys niet, dat doet WhatApp. Je kunt je berichten ook op je computer (web based) en je telefoon lezen dus beide devices kennen de keys al.

Oef, maar goed dat ik dat dan niet gebruik. End-2-end encryptie bestaat dus niet binnen WhatsApp, aangezien WhatsApp zelf als een MitM kan acteren (deze heeft immers controle over de sleutels). En het woord "private" kunnen we dan weglaten, want echt prive zijn deze sleutels dan niet.

Is er in WhatsApp wel een duidelijk overzicht te zien van de gekoppelde apparaten?

Voor mijzelf, en vermoedelijk voor heel veel mensen, geldt dat de meeste van mijn chatberichten nauwelijks geheim zijn en dat ze, in elk geval voor cybercriminelen, totaal niet interessant zijn. Wellicht wel voor marketeers en AI-ontwikkelaars, maar die hebben er niet onbeperkt geld voor over om de speld in de chat-hooiberg te vinden: lastig te onderscheppen chats zijn al snel veilig genoeg, vooral als je geen VIP bent (of een verdachte zware crimineel).

Wel heel belangrijk vind ik dat als ik bijv. een (Threema, ik gebruik WhatsApp niet) bericht van mijn zoon krijg, ik behoorlijk zeker weet dat hij dat heeft gestuurd.

Het vaststellen van de authenticiteit van berichten gebeurt ook met een asymmetrisch sleutelpaar (de verzender signeert digitaal met diens private key, en de ontvanger controleert de digitale handtekening m.b.v. de bijpassende public key). Hoe groot de kans is dat een bericht authentiek is, wordt in elk geval bepaald door hoe zeker je weet dat een public key die jij hebt écht van de kennelijke afzender is, én hoe zeker je weet dat (een kopie van) de bijpassende private key van de afzender niet in verkeerde handen is gevallen.

Kortom, het gaat niet alleen om geheimhouding ("D2DE" = Device to Device Encryption), maar ook om authenticiteit: wie heeft het bericht verzonden en is het ongewijzigd sinds die verzending.

Terzijde
Overigens lijkt het mij verstandig (maar voor veel mensen wellicht te omslachtig) om op elk device er een unieke digitale identiteit (en dus sleutels) op na te houden. Dan kun je, als zo'n device gestolen wordt of gecompromitteerd raakt, hopelijk zonder ingewikkelde toestanden, de sleutels voor jouw identiteit op dat specifieke device intrekken.

Nb. dat vereist dan wel een betrouwbare revocation-oplossing die daadwerkelijk geraadpleegd wordt en niet tot grote privacy-risico's leidt, wat allesbehalve eenvoudig is.

Datzelfde zou ook voor accounts (banken, websites, ...) kunnen gelden. Bijv. op security.nl zou ik met de volgende accounts kunnen hebben (met elk een random gegenereerd wachtwoord):
• "Erik van Straten" vanaf A1 met wachtwoord1
• "Erik van Straten" vanaf A2 met wachtwoord2
• "Erik van Straten" vanaf A3 met wachtwoord3
waarbij A1..A3 apparaat-aliases zijn voor bijv. mijn PC, iPhone en Android telefoon. Met een soort van "OCSP-stapling" zou bij elke inlog het niet ingetrokken zijn kunnen worden aangetoond. Als bijv. mijn A2 gestolen wordt, hoef ik dat maar op 1 plaats te melden waarna niemand vanaf A2 als mij kan inloggen.

Voor WebAuthn met FIDO2 hardware keys (private keys niet exporteerbaar) is "meerdere credentials" al een voorwaarde, maar bij WebAuthn is -voor zover ik weet- revocation nog een "todo-dingetje" (hopen maar dat niemand jouw Yubikey pincode heeft afgekeken of gesnifft op een gecompromitteerd apparaat).

mensen zouden er goed aan doen als ze op een andere chat dienst als session of matrix overstappen dan whatsapp aangezien massa surveilance bij whatsapp nu gewoon werkelijkheid geworden is. al je berichten worden gescanned tegen een algorithme waar jij geen weet van hebt.

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019R1150

https://www.patrick-breyer.de/en/posts/messaging-and-chat-control/