Cryptograaf hekelt Telegram over ontbreken standaard end-to-end encryptie
De bekende cryptograaf en universitair docent cryptografie Matthew Green heeft uitgehaald naar Telegram, omdat de dienst zich voordoet als 'veilige chatapp' terwijl het geen standaard end-to-end (e2e) encryptie biedt, en ook nog eens lastig voor gebruikers maakt om deze encryptievorm in te schakelen. Green noemt de aanhouding van Telegram-oprichter Pavel Durov in Frankrijk zorgwekkend, maar zit vooral met de term 'versleutelde chatapp' die in de berichtgeving wordt gebruikt en de aanvallen van Durov op chatapps zoals Signal en WhatsApp.
Telegram biedt standaard geen end-to-end versleutelde gesprekken. De chatapp maakt wel gebruik van versleuteling, maar de sleutels hiervoor heeft het zelf in handen. Als er in de context van chatapps over encryptie wordt gesproken, gaat het over standaard end-to-end encryptie, aldus Green. Telegram biedt gebruikers wel de optie om in privégesprekken met één ander persoon end-to-end encryptie in te schakelen, maar dit is niet eenvoudig, gaat de cryptograaf verder.
Zo is de optie voor een 'secret chat' niet direct zichtbaar en vereist meerdere clicks. "Eén voor het benaderen van het gebruikersprofiel, één voor een verborgen menu pop-up die me de optie laat zien en een laatste keer om te "bevestigen" dat ik encryptie wil gebruiken", stelt Green. Dit is echter niet voldoende om end-to-end versleuteld te communiceren. Secret chats werken alleen als de gebruiker bovenstaande stappen doorloopt als zijn gesprekspartner online is.< /p>
Een ander punt dat Green dwars zit zijn de aanvallen van Durov op Signal en WhatsApp, waarbij hij suggereert dat deze diensten door de Amerikaanse overheid van een backdoor zijn voorzien en alleen het encryptieprotocol van Telegram te vertrouwen is. "Dit zou een redelijk nerd-argument zijn geweest als het plaatsvindt tussen platforms die beide standaard end-to-end encryptie ondersteunen, maar Telegram heeft in deze discussie geen poot om op te staan."
De cryptograaf hekelt dat Telegram mensen bij standaard versleutelde chatapp probeert weg te krijgen, zonder zelf de benodigde features toe te voegen om berichten van gebruikers standaard te versleutelen. "Het begint een beetje kwaadaardig aan te voelen." Als het gaat om de veiligheid van Secret Chats zegt Green dat het waarschijnlijk wel veilig is. "Maar het maakt niet uit hoe veilig iets is als mensen er geen gebruik van maken."
watshap is van een datagraaier. Hoe dom kun je zijn om dat te gebruiken?
SimpleX, Briar, Signal/Molly, Schildichat/Fluffychat/Element, Conversation, etc.
Al deze zijn beter dan zowel telegram als WhatsApp.
WhatsApp is proprietaire software, en dus een zwarte doos, daarnaast wordt er metadata van gebruikers verzameld. (Niet de berichten zelf)
Telegram gebruikt experimentele versleuteling (en gebruikt daarvoor haar gebruikers om deze te testen) en worden berichten niet standaard versleuteld.
SimpleX is haar eigen ding en gebruikt geen identifyers.
Briar gebruikt geen servers en werkt offline. (Is vooral bedoeld voor whistleblowers, e.d.)
Schildichat/Fluffychat en Element zijn chatapps gebaseerd op het Matrix-protocol.
Er is zjn ook chatapps gebaseerd op het XMPP-protocol zoals Conversations.
Signal is gebaseerd op het Signal-protocol, evenals Whatsapp, Molly is een verharde versie van Signal.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.