Toch heb ik zomaar het idee dat je als je om privacy geeft bij Telegram beter af bent.
watshap is van een datagraaier. Hoe dom kun je zijn om dat te gebruiken?

Wr zijn vele alternatieven;
SimpleX, Briar, Signal/Molly, Schildichat/Fluffychat/Element, Conversation, etc.
Al deze zijn beter dan zowel telegram als WhatsApp.
WhatsApp is proprietaire software, en dus een zwarte doos, daarnaast wordt er metadata van gebruikers verzameld. (Niet de berichten zelf)
Telegram gebruikt experimentele versleuteling (en gebruikt daarvoor haar gebruikers om deze te testen) en worden berichten niet standaard versleuteld.
SimpleX is haar eigen ding en gebruikt geen identifyers.
Briar gebruikt geen servers en werkt offline. (Is vooral bedoeld voor whistleblowers, e.d.)
Schildichat/Fluffychat en Element zijn chatapps gebaseerd op het Matrix-protocol.
Er is zjn ook chatapps gebaseerd op het XMPP-protocol zoals Conversations.
Signal is gebaseerd op het Signal-protocol, evenals Whatsapp, Molly is een verharde versie van Signal.

mij zit het dwars dat green typisch newspeak praat...


Green zegt dat hij niet leuk vindt dat durov beweert dat er backdoors zitten in signal en WA, en vervolgens gaat ie er helemaal niet op in en komt met sidedhow bob gebrabbel...

het antwoord had moeten zijn 'er zitten geen backdoors in, want ik heb de broncode bekeken'.. dat kan hij echter niet, dus kan ie de bewering niet ontkrachten en gaat over op FUD..

vervolgens gaat ie beweren dat WA e2e encryptie heeft, maar dat heeft WA niet eens... PMP lekt 90% van de informatie, dus als jij een bericht stuurt vanaf het torentje in den haag, kan meta, facebook de overheid precies vertellen wie wanneer wat verstuurde vanaf die locatie.. klokkenluiders zijn zo makkelijk geidentificeerd, je hoeft niet te weten WAT er verstuurd is, maar DAT er iets verstuurd is en naar wie is voldoende, en de optie om berichten te 'rapporteren' geeft aan dat de app ook bij de berichten kan, unencrypted.. zodra de app een bericht naar een derde partij kan sturen, is er geen e2e encryptie..

Matrix gebaseerde opties lijken me het meest toekomst bestendig, met name gezien je niet aan en enkele partij vastzit. Je kunt, net als bij email het geval is, een partij kiezen waar je de dienst afneemt of je kunt je eigen servers/services (laten) hosten. Het laatste is met name voor organisatie relevant omdat je je eigen domeinnaam dan kunt gebruiken. Dit lost voor een groot deel ook de discussie op waar je data staat en wie de eigenaar is of verantwoordelijk is. Ook kun je zelf beslissen met welke andere Matrix systemen je wel en niet wilt koppelen.

Dit is nog niet compleet. Behalve de genoemde punten kun je de secret chats alleen op telefoons gebruiken, je hebt geen keuze om de inhoud van een bericht in de pushmelding te tonen(wat gebruiksvriendelijkheid niet ten goede komt, dus dan word er vaker de normale chat gebruikt. oor groepschat is E2EE uberhaupt niet beschikbaar, en je kunt iemand's fingerprint niet als vertrouwd markeren bij secret chat. Met andere worden moet je dus zelf constant de fingerprint controleren om MitM aanvallen te ontdekken.
Los van deze argumenten over de E2EE zorgt Telegram verder ook voor slechte privacy:
- Bij toegang tot contacten worden alle namen+telefoonnummers opgeslagen op hun servers. Ze claimen dat dat nodig is om een notificatie te geven dat een contact Telegram joint. Ze maken dus blijkbaar de afweging maken dat zo'n notificatie belangrijk genoeg is om daarom maar al die persoonsgegevens op te slaan. En los daarvan is het niet eens nodig. Signal bijvoorbeeld stuurt alleen SHA256 hashes van telefoonnummers naar de server, die dan teruggeeft welke hiervan Signal gebruiken. Dan kan Signal lokaal een notificatie genereren dat Pietje Puk nu ook Signal heeft.
- De standaard privacy instellingen staan zo dat iedereen je gebruikersnaam kan opzoeken en profielfoto kan zien. Je kan dus zo op een vrouwennaam zoeken en dan allerlei profielen zien.
- Telegram heeft ook een Nearby feature, waarmee je profielen in de buurt kunt opzoeken. Die staat standaard niet aan voor zover ik weet, maar met Triangulation is het mogelijk om de exacte locatie te vinden. Telegram vond dat geen security issue en heeft dat niet gefixed. Gecombineerd met bovenstaand punt een droom voor stalkers.
- Als je een bericht van iemand doorstuurt, kan de ontvanger standaard zien van wie dit bericht origineel afkomstig was en met de standaard profiel instellingen dan ook gelijk dat profiel+foto bekijken.

WhatsApp heeft wel end-to-end encryptie, gebaseerd op het Signal protocol. Voor zover ik weet is dit wel beperkt tot berichten en oproepen. Profielfoto's, groepsnamen en dergelijken worden volgens mij niet E2E ge-encrypt.
End-to-end encrypt staat los van metadata zoals wie wanneer heeft bericht. Dat is natuurlijk ook een groot privacy-risico en met de wetenschap dat WhatsApp van Meta/Facebook is is WhatsApp inderdaad niet aan te bevelen. Maar Metadata is sowieso iets wat lastig om te lossen is. Diensten die wereldwijd kunnen tappen kunnen ook extern waarnemen dat gebruiker A een packet via Telegram/Signal (of wat dan ook) stuurt, en even later gebruiker B een packet ontvangt. Dat is traffic correlation. Hiervoor zou je eigenlijk een gedecentraliseerde app moeten hebben die ook nog eens bewust vetraagde afleveringen doet om correlation onmogelijkt te maken en/of via het Tor netwerk oid stuurt.

Natuurlijk kan de app bij de berichten unencrypted, ze moeten toch leesbaar aan de ontvanger getoond kunnen worden? Dus ze moeten ontsleuteld worden. Vervolgens kan de gebruiker ervoor kiezen om die berichten weer door te sturen naar een derde partij doormiddel van de rapporteer functie. Net als dat iedere ontvanger van een versleuteld bericht de optie heeft om hiermee te doen wat die wilt. De E2E encryptie blijft gewoon intact. E2E encryptie zorgt er alleen voor dat jij iets versleuteld kan sturen naar iemand anders, op een manier dat alleen de ander het bericht kan ontsleutelen. De server/aanbieder van de app kan er dan niet bij. (En dus heeft het hacken/inbeslag nemen van de server geen zin). Een opmerking hierbij: om ervoor te kunnen zorgen dat alleen de ontvanger het bericht kan ontsleutelen moeten ontvanger en verzender sleutels uitwisselen. Dat is nogal een pain-in-the-ass om handmatig te doen zoals bij PGP. Daarom gaat dit bij apps van tegewoordig automatisch. Daarbij vertrouw je wel op de server. Dan zou de server dus MitM aanvallen kunnen doen. De meesten apps bieden de optie om de fingerprints van de sleutel te verifieren om te controleren of de sleutel echt van je contact is. Dat moet je dus wel doen om verzekerd te zijn van de E2E encryptie.

Dat heb je dan zonder verstand van zaken goed mis.