Whoopwhoop! WhatsApp versleutelt je apps
Gisteravond kwam het goede nieuws: WhatsApp versleutelt nu standaard alle berichten van haar gebruikers op alle platforms. Wat betekent dit nu precies voor jouw privacy? We leggen het je uit aan de hand van vier vragen en antwoorden.
1. Hoe werkt die versleuteling door WhatsApp?
Ze gebruiken zogenaamde end-to-end encryptie. Dat betekent dat het bericht van begin tot het eind van het versturen versleuteld is door er een rekensom op los te laten. Als anderen proberen het bericht te onderscheppen zien ze niet anders dan een brei aan tekens. Zelfs WhatsApp zelf kan niet bij de inhoud van jouw berichten. Dikke winst voor jouw privacy.
Het enige nadeel is dat die versleuteling niet open source is. Dus in plaats dat de hele security-gemeenschap kan checken of het inderdaad sterk geïmplementeerd wordt, moeten we WhatsApp nu vertrouwen op hun blauwe ogen. (En voor diegenen die het technisch paper van WhatsApp er op na willen slaan, hier is het.)
2. Wat moet ik nu doen?
Helemaal niets. Dat is het mooie. Het is automatisch bij iedereen aangezet. Oftewel, een miljard mensen zijn nu een stuk beter beschermd, terwijl ze er niets voor hoefden te doen. Een indrukwekkend resultaat.
3. Wat weten WhatsApp en Facebook nu nog wel van me?
Alleen de inhoud van berichten is versleuteld. Dus welk nummer wanneer aan welk ander nummer een berichtje stuurde is nog wel bekend. Ook heeft WhatsApp ook nog andere informatie van je, zo downloadt het onder andere telefoonnummers uit je adresboek. Bekijk maar eens hun privacyvoorwaarden. En aangezien WhatsApp gekocht is door Facebook, kan de informatie die ze hebben ook gewoon worden gedeeld met de Facebook-bedrijven. Als je om die reden toch nog steeds graag een alternatief wilt gebruiken, dan hebben we op onze Internetvrijheid Toolbox nog een paar tips voor je.
4. Gaan andere bedrijven dit nu ook doen?
Goeie vraag, daar zijn wij ook benieuwd naar. De laatste tijd doen bedrijven steeds meer met versleuteling. Apple heeft zich hierover hard gemaakt tegen de FBI, Facebook is begonnen bepaalde berichten te versleutelen en de geruchten gaan dat er meer staat te gebeuren, zo zou Google ook werken aan versleuteling van mails. Wij juichen het allemaal van harte toe!
Anoniem
Typisch dat ze niet gewoon TLS gebruiken. Overigens staat er in de (wazige) whitepaper wel een verwijzing naar broncode: https://github.com/whispersystems/libsignal-protocol-java/ Een audit zou dus wel een optie zijn.
Marek
libsignal gebruikt sleutels die alleen op de clients worden opgeslagen:
“All communications to other Signal users are automatically end-to-end encrypted. The keys that are used to encrypt the user’s communications are generated and stored at the endpoints (i.e. by users, not by servers).”
https://en.wikipedia.org/wiki/Signal_%28software%29#Features
Berichten worden versleuteld op de client van verzender, verstuurd naar whatsapp, doorgestuurd naar client van ontvanger en dan pas ontsleuteld.
Het gaat dus om de versleuteling van de inhoud, dit staat los van de versleuteling van transport/verbinding met de whatsapp server. End-to-end betekent hier van verzender tot ontvanger, niet van verzender tot whatsapp.
ruben
Het Open Whisper-protocol is open source en wordt kritisch ge-audit. Aangezien Open Whisper Systems hier nauw bij betrokken is geweest, heb ik er (een beetje) vertrouwen in. Whatsapp omdat het moet, maar ik gebruik liever Signal.
Peter
Backups van je berichten (op iCloud of Google) zijn niet versleuteld. Helaas heb je zelf geen enkele controle of je gesprekspartner wel of geen backup maken heeft aanstaan.
De veiligheidsdiensten kloppen dus niet meer aan bij Whatsapp, maar gaan naar Apple of Google. We weten ondertussen dat Apple volledig meewerkt met het aanleveren van backups. Dit zal bij Google niet anders zijn.
Zou het dus niet gebruiken als je echt iets serieus belangrijk hebt te vertellen (klokkenluider etc.).
Verder best goede ontwikkeling, kan leiden tot een race to the top (of encryption) tussen bedrijven.
Peter
Weet iemand hoe je private key overgedragen wordt als je een nieuwe telefoon gaat gebruiken (en je oude berichten nog wilt kunnen lezen)?
Als dat alsnog over the air (via bijvoorbeeld een backup) gaat verliest het security model alsnog alle waarde.
Marek
Geen idee hoe Whatsapp dat doet.
Ik begrijp dat je bij de Signal app (van de makers van het Open Whisper protocol) een passphrase kunt instellen binnen de app:
https://github.com/WhisperSystems/Signal-Android/wiki/Using-Signal
Alles wordt dan versleuteld opgeslagen. Ben je je passphrase kwijt, dan kun je je berichtjes niet meer lezen. Enige wat je dan kunt doen is app verwijderen en opnieuw installeren.
Whatsapp heeft me nog niet om een passphrase gevraagd…
Martijn Bos
Er wordt nogal wat gesproken over Curve25519. Op volgende site een korte uitleg hieromtrent: https://cr.yp.to/ecdh.html
Friedrich N
Ze staan waarschijnlijk nog steeds tot over hun oren in de metadata en bevat het ongetwijfeld een backdoor voor de drieletterorganisaties. Maak me maar wakker wanneer er een newbvriendelijke messaging app is die niet gebruik maakt van proprietary services (hint: Signal past niet binnen deze beschrijving).