Wat T-Mobile vrijheid noemt, noemen wij iets anders

Wire: een privacyvriendelijk alternatief voor WhatsApp?

Dutch Senate votes in favor of dragnet surveillance powers

WhatsApp is in handen van Facebook, een bedrijf met een dubieuze reputatie op het gebied van privacy. Daarom zetten we in de Internetvrijheid Toolbox een aantal alternatieven voor je op een rij. Daar hebben we vandaag, dankzij drie vrijwilligers, Wire aan toegevoegd. Omdat elke gebruiker andere wensen heeft, scoren we apps op verschillende criteria. Dus hoe doet Wire 't nou eigenlijk?

Wire

Wire is een smartphone app waarmee je versleuteld chat. Wire is gemaakt door het bedrijf Wire Swiss GmbH en is gevestigd in Zwitserland. De ontwikkeling wordt in Duitsland uitgevoerd en waar de servers draaien is niet duidelijk te achterhalen. De drie eigenaren, Jonathan Christensen, Priidu Zilmer en Alan Duric zijn voormalige Microsoft- en Skype-medewerkers. Je kunt met Wire bellen, videobellen, chatten en media uitwisselen. Alle communicatie is end-to-end versleuteld.

1. Open-source

De broncodeOp Github kun je de broncode van Wire zelf inzien. van Wire is open-source en is in juli 2016 vrijgegeven. Hierdoor kan de broncode door iedereen gecontroleerd en bekeken worden. Tot dusver zijn er door enkele experts nog geen achterdeurtjes of andere verontrustende beveiligingsproblemen ontdekt.

2. End-to-end encryptie

Sinds maart 2016 worden berichten, audio/videogesprekken, en bestanden end-to-end versleuteldDownload Wire's Security Whitepaper.. Hierdoor kan niemand met je meelezen of -luisteren.

3. MITM (Man-in-the-Middle)

Je kunt in de Wire-app de digitale vingerafdruk bekijken van jezelf en van de mensen met wie je chat en belt. De digitale vingerafdruk is een lange unieke code en is per persoon verschillend. Als de code die jij op jouw apparaat ziet overeenkomt met de code die jouw gesprekspartner op zijn/haar apparaat ziet, dan weet je dat je daadwerkelijk met elkaar aan het praten bent. In een vergelijkend onderzoekIn het onderzoek worden WhatsApp, Signal, Telegram, Wire en Allo vergeleken. dat keek naar sleuteluitwisseling scoort Wire niet heel goed.

4. Encryptiesterkte

De versleuteling die gebruikt wordt voor berichten heet Proteus. Dit is een door Wire bedacht protocol gebaseerd op een voorloperMoxie Marlinspike van Open Whisper Systems is hier niet onomwonden enthousiast over. van het Signal-protocol van Open Whisper Systems. Proteus is gebaseerd op bewezen sterke encryptie-algoritmes en gebruikt, net als Open Whisper Systems, prekeys om een chat of telefoongesprek te beginnen. Dat een bedrijf zelf het encryptie-protocol maakt kan goed zijn, maar heeft in de wereld van versleuteling geen voorkeur. Een nadeel is dat dit soort "eigen" protocollen minder review hebben gehad dan het geval is bij het gebruik van open standaarden.

Audiogesprekken worden versleuteld met DTLS (Datagram Transport Layer Security) en SRTP (Secure Realtime Transport Protocol), en videogesprekken met SRTP.

5. TLS (SSL)

De verbinding tussen jou en de server is door middel van standaard TLS versleuteld met alleen aan de kant van de server een certificaat. Zo weet de app dat deze met de juiste server praat.

6. Gedragsgegevens (metadata)

Wire slaat de volgende dingen op: 1] wie het gesprek heeft gestart, 2] de tijd waarop het gesprek is gestart, 3] welke mensen (de naam van de persoon) en apparaten (de naam van het apparaat) deelnemen aan het gesprek, 4] groepsnaam/gespreksnaam. Naast deze metadata zijn er nog een aantal andere gegevenDeze discussie op Github legt uit hoe en waarom er contact wordt gemaakt met Localytics en Google.s die worden opgeslagen. Wire maakt gebruik van de diensten Localytics en Raygun voor het verzamelen van statistieken over de manier waarop de app wordt gebruikt (hier kun je voor opt-outen). Wanneer je (een nieuw apparaat) registreert maakt de app verbinding met Google Maps of Apple Maps (afhankelijk van op welk platform je zit) om je geografische locatie om te zetten in een plaatsnaam.Wire schrijft hierover in een e-mail: "When a device is added, Wire servers convert the IP address of the new device to geographic coordinates. These are fetched by other devices of the same account and Google Maps or Apple Maps (depending on the platform) are used to convert them to city and country names. Clients don't cache these results currently and therefore query every time the list is displayed. This is something we will improve in the future."

7. Adressenboek

Je kunt je adressenboek uploaden naar de app, maar het is niet noodzakelijk.

8. Anonimiteit

Als je de app alleen gebruikt op je smartphone, moet je je telefoonnummer registreren. Als je de app wilt gebruiken zonder de koppeling te maken met je telefoonnummer, kun je je via de web applicatie op een computer registreren met een gebruikersnaam en e-mailadres en vervolgens op de smartphone app met die gegevens inloggen.

9. Veilige opslag

De app op je telefoon zit niet standaard achter een wachtwoord. Dat betekent dat als iemand toegang krijgt tot je telefoon, ze ook je berichten kunnen lezen. (Op iOS kun je wel je passcode/TouchID toevoegen aan de app voor extra beveiliging.) Je berichten worden alleen op je apparaat opgeslagen. Dat is meer privé, maar betekent ook dat als je je account op een nieuw apparaat installeert, je daar geen toegang zal hebben tot je berichtengeschiedenis.

10. Respecteert jouw privacy

In de Privacy WhitepaperPrivacy Whitepaper (PDF) staat beschreven dat identificeerbare informatie zoals diagnostics (hiervoor kun je opt-outen) en gebruik gekoppeld wordt aan een Tracking ID. Als die informatie naar Wire verzonden wordt staat daar dus niet jouw naam, nummer of emailadres, maar een Tracking ID. Zo wordt die info dus "anoniem" verstuurd naar Wire. Crash reports worden ook naar Wire gestuurd. Die bevatten de gehele staat van de app op het moment van de crash. Wire’s privacyvoorwaarden zijn helder geschreven. Er zijn nog geen privacylekken van Wire bekend.

11. OS-beschikbaarheid

Wire is beschikbaar op: iOS, Android, MacOS, Windows, Linux en via het web in de browsers: Chrome, Firefox, Edge en Opera.

Conclusie

Al met al is het een doordacht stukje techniek en het feit dat de app op zoveel verschillende besturingssystemen beschikbaar is, is een grote pre. Dat verhoogt immers de kans dat veel mensen de app kunnen gebruiken. Gedegen bewijzen van de technische implementatie zijn er nog niet en voor sommige mensen zal het feit dat de eigenaren ex-Skype en -Microsoft werknemers zijn wellicht enige argwaan oproepen. Zoals altijd raden we dan ook aan: kies bewust op basis van de criteria die voor jou persoonlijk het zwaarst wegen.

 

Tweede lezers: Harld RolingHarld en Chris SnijderChris

  1. Dodi

    Of je doet het gewoon echt goed en gaat voor signal. Die is 100% te vertrouwen of telegram, geweldige app en tot nu toe goed gebleken.

  2. Willemijn Molenaar

    Waarom staat Wire in de lijst met 14 alternatieven voor Whatsapp nu boven Signal? Ik zie namelijk meer nadelen staan bij Wire dan bij Signal.

  3. Roos Vink

    Ik ben het helemaal met je eens dat meer mensen gebruik zouden moeten maken van Signal. De encryptie van Telegram is echter niet bewezen, dus ik zou Telegram afraden.

  4. gs1966

    Het zou ook leuk zijn als al die open source projecten een soort gemeenschappelijk protocol (of zoiets) ontwikkelen waardoor iemand met Wire en
    iemand met Signal (o wat dan ook) ook met elkaar kunnen communiceren.

    Anders krijg je vooral een wie-zal-er-winnen situatie. En het antwoord luidt dan: WhatsApp.

  5. Evelyn Austin

    Hey Willemijn,
    Simpelweg omdat Wire als laatst is toegevoegd!

  6. gs1966

    Nog een aanvulling: “open source” is mij een te vage eis. Er zijn OS licenties (zoals Apache) die zaken als sublicentiering toestaan. Zie bv.
    http://fosslawyers.org/permissive-foss-licenses-bsd-apache-mit/

    Met zo’n licentie kan van software volgens mij vandaag de source code beschikbaar zijn, en morgen niet meer. Dat is een leuke marketingstrategie: eerst veel gebruikers krijgen via OS-licentie en dan later commercieel her-licenseren.

    Overigens valt Wire software onder GPL licentie v3, en daarmee is beschikbaarheid van de broncode altijd gegarandeerd.

  7. Willemijn Molenaar

    Zou het niet beter/duidelijker zijn als de alternatieven gerangschikt zijn op de mate waarin ze aanbevolen worden?

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.