Wire: een privacyvriendelijk alternatief voor WhatsApp?
WhatsApp is in handen van Facebook, een bedrijf met een dubieuze reputatie op het gebied van privacy. Daarom zetten we in de Internetvrijheid Toolbox een aantal alternatieven voor je op een rij. Daar hebben we vandaag, dankzij drie vrijwilligers, Wire aan toegevoegd. Omdat elke gebruiker andere wensen heeft, scoren we apps op verschillende criteria. Dus hoe doet Wire 't nou eigenlijk?
Foto: Juha Haataja
Wire
Wire is een smartphone app waarmee je versleuteld chat. Wire is gemaakt door het bedrijf Wire Swiss GmbH en is gevestigd in Zwitserland. De ontwikkeling wordt in Duitsland uitgevoerd en waar de servers draaien is niet duidelijk te achterhalen. De drie eigenaren, Jonathan Christensen, Priidu Zilmer en Alan Duric zijn voormalige Microsoft- en Skype-medewerkers. Je kunt met Wire bellen, videobellen, chatten en media uitwisselen. Alle communicatie is end-to-end versleuteld.
1. Open-source
De broncodeOp Github kun je de broncode van Wire zelf inzien. van Wire is open-source en is in juli 2016 vrijgegeven. Hierdoor kan de broncode door iedereen gecontroleerd en bekeken worden. Tot dusver zijn er door enkele experts nog geen achterdeurtjes of andere verontrustende beveiligingsproblemen ontdekt.
2. End-to-end encryptie
Sinds maart 2016 worden berichten, audio/videogesprekken, en bestanden end-to-end versleuteldDownload Wire's Security Whitepaper.. Hierdoor kan niemand met je meelezen of -luisteren.
3. MITM (Man-in-the-Middle)
Je kunt in de Wire-app de digitale vingerafdruk bekijken van jezelf en van de mensen met wie je chat en belt. De digitale vingerafdruk is een lange unieke code en is per persoon verschillend. Als de code die jij op jouw apparaat ziet overeenkomt met de code die jouw gesprekspartner op zijn/haar apparaat ziet, dan weet je dat je daadwerkelijk met elkaar aan het praten bent. In een vergelijkend onderzoekIn het onderzoek worden WhatsApp, Signal, Telegram, Wire en Allo vergeleken. dat keek naar sleuteluitwisseling scoort Wire niet heel goed.
4. Encryptiesterkte
De versleuteling die gebruikt wordt voor berichten heet Proteus. Dit is een door Wire bedacht protocol gebaseerd op een voorloperMoxie Marlinspike van Open Whisper Systems is hier niet onomwonden enthousiast over. van het Signal-protocol van Open Whisper Systems. Proteus is gebaseerd op bewezen sterke encryptie-algoritmes en gebruikt, net als Open Whisper Systems, prekeys om een chat of telefoongesprek te beginnen. Dat een bedrijf zelf het encryptie-protocol maakt kan goed zijn, maar heeft in de wereld van versleuteling geen voorkeur. Een nadeel is dat dit soort "eigen" protocollen minder review hebben gehad dan het geval is bij het gebruik van open standaarden.
Audiogesprekken worden versleuteld met DTLS (Datagram Transport Layer Security) en SRTP (Secure Realtime Transport Protocol), en videogesprekken met SRTP.
5. TLS (SSL)
De verbinding tussen jou en de server is door middel van standaard TLS versleuteld met alleen aan de kant van de server een certificaat. Zo weet de app dat deze met de juiste server praat.
6. Gedragsgegevens (metadata)
Wire slaat de volgende dingen op: 1] wie het gesprek heeft gestart, 2] de tijd waarop het gesprek is gestart, 3] welke mensen (de naam van de persoon) en apparaten (de naam van het apparaat) deelnemen aan het gesprek, 4] groepsnaam/gespreksnaam. Naast deze metadata zijn er nog een aantal andere gegevenDeze discussie op Github legt uit hoe en waarom er contact wordt gemaakt met Localytics en Google.s die worden opgeslagen. Wire maakt gebruik van de diensten Localytics en Raygun voor het verzamelen van statistieken over de manier waarop de app wordt gebruikt (hier kun je voor opt-outen). Wanneer je (een nieuw apparaat) registreert maakt de app verbinding met Google Maps of Apple Maps (afhankelijk van op welk platform je zit) om je geografische locatie om te zetten in een plaatsnaam.Wire schrijft hierover in een e-mail: "When a device is added, Wire servers convert the IP address of the new device to geographic coordinates. These are fetched by other devices of the same account and Google Maps or Apple Maps (depending on the platform) are used to convert them to city and country names. Clients don't cache these results currently and therefore query every time the list is displayed. This is something we will improve in the future."
7. Adressenboek
Je kunt je adressenboek uploaden naar de app, maar het is niet noodzakelijk.
8. Anonimiteit
Als je de app alleen gebruikt op je smartphone, moet je je telefoonnummer registreren. Als je de app wilt gebruiken zonder de koppeling te maken met je telefoonnummer, kun je je via de web applicatie op een computer registreren met een gebruikersnaam en e-mailadres en vervolgens op de smartphone app met die gegevens inloggen.
9. Veilige opslag
De app op je telefoon zit niet standaard achter een wachtwoord. Dat betekent dat als iemand toegang krijgt tot je telefoon, ze ook je berichten kunnen lezen. (Op iOS kun je wel je passcode/TouchID toevoegen aan de app voor extra beveiliging.) Je berichten worden alleen op je apparaat opgeslagen. Dat is meer privé, maar betekent ook dat als je je account op een nieuw apparaat installeert, je daar geen toegang zal hebben tot je berichtengeschiedenis.
10. Respecteert jouw privacy
In de Privacy WhitepaperPrivacy Whitepaper (PDF) staat beschreven dat identificeerbare informatie zoals diagnostics (hiervoor kun je opt-outen) en gebruik gekoppeld wordt aan een Tracking ID. Als die informatie naar Wire verzonden wordt staat daar dus niet jouw naam, nummer of emailadres, maar een Tracking ID. Zo wordt die info dus "anoniem" verstuurd naar Wire. Crash reports worden ook naar Wire gestuurd. Die bevatten de gehele staat van de app op het moment van de crash. Wire’s privacyvoorwaarden zijn helder geschreven. Er zijn nog geen privacylekken van Wire bekend.
11. OS-beschikbaarheid
Wire is beschikbaar op: iOS, Android, MacOS, Windows, Linux en via het web in de browsers: Chrome, Firefox, Edge en Opera.
Conclusie
Al met al is het een doordacht stukje techniek en het feit dat de app op zoveel verschillende besturingssystemen beschikbaar is, is een grote pre. Dat verhoogt immers de kans dat veel mensen de app kunnen gebruiken. Gedegen bewijzen van de technische implementatie zijn er nog niet en voor sommige mensen zal het feit dat de eigenaren ex-Skype en -Microsoft werknemers zijn wellicht enige argwaan oproepen. Zoals altijd raden we dan ook aan: kies bewust op basis van de criteria die voor jou persoonlijk het zwaarst wegen.
Dodi
Of je doet het gewoon echt goed en gaat voor signal. Die is 100% te vertrouwen of telegram, geweldige app en tot nu toe goed gebleken.
Willemijn Molenaar
Waarom staat Wire in de lijst met 14 alternatieven voor Whatsapp nu boven Signal? Ik zie namelijk meer nadelen staan bij Wire dan bij Signal.
Roos Vink
Ik ben het helemaal met je eens dat meer mensen gebruik zouden moeten maken van Signal. De encryptie van Telegram is echter niet bewezen, dus ik zou Telegram afraden.
gs1966
Het zou ook leuk zijn als al die open source projecten een soort gemeenschappelijk protocol (of zoiets) ontwikkelen waardoor iemand met Wire en
iemand met Signal (o wat dan ook) ook met elkaar kunnen communiceren.
Anders krijg je vooral een wie-zal-er-winnen situatie. En het antwoord luidt dan: WhatsApp.
Evelyn Austin
Hey Willemijn,
Simpelweg omdat Wire als laatst is toegevoegd!
gs1966
Nog een aanvulling: “open source” is mij een te vage eis. Er zijn OS licenties (zoals Apache) die zaken als sublicentiering toestaan. Zie bv.
http://fosslawyers.org/permissive-foss-licenses-bsd-apache-mit/
Met zo’n licentie kan van software volgens mij vandaag de source code beschikbaar zijn, en morgen niet meer. Dat is een leuke marketingstrategie: eerst veel gebruikers krijgen via OS-licentie en dan later commercieel her-licenseren.
Overigens valt Wire software onder GPL licentie v3, en daarmee is beschikbaarheid van de broncode altijd gegarandeerd.
Willemijn Molenaar
Zou het niet beter/duidelijker zijn als de alternatieven gerangschikt zijn op de mate waarin ze aanbevolen worden?