Beveiligingsexpert hekelt analyse WhatsApp-encryptie
Het Duitse computerblad c't publiceerde gisteren een analyse waarin het stelt dat de end-to-end-encryptie van WhatsApp weinig nut heeft, tot grote ergernis van beveiligingsexpert Moxie Marlinspike die de encryptie ontwikkelde en juist stelt dat de uitrol volgens plan verloopt. Vorig jaar lieten WhatsApp en Open Whisper Systems, het bedrijf van Marlinspike, weten dat WhatsApp de end-to-end-encryptie van TextSecure ging gebruiken.
TextSecure is een door Open Whisper Systems ontwikkelde chat-app die gebruikers volledig versleuteld met elkaar laat communiceren, waarbij de inhoud alleen voor de afzender en ontvanger te bekijken is. Onderzoekers van het Duitse Heise analyseerden voor c't de gebruikte encryptie en haalden hard uit. "De resultaten laten zien dat WhatsApp de voorbeeldige encryptie van TextSecure, zoals ontwikkeld door Moxie Marlinspike, dan mag gebruiken, maar het op zo'n manier implementeert dat het weinig nut heeft in de echte wereld."
Voor het onderzoek probeerden de onderzoekers een Man-in-the-Middle-aanval uit te voeren. De communicatie tussen twee Androidtoestellen was via het Textsecure-protocol end-to-end versleuteld, maar dit bleek niet het geval te zijn bij de communicatie tussen iOS-apparaten. De onderzoekers hekelen daarnaast ook dat het onduidelijk is of end-to-end-encryptie in alle gevallen wordt gebruikt waar dit mogelijk is, of staat uitgeschakeld als er aan bepaalde criteria wordt voldaan, zoals verzoeken van inlichtingendiensten of als het apparaat in een bepaald land wordt gebruikt.
Reactie
Marlinspike is op zijn beurt weer niet over het artikel van het Duitse computerblad te spreken. Op Reddit reageert hij fel. Volgens de beveiligingsexpert verloopt de uitrol van end-to-end-encryptie precies zoals vorig jaar al werd aangekondigd. "We kondigden een samenwerking aan, geen afgeronde uitrol." De blogposting over de samenwerking bevat volgens Marlinspike dan ook precies de "ontdekking" van Heise en c't. "Zoals ik in de blogpost aangaf wordt de uitrol onder honderden miljoenen gebruikers en allerlei platformen stapsgewijs gedaan."
Ook zouden c't en Heise met dit soort artikelen partijen als WhatsApp juist ontmoedigen om aan dit soort encryptieprojecten te beginnen, aangezien dit soort negatieve stukken het gevolg zijn. De uitrol gebeurt volgens Marlinspike dan ook zo snel als technisch mogelijk is, zonder de dienstverlening aan honderden miljoenen gebruikers te verstoren. "Niets dat jullie schrijven kan het sneller laten verlopen, en is op z'n hoogst alleen een afleiding."
…
Even heavier weighs the fact that, as far as we know, WhatsApp has never committed to guarantee its users E2E encryption. E2E encryption with WhatsApp therefore remains a token effort.
- Functionaliteit inbouwen zodat voor de gebruiker duidelijk is wanneer encryptie toegepast wordt.
- Zich uitspreken op het vlak van garantie op het toepassen van encryptie wat weer wat anders is dan de garantie afgeven dat je encryptie niet gekraakt kan worden.
- Garantie afgeven dat er geen achterdeuren zijn ingebouwd of dat er expres zwakke encryptie wordt gebruikt.
Doet WhatsApp dat niet, mag het waken voor de titel WhatsCrapp.
Al zal dat verreweg de meeste gebruikers ervan geen ene moer interesseren (huh privacy?).
Als het maar gratis blijft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.