"framen" :-)

Signal is open source, code is door iedereen te controleren. Signal verzend nauwelijks meta data. Ik ben een zeer tevreden Signal gebruiker en heb er alle vertrouwen in. Alsof Russen beter te vertrouwen zijn dan Amerikanen... En dat Telegram uit de UK komt boeit niet, het is opgericht door een Rus.

Zolang de gebruikers zelf geen sleutels kunnen beheren van hun versleutelde communicatie, is toch niet te garanderen dat een derde hun communicatie niet kan ontsleutelen? Dat maakt alle end-to-end encrypted chatapplicaties even kwetsbaar, toch?

- Eigenaar Open Technology Fund: Radio Free Asia
- Historische funding Radio Free Asia, Radio Europe: CIA, US Dpt of State *)

Ik vertrouw Marlinspike als persoon, maar ik vind zijn uitlating dat zijn financiers los staan van de Amerikaanse inlichtingen- en opsporingsdiensten een tikkeltje naief.

*) RFE, RFA zijn opgezet als propaganda tools van de CIA, ten tijde van de Koude Oorlog.

De andere vraag is altijd of men voor specifieke accounts E2E encryptie tijdelijk kan uitschakelen. Indien dat kan, dan zijn encryptie keys plotseling irrelevant. Bij vrijwel iedere E2E oplossing die wordt geboden door commerciele bedrijven vermoed ik dat dergelijke functionaliteit beschikbaar is. Al is het maar om te voldoen aan wettelijke eisen van overheden.

Mensen roepen al snel "E2E, dus het is veilig". Waarbij ze voorbij gaan aan de vraag ''kan men ook forceren dat er geen E2E wordt gebruikt'' ?

M.b.t. Radio Free Asia, de geldschieter achter Signal: https://en.wikipedia.org/wiki/Radio_Free_Asia

(https://en.wikipedia.org/wiki/Signal_%28software%29)

Ehm... Signal is tegenwoordig ook verkrijgbaar voor desktops, maar alleen met Google Chrome!
Is dat nou nodig om samen te werken met de "Big G"?
Nou vrees ik dus dat Telegram gelijk zal krijgen.

Daar moest ik even over nadenken maar framen is iets in een kwaad daglicht stellen en juist heeft een goede beveiliging van privacy alles te maken met vertrouwen dus of Marlinspike begrijpt de betekenis van framen niet of de redactie heeft een vertaal fout gemaakt.
Wat Pavel wel doet is Signal framen dat ze het niet zo nauw nemen met het vertrouwen dat gebruikers stellen in de app om zo hun privacy te beschermen. We moeten nog maar zien in hoeverre Pavel ver van de waarheid afzit want ergens zit mij dat Signal niet helemaal lekker, zeker niet als er maar weinig verzoeken tot inzage binnenkomen. Het is niet voor het eerst dat bekende hackers van meerdere walletjes eten want wiens appelen men vaart wiens appelen men eet.

Verzoeken tot inzage zijn vrij nutteloos bij Signal omdat er nauwelijks meta data verzameld wordt. Men kan alleen maar zien wanneer Signal gebruikers voor het laatst online zijn geweest en dan alleen het telefoon nummer.

Gebruikers kunnen in Signal E2E encryptie niet uitschakelen. Er kunnen ook geen backups van gesprekken gemaakt worden.

Daarnaast komt het spreekwoord 'zoals de waard is...' bij mij op. Indien er mogelijk een backdoor in Signal zou zitten, op verzoek van de Amerikaanse diensten. Waarom zou er dan niet ook mogelijk een backdoor in Telegram zitten, op verzoek van Russische diensten ? De logica is exact hetzelfde namelijk.

We moeten ook nog maar zien in hoeverre Pavel niet samenwerkt met bijvoorbeeld de FSB of de GRU.

En wat nou, indien software op de servers ervoor zorgt dat geforceerd wordt dat er helemaal geen encryptie plaats vindt ? Maakt het dan nog uit waar de encryptie keys staan ?

Je hebt daar heel veel rekenkracht (supercomputer) en tijd voor nodig om alle mogelijke sleutels te genereren. Bij Signal worden er geen gesprekken opgeslagen op een centrale server. Als je een gesprek op je telefoon wist is het echt voorgoed weg, inclusief foto's etc. (behalve bij jouw tegenpartij). Je kunt ook nog zelfvernietigende berichten sturen, die verdwijnen dan op beide telefoons na de door jou ingestelde tijd.

Lol, jij bent gemakkelijk te manipuleren door iemand als Pavel Durov :)

Framing: "woorden en beelden zo kiezen, dat daarbij impliciet een aantal aspecten van het beschrevene wordt uitgelicht."

De bedoeling is overtuigender te zijn. (doordat men de aspecten die wat anders vertellen ermee uit het oog verliest)
Vergelijk een serie beelden waaruit een film bestaat waaruit men een paar beeldjes uitkiest die van meedere kanten belicht steeds hetzelfde tonen.
Het is dus niet helemaal eerlijk, maar de meeste mensen trappen er in.
Zoals bijvoorbeeld het alleen maar over een dreiging van terroristen en criminelen hebben en dat ze moeten kunnen worden afgeluisterd, maar er niet bij zeggen dat de privacy van heel Nederland ermee gemoeid is.

Zo wordt je dus in de regel bedot.

Software uit de VS is per definitie niet te vertrouwen.. en als het uit de overheid gefinancierd wordt helemaal...
2 tot 20 jaar geleden zou niemand gedacht hebben dat RSA voor de NSA en CIA werkte.... tot voor kort...
nu weten we beter... en dankzij snowden zouden ee nog beter moeten weten... maar we zijn te mak en te informatieverslaafd om er iets mee te doen... bang om iets te missen... fear of missing out...
zielige gebruikertjes met hun NSA-in, CIA-Book, fbi-tter..
lusers heette ze vroeger al... nu zijj het er alleen de meerderheid..

Signal is gefinancierd met Amerikaans overheidsgeld, en de broncode is niet openbaar.
Twee belangrijke factoren die de vrees rechtvaardigen dat er een achterdeur in het programma zit.
Dat Pavel Durov deze vrees uitspreekt, heeft vooral maken met Signal als concurrent voor zijn eigen programma Telegram.
Voor beide geld echter dat het ontbreken van absolute transparantie het wantrouwen in het product rechtvaardigt.

Maar wat vinden de onafhankelijk encryptie experts op dit gebied hiervan.
M.i. is hun mening veel interessanter en aannemelijker dan al die welles en nietes onzin op allerlei forums.

Snowden gebruikt Signal ;-)

Ik gebruik geen van beiden want ik vertrouw geen enkele partij die mij geen controle geeft over mijn eigen sleutel en waarvan ik de applicatie alleen via privacy onvriendelijke appstores kan ophalen.
Als ik met iemand iets heel vertrouwelijk moet delen maak ik daar wel even een afspraak mee om face to face de informatie uit te wisselen. Of de informatie gaat in een versleuteld bestand naar de ontvanger, waarbij deze alleen de sleutel(s) kent. Je kunt bij bestanden meerdere beveiligingslagen aanbrengen en met meerdere sleutels werken zodat degene die dat onderschept, en de sleutel(s) probeert te bruteforcen, de komende eeuw nog bezig is om bij de informatie te komen.

Uh, niet openbaar ? https://github.com/WhisperSystems/Signal-Android
De broncode is zelfs gescreend, iets wat van weinig andere chat-apps gezegd kan worden.

Mijn dank voor die informatie, die ik voor de duidelijkheid toch graag in het artikel zelf had willen zien.
Maar hoe zit het met de sleutels, worden die door de gebruiker aangemaakt, en beheert of staan die op de server van Signal.

Nee de sleutels staan alleen op je telefoon. Op de server staat nagenoeg niets. Alleen welke telefoonnummers het laatst actief zijn geweest op de Signal server. Dat is dan ook het enige dat overheden op kunnen vragen: het laatste tijdstip van online zijn. Niet met wie je gechat hebt of wie er in je contactenlijst staan etc. En al helemaal geen gespreksinhoud.

beetje raar je moet toch toegang verlenen als je de app download. Geef je toegang aan signal tot je contacten gps camera etc. je hebt geen mogelijkheid om nee te zeggen. dan maar op ok drukken. hoe zit dat dan, dan kunnen ze toch meer zien dan alleen wanneer je voor hetlaatst online bent geweest en waar dat was en met wie of in vedergeval al je contacten die signal hebben kunnen ze dan zien lijkt mij.

1) "Alsof Russen beter te vertrouwen zijn dan Amerikanen... En dat Telegram uit de UK komt boeit niet, het is opgericht door een Rus."
2) "Waarom zou er dan niet ook mogelijk een backdoor in Telegram zitten, op verzoek van Russische diensten ?"
3) "We moeten ook nog maar zien in hoeverre Pavel niet samenwerkt met bijvoorbeeld de FSB of de GRU."
4) "Lol, jij bent gemakkelijk te manipuleren door iemand als Pavel Durov :)"

Goede dag de "sofa experts"!
Voordat jullie meningen gaan uitten over een van de weinige hoog waarschijnlijk wel te vertrouwen russen, google eerst naar de reden van zijn vertrek uit Rusland.
Tot de laatste minuut van zijn CEO rol binnen VK stond hij achter de privacy van de gebruikers. Zijn beleid kwam niet overeen met beleid van russische autoriteiten. Hij werd simpel gezegd uit het land weggepest.
Hij heeft nu een passpost van St. Kitts en Nevis.
Proof: https://sun9-12.userapi.com/c840224/v840224148/29962/C_ru4beMUFY.jpg
In juni 2017 verscheen informatie dat Telegram waarschijnlijk door de Russische "roskomnadzor" (orgaan die internet resources in Rusland kan blokkeren) geblokt wordt.
Trouwens amerikanen deden een poging aantal medewerkers van zijn team om te kopen. Dit is ze niet gelukt en informatie is openbaar geworden.

1) Gemiddelde rus waarschijnlijk niet. Durov wel.
Je praat nu met sjabloon uit je hoofd. Veel russen denken dat Nederland bestaat alleen uit homos, prostituees en blowen.
Te kort door de bocht...
2) Lees informatie bovenaan. Privacy en "free internet" is zijn levensmotto.
3) Zie antwoord van punt 2.
4) Lol, jij bent gemakkelijk te manipuleren door de brainstorm media. :)

Mijn standpunt: Niks is 100% gegarandeerd veilig.

Herstel

Mijn standpunt: Niks is 100% gegarandeerd veilig (te houden)

Telegram krijgt boete wegens niet verstrekken decryptiesleutels
https://www.security.nl/posting/535486