image

Europese Commissie kiest Signal als aanbevolen chat-app

maandag 24 februari 2020, 12:00 door Redactie, 36 reacties

De Europese Commissie heeft Signal als aanbevolen chat-app voor publieke berichten gekozen en roept medewerkers op om het te gebruiken. Dat blijkt uit een bericht dat de EC begin februari onder eigen medewerkers verspreidde, zo meldt de website Politico.

"Signal is gekozen als de aanbevolen applicatie voor publieke instant messaging", aldus het bericht dat op het intranet van de Europese Commissie verscheen. Het gebruik van Signal wordt vooral aangeraden voor communicatie tussen personeel en mensen buiten de organisatie.

Eind januari werd al bekend dat de Verenigde Naties het gebruik van WhatsApp door hooggeplaatste functionarissen heeft verboden omdat de chatdienst niet veilig is. Het verbod werd vorig jaar juni al ingesteld. Een maand eerder, in mei 2019, werd bekend dat aanvallers een zerodaylek in WhatsApp hadden gebruikt om gebruikers met spyware te infecteren.

Onlangs maakte Signal bekend dat het met de ontwikkeling van nieuwe features zoals emoji's en stickers een groter publiek wil bereiken. Hoeveel mensen via de app communiceren is onbekend. Wel is de app in de Google Play Store meer dan 10 miljoen keer gedownload. Daarnaast zou veertig procent van de gebruikers met iOS werken.

Reacties (36)
24-02-2020, 12:41 door Anoniem
Ik ben groot voorstander van het gebruik van Signal, ook / vooral zonder "emoji's en stickers". Probleem voor particuliere gebruikers blijft de dominantie van WhatsApp en (dus) het gebrek aan kritische massa. De mensen die security.nl lezen zullen wel overtuigd zijn, maar het blijft worstelen om je hele sociale netwerk mee te krijgen. Prima dus om allerlei grote instanties te zien overstappen.
24-02-2020, 12:43 door [Account Verwijderd]
Het is een keuze. Ik denk persoonlijk niet de beste keuze omdat je wederom jezelf afhankelijk maakt van een Amerikaanse company. Ze zouden beter een compleet decentraal systeem zoals Matrix kunnen gebruiken als je het mij vraagt.
24-02-2020, 12:50 door Anoniem
Zouden ze weten dat in Signal end-to-end encryptie zit?
24-02-2020, 13:27 door Anoniem
Door donderslag: Het is een keuze. Ik denk persoonlijk niet de beste keuze omdat je wederom jezelf afhankelijk maakt van een Amerikaanse company. Ze zouden beter een compleet decentraal systeem zoals Matrix kunnen gebruiken als je het mij vraagt.

Signal is een 501c3 nonprofit, geen commercieel bedrijf. Ook is Signal opensource software.

Verder ben ik het wel met je eens dat een decentraal systeem veel beter zou zijn. Riot/Matrix zijn veelbelovend, maar nog niet erg volwassen. (ik gebruik zelf Signal en Riot/Matrix)
24-02-2020, 13:43 door Anoniem
Door donderslag: Het is een keuze. Ik denk persoonlijk niet de beste keuze omdat je wederom jezelf afhankelijk maakt van een Amerikaanse company. Ze zouden beter een compleet decentraal systeem zoals Matrix kunnen gebruiken als je het mij vraagt.

Matrix is niet eens te vinden in de PlayStore. Het moet wel praktisch blijven. Edward Snowden heeft Signal geadviseerd dus het lijkt me geen slechte keuze.
24-02-2020, 13:47 door Anoniem
Ik wil terug msn. :( Ik vraag mij af wat die devs aan het doen zijn, dat zij maar eens een msn 2 maken onder een andere naam ofzo.
24-02-2020, 13:48 door Briolet
Door donderslag: … Ze zouden beter een compleet decentraal systeem zoals Matrix kunnen gebruiken ….

Het gaat hierbij om communicatie tussen publiek en overheid. Dat wil je transparant houden voor derden. (Denk b.v. aan WOB verzoeken) Bij een decentraal systeem, kun je achteraf niet meer controleren wat er gecommuniceerd is. Zo'n communicatie wil je centraal vastgelegd hebben.
24-02-2020, 13:55 door Anoniem
Jammer dat het enkel aanbevolen is. Beter verdwijnt de contact mogelijkheid via WhatsApp helemaal voor overheid en bedrijven. Wat burgers onderling gebruiken kunnen ze zelf kiezen maar de overheid moet het goede voorbeeld geven naar mijn mening.
24-02-2020, 14:17 door John777 - Bijgewerkt: 24-02-2020, 14:18
Het gaat hierbij om communicatie tussen publiek en overheid. Dat wil je transparant houden voor derden. (Denk b.v. aan WOB verzoeken) Bij een decentraal systeem, kun je achteraf niet meer controleren wat er gecommuniceerd is. Zo'n communicatie wil je centraal vastgelegd hebben.


Waarom wil je dat centraal vastgelegd hebben? Als ik met een vraag de gemeente bel dan vind ik het juist helemaal niet fijn als daar opnames incl telefoonnummer van worden opgeslagen.
24-02-2020, 14:18 door Anoniem
Door Briolet:
Door donderslag: … Ze zouden beter een compleet decentraal systeem zoals Matrix kunnen gebruiken ….

Het gaat hierbij om communicatie tussen publiek en overheid. Dat wil je transparant houden voor derden. (Denk b.v. aan WOB verzoeken) Bij een decentraal systeem, kun je achteraf niet meer controleren wat er gecommuniceerd is. Zo'n communicatie wil je centraal vastgelegd hebben.

Communicatie tussen overheid en publiek is transparant. Het publiek kan en wil dat misschien publiek maken. (pun intended). WOB-verzoeken gaan juist veelal over de communicatie binnen de overheid.

Hoe het trouwens zit met de mogelijkheid binnen Signal om berichten na 5 minuten automatisch te verwijderen, weet ik nog niet. Hoe bewijs je dat de overheid je iets toezegt als dat bericht bijna gelijk weer is verdwenen?

Peter
24-02-2020, 15:00 door Anoniem
Door Anoniem: Ik wil terug msn. :( Ik vraag mij af wat die devs aan het doen zijn, dat zij maar eens een msn 2 maken onder een andere naam ofzo.

Microsoft? Nee dankje, kun je net zo goed WhatsApp (lees Facebook) blijven gebruiken. Beide bedrijven nemen het niet zo nauw met je privacy.
24-02-2020, 15:25 door [Account Verwijderd] - Bijgewerkt: 24-02-2020, 15:28
Door Anoniem:
Door donderslag: Het is een keuze. Ik denk persoonlijk niet de beste keuze omdat je wederom jezelf afhankelijk maakt van een Amerikaanse company. Ze zouden beter een compleet decentraal systeem zoals Matrix kunnen gebruiken als je het mij vraagt.

Signal is een 501c3 nonprofit, geen commercieel bedrijf. Ook is Signal opensource software.

Wie betaalt de programmeurs? Volgens mij is dat Whatsapp en dus Facebook (en waarschijnlijk ook riant gesponsord door de NSA). En wie zegt mij dat ze ook geen "canary" ergens dood hebben liggen, net zoals bij reddit bijvoorbeeld (gesponsord door de FBI)?

Verder ben ik het wel met je eens dat een decentraal systeem veel beter zou zijn. Riot/Matrix zijn veelbelovend, maar nog niet erg volwassen. (ik gebruik zelf Signal en Riot/Matrix)

Ik zei dat het beter zou zijn als ze een compleet decentraal systeem zoals Matrix kunnen gebruiken, maar over de compleetheid van Matrix heb ik het niet gehad. Ik denk dat de EU eens een keer zijn recources zou moeten gaan aanspreken en dat eens een keer zouden moeten gaan supporteren.
24-02-2020, 15:26 door karma4
Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.
24-02-2020, 15:34 door Anoniem
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
24-02-2020, 15:41 door SPer
Door Anoniem: Zouden ze weten dat in Signal end-to-end encryptie zit?

net als whatsapp trouwens, als de EU dit aanbeveelt kijk ik liever naar een app die niet aanbevolen wordt door de EU daar veel landen in de EU wars van encryptie zijn.
24-02-2020, 16:36 door Anoniem
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten
24-02-2020, 18:55 door Anoniem
Door Anoniem: Ik ben groot voorstander van het gebruik van Signal, ook / vooral zonder "emoji's en stickers". Probleem voor particuliere gebruikers blijft de dominantie van WhatsApp en (dus) het gebrek aan kritische massa. De mensen die security.nl lezen zullen wel overtuigd zijn, maar het blijft worstelen om je hele sociale netwerk mee te krijgen. Prima dus om allerlei grote instanties te zien overstappen.

Worstelen is een understatement.
Er zijn er die gewoon zeggen dat ze te beroerd zijn om iets anders dan WhatsApp te gebruiken.
Lijkt een Pavlov reactie te zijn.
24-02-2020, 19:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten

Dus er zijn volgens jou programmeurs die een "addertje onder het gras" achterlaten in (peer-reviewed) open-source code?
Ik kan mij daar niets bij voorstellen. Zal een dergelijke "malware-adder" programmeur nog serieus worden genomen na ontdekking, al dan niet tijdens een audit ? Ik denk het niet ...

Naar mijn bescheiden mening is Signal het "beste van het beste", de gouden standaard. Misschien zitten er nog onontdekte fouten of foutjes in de code. Maar dan hebben Edward Snowden en Bruce Schneier die ook niet gezien.
https://signal.org/

Je bent het hopelijk met mij eens dat "adders in het gras" niet eens zichtbaar kunnen zijn in closed source code? Adders kruipen graag weg onder een dekking ... "security bij obscurity". Adders zijn dus per definitie onvindbaar in closed source.

Deze discussie is ook al eerder aan bod geweest:
https://www.security.nl/posting/640883/Elite-eenheid+VS+vraagt+militairen+om+Signal+te+gebruiken
https://www.security.nl/posting/640765/VN+verbiedt+gebruik+WhatsApp+door+hoge+functionarissen

Heb jij meer vertrouwen in closed source? Zoals WhatsApp? Heb jij daarvan de code nageplozen?
24-02-2020, 19:34 door Anoniem
De kop alleen al tovert een glimlach op mijn gezicht:

Europese Commissie kiest Signal als aanbevolen chat-app

Nog niet zo lang geleden werd er gepredikt dat encryptie een backdoor moest hebben?

We gaan verder:

"Signal is gekozen als de aanbevolen applicatie voor publieke instant messaging", aldus het bericht dat op het intranet van de Europese Commissie verscheen. Het gebruik van Signal wordt vooral aangeraden voor communicatie tussen personeel en mensen buiten de organisatie.

Zonder end-to-end encryptie uiteraard, want hee, en transparant en makkelijk te kraken door veiligheidsdiensten. [sarcasme]Zo je doet wordt je gedaan[/sarcasme]

Volgende:

Eind januari werd al bekend dat de Verenigde Naties het gebruik van WhatsApp door hooggeplaatste functionarissen heeft verboden omdat de chatdienst niet veilig is.

Dat wil de overheid nu toch juist?

My ten pennies...
24-02-2020, 20:17 door [Account Verwijderd]
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Het lijkt wel COTS.
24-02-2020, 20:19 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten

Opensource wil zeggen dat het controleerbaar is (mits de gecompileerde binaries overeenkomen) en dat een team de zaak kan auditten op zwakheden en backdoors. Dit volledig in tegenstelling tot closed source (COTS) welke niet controleerbaar zijn en een gevaar voor de democratie in geval van b.v. stemcomputers.
24-02-2020, 22:40 door Anoniem
Nu nog een goede backup mogelijkheid......
24-02-2020, 23:16 door Anoniem
Door Covid-19:
Door Anoniem:
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten

Opensource wil zeggen dat het controleerbaar is (mits de gecompileerde binaries overeenkomen) en dat een team de zaak kan auditten op zwakheden en backdoors. Dit volledig in tegenstelling tot closed source (COTS) welke niet controleerbaar zijn en een gevaar voor de democratie in geval van b.v. stemcomputers.
Verder dan "kan,kan" kom je niet! Waarom altijd die dooddoener opvoeren, dat het is opensource en IEDEREEN kan het controleren, maar niemand schijnt het te doen. Alleen als er weer eens een probleem in het wild gevonden wordt.
25-02-2020, 07:01 door [Account Verwijderd]
Door Covid-19:
Door Anoniem:
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten

Opensource wil zeggen dat het controleerbaar is (mits de gecompileerde binaries overeenkomen) en dat een team de zaak kan auditten op zwakheden en backdoors. Dit volledig in tegenstelling tot closed source (COTS) welke niet controleerbaar zijn en een gevaar voor de democratie in geval van b.v. stemcomputers.

Ik mag hopen dat iedereen ondertussen weet wat FOSS betekent. Maar eigenlijk zijn we tegenwoordig niet helemaal goed bezig. En dat komt voornamelijk vanwege alle rommel die in software zit. Ik bedoel, kijk maar naar alle macro's in C, kijk maar eens naar C++ en alle rommel die daarin voortkomt. Dat is echt rommel. Nou kan je zeggen: Hallo Rust, maar Rust is C++ 2.0 en is daardoor nog steeds complex en dus ook traag (zowel voor de mens als de computer). Nee, ik denk dat wij hier met z'n allen in een C omgeving wonen die fundamenteel fout is.

Om te beginnen zou het distribueren van source code ook alleen maar de source code moeten bevatten. Maar dat zou ook betekenen dat iedere computer een compiler zou moeten hebben, het liefst eentje die snel is maar ook alle fouten er tijdelijk uit haalt.
25-02-2020, 08:23 door Anoniem
Door donderslag:

Ik mag hopen dat iedereen ondertussen weet wat FOSS betekent. Maar eigenlijk zijn we tegenwoordig niet helemaal goed bezig. En dat komt voornamelijk vanwege alle rommel die in software zit. Ik bedoel, kijk maar naar alle macro's in C, kijk maar eens naar C++ en alle rommel die daarin voortkomt. Dat is echt rommel. Nou kan je zeggen: Hallo Rust, maar Rust is C++ 2.0 en is daardoor nog steeds complex en dus ook traag (zowel voor de mens als de computer). Nee, ik denk dat wij hier met z'n allen in een C omgeving wonen die fundamenteel fout is.

Om te beginnen zou het distribueren van source code ook alleen maar de source code moeten bevatten. Maar dat zou ook betekenen dat iedere computer een compiler zou moeten hebben, het liefst eentje die snel is maar ook alle fouten er tijdelijk uit haalt.
Dus jij vertrouwt alleen applicaties die je met je eigen gebouwde C compiler (incl bootstrapping) hebt gebouwd? Immers, je weet maar nooit wat voor backdoors er allemaal in de huidige gcc zitten.
25-02-2020, 08:37 door [Account Verwijderd] - Bijgewerkt: 25-02-2020, 08:38
Wat ik zeg is dat wij eigenlijk nog in de jaren '70 leven als het gaat om programmeertalen zoals C en C++. C heeft zoveel fouten in zich dat het eigenlijk "verboden" zou moeten zijn geweest en dat al heel lang geleden. Of ik gcc gebruik, natuurlijk wel, of ik het vertrouw, nee ik vertrouw gcc niet en dat geldt ook voor clang.
25-02-2020, 09:53 door Anoniem
Door Covid-19:
Door Anoniem:
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten

Opensource wil zeggen dat het controleerbaar is (mits de gecompileerde binaries overeenkomen) en dat een team de zaak kan auditten op zwakheden en backdoors. Dit volledig in tegenstelling tot closed source (COTS) welke niet controleerbaar zijn en een gevaar voor de democratie in geval van b.v. stemcomputers.
Kunnen auditen en het ook daadwerkelijk auditen zijn twee verschillende dingen.

En zelfs bij een audit kunnen er kwetsbaarheden onopgemerkt blijven.
25-02-2020, 10:23 door Anoniem
Door Anoniem:
Door Covid-19:
Door Anoniem:
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten

Opensource wil zeggen dat het controleerbaar is (mits de gecompileerde binaries overeenkomen) en dat een team de zaak kan auditten op zwakheden en backdoors. Dit volledig in tegenstelling tot closed source (COTS) welke niet controleerbaar zijn en een gevaar voor de democratie in geval van b.v. stemcomputers.
Kunnen auditen en het ook daadwerkelijk auditen zijn twee verschillende dingen.

En zelfs bij een audit kunnen er kwetsbaarheden onopgemerkt blijven.

Gelukkig dat Signal wel geaudit is. Zie o.a. https://threatpost.com/signal-audit-reveals-protocol-cryptographically-sound/121892/
An ja, dat is voornamelijk hun encryptie en de implementatie daarvan. Maar dat is ook het belangrijkste. Het feit dat de implementatie ook goed bevonden is, zegt wat. Er komen regelmatig berichten naar boven dat het versleutelingsprotocol wel veilig is, maar dat het niet correct is geimplementeerd.

Ook handig om te bekijken als we het over audits hebben:
https://www.eff.org/pages/secure-messaging-scorecard

Peter
25-02-2020, 12:42 door Anoniem
Door Anoniem:
Door Covid-19:
Door Anoniem:
Door Anoniem:
Door karma4: Afhankijkheid van een bedrijf waar je niets kan controleren en geen verhaal kan halen. Hoe dom kan je zijn.
Het is of publiekelijk niet gevoelig en dan is beperkte afscherming voldoende of het is gevoelig waarvoor je geen derden gebruikt.

Signal is Open Source en volledig te controleren.
Heb jij alle programma regels van signal doorgepluisd & alle documentatie (ook de kleine letters) ?

open source betekend niet dat er geen addertjes onder het gras kunnen zitten

Opensource wil zeggen dat het controleerbaar is (mits de gecompileerde binaries overeenkomen) en dat een team de zaak kan auditten op zwakheden en backdoors. Dit volledig in tegenstelling tot closed source (COTS) welke niet controleerbaar zijn en een gevaar voor de democratie in geval van b.v. stemcomputers.
Verder dan "kan,kan" kom je niet! Waarom altijd die dooddoener opvoeren, dat het is opensource en IEDEREEN kan het controleren, maar niemand schijnt het te doen. Alleen als er weer eens een probleem in het wild gevonden wordt.

"Kan kan"
Een team "kan" de source code auditten. Dat "kan" bij COTS (commercial off the shelf, proprietary, closed source software) alleen als het audit-team een NDA tekent (non disclosure agreement). De fabrikant van COTS heeft er immers belang bij om de sourcecode geheim te houden? Dat betekent dat (een leger aan) advocaten zich eerst over de inhoud van een NDA moet buigen. Wie gaat dit organiseren en betalen? Het gebruik van COTS is een potentieel security risk.
https://en.wikipedia.org/wiki/Commercial_off-the-shelf

Security through obscurity is een slecht beveiligingsprincipe:
https://en.wikipedia.org/wiki/Security_through_obscurity

Want nog steeds is goede security gebaseerd op het principe van de in Nederland geboren cryptograaf Auguste Kerckhoffs:
"A cryptosystem should be secure even if everything about the system, except the key, is public knowledge"
https://nl.wikipedia.org/wiki/Principe_van_Kerckhoffs

Veel eenvoudiger en veiliger is het dus wanneer iedereen de source code "kan" auditten op zijn of haar eigen wijze, op een zolderkamertje of tijdens een challenge. Iedereen "kan" zonder enige beperking de source code van FOSS (free and open source software) zelf auditten, zonder ingewikkeld NDA.

En bij gebruik van FOSS zwem je nooit in de fuik van "vendor lockin"
https://en.wikipedia.org/wiki/Free_and_open-source_software

Dat COTS in combinatie met stemcomputers (bij verkiezingen) een gevaar is voor de democratie is een waarschuwing aan iedereen van Andrew Tanenbaum.
https://nl.wikipedia.org/wiki/Andrew_S._Tanenbaum
25-02-2020, 13:39 door _R0N_
Door Anoniem:
Naar mijn bescheiden mening is Signal het "beste van het beste", de gouden standaard. Misschien zitten er nog onontdekte fouten of foutjes in de code. Maar dan hebben Edward Snowden en Bruce Schneier die ook niet gezien.
https://signal.org/

"beste van het beste" is wat overdreven, minst slechte komt eerder in de buurt.



Je bent het hopelijk met mij eens dat "adders in het gras" niet eens zichtbaar kunnen zijn in closed source code? Adders kruipen graag weg onder een dekking ... "security bij obscurity". Adders zijn dus per definitie onvindbaar in closed source.

Voor die adders gevonden zijn zouden we wel eens jaren verder kunnen zijn natuurlijk. Niet alle code is zo duidelijk anders zouden er geen lekken in gevonden worden waarmee backdoors ontstaan etc.

Tot op heden is er wereldwijd maar 1 stuk software 100% bug vrij verklaard na jaren onderzoek. We kunnen er dus vanuit gaan dat geen enkel stuk software, wat we nu gebruiken, veilig is en moeten er vanuit gaan dat er gaten dan wel adders in zitten.
25-02-2020, 15:35 door Joep Lunaar
Goede zaak dat de Europese Commissie voor Signal kiest; mogelijk draagt dat bij aan het versterken van het netwerkeffect van dit prima alternatief voor WhatsApp (waarbij metagegevens van de communicatie niet vertrouwelijk blijven).

Wat betreft de discussie over de meerwaarde van FOSS in dit verband: het soms geopperde tegenargument dat kunnen controleren van de code nog niet betekent dat die code ook werkelijk wordt bekeken, miskent de waarde van het mogelijk zijn. Ook als ik zelf niet in staat ben de code goed te controleren, dan bestaat nog steeds de mogelijkheid dat ik dat dan door een gerenommeerde derde laat doen, een universiteit bijvoorbeeld. FOSS die echt maatschappelijk van belang is wordt vaak bovendien door dergelijke instituten op eigen initiatief bekeken en beoordeeld; daar kunnen wij, de maatschappij dan de vruchten van plukken. Reden, een zeer goede en zelf dwingende reden, om producten als MS Windows waarvan het gebruik zo omvangrijk is dat de veiligheid ervan maatschappelijk meer dan relevant is zo mogelijk te mijden zolang de code daarvan gesloten blijft.
25-02-2020, 15:45 door Joep Lunaar - Bijgewerkt: 25-02-2020, 15:46
Door _R0N_:
Tot op heden is er wereldwijd maar 1 stuk software 100% bug vrij verklaard na jaren onderzoek. We kunnen er dus vanuit gaan dat geen enkel stuk software, wat we nu gebruiken, veilig is en moeten er vanuit gaan dat er gaten dan wel adders in zitten.
Bug vrij is iets anders dan gecontroleerd; in code die een audit op veiligheidskwesties heeft ondergaan kunnen nog steeds foutjes zitten, maar de kans op grote onopgemerkte relevante fouten is dan wel aanmerkelijk kleiner en de kans dat echt onwenselijke code (expliciete back-doors of informatielekken) niet wordt gevonden is dan vrijwel uitgesloten.

Of er slecht 1 programma zou dat bug-vrij is - waar haal je het vandaan? - is veel minder relevant en de gevolgtrekking, dat niet gegarandeerd bug-vrij inhoudt dat van het slechtste moet worden uitgegaan, is veel te zwart/wit, een beetje ongenuanceerd, misschien een beetje ... ach, laat maar.
25-02-2020, 15:49 door Joep Lunaar
Door Anoniem:...
Ook handig om te bekijken als we het over audits hebben:
https://www.eff.org/pages/secure-messaging-scorecard

Peter
Dank je voor deze link.
25-02-2020, 19:13 door [Account Verwijderd]
Door Anoniem:

Kunnen auditen en het ook daadwerkelijk auditen zijn twee verschillende dingen.
En zelfs bij een audit kunnen er kwetsbaarheden onopgemerkt blijven.

Zelfs mijn tante kan een paar verborgen kloten hebben.
Kijk naar de succesvolle audit van Veracrypt en bij COTS kan je helemaal niks, nada, noppes.
29-02-2020, 19:34 door Anoniem
Door Anoniem: Zouden ze weten dat in Signal end-to-end encryptie zit?
Ik denk het niet dat ze dat weten,want politicy willen bij encriptie gelijk ook een achterdeur erin hebben en dan is het per definitie niet meer veilig.
29-02-2020, 19:40 door Anoniem
Door Briolet:
Door donderslag: … Ze zouden beter een compleet decentraal systeem zoals Matrix kunnen gebruiken ….

Het gaat hierbij om communicatie tussen publiek en overheid. Dat wil je transparant houden voor derden. (Denk b.v. aan WOB verzoeken) Bij een decentraal systeem, kun je achteraf niet meer controleren wat er gecommuniceerd is. Zo'n communicatie wil je centraal vastgelegd hebben.
Als overheidsinstanties in een dergelijk federated decentraal netwerk een eigen 'overheids-hub' gaan gebruiken, dan is alles gewoon vast te leggen. Dan hoeft je niet bij een amerikaanse toko te gaan bedelen, waar je uiteraard geen antwoord krijgt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.