WhatsApp nu net zo veilig als iMessage

Door: Raymon - 6 reacties

WhatsApp heeft end-to-end-versleuteling voor alle gebruikers ingeschakeld. Dat wil zeggen dat alle communicatie via de app nu volledig versleuteld is. Daardoor is WhatsApp net zo veilig als iMessage, dat al langer end-to-end-versleuteling gebruikt.

De versleuteling werkt op iOS vanaf WhatsApp 2.16.1 en ook op Android, Windows Phone 10 en BlackBerry. Als alle gebruikers in een gesprek de laatste WhatsApp-versie hebben, staat encryptie automatisch aan.

Versleuteling checken

WhatsApp geeft bij nieuw gestarte gesprekken aan wanneer versleuteling gebruikt wordt, maar dit is ook te checken via de contactinformatie. Wanneer een contact nog geen WhatsApp-versie heeft die encryptie ondersteunt, zijn de gesprekken onbeveiligd. Bij groepsgesprekken werkt de versleuteling als alle deelnemers de laatste WhatsApp-versie hebben geïnstalleerd.

whatsapp-enc
Klik/tap voor groter.

Metadata

Door de end-to-end-versleuteling krijgen alleen de ontvanger en verzender een key waarmee de berichten ontgrendeld kunnen worden zodat niemand anders, inclusief WhatsApp deze kunnen lezen. Dit wil niet zeggen dat de metadata versleuteld is. Metadata is informatie over het gesprek zelf, maar niet de inhoud daarvan. Denk bijvoorbeeld aan wie met wie chat, het aantal verzonden en ontvangen berichten en de datum van gesprekken. In het privacybeleid van WhatsApp staat het volgende:

WhatsApp may retain date and time stamp information associated with successfully delivered messages and the mobile phone numbers involved in the messages, as well as any other information which WhatsApp is legally compelled to collect.

WhatsApp maakt voor de versleuteling gebruik van het Signal Protocol van ontwikkelaar Open Whisper Systems. Dit is een moderne variant op TLS/SSL dat bijvoorbeeld voor versleutelde websites gebruikt wordt. Alle technische details staan in een diepgaande white paper.

Reacties

6 reacties
  • Profielfoto
    SMTR

    Slechte titel. Whatsapp ligt nu voor op iMessage door het gebruik van het signal protocol. De broncode van iMessage is niet open source en kan niet worden geverifieerd en iMessage bied geen mogelijkheid om te controleren of de persoon met wie je denkt dat je chat, ook de persoon is met wie je chat.

    Voor mensen die twijfelen aan de intenties en kwaliteit van de encryptie, leuk artikel hier.

  • Profielfoto
    Dashter

    ‘Net zo veilig als iMessage’

    Wat een bizarre titel, WhatsApp staat nu een aantal stapjes voor op iMessage.

  • Profielfoto
    Shmoo

    Gelukkig maar.. als ik het gesprek tussen Raymon en Jan-David lees dan zie je weer eens duidelijk waarom dit zo belangrijk is allemaal.
    Paniekpilletjes daar kun je heel erg veel geld mee gaan verdienen binnenkort.

  • Profielfoto
    Neowip

    Zowel Apple als whatsapp zijn niet open source en dus is de implementatie van de encryptie niet te verifiëren door de gebruiker.

    In het geval van whatsapp geeft het gebruik van Open Whisper Systems en de steun van Moxie ze de credibilty waar je voor normaal gebruik op kan vertrouwen. Apple heeft die credibilty al vanuit zichzelf.

    Dus om nou te zeggen dat Apple een paar stapjes achterloopt is nonsense. Puntje bij paaltje komt zijn beide geen open source.

    Als m’n leven op het spel zou staan, zoals bijvoorbeeld bij de Panama papers klokkenluider, zou ik toch voor Signal kiezen.

  • Profielfoto
    Jeffry

    Al is software open source dan is het nog niet te verifiëren door de gemiddelde gebruiker toch? Vorig jaar bleken toch ook wel de nodige bugs met risico’s in OpenSSH te zitten en daarmee dus in open source.

    Open source betekent niet dat het ook daadwerkelijk allemaal nagelopen wordt en als het nagelopen wordt door deskundigen kunnen die nog in dezelfde ‘denkfouten’ trappen als de programmeur/ontwikkelaar.

    In ieder geval vind ik het erg toe te juichen dat WA zulke stappen zet en ook nog eens een wereldwijde implementatie zonder noemenswaardige problemen en met mogelijkheid voor verificatie door de gebruiker (een feature die iMessage weer niet heeft).

    En idd de titel is wel een beetje vreemd aangezien de overeenkomst nu is dat er end-2-end is, maar je kunt toch moeilijk dan gelijk spreken van ‘even veilig’.