WhatsApp is net het grootste versleutelde berichtensysteem geworden

Op maandag lanceerde WhatsApp met succes de end-to-end-codering voor alle in-app-communicatie, op alle mobiele platforms. Hoewel we wisten dat dit al een tijdje in de maak was, is het groot nieuws: WhatsApp wordt gebruikt door meer dan een miljard mensen over de hele wereld, en toch waren de privacy- en beveiligingsbeoordelingen al lang slecht. Het wordt nu een van de weinige berichten-apps die end-to-end alle gecommuniceerde inhoud op alle apparaten codeert.

In november 2014 sloot WhatsApp een partnerschap met Open Whisper Systems om de eenvoudige uitwisseling van sms-berichten met end-to-end-codering voor alle mediabestanden en alle mobiele platforms die als een uiteindelijk doel zijn ingesteld, te coderen. Anderhalf jaar later, hier zijn we.

De Facebook Messenger (een product van Facebook: eigenaar van WhatsApp) is niet gecodeerd end-to-end, hoewel dat ook in de maak is. De iMessages van Apple zijn aan de andere kant van begin tot eind gecodeerd - met een voorbehoud. Je bent relatief veilig als je sms't tussen iPhones. Als uw teksten groen op uw iPhone verschijnen (een indicatie dat u berichten verzendt naar niet-Apple-telefoons), is de kans groot dat ze onveilig zijn. En als u een back-up maakt van uw iMessages op iCloud, zijn ze onveilig.

WhatsApp's integratie van signaalprotocollen is nu voltooid. End-to-end encryptie voor iedereen standaard:

- Open Whisper Systems (@whispersystems) op 5 april 2016

End-to-end-codering, in tegenstelling tot loutere codering, zorgt er theoretisch voor dat niemand anders dan de twee communicators toegang hebben tot de inhoud: de cryptografische sleutels waarmee de tekst of media zijn beveiligd, zijn voor iedereen ontoegankelijk. Zelfs de technici van de app. En vooral de overheid. De meeste systemen kunnen echter, net als iMessages, de beveiliging niet uitbreiden op mobiele platforms. Anderen negeren sommige media: telefoontjes of video's zijn bijvoorbeeld niet altijd inbegrepen in de deal. Dus als zo'n bedrijf door een rechtbank wordt bevolen een van de berichten van de gebruiker over te dragen, moet het in wezen voldoen: sindsdien kan toegang tot de inhoud, het moet toegang tot de inhoud.

Maar niet langer. WhatsApp zal niet langer toegang hebben tot de tekstdiscussies, oproepen of foto-uitwisselingen van zijn gebruikers en zal dus niet langer kunnen voldoen aan rechterlijke bevelen. (Wat een schande.) De regering en de strenge nationale veiligheidsmedewerkers zullen deze beweging op zijn minst betreuren. De gesprekken en uitwisselingen van één miljard mensen gaan nu in het duister en niemand anders dan de afzenders en ontvangers kan deze oproepen.

Hier is de uitleg van WhatsApp uit het witboek (hier te downloaden):

Berichten tussen WhatsApp-gebruikers worden beschermd met een end-to-end encryptieprotocol zodat derden en WhatsApp ze niet kunnen lezen en zodat de berichten alleen door de ontvanger kunnen worden gedecodeerd. Alle soorten WhatsApp-berichten (inclusief chats, groepschats, afbeeldingen, video's, spraakberichten en bestanden) en WhatsApp-gesprekken worden beschermd door end-to-end-codering.

WhatsApp-servers hebben geen toegang tot de privésleutels van WhatsApp-gebruikers en WhatsApp-gebruikers hebben de mogelijkheid om sleutels te verifiëren om de integriteit van hun communicatie te waarborgen.

WhatsApp vertrouwt op Open Whisper-systemen om ervoor te zorgen dat deze lockbox veilig blijft.

Open Whisper Systems, van zijn kant, staat bekend als een van de meest veilige messaging-software. Matt Green, een opmerkelijke cryptograaf aan de Johns Hopkins University, vertroebelde: "Na het lezen van de code, ontdekte ik letterlijk een regel kwijl die over mijn wangen liep. Het is echt leuk."

Ook is de WhatsApp-beveiligingsgids niet leuk om te lezen. Ik geniet alleen van het lezen van crypto-specificaties wanneer ze kapot zijn.

- Matthew Green (@matthew_d_green) 5 april 2016

Edward Snowden wordt ook vermeld op de website van het bedrijf: "Gebruik alles van Open Whisper Systems." Snowden zou nu waarschijnlijk WhatsApp moeten steunen. Behalve dat zelfs deze codering weggaat sommige kwetsbaarheden - kwetsbaarheden die Snowden waarschijnlijk maar al te goed kent:

Heeft natuurlijk geen invloed op pennenvallen en metadata, maar toch goed nieuws. Betere privacy dan iMessage.

- Thomas Fox-Brewster (@iblametom) 5 april 2016

Deze ontwikkeling zal desalniettemin de betrouwbaarheid van WhatsApp voor communicatie met banken of luchtvaartmaatschappijen verbeteren. Wat nog belangrijker is, het zal de veiligheidsclassificatie van WhatsApp verbeteren. Voorheen beschikte het over slechts twee van de zeven vinkjes in de scorekaart van de Electronic Frontier Foundation voor beveiligde berichten-apps en diende daarom niet voor omgekeerde De beveiligde berichten-app van Google.

En, hé, als WhatsApp het kan doen, dan kunnen de grote honden dat ook. WhatsApp heeft slechts 50 ingenieurs in dienst. Naar verluidt werkten slechts 15 van die 50 aan deze codering.

Vijftien technici van WhatsApp hebben een miljard gebruikers een codering aangeboden. Google heeft geen excuus. http://t.co/y5mAWzhJZI pic.twitter.com/OjCWjd0AW8

- Christopher Soghoian (@csoghoian) 5 april 2016