Signal = aanbevolen chat applicatie

[Bunkerprepper]

Quote

De Europese Commissie heeft Signal als aanbevolen chat-app voor publieke berichten gekozen en roept medewerkers op om het te gebruiken. Dat blijkt uit een bericht dat de EC begin februari onder eigen medewerkers verspreidde, zo meldt de website Politico.

"Signal is gekozen als de aanbevolen applicatie voor publieke instant messaging", aldus het bericht dat op het intranet van de Europese Commissie verscheen. Het gebruik van Signal wordt vooral aangeraden voor communicatie tussen personeel en mensen buiten de organisatie.

Eind januari werd al bekend dat de Verenigde Naties het gebruik van WhatsApp door hooggeplaatste functionarissen heeft verboden omdat de chatdienst niet veilig is. Het verbod werd vorig jaar juni al ingesteld. Een maand eerder, in mei 2019, werd bekend dat aanvallers een zerodaylek in WhatsApp hadden gebruikt om gebruikers met spyware te infecteren.

Bron: https://www.security.nl/posting/645393/Europese+Commissie+kiest+Signal+als+aanbevolen+chat-app

[John Durden]

Interessant bericht@Bunkerprepper

Vind je het een aanbeveling dat de EU Signal naar voren schuift, of juist een waarschuwing?

JD

[Johnny Doe]

Doet me denken aan de NSA/FBI die zo lopen te schreeuwen dat WhatsApp te goed beveiligd is... ?

Maar aan de andere kant; Signal is wel een app waarvan de broncode volledig opensource is, dus ik ga er vanuit dat die beveiliging wel in orde is.

 

[f150]

Signal is al jarenlang een van de meest veilige (of de veiligste) Encrypted Messaging applicaties. Er is een - best indrukwekkend - security audit rapport beschikbaar, gedateerd juli 2019:

https://eprint.iacr.org/2016/1013.pdf waar met name de encryptie (extended triple Diffie-Hellman) stevig aan de tand wordt gevoeld.

De audit is uitgevoerd door verschillende crypto-specialisten, onder andere onze landgenoot Cas Cremers, en niet gestuurd vanuit overheidsorganisaties. Ik denk dat (behalve mijn oudste zoon die zijn account nog niet geheractiveerd heeft) @martin de enige op dit forum is die dit memo nog door kunnen werken.

 

Signal bestaat mede dankzij een $50 mio investering van Brian Acton. In het artikel op Wired kun je meer lezen over de motieven en de achtergronden:

https://www.wired.com/story/signal-foundation-whatsapp-brian-acton/

 

[Greener]

Ook hier een blije Signal gebruiker.

@f150 Bedankt voor de nuttige info.

[candyman]

Nadeel van signal is dat je telefoonnummer altijd zichtbaar is.

 

[wodan]

22 minuten geleden, candyman zei:

Nadeel van signal is dat je telefoonnummer altijd zichtbaar is.

 

Neen, dat je uberhaubt een gsm nr dient te hebben.

[Gast anoniem]

12 uur geleden, f150 zei:

Ik denk dat (behalve mijn oudste zoon die zijn account nog niet geheractiveerd heeft) @martin de enige op dit forum is die dit memo nog door kunnen werken.

 

Bedankt voor het vertrouwen maar op blz 12 en 17 was het voor mij echt heel lastig te volgen.

 

Maar ik wil er toch nog even verder op in gaan.

Signal is in de basis een protocol en NIET een app.

"Signal Messaging Protocol" is een protocol wat door diverse partijen gebruikt wordt.

Denk hierbij aan Google (Allo), Facebook (Whatsapp / Facebook messenger) Microsoft (Skype) en nog flink wat andere partijen.

(signal is ook een app wat gebruik maakt van hun eigen protocol)

 

Dit kan worden gebruik voor een "end to end" encryptie protocol en is in theorie een niet te onderscheppen methode om berichten te versleutelen.

 

Maar......

 

Het risico van een exploit staat eigenlijk compleet los van de versleuteling.

 

En om te voorkomen dat ik straks een bericht gaat posten van 10 blz waar iedereen binnen 2 minuten op ga afhaken ga ik het (bewust) simplificeren en inkorten.

 

Je moet jezelf afvragen wat je doelstelling is als je gebruik maakt van een bepaalde applicatie.

Is het gemak?

Is het privacy?

Is het beveiliging?

Is het efficiëntie?

etc etc

 

Stel dat ik een bericht wil verzenden wat voor de volle 100% niet te onderscheppen is.

Dan is "end2end" een prima methode om te voorkomen dat het bericht niet te onderscheppen is tussen zender en ontvanger.

 

Maar stel dat het probleem niet de inhoud is van het bericht maar de connectie tussen persoon A (ikke) en persoon B (f150 om maar iets te noemen) dan heeft die end2end encryptie geen enkele meerwaarde.

 

Stel dat de Europese commissie ons gaat vertellen dat Signal "good" is en Whatapp "bad" dan denk ik gelijk het tegenovergestelde (oké, ik ga uiteraard alsnog even verder dan mijn eerste ingeving)

Het advies is opmerkelijk want in het verleden zijn er diverse voorbeelden te vinden dat whatsapp berichten onleesbaar zijn geweest voor opsporingsinstanties (want niet gek is met en2end encryptie).

 

Terug naar de basis: Whatsapp is net zo veilig/onveilige als Signal/Skype/Facebook want de versleuteling is gelijk. Het mogelijk risico zit in de mogelijke bugs binnen de applicatie en niet in het protocol/encryptie van de data.

 

De hack van Jeff Bezos is een prima voorbeeld hoe een veilige manier van communicatie alsnog geen vrijbrief is voor een bug binnen een applicatie

 

Stel dat een telefoon voorzien is van een stukje software zoals onderstaand:

https://xnspy.com/

 

Dan kan je alsnog alle berichten teruglezen omdat deze software vanuit icloud de communicatie kan downloaden/extracten/whatever

 

En dit is dan nog een standaard programma onder de noemer "Parental Control App" maar ik gok dat 90% van de afnemers geen verontruste ouders zijn.

(er zijn flink wat applicaties te installeren op een root android/ios device)

 

De korte versie van mijn verhaal is dat het eigenlijk niet zoveel uitmaakt hoe veilige de communicatie verloopt van de berichten.

Zodra je via een andere methode toegang heb tot het device waar de berichten op zijn verzonden/ontvangen heb je alsnog toegang tot de berichten.

 

Een ander voorbeeld om het geheel wat te illustreren is de (on)zin van een complex wachtwoord.

Stel dat iemand als wachtwoord gebruik maakt van "109283podlfkjskj@@!@#21kj21l31#@#@" dan denk je dat je goed bezig bent.

Dit is FOUT want je weet dat niemand (op een paar autisten na) dit wachtwoord kan onthouden dus dit wachtwoord zal worden opgeslagen in een txt bestand.

 

Een potentiële hacker zal dus een zogenaamde keylogger moeten activeren om dit wachtwoord te kunnen achterhalen

Een brutale (fysiek op de locatie) hacker zal een image maken van de harddisk en een wordlist generator loslaten om alle .txt bestanden langs te lopen.

En een slimme social engineering hacker zal domweg het papiertje in de rechter bovenste bureaulade, of onder het toetsenbord de post-it fotograferen

 

Als we kijken naar de "hack" van whatsapp dat heeft dit niks te maken met het hacken van de berichtenstroom. De berichtenstroom is voor de volle 100% niet te onderscheppen.

 

 

Resumerend:

De overheid (maakt niet uit welk land) zal altijd proberen af te dwingen dat er een achterdeurtje is voor "the good guy" en met dat in het achterhoofd is het per definitie uitgesloten dat je een standaard applicatie kunt vertrouwen. Ik heb alle vertrouwen dat de datastroom van end2end encryptie niet te lezen is. Ik heb geen enkel vertrouwen dat er via een ander weg alsnog inzage is in mijn berichtenverkeer indien dit interessant genoeg zou kunnen zijn.

 

 

 

 

 

[Bunkerprepper]

Op 25-2-2020 om 17:49, candyman zei:

Nadeel van signal is dat je telefoonnummer altijd zichtbaar is.

 

 

Je kunt simpelweg een pre-paid kaart nemen, signal installeren op je pc, koppelen met je signal account, en vervolgens kun je je pre-paid kaart weer uit je telefoon verwijderen.

Eens in de zoveel tijd zul je de vraag krijgen om je account te verifiëren en op dat moment plaats je dus weer even die pre-paid simkaart in je telefoon (om de verificatie uit te voeren).