Cybersecurity 101: Hoe je een versleutelde messaging-app kiest en gebruikt

Image Credits: Getty Images

Tekstberichten bestaan al sinds de dageraad van de cellulaire technologie, en hebben hun eigen unieke taal ontketend. Maar het is tijd om gewone sms-berichten de deur uit te doen.

Als je een iPhone hebt, ben je al goed op weg. iPhones (en ook iPads en Macs) gebruiken iMessage om berichten tussen Apple-apparaten te versturen. Het is een op data gebaseerd berichtensysteem dat gebruikmaakt van 3G, 4G en Wi-Fi, in plaats van sms-berichten, die gebruikmaken van een oud, verouderd maar universeel 2G-netwerk. iMessage is populairder geworden, maar heeft Android-apparaten en andere computers in de kou laten staan.

Daar hebben andere berichtendiensten een gat in de markt gevuld.

Apps als Signal, WhatsApp, Wire en Wickr zijn ook op data gebaseerd en werken op verschillende platforms. Het beste van alles is dat ze end-to-end versleuteld zijn, wat betekent dat verzonden berichten aan de ene kant van de conversatie – het apparaat – worden versleuteld en aan de andere kant op het apparaat van de ontvanger worden ontsleuteld. Dit maakt het voor iedereen – zelfs voor de maker van de app – vrijwel onmogelijk om te zien wat er wordt gezegd.

Veel populaire apps, zoals Instagram, Skype, Slack en Snapchat, bieden helemaal geen end-to-end encryptie. Facebook Messenger heeft de optie om “geheime” end-to-end versleutelde berichten te gebruiken, maar dit is niet standaard ingeschakeld.

Hier volgt wat je moet weten.

Waarom haat je SMS berichten?

SMS, of short messaging service, is meer dan drie decennia oud. Het is over het algemeen betrouwbaar, maar het is verouderd, archaïsch en duur. Er zijn ook diverse redenen waarom SMS-berichten onveilig zijn.

SMS-berichten zijn niet versleuteld, wat betekent dat de inhoud van elk SMS-bericht zichtbaar is voor mobiele providers en overheden, en zelfs kan worden onderschept door georganiseerde en semi-geschoolde hackers. Dat betekent dat zelfs als u sms-berichten gebruikt om uw online accounts te beveiligen met authenticatie met twee factoren, uw codes kunnen worden gestolen. Net zo erg, SMS-berichten lekken metadata, dat is informatie over het bericht, maar niet de inhoud van het bericht zelf, zoals het telefoonnummer van de afzender en de ontvanger, die de mensen die betrokken zijn bij het gesprek kunnen identificeren.

SMS-berichten kunnen ook worden vervalst, wat betekent dat je nooit helemaal zeker kunt zijn dat een SMS-bericht van een bepaalde persoon afkomstig is.

En een recente uitspraak van de Federal Communications Commission geeft mobiele providers nu meer bevoegdheden om SMS-berichten te blokkeren. De FCC zei dat het zal verminderen SMS spam, maar velen maken zich zorgen dat het kan worden gebruikt om de vrije meningsuiting te onderdrukken.

In al deze gevallen, het antwoord is een versleutelde messaging app.

Wat zijn de beste versleutelde messaging apps?

Het eenvoudige antwoord is Signal, een open source, end-to-end versleutelde messaging-app die wordt gezien als de gouden standaard van veilige messaging-diensten voor consumenten.

Signal ondersteunt en versleutelt al je berichten, gesprekken en videochats met andere Signal-gebruikers. Een aantal van ’s werelds slimste beveiligingsprofessionals en cryptografie-experts hebben de code bekeken en geverifieerd, en vertrouwen op de veiligheid ervan. De app gebruikt je mobiele nummer als contactpunt – wat sommigen bekritiseerd hebben, maar het is gemakkelijk om de app in te stellen met een speciaal telefoonnummer zonder je eigen mobiele nummer te verliezen. Afgezien van je telefoonnummer is de app van de grond af opgebouwd om zo min mogelijk metadata te verzamelen.

Een recent verzoek van de overheid om de gegevens van Signal toonde aan dat de app-maker bijna niets te overhandigen heeft. Niet alleen zijn je berichten versleuteld, elke persoon in het gesprek kan instellen dat berichten verlopen – zodat zelfs als een apparaat wordt gecompromitteerd, de berichten kunnen worden ingesteld om al te verdwijnen. Je kunt ook een apart vergrendelscherm aan de app toevoegen voor extra beveiliging. En de app wordt steeds sterker. Onlangs rolde Signal een nieuwe functie uit die het telefoonnummer van de verzender van een bericht maskeert, waardoor het beter is voor de anonimiteit van de verzender.

Maar eigenlijk is er een veel genuanceerder antwoord dan “gewoon Signal.”

Iedereen heeft andere behoeften, wensen en eisen. Afhankelijk van wie je bent, wat je werk is, en met wie je praat, zal bepalen welke versleutelde messaging app het beste voor je is.

Signal kan de favoriete app zijn voor risicovolle banen – zoals journalistiek, activisme, en overheidsmedewerkers. Velen zullen vinden dat WhatsApp bijvoorbeeld goed genoeg is voor de overgrote meerderheid die gewoon met hun vrienden en familie wil praten zonder zich zorgen te hoeven maken dat iemand hun berichten leest.

Je hebt de afgelopen jaren misschien verkeerde dingen over WhatsApp gehoord, grotendeels aangewakkerd door onjuiste en misleidende berichtgeving die beweerde dat er een “achterdeur” was om derden in staat te stellen berichten te lezen. Die beweringen waren ongefundeerd. WhatsApp verzamelt wel een aantal gegevens over zijn 1,5 miljard gebruikers, zoals metadata over wie wanneer contact opneemt met wie. Die gegevens kunnen aan de politie worden overhandigd als die daar met een geldig gerechtelijk bevel om vraagt. Maar berichten kunnen niet worden gelezen omdat ze end-to-end versleuteld zijn. WhatsApp kan die berichten niet overhandigen, ook al zou het dat willen.

Hoewel velen zich niet realiseren dat WhatsApp eigendom is van Facebook, dat het afgelopen jaar te maken heeft gehad met een reeks veiligheids- en privacyschandalen, heeft Facebook gezegd dat het zich zal inzetten om WhatsApp-berichten standaard end-to-end versleuteld te houden. Het is echter goed mogelijk dat Facebook in de toekomst van gedachten verandert, aldus beveiligingsonderzoekers. Het is goed om voorzichtig te blijven, maar WhatsApp is nog steeds beter om te gebruiken voor het versturen van versleutelde berichten dan helemaal niet.

Het beste advies is om nooit iets te schrijven en te versturen op zelfs een end-to-end versleutelde messaging app waarvan je niet zou willen dat het in een rechtszaal verschijnt – voor het geval dat!

Wire wordt ook gebruikt door velen die vertrouwen hebben in de open-source cross-platform app voor het delen van groepschats en gesprekken. De app vereist geen telefoonnummer, maar kiest in plaats daarvan voor gebruikersnamen, wat velen die meer anonimiteit willen aantrekkelijker vinden dan alternatieve apps. Wire heeft ook zijn beweringen over end-to-end encryptie onderbouwd door onderzoekers te vragen een externe audit uit te voeren van zijn cryptografie, maar gebruikers moeten zich ervan bewust zijn dat een ruil voor het gebruik van de app op andere apparaten betekent dat de app een record bijhoudt van iedereen met wie je ooit contact hebt gehad in platte tekst.

iMessage is ook end-to-end versleuteld en wordt gebruikt door miljoenen mensen over de hele wereld die zich waarschijnlijk niet eens realiseren dat hun berichten zijn versleuteld.

Andere apps moeten met zorg worden behandeld of helemaal worden vermeden.

Apps als Telegram zijn bekritiseerd door deskundigen vanwege de foutgevoelige cryptografie, die is beschreven als “alsof je in je oog wordt gestoken met een vork.” En onderzoekers hebben ontdekt dat apps als Confide, ooit een favoriet onder medewerkers van het Witte Huis, berichten niet goed scramblen, waardoor het voor de makers van de app gemakkelijk is om stiekem iemands gesprek af te luisteren.

Hoe iemands identiteit te verifiëren

Een kernvraag bij end-to-end versleutelde berichtgeving is: hoe weet ik dat een persoon is wie hij zegt dat hij is?

Elke end-to-end versleutelde berichtgeving app gaat anders om met de identiteit van een gebruiker. Signal noemt het een “veiligheidsnummer” en WhatsApp noemt het een “beveiligingscode”. Over het algemeen noemen we het “sleutelverificatie”.

Elke gebruiker heeft zijn eigen unieke “vingerafdruk” die is gekoppeld aan zijn gebruikersnaam, telefoonnummer of apparaat. Het is meestal een reeks letters en cijfers. De makkelijkste manier om iemands vingerafdruk te verifiëren is door het persoonlijk te doen. Het is simpel: je pakt allebei je telefoon, opent een gesprek op de gecodeerde messaging app van je keuze, en je controleert of de vingerafdrukken op de twee sets apparaten precies hetzelfde zijn. Meestal druk je dan op een “verifieer”-knop – en dat is het.

Het verifiëren van de vingerafdruk van een contactpersoon op afstand of via het internet is lastiger. Vaak moet je je vingerafdruk (of een screenshot) via een ander kanaal delen – zoals een Twitter-bericht, op Facebook, of via e-mail – en ervoor zorgen dat ze overeenkomen. (Micah Lee van The Intercept heeft een eenvoudig overzicht van hoe je een identiteit kunt verifiëren.)

Als je eenmaal iemands identiteit hebt geverifieerd, hoeft die niet meer opnieuw te worden geverifieerd.

Als je app je waarschuwt dat de vingerafdruk van een ontvanger is veranderd, kan dat een onschuldige reden hebben – ze hebben misschien een nieuw telefoonnummer, of een bericht vanaf een nieuw apparaat verstuurd. Maar het kan ook betekenen dat iemand zich probeert voor te doen als de andere persoon in je gesprek.

Sommige apps doen helemaal geen moeite om de identiteit van een gebruiker te verifiëren. Er is bijvoorbeeld geen manier om te weten of iemand niet stiekem in je iMessage-gesprekken neust, omdat Apple je niet laat weten of iemand stiekem je gesprek afluistert of een ontvanger van een bericht niet op de een of andere manier heeft vervangen door een andere persoon.

Je kunt meer lezen over hoe Signal, WhatsApp, Telegram en Wire je in staat stellen je sleutels te verifiëren en je waarschuwen voor sleutelwijzigingen. (Spoiler alert: Signal is de veiligste keuze.)

Er zijn nog wat andere tips die je moet weten:

Back-ups van versleutelde berichten zijn meestal niet versleuteld in de cloud: Een zeer belangrijk punt hier – vaak zijn uw versleutelde berichten niet versleuteld wanneer ze worden geback-upt naar de cloud. Dat betekent dat de overheid kan eisen dat uw cloudprovider – zoals Apple of Google – uw versleutelde berichten van zijn servers ophaalt en overhandigt. Maak geen back-ups van uw berichten in de cloud als dit een punt van zorg is.

Waarschuw desktop-apps: Een van de voordelen van veel versleutelde messaging-apps is dat ze beschikbaar zijn op een veelheid aan platforms, apparaten en besturingssystemen. Velen bieden ook desktopversies om sneller te kunnen reageren. Maar de afgelopen paar jaar zijn de meeste grote kwetsbaarheden in de buggy desktopsoftware gevonden. Zorg ervoor dat u op de hoogte bent van app-updates. Als u voor een update de app of uw computer opnieuw moet opstarten, moet u dat meteen doen.

Zet uw berichten op verlopen: Encryptie is geen magie; het vereist bewustzijn en overweging. End-to-end versleutelde berichten kunnen u niet redden als uw telefoon wordt gecompromitteerd of gestolen en de inhoud kan worden ingezien. Overweeg ten zeerste om een vervaldatum in te stellen voor uw gesprekken, zodat oudere berichten worden verwijderd en verdwijnen.

Blijf uw apps up-to-date houden: Een van de beste manieren om ervoor te zorgen dat u veilig blijft (en nieuwe functies krijgt!) is ervoor te zorgen dat uw desktop- en mobiele apps up-to-date worden gehouden. Beveiligingsbugs worden vaak gevonden, maar je hoort er misschien niet altijd over. Uw apps up-to-date houden is de beste manier om ervoor te zorgen dat u deze beveiligingsproblemen zo snel mogelijk oplost, zodat u minder risico loopt dat uw berichten worden onderschept of gestolen.