WhatsApp meldt dat de berichtendienst van beging tot het eind is versleuteld, maar de versleuteling is niet feilloos. Bestaat een onkraakbare beveiliging eigenlijk wel? Kwalijker zou het zijn als de kwetsbaarheid vooropgezet was, maar zouden we daar ooit achter komen? Verdedigers van het vrije woord vrezen met grote vreze. WhatsApp spreekt boos opzet fel tegen.
Het blijkt mogelijk te zijn de verdedigingslinie van WhatsApp te doorbreken. Die kwetsbaarheid zit nu net in het proces van de totale versleuteling (kan ook misschien niet anders, ik ben een leek op alle terrein). Die totale versleuteling moet de berichten juist onleesbaar maken voor derden. Het probleem zou komen door de mogelijkheid iemand een nieuwe persoonlijke openbare sleutel krijgt als ie, bijvoorbeeld, een nieuwe telefoon koopt. Die persoonlijke publieke sleutel moet dan naar al zijn vrienden en daar schijnt ergens het lek te zitten.
Dat is normaal in communicatiebeveiliging, maar WhatsApp heeft besloten de berichten opnieuw te versleutelen met de nieuwe codes, zonder dat aan zender of ontvanger te melden. Dat zou de mogelijkheid openen voor derden de communicatie te onderscheppen, zonder dat de ‘communicatoren’ dat in de gaten hebben. WhatsApp zou daarmee een doodzonde op het terrein van totale versleuteling hebben begaan, vinden sommige experts.
Achterdeurtje
Het zou niet gaan om een opzettelijk ingebouwd achterdeurtje voor veeleisende derden, zoals de Amerikaanse inlichtingendiensten of de GCHQ uit het Verenigd Koninkrijk. Medeoprichter Brian Acton reageerde nogal fel op de eerdere suggestie van de Britse krant the Guardian dat het daarom ging. Ook schijnt het lek niet zo groot te zijn dat iedereen maar subiet WhatsApp zou moeten verwijderen.
Bezorgde gebruikers kunnen meldingen van opnieuw versleutelde berichten krijgen (waarom is dat dan niet standaard?). Dan heb je de keus om berichten te blokkeren of niet. Dat wordt er voor de gebruiker niet makkelijker op.
Een belangrijk probleem met beveiliging is dat die het gebruiksgemak niet in de weg mag zitten en dat botst wel eens. De meldingen van WhatsApp over de herversleuteling leiden niet tot een blokkade. Dat is wel zo in de oorspronkelijke opzet van de ‘versleutelaar’ Signal van Open Whisper Systems (rare naam), die ook door Messenger en andere berichtendiensten wordt gebruikt.
Moxie Marlinspike van OWS stelt dat blokkeren een optie zou zijn, maar dat gekozen is voor niet blokkerende meldingen. “We begrijpen uit reacties dat de meeste gebruikers voor een blokkering kiezen. Ze willen weten of hun communicatie in orde is, maar het mag niet hun normale werk verstoren.”
Informeren
Sommige berichtendiensten handelen als WhatsApp en informeren de gebruikers niet over veranderingen van de code. Wire vraagt altijd vooraf toestemming aan de gebruikers als de codes zijn veranderd.
Hoe je het ook doet, zo’n dienst zal altijd kritiek krijgen. Het is waarschijnlijk dat beveiliging altijd een kwestie van schipperen blijft, is het verhaal.
Het is net zo als sloten op fietsen en huizen. Die zullen nooit een absolute barrière vormen voor een goede inbreker/dief. Die sloten zorgen voor oponthoud en dat kan net genoeg zijn om de inbrekers/dieven naar makkelijker doelen te laten omzien. Ik zit wel met de vraag waarom die verandering van versleutelingscodes nodig is, maar dat is natuurlijk een domme vraag van een leek op alle gebied… Als je wat meer informatie over de kwetsbaarheid wilt hebben, moet je het artikel van de ontdekker in the Guardian daarover maar lezen.
Bron: the Guardian