Whatsapp en Open Whisper Systems slaan handen in mekaar

Onlangs heeft De Correspondent het startschot gegeven voor een nieuwe serie over privacy en surveillance. Het is een thema waar de nieuwssite in het verleden al uitgebreid aandacht aan besteed heeft. Maar dat waren niet altijd de meest opwekkende verhalen. Met de nieuwe reeks wil De Correspondent het over een andere boeg gooien, door ook op zoek te gaan naar oplossingen. Verhalen die draaien rond de cruciale vraag: hoe redden we het web?

Het mooie aan het initiatief van De Correspondent is dat ze het niet laten uitschijnen als een goed nieuws show. De digitale datawereld is nu eenmaal niet de meest privacyvriendelijke plek die er bestaat en het blijft belangrijk dat die duistere kanten naar boven gehaald worden. Maar er is daarnaast ook een parallelle realiteit waar naarstig gezocht en gewerkt wordt aan oplossingen: veiliger technologieën, betere wetgeving, steviger debatten en producten die onze data beter beschermen. Positief nieuws dat duidelijk maakt dat de strijd voor onze privacy verre van verloren is. Het is het soort berichten dat we allemaal wel eens nodig hebben om te beseffen dat er nog veel werk aan de winkel is, maar dat dat werk ook loont.

Whatsapp en Open Whisper Systems

whatsappHet nieuws dat de populaire chattool Whatsapp een samenwerkingsovereenkomst met Open Whisper Systems heeft afgesloten, is een bericht dat zeker hoog in het lijstje van positief nieuws mag opgenomen worden. De nieuwste update van WhatsApp voor Android zou er al meteen voor moeten zorgen dat chatberichten op een veilige manier gecodeerd worden. Dat gebeurt met behulp van TextSecure, een protocol dat ervoor zorgt  dat berichten gecodeerd zijn vanaf het moment van versturen totdat ze op hun bestemming aankomen. Dus niemand die nog zal kunnen meelezen, een hacker niet en ook Whatsapp zelf niet.

De samenwerking tussen Whatsapp en Open Whisper Systems heeft ervoor gezorgd dat end-to-end encryptie en forward secrecy voor het eerst op dergelijke grote schaal toegepast worden. Totnogtoe was het bij Whatsapp zo dat de versleuteling enkel tussen de WhatsApp-server en -gebruiker plaats vond. Daardoor kunnen  alle berichten door de berichtendienst gelezen worden of desgevraagd aan politie- of inlichtingendiensten doorgespeeld worden. Dat zal nu dus niet langer het geval zijn.

Open Whisper Systems

open-whisper-systemsOpen Whisper Systems is in tech-kringen een gerenommeerde naam. Open Whisper Systems ontwikkelt software om versleuteld te communiceren en heeft tot op heden een onberispelijke track record. Het project werd opgericht door beveiligingsonderzoeker Moxie Marlinspike en ontwikkelde apps als RedPhone en TextSecure waarmee gebruikers versleuteld kunnen bellen en berichten uitwisselen. Niemand minder dan Edward Snowden sprak al lovende woorden over Marlinspike en vooral over de manier waarop zijn apps als RedPhone en TextSecure sterke encryptie met gebruiksgemak combineren. Beide apps zouden ook een rol gespeeld hebben als communicatiemiddel tijdens de Arabische Lente.

Toch nog even geduld

De combinatie van ijzersterke encryptie en maximaal gebruikscomfort (je hoeft als gebruiker zelf niets te doen, encryptie staat standaard ingeschakeld) en dat voor een half miljard gebruikers, is ontegensprekelijk een grote stap in de goede richting. Ook het feit dat hiervoor beroep gedaan wordt op gerenommeerde beveiligingsonderzoekers met een stevige reputatie, wekt vertrouwen. Dat laatste was overigens cruciaal, want WhatsApp heeft niet bepaald een goede reputatie wat betreft beveiliging.

Die slechte reputatie is wellicht de reden waarom een aantal critici toch een slag om de arm houden. TextSecure is inderdaad een mooi voorbeeld van sterke encryptie. Maar dat betekent niet dat ook Whatsapp vanaf nu automatisch even veilig is. In verschillende commentaren werd er al op gewezen dat Whatsapp eerst zijn broncode moet vrijgeven, voordat er zekerheid kan zijn over de geslaagde implementatie van de encryptie en of er bijvoorbeeld geen achterdeurtjes zijn blijven open staan. Zolang die onafhankelijke check niet gebeurd is, zal er twijfel blijven bestaan. Eerst zien en dan geloven, het blijft nu eenmaal een gezonde reactie als het om zaken als encryptie en beveiliging gaat. Wie volledig zeker van zijn zaak wil zijn, grijpt dus beter nog even terug naar het originele Textsecure.

Maar dit soort terechte kritische bedenkingen mag er de andere grote spelers vooral niet van weerhouden om het voorbeeld van Whatsapp te volgen en zelf ook de stap naar ijzersterke encryptie te zetten. Het is onder meer door dit soort “encryption by design” dat we terug een stevig eind richting veiliger internet kunnen opschuiven en een deel van onze privacy herwinnen.

Meer lezen: