Wat is end-to-endencryptie en hoe veilig is het?
Je zult het vast wel eens bij WhatsApp hebben zien staan als je voor het eerst een bericht naar iemand stuurt: 'Deze berichten zijn beveiligd met end-to-endversleuteling'. Ook videobelprogramma Zoom belooft het snel toe te voegen na ophef over beveiliging. Maar wat doet het eigenlijk?
Wat is end-to-endencryptie?
Vroeger werd vrijwel alles wat over het internet verstuurd werd, onversleuteld gelaten. Dit zorgde ervoor dat iedereen die waar dan ook een deel van het netwerk beheerde waar je bericht overheen ging, het kon lezen. Dit is bijvoorbeeld je internetprovider, de overheid die het netwerk aftapt of een kwaadwillende achter het open wifinetwerkje op het terras.
Later werd de beveiliging opgeschroefd door de communicatie tussen de chatdienst en de gebruiker te versleutelen. Dan kunnen je berichten niet zomaar worden uitgelezen. De chatdienst zelf kon dat in theorie nog wel en een overheidsinstantie zou dit bijvoorbeeld met een bevel kunnen afdwingen.
Met end-to-endencryptie worden de berichten die je verstuurt pas ontsleuteld als ze bij de bedoelde ontvanger aankomen. Alle tussenliggende partijen die je bericht proberen te onderscheppen, zien alleen maar onleesbare code. Ook als het bericht tijdelijk bij de dienst zelf wordt opgeslagen omdat de ontvanger momenteel geen verbinding heeft, blijft het bericht onleesbaar. Alleen de ontvanger heeft het wachtwoord om het bericht te ontcijferen en kan het dus wel gewoon lezen.
Wordt WhatsApp veiliger door end-to-endencryptie?
Sinds WhatsApp in 2016 end-to-endencryptie activeerde is het voor WhatsApp en moederbedrijf Facebook onmogelijk geworden om de inhoud van je berichten te lezen. Toch is andere informatie over je wel bekend, zoals wanneer, met wie en vanaf wel ip-adres je contact hebt.
Andere chatdiensten
Signal
Naast WhatsApp zijn er natuurlijk ook allerlei andere manieren om met elkaar te communiceren op het internet. Wil je echt veilig zijn, is Signal een goede optie. Die applicatie gebruikt net als WhatsApp end-to-endencryptie, maar slaat daarnaast vrijwel niets over de gebruiker op.
Skype
Skype versleutelt zijn berichten en videogesprekken wel, maar doen dat op de 'oudere' manier, waarbij de diensten zelf in theorie je berichten kunnen uitlezen. In 2013 bleek bijvoorbeeld dat Skype berichten uit had gelekt aan de Amerikaanse inlichtingendienst NSA.
Inmiddels heeft Skype een functie toegevoegd om een privégesprek te starten. Hiermee is end-to-endecryptie ingeschakeld, maar dat moet je dus wel apart activeren.
Zoom
Videobeldienst Zoom kwam onlangs meerdere malen negatief in het nieuws wegens verschillende problemen met beveiliging en privacy. De dienst heeft Keybase overgenomen, een instantie gespecialiseerd in beveiligd communiceren, met het doel om end-to-endencryptie toe te voegen aan de app. Dit is een van de stappen waarmee het bedrijf zijn overgang naar betere beveiliging hoopt waar te maken. Op het moment van schrijven is de functie echter nog niet geïmplementeerd.
Facebook Messenger
Messenger, de chatdienst van Facebook, heeft wel de mogelijkheid om je berichten met end-to-endencryptie te versleutelen, maar die staat net als bij Skype standaard niet ingeschakeld. Dit moet je speciaal activeren en werkt alleen in de app op je telefoon. Alle berichten die je buiten deze functie gewoon verstuurt via de dienst, kunnen in theorie door Facebook worden uitgelezen.
Google Hangouts en Telegram
Twee andere populaire chatdiensten zijn Telegram en Google Hangouts. Beide diensten hebben geen ondersteuning voor end-to-endencryptie. De berichten worden versleuteld verstuurd, maar zouden theoretisch door Telegram of Google uitgelezen kunnen worden.
iMessage en FaceTime
Apple maakt bij zijn chat- en beldiensten standaard gebruik van end-to-endencryptie. Daardoor kunnen kwaadwillenden in theorie niet meelezen.
Risico's
Ondanks dat je berichten dus veel beter beveiligd zijn met end-to-endencryptie, zitten er nog wel een aantal haken en ogen aan. Want hoewel je berichten versleuteld van de ene naar de andere telefoon verzonden worden, staan ze daar meestal onbeveiligd opgeslagen. Weet iemand toegang tot je telefoon te verkrijgen, dan zijn die berichten in theorie uit te lezen.
Gesloten software
Alle bovengenoemde programma's, behalve Signal, zijn gesloten van aard: je kunt niet zelf zien hoe het programma in elkaar zit. Daardoor kun je niet controleren of de ontwikkelaars niet toch stiekem een mogelijkheid hebben ingebouwd om je berichten af te kijken.
Signal is het enige genoemde programma waarvan je de code wel kunt opzoeken. Dit wordt ook wel 'open source' genoemd. Als je dus zelf een beetje kunt programmeren, kun je zo bekijken hoe het programma werkt en alleen dan kun je er helemaal zeker van zijn dat het programma niets doet waar je niet van weet.