[Social media:] Reuring over WhatsApp - hoe stuur je meekijkvrije berichten?

Voor een vergelijking tussen whatsapp, telegram en signal zie ook
https://beebom.com/whatsapp-vs-telegram-vs-signal/amp/
Ik gebruik zelf signal.

Ik sluit me aan bij de punten die door Michael al zijn benoemd. Ik was nog bezig m’n gedachten te ordenen voor iets leesbaars te produceren.

Het overzicht mist naast de door Michael al aangehaalde punten:

  • is een oplossing centraal of decentraal.
  • XMPP (aka Jabber) gebaseerde oplossingen (ok Whatsapp is genoemd).
  • E2E encryptie… hoe dan.
  • Hashing is overrated

Ik zal het toelichten
Alle centrale oplossingen (incl. Signal etc.) maken een contact onderzoek mogelijk. Dat is ook waarom whatsapp E2E encryptie helemaal geen probleem vindt. Het gaat om wie met wie praat. De exacte namen en nummers zijn niet zozeer direct noodzakelijk, maar een unieke ID voor gebruikers wel.
Dus of een nummer wel of niet gehashed is is niet zo belangrijk voor een dergelijk onderzoek. (Overigens als WA, Signal jou een bericht wil sturen omdat een kennis van jou je nummer in de contact lijst heeft staan betekent dat de username (= telefoonnummer) wel herkenbaar is.
Hashing van telefoonnummers is niet zo moeilijk ongedaan te maken, het is een kwestie van reverse lookup tables maken (vgl. rainbow tables voor password decryptie) telefoonnummers zijn max. 15 cijfers lang, uit een beperkte set, ==> alle mogelijke nummers in de wereld hashen en in een database zetten is een triviaal probleem, een gehashed telefoon nummer “dehashen” is dus een triviale lookup.

Ik mis het overzicht van XMPP clients en servers. Dit is bij uitstek een distributed platform. In de kern is WhatsApp een XMPP oplossing, alleen doen ze niet aan federatie. WA praat niet met servers op een ander platform via de S2S interface in XMPP.
een reeks XMPP servers (al of niet prive servers) die gefedereerd samenwerken zou m.i. een voorkeur hebben.
Het probleem is een beetje de stilstand in XMPP eindgebruikers tools.

E2E encryptie die uitsluitend van 1 device naar een ander device kan praten is waarschijnlijk het meest veilig. (afh. van implementatie van encryptie). Bij Alle E2E die in groepen gebruikt kunnen worden is er een ander mechaniek in gebruik.
Er wordt met de groep een gezamenlike sleutel gebruikt. Bij een wijziging van de groepssamenstelling moet er een nieuwe sleutel gemaakt worden. (Als iemand ook alle oude berichten mag lezen hoeft het niet bij toevoegen), bij verlaten van een groep moet een nieuwe sleutel gemaakt worden. Alle berichten worden met de groepssleutel encrypted verzonden.
Bij open source code kan de code ge-audit worden, bij closed source kan dit niet. En kan er ook niet gecontroleerd worden of er in elke groep een extra (nooit genoemd) lid mee kijkt. Sleutel wisselingen hoeven niet opgemerkt te worden als er geen signalering voor bestaat,
WA kan dus makkelijk een achterdeur krijgen zonder dat iemand het verder weet waarmee FB wel kan beschikken over alle groepssleutels en evt. WEL kan meekijken.

Er zijn vast nog meer gezichtspunten.

Overigens is er ook een hele wereld BUITEN messaging en FB. Ook op het gebied van de smoelenboek websites met een tijdslijn… zijn er al veel voorbeelden, kijk naar Mastodon, Diaspora, NextCloud Social (en anderen), allen open source, beschikbaar als zelf te installeren product, of als hosted product beschikbaar.
Belangrijker is dat deze gefedereerd werken, ie. je kan zelf op diaspora zitten waarbij je vrienden op Mastodon en Nextcloud Social zijn en TOCH elkaars updates zien, en berichtjes sturen.

4 likes

Mooie aanvulling op de discussie @Michael, dank je wel!

Naast de aspecten die je benoemd is er eentje die ik mis: de bruikbaarheid van een chatapplicatie is ermee gediend dat zoveel mogelijk mensen kunnen deelnemen aan de chat dienst. Ik denk dat veel mensen niet zo erg lang stil staan bij privacy aspecten, ook omdat de aantasting van privacy niet (meteen) zichtbaar is. Zij stellen dat whatsapp gewoon werkt, en dat ‘iedereen’ er al op zit, inclusief schoolgroepen, sportclubs enzovoorts. Die mensen zien concreet dat zij iets moeten opofferen, heel concreet en heel direct, ten faveure van iets ‘onzichtbaars’.

De vraag is hoe we zover kunnen komen dat de bruikbaarheid (niet functioneel bedoeld, maar meer het bereik van chat applicaties) van privacy vriendelijke chat applicaties zodanig toeneemt dat afscheid genomen kan worden van whatsapp.

Begrijp me niet verkeerd: ik heb al lang geleden afscheid genomen van dergelijke applicaties. Ik gebruik alleen nog ‘free software’, behalve als het wordt afgedwongen en er geen andere optie is (werkgever die een laptop ter beschikking stelt, de software in mijn auto, etc).

Wat me ook opvalt is dat mensen graag ‘gratis’ apps gebruiken zoals whatsapp, en niet gewend zijn om te betalen voor free software. Een misrekening natuurlijk, maar ja, veel mensen kijken alleen naar de ‘cash out’.

Persoonlijk vind ik het moeizaam om financieel bij te dragen aan free software. Ik ben lid van FSF, en ik betaal netjes elke maand een bijdrage voor de ontwikkeling van Debian en Libreoffice. Die maandelijkse betalingen lopen dan weer helaas via PayPal. Pfff… Het zou al heel mooi zijn als er in Europa een goede aggregator is van veel free software initiatieven waarvoor je maandelijks zou kunnen bijdragen door middel van een eenvoudige SEPA overboeking. De drempel wat verlagen en misschien dragen dan meer mensen een steentje bij.

13 berichten zijn samengevoegd naar een bestaand topic: Social Media - Ontwikkeling in NL

Deze heb ik bewust niet opgenomen, mijn reactie was meer gericht op de gebruikte referenties, de tekortkomingen en de mogelijk verkeerde interpretatie. De meeste factoren zijn weliswaar benoemd zoals (de)centralisatie en encryptie, alleen de mate waarin, hoe dit is gegarandeerd en het het belang ervan worden niet uitgesplitst. Ook de meest recente ontwikkeling en bronvermelding ontbreekt en die zijn in dit verband wel van belang omdat de ontwikkelingen momenteel in positieve zin heel snel gaan. Dit had ik natuurlijk kunnen meenemen maar dan was mijn stuk nog langer en voor dit moment even onnodig ingewikkeld gemaakt.

Gelukkig is het bij een aantal mensen wel op de radar zoals bij jou. Met de discussie hoop ik dat Freedom zelf een shortlist maakt waarin ook deze aspecten naar voren komen. Het lijkt me beter dat we op die shortlist moeten gaan ‘schieten’ om tot een platform (of meerdere of specifieke fork) kunnen komen die onder onze community wordt gedragen. Dat is beter dan dat we hier oeverloze discussies voeren.

Als alternatief zouden we per persoon een top 3 kunnen samenstellen of een lijst van criteria die we belangrijk vinden. In dat geval doen wij dat en dan waarschijnlijk alleen de personen met interesse in openstandaarden, terwijl ik graag vanuit Freedom die shortlist zie komen.

1 like

Er is ook een minister die vindt dat encryptie maar lastig is en dat er vast een “technische” weg eromheen te vinden is.
Encryptie verbieden is voorlopig nog te ver van huis gegrepen.

@Optimist en @Michael Die standaaard zou niet eens ontwikkeld hoeven te worden. XMPP bestaat al zo’n 20 jaar en heeft ook E2E,
hetzij via GPG hetzij via OTR (Off The Record). De oude methoden.
Daarnaast is er OMEMO (dit is vrijwel hetzelfde als de “Double Ratchet” van Signal).

Zie: XMPP E2E Security.
XMPP servers KUNNEN samenwerken (federated) in een federated cloud indien de eigenaren dat open zetten.

Zonder diep in te gaan op specifieke kenmerken, geef ik als voorzet mijn lijstje van netwerken die voldoen aan mijn belangrijkste criteria, gerangschikt naar snelst te implementeren netwerk en verwachte acceptatiegraad

  1. Element/Matrix + Element EU

  2. Jami (GNU/Jami)

  3. Threema

  4. Mastodon

  5. Nieuw Europees initiatief

Integratie van diensten in één gebruikersvriendelijke applicatie heeft volgens mij de toekomst, in dit kader zou ik een initiatief zoals Gides toejuichen, mits dit zou kunnen worden bewerkstelligd als open standaard en kan voldoen aan mijn persoonlijke overwegingen.

Belangrijkste persoonlijke overwegingen
  • Volledig open standaard
  • Vrij van data collectie en advertenties
  • Europees (juridisch en infrastructuur)
  • Geschatte slagingskans om mainstream te worden
  • Cross-platform
  • Desktop+mobiel
  • Gedecentraliseerd
  • Anoniem aanmelden
  • E2E encryptie (en niet leesbaar voor organisatie)
  • optionele modules/plug-ins
  • Samenwerkingsverband/support platforms en ontwikkelaars
  • Mate van ontwikkeling
  • Duidelijke en strikte huisregels/moderatie
  • Mogelijkheid om door Freedom Internet te hosten
1 like

Sessions:
Dit is een aardige kandidaat met incentives voor deelnemers om mee te werken en negatieve feedback voor aanvallers van het netwerk.
De “decentrale” nodes werken samen in een blockchain, de hop on / hop off van het netwerk loopt via een onion protocol (Loki-net).

Ik gebruik momenteel
Matrix (Riot / Riot-web / Element)

  • Bridges naat IRC etc.
  • Decentraal (in princiepe)

Telegram:

  • Primair de API (waarschuwingen van bepaalde mail, waarschuwingen vanuit monitor applicaties)
  • Chat met enkele mensen (E2E waar nodig).

In het verleden wel gekeken naar Wire:

  • Nadeel afhankelijk van telefoon nummer, centraal geleide dienst, vrij beperkte gebruikers groep, gesloten omgeving.
  • Voordeel de adres lijst hoeft niet ge-upload te worden (alleen als je anderen wil laten weten dat je er bent).
  • Bij aanvang gestart door een deel van de oorspronkelijk skype ontwikkelaars.
1 like

Anderen die hun ‘Top 5’ willen laten zien en de bijbehorende gekozen criteria?

Misschien kunnen we dan zelf een shortlist maken. Ik vraag me overigens af of- en in hoeverre klanten die gebruik maken van mainstream social networks dit topic links laten liggen. Het lijkt me dat als Freedom bij te weinig response de conclusie moet trekken dat wanneer zij werkelijk het voortouw willen nemen simpelweg de meest sluitende oplossing naar open standaard uitroepen tot platform dat zij (vooralsnog) toejuicht en waar mogelijk gaat aanbieden aan haar klanten zodat zij in ieder geval op nationaal niveau een standpunt inneemt en uitdraagt.

Wanneer Freedom klanten een platform wordt aangedragen dan kan de groei en verspreiding meer effectief plaatsvinden. Een shortlist kan hierbij helpen. Mocht dit uitblijven dan lijkt me het aanbieden van een Freedom Service Bundel cq de adoptie van Librem One de meest geëigende manier om op korte/middellange termijn invulling te geven aan de hosting van (sociale) diensten zonder al teveel investeringen: een goede en veilige proeftuin om van daaruit te werken aan een toekomstige eigen omgeving waarin alle Freedom klanten zich thuis kunnen voelen.

Er moet wel meer uitgezocht worden, de beschrijving in de whitepaper klinkt leuk, maar is het ook zo gemaakt.
Er zijn ook wat disclaimers waarbij de onion routing mogelijk nog niet af is. De vraag is ook hoeveel nodes er werkelijk actief in dat loki_net zitten, en of dat onafhankelijke organisaties zijn.

Niet alleen organisaties, maar ook in onafhankelijke netwerken (AS-nummers). Want als alle nodes in hetzelfde AS zitten, dan hoef je dat AS maar te blokkeren en werkt het niet meer.

Toch onafhankelijke organisaties omdat er anders alsnog een (1) organisatie is die alle systemen kan monitoren en dus ook de in en uitgangen kan bewaken.
De verschillende organisaties mogen ook machines gebruiken van hosting bedrijven (ze zullen wel moeten) en de AS nummers zijn dan ook verspreid.

Op dit moment even niet via Signal.
Die hebben al een paar uur storing.

Inderdaad, en dat pleit misschien toch voor een meer decentrale oplossing die niet afhankelijk is van een bedrijf of organisatie. Matrix/synapse kan zo’n oplossing zijn, want iedereen kan prima een systeempje bouwen dat mee kan doen in het netwerk door middel van federation. Maakt je een stuk minder afhankelijk.

2 likes

Wanneer we een hogere acceptatiegraad zouden willen bereiken waarbij iedereen toegang heeft tot hetzelfde sociale netwerk en dus niet om-de-zoveel-jaar hoeven te switchen naar een ander platform wanneer er een partij grillen vertoont, lijkt me het draaien van een eigen Matrix server dan niet de beste manier.

Ieder die dat wil zou zo’n eigen sever uit keuzevrijheid moeten kunnen draaien, aan de andere kant denk ik dat we niet voor niets hebben gekozen voor Freedom Internet.

De inrichting van de Freedom organisatie (met stichting) zonder winstmaximalisatie en met duidelijke ingebedde principes zou daarentegen het drempelverlagende effect moeten realiseren om Nederland op verantwoorde wijze te laten overstappen en de backend in eigen beheer moeten hebben. Zo kan ervoor gezorgd worden dat hele families en vrienden willen overstappen naar een partij waar heel Nederland zal weten dat hun gegevens daar in veilige handen is.

Het liefst dus een toekomstbestendige client die door onze vertrouwde ISP geïntegreerd kan worden in de totale dienstverlening aan de voorkant, met een mogelijkheid om à là carte in de gebruikersomgeving diverse modules (forks) aan te zetten.

Voor de toekomst zie ik dan ook liever dat er een centrale plek komt waar de complexe aspecten van een open standaard oplossing worden besproken (in dit gevak een sociaal netwerk) en dichtgetimmerd. Dit omdat de open standaard bij de gemiddelde gebruiker al direct synoniem staat voor ‘ingewikkeld en DIY’, terwijl juist bij een dienst als een sociaal netwerk dit niet naarvoren komt. Aan de voorkant kan het simpel gepresenteerd aan het publiek worden en opties zoals een systeempje bouwen dan al snel en onnodig een ogenschijnlijke moeilijke barrière opwerpt.

Zijn er hier ook gebruikers van Axolotl? En hoe tevreden ben je erover?

Met een vervijfvoudiging van het aantal gebruikers van Signal lijkt het afscheid nemen van Whatsapp en de redenen die daarvoor moeten worden aangevoerd nog slechts een kwestie van tijd.

De vraag is alleen of men bewust heeft gekozen voor dit alternatief omdat het gratis is of uit gebrek aan informatie over andere platforms. Komt men straks bij Signal voor eenzelfde keuze te staan wanneer de wetgeving een andere weg inslaat ten aanzien van encryptie?

Bedoel je niet Threema?

1 like

Dank, fout en correctie, vraag blijft hetzelfde.