Does Signal send my number to my contacts?
Signal does not send your phone number to anyone unless you send them a message or make a call to them. The Signal service does not have any knowledge of your contacts. Data is all owned by your phone. Registration notifications are never transmitted by anyone in any direction at all; these notifications are created by your phone.
Wat (althans voor mij) verwarrend is, is dat je, als iemand in wiens contactenlijst jij staat, Signal installeert, jij dan een bericht krijgt dat diegene via Signal bereikbaar is.
Maar dat blijk je ook uit te kunnen zetten:
Why did I see that my contact joined Signal?
You are notified when someone that is stored in your contact list is a new Signal user. If you can send an insecure SMS to a contact, we want you to know you can send a Signal message instead. You can disable these alerts on your phone by going to Signal Settings > Notifications > scroll to events and disable Contact joined Signal .
Ja zeker. En vervelend dat we dat devies dan maar op haar blauwe ogen moeten geloven. Ikzelf denk dat āfollow the moneyā een goed advies is. En dat maakt Signal in mijn ogen toch een beetje verdacht, want ik zie daar de business case zo 123 niet van.
Al het verkeer end-to-end te versleutelen.
Verifyable builds?
Je profiel (met daarin een zelfgekozen naam als enige eis) niet te kunnen inzien, want versleuteld.
Telefoon nummer is verplicht, en hashed of niet is de primaire sleutel voor verzending
Geen berichten te bewaren langer dan nodig, dus tot een bericht is verzonden.
Niet verifieerbaar, hoe blauw zijn de ogen Moxie Marlinspike?
Geen metadata te bewaren (met wie, wanneer, hoe lang) langer dan nodig, dus tot een bericht is verzonden.
Niet verifeerbaar
Geen data als mailadres, contacten, idās of andere herleidbare zaken te bewaren
Verifyable build van de client is nodig
De enige data die ze opslaan is je telefoonnummer, de datum en tijd waarop je Signal geactiveerd hebt en de laatste login datum. Alle andere data wordt bewaard op je eigen telefoon en alleen daar. (backups versleuteld)
Verifyable builds?
Dat de apps en de server software FOSS zijn.
De server is NIET open source er is een kreupele versie beschikbaar maar die werkt by design niet, ik weet niet of signal inmiddels verifyable builds van de client doet maar anders moet je een zelfgebouwde client kunnen gebruiken, daar was Moxie Marlinspike ooit niet heel blij mee de Signal Server waren alleen voor Signal bedoeld niet voor gebruik door concurrentenā¦
Matrix & clients als element al een bekeken?
Er zijn heel bruikbare XMPP (jabber) clients. en jabber servers. Jabber / XMPP is by design een federated protocol. (Vergelijk het voor de eenvoud maar met e-mail dat kan ook heel decentraal gebruikt worden, ondanks dat er maar een paar grote Mail Providers zijn).
(aanvulling)
Hashed of niet het telefoonnummer wordt ten minste gebruikt om iedereen die al bekend is in Signal een berichtje te sturen dat er een nieuw lid is.
Het kan natuurlijk prima dat Signal bedoelingen heeft die niet publiek bekend zijn. Die kunnen commercieel zijn (in de toekomst de dienst veranderen bijvoorbeeld), of anderszins. Misschien is het een mooi project van een inlichtingendienst? We kunnen het niet weten natuurlijk.
Een decentrale oplossing is wat dat betreft gebruikszekerder, en stelt de gebruikers in staat om zelf hun data te beheren en de eigenschappen van de dienst.
De claims van Signal zijn voor mij niet te verifieren. En niemand garandeert mij dat er toch geen sprake is van andere āfeaturesā. Ik vrees dat veel mensen het uit gemakzucht gebruiken, maar de vraag over de business case is terecht.
De recente technische problemen maken me ook duidelijk dat een gecentraliseerde oplossing kwetsbaar is qua beschikbaarheid. Gedistribueerde systemen zijn vaak betrouwbaarder. Een gedistribueerde service als DNS is wereldwijd nog niet down gegaan bijvoorbeeld. Een gedistribueerde chat service op basis van XMPP is ook bijna niet down te brengen.
Hele lange threadā¦ veel al gezegd, maar, mijn 2 eurocentjes:
decentraal EN open/standaard protocol zijn het belangrijkst (voor mij)
matrix heeft aardig de wind mee (wbt grote en overheids organisaties). Ik zou het heel normaal vinden als freedom een matrix-babbel server zou draaien. Waarom niet? Er zijn tientallen clients, je kunt met bridges nog heel veel andere kanalen erin trekken. Betaald door: abbonees: je kunt waarschijnlijk afdwingen dat alleen mensen met een freedom mail account een account kunnen aanmaken?
delta chat: https://delta.chat/en/ probeert te chatten via mail servers (dus ook distributed, EN geen nieuwe servers nodigā¦)
xs4all heeft jaren een jabber server gedraaid (waar ik een account had, en binnen mijn bedrijfje toen āde standaard chat wasā)
ik hoor weinig meer van jabber (xmlā¦ ook beetje oud)
Enne mag best en/en hoor, ikzelf doe met Whatsapp gewoon niet mee, dus een of meer wat āopenerā kanaaltjes zou handig zijnā¦
En ik begrijp ook wel dat een bedrijf (wat Freedom natuurlijk ook is) ook de massa moet kunnen blijven bereiken. Ikzelf heb ook familieleden die weigeren een 2e chat-app te installerenā¦
Wat betreft de bedoelingen van Signal, zoals ik al aangaf, het feit dat het gratis is doet me vermoeden dat, zoals men dat zo mooi pleegt te zeggen, ik het product ben. Op weke manier echter is me nog niet duidelijk.
Voor nu is voor mijn toepassing Signal mooi genoeg; Signal is simpel (en WhatsApp like) genoeg om de meeste mensen waarmee ik iets moet niet af te schrikken. En is ze dat toch te ingewikkeld dan moeten ze me maar mailen of sms-en.
Beveiligingswise heb ik er voorlopig meer vertrouwen in dan de andere alternatieven. En ja, dat is gebaseerd op veel verhalen en weinig harde feiten.
En ach, mocht Signal worden opgeslobberd door een van de Big Five of op een andere manier deuken in mijn vertrouwen maken dan is het zĆ³ weer gedeĆÆnstalleerd.
Ondertussen kan ik mooi eens kijken naar een eigen Matrix / Elements oplossing; ik begrijp dat ik voorlopig toch niet meer naar buiten mag
Whatsapp gebruikt zelf ook XMPP aka Jabber. Dus oud?.. ejabberd maakt als jabber/xmpp server juist veel ontwikkeling door.
Elke Jabber/XMPP client die OMEMO ondersteund, heeft een met Signal vergelijkbare E2E.
Misschien omdat e een alternatief voor facebook willen wordenā¦ (het is dus meer een concurrent voor diaspora & mastodon).
Daar hebben we het hier ook niet over.
Mwahā¦ niet echt een Whatsapp issue maar een typisch voorbeeld van gebrekkige (naleving van) security policies. In een van de berichtjes was te lezen dat het password ook ergens op een papiertje stond. Dan geven we het medium papier en pen ook niet meteen de schuld van het issue.
In dit geval lijkt het vooral een gebrek aan training of instructie van de medewerkers. Misschien vanwege de stormachtige groei van het bedrijf en het niet goed inwerken van medewerkers.
Andere opmerkingen: er is kennelijk een algemeen password voor een patiĆ«ntensysteem dat zomaar voor iedereen in de wereld bereikbaar is (de URL was leesbaar in de reportage). Je zou minimaal verwachten van zoān gevoelig systeem met patiĆ«ntgegevens dat het systeem alleen via een VPN verbinding bereikbaar is (met 2-factor authenticatie), en persoonsgebonden credentials voor benadering van het systeem. Zowel VPN als patienteninformatiesysteem zouden moeten beschikken over goede logging en medewerkers zouden beperkte rechten moeten krijgen, passend bij hun rol.
Daarnaast zouden medewerkers minimaal een training gehad moeten hebben op informatieveiligheidsgebied en moeten beschikken over een VOG.
Nouā¦ Whatsapp berichten zijn E2E beveiligd, AFAIK de bijlagen van een bericht niet, die worden apart op een server gezet met een URL in het bericht. Dus vergelijk het met een briefkaart die beveiligd is met geheimschrift met een A4 met het test resultaat eraan geplakt (de PDF).
Het test resultaat is dus ook inichtelijk voor FB / WA.
En koppeling aan BIG registratie, want medische informatie.
Wat ik eigenlijk redelijk bizar vind, is dat zelfs bij publieke organisaties en natuurlijk ook bedrijven, de gegevensverzamelingen decentraal worden ingericht. Ieder heeft eigen implementaties, security policies. Er is wel wat regelgeving, maar zolang ieder het wiel nog aan het uitvinden is, wordt het heel lastig om informatielekken te voorkomen.
Ik zou het zelf een redelijk idee vinden om persoonlijke gegevens in een soort digitale kluis te hebben, die ik dan vervolgens zelf voor het grootste deel kan beheren. Na einde contract of transactie zou ik de mogelijkheid willen hebben om die partij van mijn gegevens uit te sluiten. Ook wil ik kunnen zien wie toegang heeft tot welke gegevens, en wanneer die geraadpleegd zijn bijvoorbeeld.
Utopisch, ik weet het. Maar zoals het nu gaat, gebeuren er steeds ongelukken.
Decentraal is niet direct het probleem. Een centraal punt is een zwakheid. āMakkelijkā aan te vallen of buiten bedrijf door technische ongevallen.
Belangrijker is een eenduidige vastlegging en uitwisselbaarheid vastleggen en alles op basis van open specificaties.
Monoculturen zijn vaak gevoeliger voor problemen, gesloten systemen zijn niet verifieerbaar.
Tja, meestal ben ik het ermee eens dat decentrale systemen de voorkeur verdienen, maar de uitzondering is wat mij betreft de verwerking van mijn persoonsgegevens. Die beheer ik bij voorkeur zelf, op een centrale plek zodat ik er controle over kan houden.
Ik denk dat het goed mogelijk is om een veilige, redundante opslag van gegevens te hebben die ook nog eens door middel van standaard interfaces benaderbaar zou kunnen zijn, als ik dat toesta, als eigenaar van mijn persoonsgegevens. Die toestemming is wat mij betreft altijd tijdelijk (misschien met uitzondering van wettelijke overheidssystemen), en moet wat mij betreft ten allen tijde ingetrokken kunnen worden.
Ik heb gehoord dat IRMA dat voor een deel kan regelen.
Je kan dan aantonen dat je ouder bent dan 18 zonder dat je je hele paspoort hoeft te laten zien.
Precies dat: op een plaats die JIJ vertrouwt. Dat moet een niet een groot verzamelpunt voor iedereen zijn.
Dat is immers niets anders dan een digitale schietschijf ophangen met de tekst āHIT MEā er opā¦ Er zijn altijd wel implementatie, tool en beheer foutenā¦, Een aanvaller hoeft er maar een te vinden en heeft dan een schat aan gegevens.
bv. voor een ransomware aanval, dan is ook iedereen in een keer alles kwijt. (uitgangspunt is dat alle data daar encrypted ligt opgeslagen).
In WEB 2.0 kan dat ook, alleen de Gateways die mensen kopen gaat het niet, en de echo putten (OK google, Hi Alexa, etc.) die wensen laten uitkomen (hopelijk) werken idd met centrale servers. Maar het kan ook anders, een VPN tussen mobiel en thuis zorgt voor een veilige verbinding en dan kan zonder tussenkomst van derden (Google, Amazon, IFTTT etc.) het een en ander bediend worden.
Dan is er ook geen last van fabrikanten die de server de nek omdraaien waardoor de gateway etc. neit meer werkt.
Kan de FBI meekijken bij Signal:
https://www.forbes.com/sites/thomasbrewster/2021/02/08/can-the-fbi-can-hack-into-private-signal-messages-on-a-locked-iphone-evidence-indicates-yes/
@Ronaldbbnl
Naar aanleiding van het filmpje heb ik maar even op Wigle gekeken.
Mijn router staat er idd op.
Een Thomson 780
En ik weet ook hoe die er op gekomen is.
Er was vroeger een website met een programma dat je in je laptop moest zetten.
Een gps aan je laptop knopen.
Als je dan door de straat liep, kwamen alle wifi punten op de website.
> Notifications > scroll to events and disable Contact joined Signal .
