End-to-end Encryptie Whatsapp: Schijnveiligheid?

Whatsapp heeft eindelijk E2EE (End-to-end Encryptie) uitgerold naar haar gebruikers op Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry en BB10. Nu is de grote vraag: hoe veilig is het? Ik heb zo mijn twijfels en in dit artikel zal ik beschrijven waarom.

Manier van uitrollen encryptie

Het begint eigenlijk al hoe E2EE wordt uitgerold naar alle Whatsapp gebruikers. Laatste update voor iOS is (op het moment van schrijven) afkomstig van 1 april. In de release notes wordt geen woord gerept over encryptie en drie dagen later heb ik uit het niets encryptie mogelijkheden in mijn Whatsapp app. Dit betekend dat de Whatsapp-ontwikkelaars functionaliteit van afstand kunnen triggeren wat weer mogelijkheden opent voor de inlichtingendiensten. Ik vertrouw op het woord van de ontwikkelaars dat je gesprekken niet zomaar gelezen kunnen worden, ook al worden ze onderschept. Echter zal het mij niet verbazen dat -op verzoek van de inlichtingendiensten (het symbolische vinkje achter je naam)- de client in staat is om al je gesprekken wat op je toestel zijn opgeslagen te kopiëren naar een externe locatie. Uiteraard zijn dit onderbuik gevoelens, echter omdat het dan om specifieke individuele gevallen zal gaan is het lastig te controleren. Maar in mijn optiek wel iets om rekening mee te houden omdat het duidelijk is geworden dat de ontwikkelaars van afstand bepaalde functionaliteit kunnen activeren (en waarschijnlijk ook kunnen deactiveren) en de broncode van Whatsapp niet openbaar is zodat zulke “functionaliteit” zeker niet uitgesloten kan worden.

implementatie van het E2ee-protocol

Whatsapp maakt gebruik van een opensource E2EE-protocol genaamd Signal Protocol. Dit protocol heeft zich bewezen aangezien Edward Snowden gebruik maakt van Signal, de Amerikaanse overheid dit weet en helemaal niks tegen kan beginnen:

So far, so good. Maar het probleem hier is het feit dat wij niet weten hoe het Signal Protocol binnen Whatsapp is geïmplementeerd. Wellicht is er een master key in handen van de inlichtingendiensten of bevat de implementatie andere “zwakheden”.  Zie het als een bedrijf die een kluis heeft ontwikkeld en dit op de markt zet als “onkraakbaar”. Wat als dit bedrijf in het geheim een master sleutel overhandigd aan de overheden om criminaliteit te bestrijden? Juist. Ik zeg niet dat Whatsapp dit doet, echter valt dit niet te controleren omdat de broncode van Whatsapp niet openbaar is. Hierdoor kunnen we niet controleren hoe het Signal Protocol door Whatsapp is geïmplementeerd en of het backdoors bevat waar de inlichtingendiensten gebruik van kunnen maken.

Betrouwbaarheid

Toen Whatsapp was begonnen met de uitrol van E2EE naar haar gebruikers gaf de Whatsapp van mijn collega aan dat ons gesprek was versleuteld. Mijn Whatsapp gaf aan dat ons gesprek niet was versleuteld en deze collega moest updaten naar de laatste versie. Wat moet ik nou geloven? Werd in ons gesprek nou wel of geen E2EE toegepast? Wat mij betreft zijn de indicatoren binnen de applicatie onbetrouwbaar gebleken ondanks het feit dat je E2EE zogenaamd kan “verifiëren”. Want hoe kan je zeker van zijn dat deze indicatoren de werkelijkheid weergeven als Whatsapp A zegt “Versleuteld” en Whatsapp B zegt “Niet versleuteld”?

Wat is dan het nut van E2EE binnen whatsapp?

Laat ik vooropstellen dat vooral de eerste twee punten van mijn betoog grotendeels gebaseerd zijn op onderbuikgevoelens. Echter hoop ik dat ik duidelijk heb kunnen maken waarom je niet blindelings de E2EE van Whatsapp moet vertrouwen als je gesteld bent op je privacy. End-to-end encryptie is slechts een middel om berichten versleuteld over het internet te versturen zodat deze onleesbaar zijn als ze worden onderschept. Echter zegt E2EE helemaal niets over de beveiliging van de Whatsapp-applicatie zelf of hoe jouw conversaties op je telefoon worden opgeslagen. Ook het feit dat Facebook eigenaar is van Whatsapp helpt niet echt aangezien Facebook een niet al te goede reputatie heeft op het gebied van privacy. Maar wat is dan eigenlijk het nut van E2EE in Whatsapp? Is dat schijnveiligheid? Voor een deels denk ik. Ik ben van mening dat de inlichtingendiensten op verzoek echt wel je conversaties kunnen inzien, of op zijn minst de metadata. Echter stop je met E2EE wel de massa-surveillance op het Whatsapp platform en leg je de inlichtingendiensten een extra obstakel neer omdat noch de Amerikaanse overheid, noch onze eigen AIVD de middelen en capaciteit hebben om voor iedere burger een verzoek bij de rechtbank neer te leggen om Whatsapp te dwingen om mee te werken. Hiermee zouden de inlichtingendiensten een wel overwogen keuze moeten maken wie te volgen waardoor de focus zal verschuiven van massa-surveillance naar specifieke verdachten wat weer ten goede komt voor de privacy van de normale burger.

Wat is dan het alternatief?

Om te beginnen zou je ergens in het traject toch iemand of een bedrijf moeten vertrouwen, ook al is een app open-source.  Niks geeft immers de garantie dat de versie die je in de App Store kunt downloaden overeen komt de source die je bijvoorbeeld op Github vindt. Wanneer je een app uploadt naar de App Store van bijvoorbeeld Apple worden er allerlei extra bestanden toegevoegd zoals certificaten waardoor de binary in de App Store niet overeenkomt met de binary die je zelf zou compileren. Hiermee zou Apple -in theorie- een backdoor aan bepaalde apps kunnen toevoegen. Je zou hier dus ten eerste de ontwikkelaar moeten vertrouwen dat die daadwerkelijk de broncode gebruikt wat openbaar is en ten tweede zou je Apple moeten vertrouwen op het gegeven dat die niet rommelen met de binary. Bottomline: Ook al zou je alles zelf regelen, je bent en blijft afhankelijk van derden aangezien Apple zelfs nu haar eigen servers ontwerpt omdat de hardware mogelijk aangepast wordt door “onbekende derde partijen”. We weten natuurlijk allemaal wie deze derde partijen zijn.

Welke app zou ik dan aanraden? Signal. Edward Snowden gebruikt Signal, de Amerikaanse overheid weet dit en kunnen niks tegen beginnen. Dit spreekt voor mij boekdelen. Daarnaast is het bedrijf achter Signal, Open Whisper Systems, een bedrijf wat zich compleet richt op privacy en encryptie. Er zit geen datamining bedrijf als Facebook achter en de oprichter Moxie Marlinspike wordt gezien als een soort “God” binnen de wereld van encryptie. Ook heeft Edward Snowden meerdere malen Signal aanbevolen als één van de tools om je privacy te beschermen. Laat ik het zo formuleren, Signal wordt gezien als het antwoord op de datahongerige inlichtingendiensten omdat de app makkelijk in gebruik is en E2EE toegankelijk maakt voor de wat minder technisch aangelegde burgers. De tijden dat de inlichtingendiensten alle gesprekken konden vergaren en daar allerlei algoritmes op los konden laten om zo’n een lijst met potentiële “terroristen” genereren lijkt voorbij. Wellicht dat men zo gedwongen wordt om meer ouderwets undercover operaties uit te voeren, daar kan geen encryptie tegen op.

Gratis parkeren Schiphol

Het parkeren op Schiphol kost geld en kan flink in de kosten lopen als je de auto voor een langere periode laat staan. Gelukkig kan het parkeren ook gratis als je in de buurt van Schiphol parkeert met een reistijd van minder dan 15 minuten.

Parkeer je auto op loopafstand van een bushalte in de omliggende steden rondom Schiphol, bijvoorbeeld halte Toolenburg Oost in Hoofddorp. Vervolgens ben je met bus 310 in minder dan 15 minuten op Luchthaven Schiphol. Hou wel rekening mee met het feit dat de auto onbeheerd staat geparkeerd en dat er dus altijd risico’s aan verbonden zijn zoals diefstal en vandalisme. Probeer je auto dan ook altijd in een nette beurt te parkeren. Daarnaast stellen sommige buurtbewoners het niet altijd op prijs als de parkeerplekken worden ingenomen door vliegreizigers dus probeer ook hiermee rekening te houden en laat je auto achter in een buurt waar geen tekort aan parkeerplekken zijn.

Autodiscover probleem Exchange Online in Outlook 2016

Na Office 2016 te hebben geïnstalleerd op mijn Windows 10 machine had ik een probleem met het instellen van mijn Exchange Online account in Outlook 2016. Door onbekende redenen kon Outlook mijn autodiscover instellingen niet vinden waardoor het instellen van mijn Exchange account telkens mislukte. Dat was vreemd aangezien de autodiscover instellingen zowel op mijn telefoon als andere applicaties op de desktop (Outlook 2010 op kantoor, Outlook 2013 in Windows 7 en Mail app in Windows 10) wel zonder problemen werden gevonden. Wat het probleem extra bizar maakte was het feit dat zowel de Microsoft Remote Connectivity Analyzer als Microsoft Office 365 Support and Recovery Assistant geen noemenswaardige problemen konden vinden. Na contact te hebben gehad met Microsoft hebben we het probleem op de volgende manier “opgelost”:

  1. Voeg eerst je .onmicrosoft domein toe in Outlook 2016
  2. Verwijder daarna je .onmicrosoft domein uit Outlook en voeg je eigen domein toe.

Dit heeft mijn probleem opgelost. Zowel Microsoft als ik weten niet waar het aan gelegen heeft maar het lijkt mij duidelijk dat dit een probleem is met Outlook 2016 i.c.m. Exchange Online en Windows 10. Mocht je dus ook soortgelijke problemen tegenkomen probeer dan de twee stappen die hierboven beschreven staan.

Goedkoop parkeren in Centrum Den Haag

Meestal ga ik met het OV naar het Centrum van Den Haag alleen ontkom ik er niet aan om zo af en toe met de auto te gaan. Parkeergarages zijn prijzig (tot 4 euro per uur) en ook op straat ben je in het centrum zo > 2 euro per uur kwijt. Door de absurde prijzen ben ik gaan kijken of er geen mogelijkheden zijn om goedkoper te kunnen parkeren in Den Haag centrum. En die zijn er.

In mijn zoektocht heb ik een mogelijkheid gevonden om de eerste 2,5 uur voor een tarief van 0,80 euro per half uur te parkeren op ongeveer 10 minuten loopafstand van de Grote Markt (waar dus ook de winkelstraat begint). Ik heb over het parkeerterrein van MCH Westeinde Ziekenhuis. Met een klein beetje geluk kan je naast het parkeerterrein zelfs gratis parkeren van 20.00 tot 7:30. Ja, ook in de weekenden.

Parkeertarieven MCH Westeinde. Staan ook op website.

Parkeertarieven MCH Westeinde. Staat ook hun website.

Dit ziekenhuis heeft een parkeerterrein wat in eerste instantie bedoeld is voor haar bezoekers. Ondanks dat de aantal plekken beperkt zijn heb ik nog niet meegemaakt dat het terrein vol zit. En even voor de goede orde, als ik zie dat bijna alle plekken bezet zijn neem ik mijn verantwoordelijkheid en parkeer ik ergens anders hetzij voor een hoger tarief. In mijn opinie is dit een prima alternatief voor de (te) dure parkeergarages zolang de omstandigheden het toestaan. Maar nu komt het leuke, gratis parkeren in het centrum na 20.00 uur. Hoe kan dit?

Invalidenparkeerplaatsen naast het parkeerterrein echter alleen tussen 7.30 en 20.00.

Invalidenparkeerplaatsen naast het parkeerterrein echter alleen tussen 7.30 en 20.00.

Naast het parkeerterrein van het MCH Westeinde ziekenhuis bevinden zich een aantal parkeerplaatsen voor invaliden. Deze zijn alleen invalidenparkeerplaatsen van 7:30 tot 20.00 uur. Buiten deze tijden zijn het reguliere parkeerplaatsen waar iedereen mag parkeren. Echter doet bijna niemand dat omdat men afschrikt van de rolstoel op het verkeersbord. Ondanks dat de gehele zone betaald parkeren is wordt nergens aangegeven dat dit ook voor deze parkeerplaatsen geldt. Dus mocht hier na 20.00 uur een plekje vrij zijn? Gratis parkeren!

Tijdreizen, een fascinerend iets

Vaak ben ik aan het filosoferen over tijdreizen. Ik laat mijn fantasie helemaal los en bedenk de meest interessante scenario’s. Hoe vaak stoten we ons kop en wensen dat we terug konden naar dat ene moment waar we alles anders zouden doen? Of dat je benieuwd bent hoe de wereld er 100 jaar later uitziet en dus gewoon naar de toekomst kon? Klinkt misschien allemaal als sciencefiction maar wetenschappers zijn van mening dat theoretisch gezien tijdreizen mogelijk kan zijn. Ze zijn namelijk van mening dat de natuurwetten het tijdreizen niet verbieden. Wil je naar het verleden? Vang een wormgat en vergroot die zodat je doorheen past. Naar de toekomst? Reis net onder de snelheid van het licht en de tijd zal binnen het object waar je in reist vertragen zodat je langzamer ouder wordt maar de tijd voor de rest wel op een ‘normale’ snelheid vordert. En het leuke is dat men denkt dat dit allemaal mogelijk is zonder maar één natuurwet te overtreden. Hoe fascinerend is dat. Echter is het allemaal theorie en is de praktijk iets gecompliceerder.

Momenteel zijn wij nog niet zo ver om tijdreizen van mensen op korte termijn mogelijk te maken. Alhoewel de meeste wetenschappers van mening zijn dat tijdreizen naar de toekomst ooit mogelijk wordt,  zijn er ook veel die denken dat tijdreizen naar het verleden niet kan ondanks dat de natuurwetten het niet verbieden. Naast het feit dat het proces om terug te gaan veel gecompliceerder is zijn er feitelijk ook consequenties aan verbonden mocht terugreizen in de tijd mogelijk worden. Het klinkt mooi, namelijk terug in de tijd en Hitler vermoorden voordat hij aan de macht komt. Holocaust nooit gebeurd. Eind goed al goed. Toch? En daar zit het gevaar. Als je het verleden kan veranderen zou je bijvoorbeeld je eigen geboorte kunnen voorkomen. Maar wie is dan diegene die jouw geboorte voorkomen heeft? Precies, dat noemen we een paradox. Zoals ik al eerder aangaf zijn er momenteel geen natuurwetten die tijdreizen verbieden. Daarom ben ik van mening dat de natuur zal ingrijpen wanneer we toch in staat zijn naar het verleden te reizen. Het zal jou verbieden om het verleden te veranderen wat ook als een algemene regel wordt beschouwt door wetenschappers. You can’t change the past. No matter what.

Hoe kan de natuur dan de mens verbieden om het verleden te veranderen? Dat kan op verschillende manieren:

Mogelijkheid 1:
Je komt terecht in een alternatieve parallelle tijdlijn. Alles wat je daar doet heeft geen invloed op je “eigen” tijdlijn. Zo wordt het toch nog mogelijk om je eigen geboorte te voorkomen.

Mogelijkheid 2:
Je komt terecht in je eigen tijdlijn maar wat je ook probeert je kan niets veranderen. Je probeert te voorkomen dat je ouders elkaar ontmoeten maar achteraf blijken het je ouders niet te zijn. Heel moeilijk te beseffen omdat je zeker weet dat diegene je vader is. Maar toch was het je vader niet. Heel moeilijk te beseffen. The Universe has a way of course correcting…

Mogelijkheid 3:
Tijdreizen naar het verleden niet mogelijk. Simpel, klaar, punt. Wat betreffende de natuurwetten dan? Je kon toch tijdreizen naar het verleden zonder de natuurwetten te verbreken? Ik ben van mening dat de natuur on the fly “haar” regels zal aanpassen mochten we ooit op het punt staan een manier vinden om naar het verleden te reizen. Experimenten zullen mislukken of juist de hele wetenschap op zijn kop zetten. Beetje de course correcting verhaal uit mogelijkheid 2. Er wordt aangenomen dat je niet sneller kan reizen dan het licht. Niet dat ik denk dat dit relevant is voor tijdreizen naar het verleden (eerder naar de toekomst) maar toch om dit even als voorbeeld te nemen. Wat zou er gebeuren als na een serie experimenten toch blijkt dat verplaatsing van een object sneller dan het licht kan? Dat zou in één klap grotendeels de relativiteitstheorie van Einstein onbruikbaar maken en mogen we terug naar de tekentafel. Dat was overigens in 2012 bijna het geval waar men dacht metingen te hebben gedaan waar neutrino’s sneller dan het licht zouden hebben gereisd.

Genoeg over het verleden. Laten we het nu eens hebben over de toekomst. Mocht tijdreizen ooit mogelijk worden ben ik van mening dat we alleen naar de toekomst kunnen. Nu doen we dat sowieso al want elke seconde dat passeert reizen we eigenlijk naar de toekomst. Echter is de waarneming van tijd voor iedereen gelijk. Wat op een dag waarschijnlijk mogelijk wordt is dat we de tijd binnen een object kunnen vertragen ten opzichte van de tijd buiten dat object. Dit kan door twee manieren worden bewerkstelligd:

1. Zoals in het begin van mijn artikel beschreven staat, reis net onder de snelheid van het licht. Een makkelijk voorbeeld is een trein met die snelheid. Wanneer je vanuit achterin de trein naar voren rent zou je sneller dan het licht reizen. Echter is dat niet mogelijk waardoor de tijd binnen de trein vertraagt zodat de natuurwetten niet overtreden worden. 1 week in de trein is bijvoorbeeld 50 jaar voor de buitenwereld. Wanneer de trein dus tot stilstand komt en je uitstapt is de omgeving buiten de trein 50 jaar verder terwijl binnen de trein maar 1 week is verstreken (trein is 50 jaar onderweg geweest, de tijd binnen de trein is 1 week). Echter is het onwaarschijnlijk dat we dit op aarde kunnen bewerkstelligen gezien de weerstand die we hier hebben. Een ruimteschip in de ruimte lijkt waarschijnlijker.

2. Reis rondom een zwaar object. Waar veel massa is vertraagt de tijd volgens een theorie van Einstein (zwaartekracht). Hier op aarde is dat effect minimaal, maar in principe gaat de tijd bij een piramide langzamer dan bij een park bijvoorbeeld. Nu zijn de verschillen zo minimaal dat we het “tijdsverschil” niet merken. Let’s take this to the next level. Men neme een ruimteschip en zet koers naar een zwart gat. Vervolgens komt men terecht in de baan van dat zwart gat en blijft daar een tijdje rondcirkelen. Tijd rondom het zwarte gat gaat langzamer, dus ook in dat ruimteschip. 1 week rondom een zwart gat is bijvoorbeeld 50 jaar buiten dat zwart gat.

Je zult begrijpen dat deze twee mogelijkheden nog lang niet binnen handbereik liggen van ons kunnen. Echter denken wetenschappers dat we ooit over de technologie en kennis beschikken om in ieder geval één van deze twee mogelijkheden te bewerkstelligen: Of reizen met rond de snelheid van het licht, of in de baan van een zwart gat terecht komen. Helaas eindig ik hiermee mijn artikel over tijdreizen. Ik hoop dat ik je een inzicht heb kunnen geven op het fenomeen tijdreizen waardoor je een idee krijgt wat wel en wat niet mogelijk is. Punt is dat ik het heerlijk vind om hierover te filosoferen en over te fantaseren. Eén ding is zeker. Mocht ik vandaag de mogelijkheid hebben naar het verleden of de toekomst te reizen door middel van bijvoorbeeld een experiment, twijfel ik geen seconde. Ik ben bereid om alles op te geven wat ik heb om naar een periode te gaan waar ik eigenlijk niet thuishoor. Een avontuurlijke reis waar ik geen idee heb hoe dat zal uitpakken. Awesome!

Instapkaart op smartwatch

Van de week heeft airberlin het mogelijk gemaakt om te boarden met de smartwatch genaamd Pebble. Na het inchecken vanuit de iOS app wordt de mogelijkheid gegeven om je instapkaart te “uploaden” naar je smartwatch waarmee je vervolgens het vliegtuig kan instappen. Wanneer je met je pols schudt verschijnt de barcode op het scherm van je horloge. Vervolgens deze code scannen bij de gate, done. Daarnaast kan de horloge een snel overzicht weergeven van de vertrektijd, gate en stoel. Airberlin is de tweede luchtvaartmaatschappij die de “instapkaart op smartwatch” feature aanbiedt. Vueling en Sony bundelden eerder de krachten om de instapkaart-functionaliteit naar de SmartWatch 2 te brengen. Overigens hoop ik dat de airliners hun instapkaarten naar meerdere smartwatches brengen en niet kiezen voor “exclusiviteit”, lees overeenkomst tussen twee partijen, zodat ik straks niet 5 verschillende horloges nodig heb als ik wil boarden met mijn horloge. In ieder geval weer een stap dichter bij het papierloos reizen waar ik een groot voorstander van ben. Dat meer luchtvaartmaatschappijen snel mogen volgen.