Als je voor het eerst iemand een bericht stuurt in WhatsApp, zie je een melding dat je berichten en gesprekken end-to-end versleuteld worden. En dat dus niemand ze verder kan lezen. End-to-end encryptie is dat, of end-to-end versleuteling. Wat betekent dat? Jelte legt uit welke betekenis end-to-end versleuteling heeft voor WhatsApp-gebruikers.
Wat is end to end versleuteling eigenlijk?
End to end versleuteling (of encryptie) betekent: iets is van de ene kant tot en met de andere kant versleuteld. Wat is dat iets? Dat kunnen bijvoorbeeld websites zijn, die met https werken. Het kunnen ook berichten in chatprogramma’s zijn. Daar richten we ons in deze blog op, en dan gebruiken we vooral WhatsApp.
Encryptie op WhatsApp
In WhatsApp heb je end-to-end versleuteling. Op het moment dat jij een bericht verstuurt, wordt dat op jouw telefoon versleuteld. Dan gaat het naar internet, naar een server van WhatsApp. Vervolgens stuurt de server een bericht naar de andere telefoon. De telefoon van die ander haalt het bericht op. En dan is het ontsleuteld. Dit allemaal gebeurt in nog minder dan een seconde. Het bericht is alleen door de verzender en ontvanger te lezen. Dus niet door WhatsApp, niet door Facebook, niet door jouw provider en niet door de overheid.
Hoe werkt end-to-end versleuteling?
Je maakt gebruikt van een a-synchroon sleutelpaar. Dat betekent: je hebt een privésleutel en een publieke sleutel. Op het moment dat je een bericht verstuurt, stuur je eerst die publieke sleutel. Dan zie je die melding, die je hierboven ziet. Als je een nieuwe telefoon hebt en WhatsApp installeert, kun je sommige berichten nog niet lezen. Want diegene heeft die publieke sleutel nog niet gestuurd. Die is nog niet online geweest, nadat jij WhatsApp hebt geïnstalleerd. Je krijgt dan wel een melding dat je een bericht hebt [Wacht op dit bericht. Het kan even duren.] maar die kun je nog niet lezen. Opent die persoon WhatsApp, dan heb je publieke sleutels uitgewisseld. De privésleutel is uiteraard privé.
Voorbeeld: ik stuur Jelte een appje
Ik typ een bericht naar Jelte. Daar zitten twee sloten op. Het ene slot is met mijn privésleutel dichtgemaakt. En het andere slot is met Jeltes publieke sleutel dichtgemaakt. Daar gaat het appje -ping- versleuteld met twee sloten dus. Jelte ontvangt het bericht. Hij kan het bericht openen, door het slot te openen met mijn publieke sleutel. En het tweede slot, dat ik dichtgemaakt had met mijn publieke sleutel, kan Jelte openen met mijn privésleutel. Bijzonder is dat je hier helemaal niks van merkt. Ook niet qua snelheid.
Op het moment dat iemand het bericht onderschept, kan hij alleen het slot van mij (dat ik met mijn privésleutel heb dichtgemaakt) openkrijgen. Maar het andere slot niet, die kan alleen Jelte openen. Dus: wat kan die persoon dan zien? Nog steeds niks. Denk aan een kistje met twee sloten, als je het ene slot open hebt gekregen, is het kistje nog niet open.
Kan Jelte zien dat er iemand aan het slot heeft gerommeld? In WhatsApp gebeurt dat bijna niet, maar bij websites komt het wel voor. Je ziet dan een melding dat het certificaat niet vertrouwd wordt.
Waarom is end-to-end versleuteling belangrijk?
Je wilt toch niet dat allerlei mensen of instanties kunnen meelezen met je berichten? Het is een vorm van veiligheid dus. In WhatsApp zit die versleuteling standaard. Maar… het is de vraag of dat nog lang zo blijft. Daarnaast is het ook een bescherming tegen hackers. Hackers kunnen op deze manier niet in jouw berichten. O, in groepsapps werkt end-to-end versleuteling niet.
Kan end to end encryptie ‘gedecrypt’ worden?
Kunnen je WhatsApp-berichten onderschept worden? Het kan ongetwijfeld, want bijna alles kan. Maar het kost heel veel moeite. Als je een willekeurig iemand wilt hacken, is dat een heel gedoe. Het komt bijna niet voor.
Check het zelf!
Als je het niet vertrouwt, kun je zelf controleren of er iemand tussen jou en een ander zit. Dat werkt zo: ik zoek naar een appje met Jelte. Ik klik op zijn naam en dan zie ik wat gegevens van hem. Als ik een eindje naar beneden scroll, zie ik daar: Versleuteling. Daar zie ik een QR-code en daaronder een serie nummers. Deze nummers moeten bij Jelte en mij hetzelfde zijn. Dat zijn ze ook, dus wij zitten goed 🙂. Maar als de nummers verschillen, klopt er iets niet - dan wordt het verkeer meegelezen. Dan kun je beter niet meer via WhatsApp communiceren. We hebben alle info die WhatsApp over dit punt geeft, nagekeken, maar er staat nergens wat je kunt doen om dit op te lossen. WhatsApp gaat er dus vanuit dat het niet te kraken is.
De chat-app Signal werkt met dezelfde versleuteling. Als je de vorige blog hebt gelezen, zie je dat het verschil tussen WhatsApp en Signal zit in de metadata die erom heen zit.
Telegram: niet versleuteld
Over Telegram: ook een populair chatprogramma. Telegram is gemaakt door Pavel Durov, van oorsprong een Rus. Hij woont niet in Rusland, sterker nog: hij mag Rusland niet eens meer in van de overheid. Lees hier meer over Pavel Durov. Hij heeft met zijn broer deze chat-app gemaakt. Het hoofdkwartier staat in Berlijn en het bedrijf is meer Duits, dan Russisch dus. Voor Telegram gelden dan ook de Europese richtlijnen. Maar bij Telegram is het verkeer standaard niet versleuteld. Daar kan de server meelezen. Een berichtje van mij naar Telegram is versleuteld, en van Telegram naar Jelte is het ook versleuteld. Maar het bericht zelf is niet versleuteld. Dus de server van Telegram kan standaard meelezen met je berichten. Je kunt in Telegram wel een geheime chat starten, dan is het wel versleuteld. Maar niet iedereen is het erover eens dat deze versleuteling ook echt goed is.
Signal en WhatsApp maken gebruik van een veelgebruikt protocol dat meerdere malen is getest. Telegram heeft zelf een versleuteling laten maken, door iemand die geen encryptograaf is. Zelf vinden ze het heel goed, het is nog niet gekraakt. Maar dat betekent niet dat het ook veilig is. Telegram is redelijk vóór privacy, de server staat in Duitsland (een zeer privacy-minded land). Dus de berichten zijn zeker niet zomaar toegankelijk. Als je een geheime chat start, is het versleuteld. En anders is het gewoon mee te lezen door Telegram.
Maar Telegram zegt zelf: het is niet versleuteld, maar het is ook niet mee te lezen. Beetje vaag wel dus. Onze conclusie: we weten niet zeker of Telegram veilig is of niet.
De overheid en end-to-end verleuteling
Je hoort regelmatig in het nieuws over end-to-end versleuteling. Punt is: overheden willen graag kunnen meekijken met criminelen. Maar op het moment dat je (lees = de regering) dat toestaat, sta je ook toe dat criminelen met jou kunnen meekijken. Als je encryptie afzwakt voor de overheid, dan is je het voor criminelen makkelijker om mee te kijken. Je staat eigenlijk toe dat er een agent de hele dag zo bij je naar binnen kan. Daarom haal je de deur van het slot. Maar: dan kan een crimineel dus ook altijd naar binnen…
Daarbij komt dat de overheid alleen wettelijk zou mogen meekijken, als de staatsveiligheid in gevaar is. Dus liever geen gerommel hieraan, Grapperhaus en Wray (directeur FBI)!
En nu?
Als gebruiker kun je zelf niet zoveel doen aan end-to-end versleuteling. Het word je aangeboden, of niet. Het is puur een aspect van veiligheid, dat we willen toelichten.
Reageren?