Hoe veilig is WhatsApps nieuwe end-to-end-versleuteling?

WhatsApp rolde eerder deze maand href="http://www.pcmweb.nl/nieuws/whatsapp-rolt-eind-tot-eind-encryptie-uit-voor-alle-chats.html" target="_blank">volledige versleuteling uit</a> voor alle chats. Mooi nieuws, maar WhatsApp is natuurlijk wel van Facebook. Is die encryptie niet gewoon een wassen neus? Tijd om het eens onder de loep te nemen en te kijken hoe veilig WhatsApps versleuteling nou echt is.

Een tijd geleden keken we al naar de veiligheid van WhatsApp, maar dat is inmiddels ingehaald door het nieuwe versleutelingsprotocol. Het bedrijf rolde de encryptie namelijk uit voor alle gebruikers van ieder platform.
 

Hoe werkt de versleuteling?

De versleuteling werkt op de achtergrond en wordt voor alle gebruikers automatisch geactiveerd wanneer ze de app upgraden. De versleuteling werkt nu onder alle gebruikers, dus ook Android- en iOS-gebruikers onderling (en zelfs Windows Phone!), en in groepsgesprekken.

Hoewel de crypto in principe achter de schermen werkt, heeft WhatsApp een aantal functies toegevoegd die duidelijk maken dat de versleuteling actief is. Zo staat er bij iedere chat die is geüpgrade dat de encryptie is ingeschakeld. In groepsgesprekken kun je bovendien via het menu zien of iedereen de laatste versie heeft en of een chat daarmee helemaal is beveiligd.
 

Je merkt in de praktijk niets van de versleuteling

Iedere gebruiker krijgt een unieke identifier wanneer de beveiliging is ingeschakeld. Daar zit gelijk een qr-code bij die je kunt scannen, om te verifiëren dat een gesprek met iemand ook echt versleuteld is. Dat is ietwat overbodig, omdat die versleuteling toch automatisch gebeurt.

Ook heeft WhatsApp onder 'Instellingen' -> 'Account' -> 'Beveiliging' een pagina geplaatst met informatie over de beveiliging, en een instelling waarmee je een melding kunt krijgen wanneer iemands unieke security code verandert.
 

Welke versleuteling wordt er gebruikt?

WhatsApp werkt al een tijdje aan encryptie voor bepaalde apparaten. Het is die versleuteling die nu wordt uitgerold, en waar we dus al redelijk wat van weten. WhatsApp maakt gebruik van dezelfde cryptografie als chat-app Signal. Die versleuteling wordt gemaakt door Open Whisper Systems, die het axolotl-protocol hebben gemaakt.

Sleutels voor een gesprek worden alleen lokaal op het toestel van een gebruiker opgeslagen. Daardoor zijn er maar twee mensen die een bericht kunnen lezen: De verzender en de ontvanger. Iemand die het bericht ondertussen onderschept (bijvoorbeeld met een man-in-the-middle-aanval) kan het bericht dus niet lezen.

Het axolotl-protocol is erg veilig, en werd een paar jaar geleden even erg populair toen bleek dat NSA-klokkenluider Edward Snowden de chat-app Signal gebruikte om te communiceren.
 

Er is ook kritiek, maar dan op WhatsApp als bedrijf

Toch is er ook kritiek op de versleuteling en op WhatsApp als bedrijf. Hoewel het beveiligingsprotocol van Open Whisper Systems open source is, is WhatsApp dat zelf niet. Het is daarom nooit met zekerheid te zeggen of er geen achterdeuren in de app zelf zitten, waardoor berichten alsnog op de servers van het bedrijf worden bewaard of toch worden doorgesluisd naar Facebook. Dat lijkt niet erg waarschijnlijk, maar we moeten het bedrijf er wel op haar blauwe ogen over geloven.

Om een deel van dat wantrouwen weg te nemen, heeft WhatsApp een whitepaper gepubliceerd (PDF) waarin onafhankelijke beveiligingsonderzoekers het protocol bekijken.

Daarnaast moet je ook denken aan het verdienmodel van WhatsApp. Dat draait namelijk niet om het gebruiken of verkopen van data, en het bedrijf zou zichzelf behoorlijk in de voet schieten als het gegevens toch blijkt af te luisteren. Als je meer wilt lezen over het verdienmodel van WhatsApp, kijk dan hier.
 

Zijn er ook dingen níét veilig?

Hoewel de chats beveiligd worden verstuurd, wil dat niet zeggen dat de chats nergens meer te lezen zijn. Je kunt gesprekken namelijk erg makkelijk opslaan op een telefoon of in een clouddienst, waar geen versleuteling op zit. Je kunt WhatsApp-gesprekken bijvoorbeeld automatisch backuppen in Google Drive of in iCloud. WhatsApp heeft beide opties duidelijk in het menu gezet, en omdat de backups automatisch worden gemaakt vergeet je vaak dat ze er zijn. Je kunt er bovendien donder op zeggen dat iemand van je gesprekspartners de functie ooit heeft ingeschakeld.

Ook zijn er nog een hoop dingen die niet versleuteld worden. Zo heeft WhatsApp nog steeds toegang tot je contactpersonen, en deelt het die adresgegevens zelfs met Facebook. En de inhoud van berichten mag dan wel versleuteld zijn, de meta-data is dat niet. Daaruit is nog steeds te lezen welke nummers met elkaar chatten, vanaf welke plek dat gebeurt, en op welke tijden. Als je die informatie combineert, kun je vaak al behoorlijk wat over een persoon te weten komen.

En let er natuurlijk op dat je altijd wel vrienden hebt die het nalaten hun apps up-to-date te houden.

Deel dit artikel
Voeg toe aan favorieten