Wat de EU-wetgevende E2E-coderingsschijf betekent voor versleutelde berichtenapps

Als u een van de 1,6 miljard WhatsApp-gebruikers bent, gebruikt u al end-to-end-codering (E2EE). Deze veilige vorm van communicatie betekent dat elk bericht dat u naar iemand verzendt alleen kan worden gelezen door de ontvanger --- dergelijke chatberichten kunnen niet worden onderschept door derden, inclusief overheden en criminelen.

Helaas gebruiken criminelen ook codering om hun sporen te verbergen bij het doen van kwaadaardige dingen, waardoor beveiligde berichten-apps een belangrijk doelwit zijn voor overheidsregulering. In recent nieuws heeft de Raad van Europa een resolutie opgesteld om E2EE te reguleren, terwijl het naar de Europese Commissie gaat voor zijn definitieve vorm.

De vraag is, staan ​​we op het punt onze privacy op messenger-apps te verliezen?

Terror Spike duwt de versnellingen van de EU in beweging

In de nasleep van recente aanvallen in Frankrijk en Oostenrijk hebben de premiers van beide landen, respectievelijk Emmanuel Macron en Sebastian Kurz, op 6 november een ontwerpresolutie van de Raad van de Europese Unie (CoEU) ingediend , gericht op het reguleren van end-to-end encryptie praktijken.

De CoEU is het voorstelorgaan dat de richting van het beleid bepaalt, terwijl de Europese Commissie op basis daarvan uitvoerbare wetgeving zal opstellen. Gelukkig is de ontwerpresolutie, als een wetgevende opening, niet zo problematisch voor de privacy als men zou verwachten:

• De resolutie doet geen concrete voorstellen voor een E2EE-verbod.
• Het stelt niet voor om achterdeurtjes voor versleutelingsprotocollen te implementeren.
• Het bevestigt de naleving door de EU van sterke encryptie- en privacyrechten.
• Het dient als een uitnodiging aan experts om de beveiligingsmaatregelen onder het raamwerk "beveiliging ondanks encryptie" volledig te onderzoeken.

De resolutie stelt echter wel een gerichte aanpak voor:

“Competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the data protection regime, while upholding cybersecurity.”

Gezien de trend van regeringen om het bereik van geldige doelen uit te breiden, kan dit ook wettige protesten omvatten. In het geval van Frankrijk zou dit de gele hesjes-beweging kunnen zijn, die van Facebook werd gedwongen naar een beveiligde Telegram-app te gaan.

Interessant is dat Telegram dezelfde app was die Rusland verbood omdat het ontwikkelingsteam weigerde een achterdeur voor de overheid te creëren. Het Europese Hof voor de Rechten van de Mens (EHRM) van de EU oordeelde een dergelijk verbod als een duidelijke schending van de vrije meningsuiting. De uitspraak wierp vruchten af ​​toen Rusland het tweejarige Telegram-verbod ophief .

Is de Telegram-uitspraak van het EHRM een toekomstige waarborg?

Helaas lijkt dit niet het geval te zijn. In 2019 oordeelde het EHRM dat vrije meningsuiting rond het onderwerp Holocaust geen mensenrecht is. Tegelijkertijd oordeelde de rechtbank dat dezelfde vrije meningsuiting over het onderwerp van de Armeense genocide wel degelijk een mensenrecht op vrije meningsuiting vormt. Deze onsamenhangende uitspraken laten zien dat het EVRM geen universele normen handhaaft.

Heeft de ontwerpresolutie van de EU gevolgen voor u?

Als je bang bent dat WhatsApp, Telegram, Viber en andere E2EE-apps je plotseling zullen blootstellen aan hackers en dataminers, wees dan niet bang. Binnen de EU hebben we waarschijnlijk te maken met een hybride oplossing, waarbij wetshandhavingsinstanties rechtbanken voldoende redenering moeten geven om de privacy te schenden.

Aan de andere kant, binnen de Five Eyes-sfeer, lijkt er een enorme druk te zijn om achterdeurtjes in E2EE-messenger-apps in te voeren. Pushback van burgers en NGO's zoals Electronic Frontier Foundation zal van cruciaal belang zijn om dergelijke beperkende wetgeving op cryptografie te voorkomen.

Gerelateerd: Wat is "Five Eyes" -bewaking?

De gladde helling van regeringen die cryptografie reguleren

Het is geen geheim dat landen over de hele wereld de privacy van burgers graag willen ondermijnen omwille van de vermeende nationale veiligheid. Deze aanval wordt meestal geleid door de Five Eyes intelligence-alliantie. Ze streven naar een zo breed mogelijke aanpak: softwareontwikkelaars verplichten backdoors in hun apps te integreren . Dit zou overheden en technologiebedrijven in staat stellen om naar believen toegang te krijgen tot alle privégegevens.

Hoewel de regeringen retorisch stellen dat ze voorzorgsmaatregelen hebben getroffen tegen misbruik, is hun staat van dienst minder dan geweldig. Zoals Snowden-lekken onthulden , lijken ze gewetenloos te zijn in hun kijk op het recht van burgers op privacy en het vermijden van misbruik. Bovendien worden achterdeuren gemakkelijk uitgebuit door cybercriminelen, met grote economische schade en uitholling van vertrouwen tot gevolg.

Verplichte achterdeurtjes zijn nog geen realiteit, maar regeringen kunnen een krachtig overtuigingsarsenaal inzetten op elk moment dat een criminele/terroristische daad plaatsvindt. Daarom hebben regeringen een gestaag momentum om privacybeschermingen uit te hollen, met het argument dat:

• Terroristen/criminelen hebben dezelfde toegang tot versleutelde communicatieprotocollen als de gezagsgetrouwe burgers.
• Daarom moeten versleutelde communicatieprotocollen worden ondermijnd in het belang van de gezagsgetrouwe burger.

Het proberen om het evenwicht tussen de twee te bereiken is een continu proces, het meest recentelijk in de schijnwerpers gezet door de EU-lidstaten.

Waarom is E2E-codering belangrijk?

Wanneer mensen niet willen nadenken over de gevolgen van de surveillancestaat, nemen ze vaak hun toevlucht tot het basisargument:

“I have nothing to hide.”

Helaas maakt het naleven van dergelijke naïviteit uw leven niet veilig voor misbruik. Zoals het Facebook-Cambridge Analytica-gegevensschandaal aantoonde, moet men hun persoonlijke gegevens net zo strikt behandelen als het eigendom in hun huis. Wanneer u bent ontdaan van E2E-coderingsprotocollen, creëert u een omgeving die voedt:

• Zelfcensuur als mindset.
• Hacken en chanteren.
• Onvermogen om een ​​effectieve politieke dissident of journalist te zijn.
• Bedrijven en overheden die uw psychologisch profiel tegen u gebruiken.
• Regeringen minder verantwoordelijk maken voor hun negatieve beleid.
• Onvermogen om intellectueel eigendom effectief te beschermen.

Net zoals criminelen gemakkelijk toegang hebben tot vuurwapens, ondanks het verbod en de strenge controle over de hele wereld, zo zouden criminelen ook andere communicatiemethoden aanschaffen. Tegelijkertijd zou het ondermijnen van E2EE bedrijven en individuele burgers kwetsbaar maken voor allerlei vormen van misbruik.

Welke E2EE-opties heeft u tot uw beschikking?

Achterdeurtjes in messenger-apps kunnen op drie manieren gebeuren:

1. Per ongeluk door slechte codering, die later wordt gepatcht wanneer de kwetsbaarheid wordt ontdekt.
2. Opzettelijk door overheidsinstanties die interne druk uitoefenen op bedrijven.
3. Opzettelijk en openlijk door wetgeving.

Het derde scenario is nog niet bereikt. Probeer in de tussentijd deze beveiligingsrichtlijnen te volgen bij het kiezen van een veilige messenger-app:

• Kies apps die een goede staat van dienst hebben in het weerstaan ​​van druk en die hoog worden gewaardeerd door gebruikers.
• Als u een optie krijgt, kiest u gratis open source-software - FOSS-apps. Dit zijn door de gemeenschap aangestuurde apps, dus achterdeurimplementatie zou snel worden onthuld. Soms vindt u deze apps ook onder het FLOSS-acroniem - free/libre open source software.
• Probeer bij het gebruik van e-mail e-mailplatforms te gebruiken met PGP- of GPG-coderingsprotocollen.

Rekening houdend met die factoren, zijn hier enkele goede open-source E2EE-messenger-apps:

Signaal

Signal is een favoriet geworden onder veel privacybewuste gebruikers, en met goede redenen. Het maakt gebruik van Perfect Forward Secrecy (PFS) voor alle soorten berichten: tekst, audio en video. Signal registreert ook uw IP-adres niet, terwijl u een optie krijgt om zelfvernietigende berichten te verzenden. Op Android-apparaten kunt u er zelfs een standaard-app van maken voor uw sms-berichten.

Signaal vereist echter wel een aanmelding met een telefoonnummer, naast het niet bieden van tweefactorauthenticatie (2FA). Over het algemeen moet deze AVG-conforme messenger-app die beschikbaar is voor alle platforms nog worden overtroffen.

Downloaden : Signaal voor  Android | iOS  | Vensters  (gratis)

Sessie

Sessie, een uitloper van Signal (een vork), wil nog meer formidabele beveiligingsfuncties hebben dan Signal. Daartoe integreerde het alle Signal-functies, maar liet het de vereiste om een ​​telefoonnummer of e-mailadres te hebben voor aanmelding weg. Het registreert geen metadata of IP-adressen, maar het ondersteunt nog steeds geen 2FA.

De open source-ontwikkeling is nog steeds aan de gang, dus het kan zijn dat u bugs ervaart. Bovendien is het Onion Routing-protocol, dat door de Tor-browser wordt gebruikt, ook in ontwikkeling.

Downloaden : Sessie voor Android | iOS | Mac | Vensters | Linux  (gratis)

Briar

Volledig gedecentraliseerd Briar is een van de nieuwste FOSS-apps met E2EE-messengerprotocollen. Exclusief voor het Android-platform, is Briar de go-to-oplossing voor diegenen die zich zorgen maken over een server die hun berichten opslaat. Briar maakt dit onmogelijk door gebruik te maken van peer-to-peer (P2P) protocollen. Dit betekent dat alleen jij en de ontvanger de berichten kunnen opslaan.

Bovendien voegt Briar een extra beschermingslaag toe door gebruik te maken van het Onion Protocol (Tor). U hoeft geen informatie te verstrekken om Briar te gaan gebruiken, behalve de naam van de ontvanger. Als u echter van apparaat verandert, worden al uw berichten onbereikbaar.

Downloaden : Briar voor Android  (gratis)

Draad

Hoewel het nog steeds open source blijft, is Wire bedoeld voor groepsberichten en delen, waardoor het ideaal is voor zakelijke omgevingen. Het is niet gratis, behalve voor persoonlijke accounts. Naast E2EE-protocollen maakt Wire gebruik van Proteus en WebRTC met PFS, naast zelfwissende berichten.

Wire vereist een telefoonnummer / e-mailadres om u aan te melden, naast het loggen van enkele persoonlijke gegevens. Het ondersteunt ook geen 2FA. Desalniettemin maken de AVG-compliance, het open source-karakter en de eersteklas coderingsalgoritmen het geweldig voor zakelijke organisaties.

Downloaden : Draad voor Android | iOS | Mac | Web  | Linux  (gratis)

Je bent niet weerloos tegen het kerende tij

Zelfs als regeringen E2EE volledig verbieden of achterdeurtjes verplicht stellen, zouden criminelen uiteindelijk andere methoden vinden. Aan de andere kant zouden de minder geëngageerde burgers gewoon de nieuwe stand van zaken accepteren: massasurveillance. Daarom moeten we voorzichtig zijn en altijd terugdringen om ons fundamentele mensenrecht op privacy te behouden.