Hoe veilig is whatsapp ?

De app van de rijksoverheid is - ookal heeft hij weinig gebruikers - gewoon veilig en betrouwbaar (de huidige politiek niet ).

Je kan ook even kijken wat er op deze pagina staat.

Veilige kopie identiteitsbewijs
Geeft u toch een kopie af? Help dan misbruik van uw identiteitsgegevens voorkomen. U moet bijvoorbeeld uw Burgerservicenummer afdekken of doorstrepen. Een veilige kopie van uw identiteitsbewijs maakt u zo:

• Maak in de kopie uw Burgerservicenummer onleesbaar, ook in de cijferreeks onderaan.
• Schrijf in de kopie dat het een kopie is.
• Schrijf in de kopie voor welke instantie of welk product de kopie is bedoeld.
• Schrijf in de kopie de datum waarop u de kopie afgeeft.

Maar ik vind het vreemd dat dit per WhatsApp gaat, even langs gaan is toch net zo makkelijk? Ouderwets handwerk is in zulke gevallen gewoon het beste.

Als je het wat veiliger aan wilt pakken: stop het in een versleuteld zipje, stuur dat per email en stuur het wachtwoord per whatsapp (of iets dergelijks).

Ik begreep laatst van iemand dat plaatjes verstuurd via WhatsApp niet versleuteld worden (in tegenstelling tot tekstberichten en ik geloof ook de spraakverbindingen?), maar niet 100% zeker of dat ook daadwerkelijk zo is.

Wat bedoel je met "te vertrouwen"? Of er mitm aanvallen mogelijk zijn als je de app gebruikt ipv je gewone camera? Of dat de overheid vertrouwelijk met de foto omgaat?

Prysm Software schreef op donderdag 22 februari 2018 @ 17:30:
[...]

de end to end encryptie van het versturen van een copy van ID en hoeveilig zijn de systemen van oveheid gezien de laaste 10 jaar allevallende projecten kwa veiligheid.

Die app van de overheid doet niets meer dan een foto maken van je paspoort en vervolgens een feature om er een "kopie bestemd voor X" tekst overheen te printen en wat gegevens te maskeren toch? Die app zelf doet verder niets online of zo voor zover ik weet (tenzij dat is uitgebreid)?

Nee. De app doet niets online.

Prysm Software schreef op donderdag 22 februari 2018 @ 16:35:
Vandaag de dag doet men steetds meer met Whatsapp.
En daar komt ook mijn vraag vandaan. mijn nieuwe werkgever wilt wat persoonlijke gegevens hebben voor de opmaak van contract. en vraagt mij een copy sturen via APP, nu zie ik dat de rijksovergeid daar een app voor heeft,
https://www.rijksoverheid...e-kopie-identiteitsbewijs

hoe veilig is het ? en is die app van rijksoverheid beetje te vertrouwen, want heeft maar 100 duizend gebruikers.

Via APP? Bedoel je WhatsAPP? Of een andere APP?

Zou ik zelf niet doen, als het whatsapp is. Neem dan de suggestie @Orion84 :
- Gebruik de overheids-app om je identiteitsbewijs te bewerken (verwijder BSN nummer etc);
- Stuur een mail met versleutelde zip naar je nieuwe werkgever;
- Stuur separaat het bijbehorende wachtwoord

De suggesties in dit topic om een versleuteld bericht en een wachtwoord in separate berichten te sturen is nogal onzinnig. Bij symmetrische encryptie heb je een veilig kanaal nodig om de key te versturen, maar als je dat veilige kanaal al hebt kun je net zo goed je confidential payload zelf daarlangs sturen.
Veel beter is om gebruik te maken van asymmetrische encryptie, bijvoorbeeld PGP of GPG.
Daarbij maak je alleen een public key openbaar, waarmee de tegenpartij berichten kan versleutelen, die je vervolgens zelf met de private key weer omzet in plaintext.

Henk007 schreef op donderdag 22 februari 2018 @ 18:16:
...
Veel beter is om gebruik te maken van asymmetrische encryptie, bijvoorbeeld PGP of GPG.
Daarbij maak je alleen een public key openbaar, waarmee de tegenpartij berichten kan versleutelen, die je vervolgens zelf met de private key weer omzet in plaintext.

Het probleem met asymmetrische encryptie blijft dan nog steeds dat je om de authenticiteit van publieke sleutel te waarborgen nog steeds een veilig&geauthenticeerd kanaal nodig hebt. Dus als het om het eenmalig afleveren van een bericht gaat, kan je dat dan in veel gevallen ook meteen over dat kanaal doen. (eventueel kan men als men wil wat betreft de authenticiteit van de publieke sleutel ook op een CA of WoT of zelfs simpel ongecontroleerd kanaal vertrouwen natuurlijk)

[ Voor 4% gewijzigd door begintmeta op 22-02-2018 18:37 ]

Prysm Software schreef op donderdag 22 februari 2018 @ 18:25:
Met andere woorden whatsapp is zo unsave als WAT en nooit fotos of ander materiaal verturen behalven tekst.

Waar haal je dat nu weer vandaan ?
Volgens mij wil je helemaal geen uitleg, maar confirmatie dat JOUW idee klopt .. het is onveilig

WA is gewoon veilig, tenzij je ZELF de verkeerde zaken verzend.
Als jij al akkoord gaat om via een messenger jouw ID te verzenden, ligt het toch echt bij de gebruiker, en niet bij de app

Ik zou gewoon mijn zaken in persoon afhandelen, desnoods per post, maar nooit via een messenger of zelfs de fax

[ Voor 7% gewijzigd door FreshMaker op 22-02-2018 18:32 ]

Welke gegevens heeft je werkgever nodig? BSN, paspoortnummer? Kopie identiteitskaart? Volgens mij is de werkgever een van de weinige die een kopie mag hebben zonder dat iets is afgeschermd. Als het voor een contract is dan kun je het gewoon als tekst sturen, een kopie van je id kan later nog worden ingeleverd.

@FreshMaker per post is natuurlijk ook niet altijd te vertrouwen. Gewoon direct op de man, persoonlijk is en blijft het veiligste.

Prysm Software schreef op donderdag 22 februari 2018 @ 18:09:
dus Whatsapp app is helemaal niet zo veilig ?

Ook ik vraag me af waar je dit vandaan haalt en waarom je dat denkt... Maar als je denkt dat het niet veilig is, dan kun je net zo goed volledig van het internet af gaan, want NIETS is veilig op het internet.

Als je het, zoals eerder is voorgesteld in een .zip bestand doet met wachtwoord en het wachtwoord apart verstuurt is het veiliger, maar even langs brengen is het beste.

Orion84 schreef op donderdag 22 februari 2018 @ 17:18:
Ik begreep laatst van iemand dat plaatjes verstuurd via WhatsApp niet versleuteld worden (in tegenstelling tot tekstberichten en ik geloof ook de spraakverbindingen?), maar niet 100% zeker of dat ook daadwerkelijk zo is.

Dat is niet correct.
WhatsApp versleutelt alles dat je verstuurt, dus ook media, spraakberichten, bijlagen zoals PDF en powerpoints, whatever. Het gaat allemaal door een laag encryptie heen. Inderdaad, video en spraakoproepen zijn ook encrypted.

Hier hebben ze zelfs uitgebreid tijd aan besteed met de WhatsApp Web/Desktop client. Want hoe ga je dat oplossen als je bijvoorbeeld een bijlage van 100MB verstuurd naar een contact terwijl je telefoon alle sleutels heeft? Dan moet je dus eerst die 100MB uploaden naar je toestel en dan moet je toestel het encrypten en die 100MB uploaden naar je ontvanger. Dat kost je 200MB mobiele data als je telefoon niet op WiFi hangt en dat is dus volstrekt onzinnig. Kost ook nog eens accuspanning. Dat hebben ze opgelost door je computer het te laten encrypten (met een eenmalige sleutel die ie zelf genereert) en uploaden naar een blob store. De desktop client verstuurd de benodigde informatie (sleutel + pointer) over het beveiligde kanaal tussen Desktop en telefoon. De decryptie-sleutel en pointer naar de juiste locatie in de blobstore worden weer end-to-end encrypted vanaf je telefoon doorgestuurd naar de ontvanger. Je toestel verstuurd dus enkel de pointer en een key (paar bytes) en de internetverbinding van de PC doet de rest. En zo wordt toch weer geverifieerd dat het daadwerkelijk van jou afkomt en enkel de ontvanger de key krijgt om het bestand te downloaden en decrypten, waardoor end-to-end encryptie en authenticatie gewaarborgd blijft (WhatsApp krijgt die bijlage-sleutel dus ook niet.).


Wat er misschien gezegd is of verkeerd begrepen van/door je bron, is dat afbeeldingen en video's (in tegenstelling tot de back-up van je berichten) niet versleuteld worden met een encryptie laag van WhatsApp zelf als deze worden geupload als backup naar Google Drive. Dat is (was?) weer een compleet ander verhaal en ook een nogal complexe situatie.


In principe kan je dus veilig dit soort afbeeldingen via WhatsApp versturen als je de ontvanger maar vertrouwt, en hoef je geen extra stappen te ondernemen. De encryptie in WhatsApp is erg sterk, maar valt en staat met hoe de ontvanger er vervolgens mee omgaat. Uiteraard is het wel de bedoeling dat je out-of-band de beveiligingssleutels op WhatsApp met elkaar hebt geverifieerd zodat je zeker weet dat die persoon wel echt de gene is met wie je chat, maar dat doet echt bijna niemand geloof ik.

Echter, natuurlijk kun je het inderdaad ook in een encrypted 7zipje zetten en het wachtwoord apart versturen als je extra zekerheid wilt. Daar is niets mis mee en ook veiliger als je het back-up beleid van de ontvanger niet kent.

[ Voor 21% gewijzigd door WhatsappHack op 24-02-2018 14:08 ]