Signal niet zo veilig?

Signal is een Amerikaans bedrijf. Je kunt nooit vertrouwen op wat een communicatieprovider je vertelt. Bedrijven die inzage moeten geven van de Amerikaanse overheid mogen dat niet weigeren en ze mogen je ook niet vertellen dat ze meewerken.

Maar het is soms niet moeilijk voor de Nederlandse politie om toegang te verkrijgen tot een smartphone en berichten in te zien. Dat is een veel makkelijkere weg dan om dataverzoeken te doen bij Signal of een buitenlandse inlichtingendienst. Aangezien de verdachten al opgepakt zijn en de politie er zeker van is dat ze ter plaatse waren is het mogelijk dat dit bewijs is geleverd via onderzoek van de telefoons en locatiegegevens.

R.G schreef op zaterdag 1 februari 2025 @ 02:53:
Signaal vertelt niet de waarheid?
OfEn
Zaten de autoriteiten in de telefoon van de daders?

Signal is inderdaad end-to-end encrypted.
Als de autoriteiten toegang tot 1 "end" hebben, kunnen ze alles zien.

@R.G Signal is open source dus je hoeft ze niet op hun woord te vertrouwen, iedereen met technische kennis kan de code controleren.

Zelfs als verzoeken zoals @mrmrmr omschrijft worden gedaan heeft Signal geen data om te delen, behalve Unix timestamps for when each account was created and the date that each account last connected to the Signal service. Zie reacties op verzoeken die ze krijgen https://signal.org/bigbrother/

Als politie toegang heeft tot je telefoon of dat van je contact, kunnen ze uiteraard gewoon -net als jij zelf- Signal openen en je gesprekken lezen, maar dat heeft weinig met veiligheid van Signal te maken maar met je telefoon (goede pincode, malware voorkomen enz)

[ Voor 22% gewijzigd door Privacyfreak op 01-02-2025 09:23 ]

mrmrmr schreef op zaterdag 1 februari 2025 @ 04:27:
Je kunt nooit vertrouwen op wat een communicatieprovider je vertelt. Bedrijven die inzage moeten geven van de Amerikaanse overheid mogen dat niet weigeren

En dat geldt ook voor Europese bedrijven en de Europese overheid. Maar: ze moeten geven wat ze hebben. Wat er niet is om te zien (want end to end versleuteld) is niet te geven.

@R.G kan je concreter zijn? 'Ik heb gehoord dat' is heel erg wat er mis kan gaan met de maatschappij, waar iemand die wat roept op Insta meer wordt geloofd dan experts.

[ Voor 3% gewijzigd door F_J_K op 01-02-2025 10:16 ]

Geloof je alles wat je hoort?

Bij een grote inval zoals deze zal de politie er alles aan doen om electronica onversleuteld te houden.

Dus als verdachte op de bank zat te chillen op de smartphone en opeens een flashbang de woonkamer binnen krijgt .... dan is de kans groot dat de politie een ingelogd device in handen heeft.

Een andere optie is de verdachte te vragen om te ontgrendelen. Vertel dat zijn maatje het ook al heeft gedaan, er strafvermindering volgt of welke "wortel" je als rechercheur maar kunt verzinnen. Zit er alleen een touchid op dan mag men je vinger even gebruiken.

Sommige slimmerikken screenshotten gesprekken en dan lekt het uit bij uitlezen van storage, email etc.

Signal zou zelf geen gesprekken moeten kunnen leveren. Wellicht dat er bij een veroordeling in de rechtbank wat over de methode aan de orde komt. Tot die tijd is het giswerk.

R.G schreef op zaterdag 1 februari 2025 @ 02:53:
Benieuwd naar Jullie oordeel en ervaring.

Ik Hoorde vandaag dat signal gesprekken compleet in te zien zijn en dus te lezen waren door de autoriteiten?

Geen idee of het waar is..

Maar signal claimt, alles is end to end encrypted en niks wordt opgeslagen en is dan heel veilig.

Wat houdt dit in?
Signaal vertelt niet de waarheid?
Of
Zaten de autoriteiten in de telefoon van de daders?

Anders kan niet?

Gaat Om de potentiele dieven van de helm roof.

Van wie hoorde je dat en wat was de onderbouwing/het bewijs van die uitspraak? Klinkt mij meer in de oren als iemand die merkt dat er momenteel veel mensen overstappen naar Signal ipv Whatsapp en daar misinformatie over rond wil strooien.

Privacyfreak schreef op zaterdag 1 februari 2025 @ 09:19:
@R.G Signal is open source dus je hoeft ze niet op hun woord te vertrouwen, iedereen met technische kennis kan de code controleren.

Ik vind dit bij iOS-apps wel een interessant onderwerp, want wie zegt dat de uiteindelijke versie in de AppStore ook de versie is van de source die online staat? Voor zover ik weet is dat niet te verifiëren.

Bij Linux/Windows/macOS is het natuurlijk mogelijk om zelf de daadwerkelijke executables te bouwen uit de source, maar bij iOS afaik niet.

R.G schreef op zaterdag 1 februari 2025 @ 02:53:
Benieuwd naar Jullie oordeel en ervaring.

Ik Hoorde vandaag dat signal gesprekken compleet in te zien zijn en dus te lezen waren door de autoriteiten?

Geen idee of het waar is..

Maar signal claimt, alles is end to end encrypted en niks wordt opgeslagen en is dan heel veilig.

Wat houdt dit in?
Signaal vertelt niet de waarheid?
Of
Zaten de autoriteiten in de telefoon van de daders?

Anders kan niet?

Gaat Om de potentiele dieven van de helm roof.

Dit is zijn niet onderbouwde geruchten. Als dit echt waar is, dan zul je dat moeten zien dat bij strafrechtelijke veroordelingen Signal data is gebruikt om een verdachte te veroordelen of dat signal data is gebruikt om een verdachte op te sporen. Ik ken van geen van die zaken voorbeelden niet in Nederland of in het buitenland, terwijl er genoeg voorbeelden zijn van criminelen die zijn veroordeeld op basis van speciale encryptie apps.

Opsporingsdiensten zijn overigens vaak prima in staat om telefoons te ontgrendelen of ze plannen een arrestatie zo, dat ze de telefoon ontgrendeld in bezit krijgen. En dan kun je ook bij Signal data. Of via een laptop waar een gesynchronsieerde Signal applicatie draait. Dat wil niet zeggen dat Signal onveilig is.

Of het daarmee 100% veilig is, geen idee. Ik kan de source code niet beoordelen en je weet inderdaad niet zeker of die source code ook op jouw telefoon staat. Maar goed, dat kan ik van geen enkele app beoordelen. In dit geval heeft Signal bij mij in ieder geval het voordeel van de twijfel boven Whatsapp, omdat het open source is en ik er vanuit ga dat er veel experts naar hebben gekeken. En die experts zouden vast wel wat roepen als er iets mis zou zijn.

Niet dat jij dat nu zegt, maar wat ik in de discussie vaak zo bijzonder vind, is dat er dan wordt verwezen naar Telegram als veilig alternatief. Terwijl dat allerlei onzekerheden heeft, of zelf al aangetoond is dat het onveilig is. Waar die push dan vandaan komt snap ik ook niet helemaal (tenzij ik een aliminium hoedje opzet en vermoed dat de push bij Rusland of geheime diensten vandaan komt).

[ Voor 10% gewijzigd door BytePhantomX op 03-02-2025 14:34 ]

In Wikipedia heb ik informatie over Signal gezocht en daar lees ik dat:
• De EC aan medewerkers Signal als communicatiemedium heeft geadviseerd.
• In Nederland is Signal verplicht bij een aantal Rijksorganisaties.
• Signal wordt gefinancierd door organisaties die voorvechters zijn van bescherming van privacy e.d.
• Signal is een Amerikaanse app die door Amerikanen wordt gebouwd en onderhouden en Amerikaanse overheden sturen Signal regelmatig dagvaardingen om gegevens over gebruikers te krijgen (volgens Wikipedia onmogelijk omdat die gegevens niet worden geregistreerd en vastgelegd door Signal).
• Tegelijkertijd wordt Signal ook door Amerikaanse overheidsdiensten aan hooggeplaatste functionarissen aanbevolen.
• Zelfs de FBI raad burgers het gebruik van Signal aan.

Kernvraag is dus:
Hoe moet ik de veiligheid van Signal beoordelen, als al het berichtenverkeer toch via Amerikaanse (cloud-) servers loopt? Wordt het gebruik door Amerikaanse overheden en de FBI aanbevolen, omdat ze tóch mogelijkheden hebben tot ontsleuteling?

Als je antwoord op je kernvraag kan vinden, kan Signal meteen opdoeken.

@G5-2021 ik voeg je vraag even samen met Signal niet zo veilig? wat min of meer hetzelfde is.

Vraag terzijde; waar komt de vraag vandaan? Wordt er bijv. op bepaalde socials een risico benadrukt?

mrmrmr schreef op zaterdag 1 februari 2025 @ 04:27:
Signal is een Amerikaans bedrijf. Je kunt nooit vertrouwen op wat een communicatieprovider je vertelt. Bedrijven die inzage moeten geven van de Amerikaanse overheid mogen dat niet weigeren en ze mogen je ook niet vertellen dat ze meewerken.

Ten eerste is Signal geen bedrijf. Het is een non-profit stichting.

Het klopt wat je zegt over de plicht om mee te werken aan de Amerikaanse overheid, maar ze kunnen geen gegevens delen die ze niet hebben. Zoals anderen al opmerkten, hoef je ze niet op hun blauwe ogen te geloven. Dat is het mooie van vrije software. Je kunt gewoon zelf verifieren hoe de boel geïmplementeerd is, wat voor data er over de lijn gaat, met wat voor encryptie, en welke data ze dus mogelijk van je hebben.

Juup schreef op zaterdag 1 februari 2025 @ 09:14:
[...]

Signal is inderdaad end-to-end encrypted.
Als de autoriteiten toegang tot 1 "end" hebben, kunnen ze alles zien.

Ja, maar de server is geen "end" in dezen. Voor messaging apps zoals Signal zijn de ends de gesprekspartners. Signal heeft geen enkele inzicht in jouw data, behalve wat connectietimestamps. That's it.

[ Voor 8% gewijzigd door Compizfox op 17-02-2025 13:19 ]

Signal is niet helemaal opensource, namelijk de server niet. Maar dat is niet erg als je inderdaad in de source van de client kan zien of/dat er alleen end to end versleuteld wordt gecommuniceerd.

De vaak al heel erg nuttige metadata (wie praat hoe vaak met wie) is dan nog wel bekend. Al is dat het ook bij de ISP en eventuele VPN-provider.

XelaRetak schreef op maandag 17 februari 2025 @ 12:40:
Als je antwoord op je kernvraag kan vinden, kan Signal meteen opdoeken.

Of juist niet als het antwoord is dat het veilig is

Voor eigen gebruik heeft ook de VS overheid geen belang bij achterdeuren. Des te meer niet in deze tijden waar er vanuit de politiek over de schouder wordt meegekeken. Als Musk c.s. weet van zo'n achterdeur gaat hij vast toegang vragen om 'op te schonen'.

[ Voor 0% gewijzigd door F_J_K op 26-02-2025 13:39 . Reden: moet ik wel mn reactie aanpassen als ik wordt gecorigeerd ]

F_J_K schreef op maandag 17 februari 2025 @ 13:19:
Signal is niet helemaal opensource, namelijk de server niet.

Jawel toch?

https://github.com/signalapp/Signal-Server

Maar dat is niet erg als je inderdaad in de source van de client kan zien of/dat er alleen end to end versleuteld wordt gecommuniceerd.

Maar inderdaad, het belangrijkste punt is dat de server in principe geen vrije software hoeft te zijn zolang de clients dat maar zijn, en je kan verifiëren dat er geen gevoelige data in plaintext naar de server gaat.

Compizfox schreef op maandag 17 februari 2025 @ 13:21:
[...]

Jawel toch?

https://github.com/signalapp/Signal-Server

Huh. Lijkt idd wel helemaal open. Ik had toevallig net Europese alternatieven voor Amerikaanse producten & diensten gelezen en geloofde @Majoef

Leekvraag: waar zit dan technisch het verschil tussen signal en WhatsApp?

Als ik het goed heb dan doet Meta enkel commerciële dingen met de meta-data van je WhatsApp communicatie? (Dat je dat mag geloven van een commercieel bedrijf is weer een andere kwestie)

Trouwens leuk interview op de correspondent:
https://decorrespondent.n...85-02f3-29af-d75378afc869

Die CEO lijkt mij geen gewone.

Wozmro schreef op maandag 17 februari 2025 @ 13:30:
Leekvraag: waar zit dan technisch het verschil tussen signal en WhatsApp?

Ze gebruiken hetzelfde encryptieprotocol (aldus Meta), maar WhatsApp is geen vrije software dus je hebt geen enkele manier om dat te checken. Je moet ze maar vertrouwen dat ze geen backdoors hebben ingebouwd.

Wozmro schreef op maandag 17 februari 2025 @ 13:30:
Trouwens leuk interview op de correspondent:
https://decorrespondent.n...85-02f3-29af-d75378afc869

Die CEO lijkt mij geen gewone.

En met de vorige die een inzicht geeft waarom WhatsApp (lees Meta) waarvan hij mede oprichter was die paar maanden en US$ 850 niet waard waren
Brian Acton interview

Het verschil tussen whatsapp (en anderen) en signal zit hem wat mij betreft vooral in de open source.

Whatsapp kan wel zeggen dat ze het signal protocol gebruiken, je kan dat echter niet controleren. Daarnaast zouden ze prima een functie kunnen inbouwen die een flag bij een gebruiker zet om buiten dat protocol om te gaan, of berichten via het protocol, maar ook via een onbeveiligd protocol te sturen. Ook kunnen ze veel meer metadata verzamelen. Wie met wie bericht, hoe vaak, hoe laat, bestandsuitwisseling (is die wel versleuteld), of je belt, je locatie etc.

Bij Signal kun je dat allemaal zelf controleren, op voorwaarde dat de versie waarvan de broncode is gepubliceerd ook de versie is die gebruikt wordt op je telefoon en server. Voor android zou je dat moeten kunnen controleren: https://github.com/signal.../main/reproducible-builds . Voor de server zou het minder relevant moeten zijn vanwege E2E encryptie.

het verschil tussen signal en WA is dat WA wel veel meta info over het berichtenverkeer bewaart en vastlegt. bij signal gebeurt dat niet.

op basis van die WA meta informatie kan veel berichten verkeer (en sociale contacten) gereconstrueerd worden, zelfs zonder de inhoud te kennen.

F_J_K schreef op maandag 17 februari 2025 @ 13:24:
[...]

Huh. Lijkt idd wel helemaal open. Ik had toevallig net Europese alternatieven voor Amerikaanse producten & diensten gelezen en geloofde @Majoef

@Jerie

Signal is, net als iedere applicatie, onveilig als er een achterdeur op je smartphone zit. Dat zou zomaar kunnen als jij een belangrijk persoon bent (waarschijnlijk niet). Anders dan branden ze daar geen 0day/NOBUS aan.

Wat betreft dat Signal FOSS is. Zie Molly in F-Droid. Officieel mag je enkel Signal gebruiken op het Signal netwerk en niet iets anders (zoals Molly). Het is dus niet federated vanwege de EULA, en een eigen server opzetten voor bijvoorbeeld binnen jouw organisatie is er niet bij. Ook leunt de Android variant op Firebase, Molly werkt met UnifiedPush. Daardoor werkt het ook op AOSP forks zonder GMS of MicroG.

https://github.com/mollyim/mollyim-android

Op welke cloud-servers draait Signal? AWS? Azure? Allemaal USA-based?

Het Zweedse leger is juist recent begonnen met het gebruiken van Signal omdat het risico om afgeluisterd te worden kleiner zou zijn.

nieuws: Signal dreigt met vertrek uit Zweden als nieuwe wet backdoor verplicht

Ik ga er vanuit dat ze Signal niet zomaar zijn gaan gebruiken.

Privacyfreak schreef op zaterdag 1 februari 2025 @ 09:19:
@R.G Signal is open source dus je hoeft ze niet op hun woord te vertrouwen, iedereen met technische kennis kan de code controleren.

Met de nuance dat een goede code audit ingewikkeld is en dat ook de meeste mensen met technische kennis niet in staat zijn om dit goed uit te voeren, risico's goed te identificeren etc. "Open source" dus iedereen kan het controleren klinkt leuk maar is meestal ook een behoorlijke dooddoener.

Lijst van Signal security audits:
https://community.signalu...rty-security-audits/13243

Bor schreef op woensdag 26 februari 2025 @ 09:04:
[...]
Met de nuance dat een goede code audit ingewikkeld is en dat ook de meeste mensen met technische kennis niet in staat zijn om dit goed uit te voeren, risico's goed te identificeren etc. "Open source" dus iedereen kan het controleren klinkt leuk maar is meestal ook een behoorlijke dooddoener.

Het punt is niet dat iedereen die de software gebruikt de broncode moet kunnen lezen en beoordelen, maar dat het mogelijk is. Dit betekent dat er mensen met de benodigde skills zijn die het doen (zie @Juup's comment), en dat is in principe voldoende. Of, in elk geval beter dan propriëtaire software waar het simpelweg niet mogelijk is.

Bor schreef op woensdag 26 februari 2025 @ 13:33:
[...]


Ook daar kunnen gewoon formele audits en code reviews plaatsvinden alleen niet door "jan en alleman".

Ja, maar dat vind ik nogal een significant verschil. Bij proprietaire software kan zo'n audit alleen plaatsvinden op uitnodiging / met toestemming van de eigenaar, waarmee je toch een bepaald conflict of interest creëert.

Het mooie van vrije software is dat de eigenaar/ontwikkelaar geen enkele vorm van macht/invloed heeft over dit soort zaken, wat het betrouwbaarder maakt.

Compizfox schreef op woensdag 26 februari 2025 @ 13:57:
[...]

Ja, maar dat vind ik nogal een significant verschil. Bij proprietaire software kan zo'n audit alleen plaatsvinden op uitnodiging / met toestemming van de eigenaar, waarmee je toch een bepaald conflict of interest creëert.

Het mooie van vrije software is dat de eigenaar/ontwikkelaar geen enkele vorm van macht/invloed heeft over dit soort zaken, wat het betrouwbaarder maakt.

Ook daar is wel enige nuance aan te brengen. In basis zou er geen verschil moeten zijn. Niet in de laatste plaats omdat ook bij vrije software de audit resultaten niet altijd openbaar worden gemaakt en er heel vaak helemaal geen audit plaatsvindt.

Maar goed, laten we er geen meta discussie van maken.

[ Voor 3% gewijzigd door Bor op 26-02-2025 14:01 ]

R.G schreef op zaterdag 1 februari 2025 @ 02:53:
Ik Hoorde vandaag dat signal gesprekken compleet in te zien zijn en dus te lezen waren door de autoriteiten?

Geen idee of het waar is..

Bron?

Klinkt meer alsof het over Telegram ging.

https://www.theatlantic.c...-me-its-war-plans/682151/

Signal wordt blijkbaar gebruikt door, o.a.,
JD Vance, Michael Waltz, Pete Hegseth, Tulsi Gabbard, John Ratcliffe, Susie Wiles, Marco Rubio, Scott Essent, Steve Witkoff en Steven Miller.

En door Jeffrey Goldberg, de hoofdredacteur van The Atlantic...
Dat is alles bij elkaar een aardige endorsement.

Bij Signal zullen ze niet gedacht hebben, te kunnen adverteren met teksten als;

Signal.
Blijkbaar veilig genoeg om top secret info te delen over lopende kinetische operaties in het Midden Oosten, volgens vrijwel de gehele Amerikaanse regering en al haar veiligheidsdiensten ten minste...

(Dit verzin je gewoon niet ).

[ Voor 16% gewijzigd door Baserk op 25-03-2025 00:39 ]

Betere gratis reclame voor signal is er bijna niet. Veilig genoeg om voorbereidende oorlogshandelingen te bespreken. Dan is het zeker veilig genoeg voor mijn communicatie.

Te bizar voor woorden

Ps de enige discussie die niet wordt platgeslagen door dit, is dat Amerikanen misschien kunnen meekijken.

[ Voor 21% gewijzigd door BytePhantomX op 25-03-2025 13:35 ]

? Ik neem juist aan dat als je Amerikaanse overheid bent je moet communiceren via een platform dat volledig onder de controle is van de Amerikaanse overheid

BCC schreef op dinsdag 25 maart 2025 @ 13:37:
? Ik neem juist aan dat als je Amerikaanse overheid bent je moet communiceren via een platform dat volledig onder de controle is van de Amerikaanse overheid

Zeker, en gezien de reacties van mensen uit de VS die er verstand van hebben, valt Signal daar niet onder.

R.G schreef op dinsdag 25 maart 2025 @ 17:29:
Dus is het nu wel of niet veilig?

Daar heb je ondertussen toch al uitgebreid antwoord op gekregen?

Ik krijg nu zelfs in WhatsApp berichten van Whatsapp dat ze heel veilig zijn. Wat is er aan de hand?

Wel vreemd toch

WhatsApp probeert hun marktaandeel te beschermen?

Wat vind je vreemd?

[ Voor 6% gewijzigd door Compizfox op 25-03-2025 17:38 ]

R.G schreef op dinsdag 25 maart 2025 @ 17:29:
Dus is het nu wel of niet veilig?

Veilig, in welk opzicht? Veilig genoeg om te kunnen praten over criminele activiteiten lijkt me in elk geval nooit verstandig. Voor de rest is het is heel simpel: vertrouw je het niet, gebruik je het niet, ongeacht welke dienst dat is.

[ Voor 19% gewijzigd door CH4OS op 25-03-2025 17:48 ]

Bor schreef op dinsdag 25 maart 2025 @ 18:16:
[...]


Eh nee dus? Er is niet voor niets behoorlijk wat stevige (internationale) kritiek op het gebruik van een app als Signal voor dit soort communicatie juist omdat men het niet veilig genoeg acht (en dat blijkt in dit geval ook wel)

De hele les hier is dat apps als Signal niet veilig genoeg is om voorbereidende oorlogshandelingen te bespreken.

Het is niet dat Signal als berichtendienst (op technisch vlak) niet veilig genoeg is, de kritiek is erop dat de Amerikaanse overheid geen officiële kanalen gebruikt voor dit soort communicatie, waarmee er dus geen officiële archivering is van deze (beleids)discussies (en uiteraard dat ze zo dom zijn om een journalist toe te voegen aan het gesprek).

[ Voor 4% gewijzigd door Compizfox op 25-03-2025 18:30 ]

Compizfox schreef op dinsdag 25 maart 2025 @ 18:29:
[...]

Het is niet dat Signal als berichtendienst (op technisch vlak) niet veilig genoeg is, de kritiek is erop dat de Amerikaanse overheid geen officiële kanalen gebruikt voor dit soort communicatie, waarmee er dus geen officiële archivering is van deze (beleids)discussies (en uiteraard dat ze zo dom zijn om een journalist toe te voegen aan het gesprek).

De discussie gaat echt breder dan wat je hier noemt en gaat ook over de veiligheid van de app en communicatie. Dan hebben we het er nog niet eens over dat een journalist zonder blijkbaar sterke authenticatie uitgenodigd kan worden voor gesprekken van deze aard.

[ Voor 11% gewijzigd door Bor op 25-03-2025 18:37 ]

Bor schreef op dinsdag 25 maart 2025 @ 18:35:
[...]


De discussie gaat echt breder dan wat je hier noemt en gaat ook over de veiligheid van de app en communicatie. Dan hebben we het er nog niet eens over dat een journalist zonder blijkbaar sterke authenticatie uitgenodigd kan worden voor gesprekken van deze aard.

Tja, maar dat heeft natuurlijk niets te maken met de veiligheid van (de cryptografie van) Signal. Als je als gebruiker zo dom bent om verkeerde personen toe te voegen aan een gesprek, tja, dan maakt het niet uit hoe sterk versleuteld het is.

Compizfox schreef op dinsdag 25 maart 2025 @ 19:32:
[...]

Tja, maar dat heeft natuurlijk niets te maken met de veiligheid van (de cryptografie van) Signal. Als je als gebruiker zo dom bent om verkeerde personen toe te voegen aan een gesprek, tja, dan maakt het niet uit hoe sterk versleuteld het is.

In dit geval is het al bijzonder dat je in een app waarin defensie zaken worden besproken überhaupt mensen zonder sterke authenticatie / clearance kan toevoegen. En over de cryptografische sterkte van Signal; Signal is niet gecertificeerd voor inzet binnen Defensie, hier of in de USA voor zover ik weet.

Wat een apart topic met reacties die alle kanten op gaan. Door opmerkingen als "ik heb gehoord dat..." en "iemand zei laatst dit..." wordt het er niet beter van. Een discussie over de veiligheid van Signal is zeker de moeite waard, maar die heeft alleen waarde als we feiten benoemen en bronnen vermelden. Anders blijft het bij losse flodders.

Dus: Is Signal veilig? Nou ja, het biedt in ieder geval end-to-end encryptie. Berichten kunnen alleen worden ontgrendeld door de ontvangers, niet door Signal zelf. Grappig genoeg is Signal ooit begonnen met het Signal Protocol, dat tot op de dag van vandaag ook door WhatsApp wordt gebruikt. Als we WhatsApp en Signal dan elkaar vergelijken, zien we dat beide apps berichten versleutelen zodat alleen de ontvangers ze kunnen lezen.

Het grote probleem zit 'm echter in de metadata van die gesprekken. Daarover staat een interessant stuk op security.nl met extra verwijzingen naar andere bronnen. WhatsApp zegt dat ze die metadata enkel voor het verbeteren van de dienst gebruiken, maar dat wordt in twijfel getrokken. Signal verzamelt dat allemaal niet, buiten het noodzakelijke om überhaupt gesprekken te faciliteren.

[ Voor 4% gewijzigd door Gr4mpyC3t op 25-03-2025 20:55 ]

Gr4mpyC3t schreef op dinsdag 25 maart 2025 @ 20:52:
Wat een apart topic met reacties die alle kanten op gaan. Door opmerkingen als "ik heb gehoord dat..." en "iemand zei laatst dit..." wordt het er niet beter van. Een discussie over de veiligheid van Signal is zeker de moeite waard, maar die heeft alleen waarde als we feiten benoemen en bronnen vermelden. Anders blijft het bij losse flodders.

Je slaat de spijker op zijn kop. Er is veel halve tot misinformatie rond Signal beschikbaar op diverse platformen momenteel, ook hier helaas.

BytePhantomX schreef op woensdag 26 maart 2025 @ 08:26:
[...]


O.a. uit een interview met John Bolton op CNN.

Een Amerikaanse bron dus en zelfs een interview i.p.v. met objectief onderbouwde zaken.

[ Voor 13% gewijzigd door Bor op 26-03-2025 08:33 ]

Bor schreef op woensdag 26 maart 2025 @ 08:31:
[...]


Een Amerikaanse bron dus.

de reacties van mensen uit de VS die er verstand van hebben

BytePhantomX schreef op woensdag 26 maart 2025 @ 08:22:
Waarom Signal (of welke App dan ook) als onveilig wordt gezien voor staatsgeheimen is niet omdat de app perse onveilig of veilig is, het is omdat een (standaard) mobiele telefoon niet veilig is voor dat soort communicatie. Statelijke actoren kunnen prima de meest recente telefoons hacken en alles wat er op die telefoon gebeurd afluisteren.

Beide zaken spelen. Signal is ook niet zo maar geschikt (en niet goedgekeurd voor zover ik kan nagaan).

Bor schreef op woensdag 26 maart 2025 @ 08:31:
[...]


Een Amerikaanse bron dus.

Zeker, maar en dat is niet zo gek als je naar de oorspronkelijke vraag kijkt en ik dan verwijs naar een Amerikaanse bron.

BCC schreef op dinsdag 25 maart 2025 @ 13:37:
? Ik neem juist aan dat als je Amerikaanse overheid bent je moet communiceren via een platform dat volledig onder de controle is van de Amerikaanse overheid

Mijn antwoord dat signal daar niet onder valt:

BytePhantomX schreef op dinsdag 25 maart 2025 @ 13:40:
[...]


Zeker, en gezien de reacties van mensen uit de VS die er verstand van hebben, valt Signal daar niet onder.

Daarna vraag jij :

Bor schreef op dinsdag 25 maart 2025 @ 18:17:
[...]


Welke mensen zijn dat dan precies?

Ik begrijp niet helemaal goed wat je dan bedoelt met Amerikaanse bron dus. John Bolton is wat mij betreft wel iemand die kan aangeven of Signal geschikt is voor het bespreken van staatsgeheimen.

Edit: misschien verkeerde aanname dat iedereen weet wie John Bolton is, maar hij was National Security Advisor in de VS. Ik mag aannemen dat een interview op CNN met een man met deze achtergrond genoeg validiteit heeft als bron voor een statement dat signal niet geschikt is voor Amerikaanse staatsgeheimen op een forum als tweakers. Mocht je een wetenschappelijke onderbouwing willen, dan lever ik die ook graag, maar dan beschouw ik dat wel als wederkerig en zie ik ze graag terug bij elk ander statement hier.

[ Voor 22% gewijzigd door BytePhantomX op 26-03-2025 08:41 ]

Sissors schreef op woensdag 26 maart 2025 @ 08:34:
[...]


[...]

Ik zie die lijn natuurlijk wel maar zie ook wel in dat hier mogelijk grotere belangen spelen en vraag mij af hoe betrouwbaar Amerikaanse en veelal niet onafhankelijke bronnen in dit geval zijn.

[ Voor 17% gewijzigd door Bor op 26-03-2025 08:36 ]

BytePhantomX schreef op woensdag 26 maart 2025 @ 08:22:
Niet voor niets dat Schoof als oud-aivd'er de mobiele telefoon heeft verboden bij de ministerraad: https://nos.nl/artikel/25...aad-om-veiligheidsredenen

De vraag hier of het veilig is, moet je beantwoorden met de vraag voor welk doel. Je kunt daar niet over generaliseren.

We kunnen hier dus zonder veel informatie voors en tegens afwegen, maar als je bang bent voor de staat die jouw communicatie afluistert, dan moet je minimaal de volgende zaken regelen:
- geen mobiele telefoon gebruiken, jij niet, maar ook niet de mensen om jou heen
- geen microfoons in huis van slimme apparatuur
- afgeschermede ruimtes die geluidsdicht zijn en regelmatig controleren op aangebrachte afluister apparatuur

etc.

Maar als je in die categorie zou vallen, dan stel je niet hier op tweakers de vraag.

Daar heb je sowieso een goed punt. De context en het doel van de communicatie spelen absoluut mee in de discussie. Daar had ik nog niet aan gedacht!

In je slotopmerking zeg je eigenlijk zelf al wat de context in dit draadje is, namelijk gebruikers die alledaagse dingen communiceren en zich mengen in sociale kringen (chatgroepen).

De discussie die nu gaande is gaat mijns inziens ook meer over wat die Amerikaanse bedrijven allemaal van ons opslaan en weten, niet zozeer dat overheden telefoons hacken en mee willen lezen. Daar wil ik niet mee zeggen dat dit geen probleem is overigens.

Gr4mpyC3t schreef op woensdag 26 maart 2025 @ 08:47:
[...]
De discussie die nu gaande is gaat mijns inziens ook meer over wat die Amerikaanse bedrijven allemaal van ons opslaan en weten, niet zozeer dat overheden telefoons hacken en mee willen lezen. Daar wil ik niet mee zeggen dat dit geen probleem is overigens.

En dan vind ik veilig ook niet perse de juiste term. Dan is privacyvriendelijk naar mijn idee een betere vraag.

En ben je een target voor geheime diensten die jouw telefoon hacken, dan hoop ik dat je bij andere bronnen te rade gaat voor je advies. Een leuk boek om te lezen is van Huib Modderkolk "Dit wil je echt niet weten". Dan krijg je een beetje mee hoe paranoïde je moet zijn als je jezelf tegen geheime diensten wil beschermen.

Hoogstwaarschijnlijk hebben autoriteiten toegang tot one-end (de server) en dus inzicht in gesprekken.
Waarom denk je anders dat de dezelfde autoriteiten PGP telefoons met wortel uit proberen te roeien

Als he teveel privacy heeft, mag het klaarblijkelijk niet...

[ Voor 13% gewijzigd door SniperGuy op 26-03-2025 08:56 ]

SniperGuy schreef op woensdag 26 maart 2025 @ 08:55:
Hoogstwaarschijnlijk hebben autoriteiten toegang tot one-end (de server) en dus inzicht in gesprekken.
Waarom denk je anders dat de dezelfde autoriteiten PGP telefoons met wortel uit proberen te roeien

Als he teveel privacy heeft, mag het klaarblijkelijk niet...

De server is geen end in communicatie via Signal.
Ene end is gebruiker 1, het andere end is gebuiker 2.
De server faciliteert alleen maar dat het berichtje (kunnen we dit een signaaltje gaan noemen?) van gebruiker 1 bij gebruiker 2 aankomt, en pas bij gebruiker 2 wordt het ontsleuteld.

SniperGuy schreef op woensdag 26 maart 2025 @ 08:55:
Hoogstwaarschijnlijk hebben autoriteiten toegang tot one-end (de server) en dus inzicht in gesprekken.
Waarom denk je anders dat de dezelfde autoriteiten PGP telefoons met wortel uit proberen te roeien

Als he teveel privacy heeft, mag het klaarblijkelijk niet...

Het lijkt er op dat ze bijvoorbeeld bij Encrochat juist de telefoons massaal hebben gehackt door het sturen van een update of 'malware' naar de devices: https://www.vice.com/en/a...ook-over-encrochat-hacked

This wiping problem wasn’t user error though. The Encrochat associate told Motherboard they found malware on the device. The phone had been hacked.

Geen idee hoe ze de andere platformen hebben opgerold. Dacht in ieder geval eentje waarbij data op de server werd opgeslagen en daar ontsleuteld kon worden. Helaas ook niet super veel over te vinden.

R.G schreef op dinsdag 25 maart 2025 @ 17:29:
Dus is het nu wel of niet veilig?

Waarschijnlijk niet veilig. De NSA heeft een maand geleden "for offical use only" gewaarschuwd dat een bepaalde functie in Signal aanvallers in staat stelt in realtime mee te kijken. Die waarschuwing is gelekt in Amerikaanse pers (CBS News).

mrmrmr schreef op woensdag 26 maart 2025 @ 10:11:
[...]


Waarschijnlijk niet veilig. De NSA heeft een maand geleden "for offical use only" gewaarschuwd dat een bepaalde functie in Signal aanvallers in staat stelt in realtime mee te kijken. Die waarschuwing is gelekt in Amerikaanse pers (CBS News).

Zegt niet dat Signal of het Signal Protocol onveilig is, maar het is blijkbaar kwetsbaar voor een Phishing aanval. En in de context van staatsgeheimen is dat een onacceptabele kwetsbaarheid. Dan wil je zeker weten dat een systeem niet compromised kan worden door een 'simpele' phishing aanval.

Signal responded to the bulletin in a social media post Tuesday, saying the NSA's "memo used the term 'vulnerability' in relation to Signal-but it had nothing to do with Signal's core tech. It was warning against phishing scams targeting Signal users."

https://x.com/signalapp/status/1904666111989166408

Staat ook in een foto van het OpSec Security Bulletin: https://www.npr.org/2025/...mail-signal-vulnerability

Ze misbruiken de linked devices feature. Wil je Signal zo veilig mogelijk gebruiken, dan moet je die feature juist niet willen gebruiken. Een hacker kan dan namelijk ook via je laptop (die veel kwetsbaarder is dan je telefoon) bij je chats.

Is Signal veilig of onveilig, nogmaals het hangt af van de context en het is geen zwart-wit discussie.

[ Voor 4% gewijzigd door BytePhantomX op 26-03-2025 10:32 ]

mrmrmr schreef op woensdag 26 maart 2025 @ 10:11:
[...]


Waarschijnlijk niet veilig. De NSA heeft een maand geleden "for offical use only" gewaarschuwd dat een bepaalde functie in Signal aanvallers in staat stelt in realtime mee te kijken. Die waarschuwing is gelekt in Amerikaanse pers (CBS News).

Dit is een nothingburger. Ze doelen hier op dat er mogelijk (bv. via social engineering) clients (linked devices) kunnen worden toegevoegd. Heeft niets te maken met een vulnerability in Signal.

Het plaatje "Apple 'App Privacy' Labels" laat genoeg zien. Echter klopt dit niet helemaal, omdat Apple de definitie van metadata anders interpreteert.
Verder hebben we nog de case uit 2016. De laatste is uit 2024.

Al met al kan gezegd worden, dat met Whatsapp Meta genoeg metadata binnenkrijgt. Alleen al de metadata met wie/wanneer je schrijft is al interessant genoeg. Mocht je nog Snapchat, Instagram, FB en FB Messenger gebruiken, dan hebben ze vast ook je locatie gegevens. Al deze data word mooi gecombineerd.
Beetje hetzelfde als met het gebruik van Android met Google en dan nog aangemeld op hun search engine en YouTube. Google weet ook alles over jouw, vermoedelijk zelfs nog meer dan Meta.

Signal is veilig voor hackers van buintenaf vanwege end-to-end. Echter wat hier gebeurd is, is dat m'n de journalist in de chat heeft uitgenodigd en dus de berichten gewoon zichtbaar zijn. Maar dat probleem heb je ook met Whatsapp en Telegram.

Dus ja, Signal is veiliger omdat het veel minder metadata in handen heeft dan bij Whatsapp/Telegram het geval ist.
Een alternatief is Threema.

[ Voor 20% gewijzigd door Jacco011 op 26-03-2025 11:18 ]

Compizfox schreef op woensdag 26 maart 2025 @ 10:54:
[...]

Dit is een nothingburger. Ze doelen hier op dat er mogelijk (bv. via social engineering) clients (linked devices) kunnen worden toegevoegd. Heeft niets te maken met een vulnerability in Signal.

Misschien eens bij de NSA solliciteren?

mrmrmr schreef op woensdag 26 maart 2025 @ 11:13:
[...]


Misschien eens bij de NSA solliciteren?

Dit is toch niet nodig in een topic als dit?
Er is blijkbaar al genoeg spanning/ruis tussen enerzijds 'privacy-veilig genoeg voor dissidenten wereldwijd' en 'staatsveiligheid-veilig genoeg voor intelligence medewerkers'.

Ik zie geen aanleiding voor een wedstrijdje 'wie-het-verste-kan-plassen'.

G5-2021 schreef op maandag 17 februari 2025 @ 12:27:
• In Nederland is Signal verplicht bij een aantal Rijksorganisaties.

Dat lijkt mij sterk, en erg context afhankelijk. Vanuit de Wet Open Overheid (voorheen WOB) moet alles wat zaakwaardig is, gearchiveerd kunnen worden. Dat lijkt mij vrij lastig, gelet op de E2E versleuteling.

Dat ze signal adviseren voor alles wat niet-zaakwaardig is, is wat anders. (bijvoorbeelde de chatgroep voor de vrijdagmiddagborrel of iets dergelijks).

@Question Mark ik denk dat het terugvloeit naar bijvoorbeeld: https://www.informatiehui...-is-beter-om-te-gebruiken

Er is geen rijksbrede voorkeur voor een bepaalde berichtenapp. Wel is bij een aantal rijksorganisaties Signal verplicht gesteld.

En ook https://www.informatiehui...-campagnes/app-met-beleid
Ik vermoed dat de verplichting eerder is om één platform aan te raden / in te stellen binnen die bepaalde organisatie, ipv dat je het open laat en dat de mensen ook andere berichtenapps kunnen gaan gebruiken.

Ook nog een aardige post op security.nl met relevante comments: https://www.security.nl/p...n+encryptie+Signal+kraken

Qwerty-273 schreef op woensdag 26 maart 2025 @ 13:37:
@Question Mark ik denk dat het terugvloeit naar bijvoorbeeld: https://www.informatiehui...-is-beter-om-te-gebruiken

Dat is ook wel weer een erg bijzondere zin (in het aangehaalde stuk), compleet zonder context... Thx trouwens, ik kende deze pagina niet.

[...]

En ook https://www.informatiehui...-campagnes/app-met-beleid
Ik vermoed dat de verplichting eerder is om één platform aan te raden / in te stellen binnen die bepaalde organisatie, ipv dat je het open laat en dat de mensen ook andere berichtenapps kunnen gaan gebruiken.

Dat snap ik helemaal... De video op die pagina gaat ook in over de noodzaak om berichten in een DMS op te slaan, juist vanwege de WOO en bijbehorende bewaartermijnen. Uitdaging is wel dat dan vertrouwd moet worden op het juiste gedrag van medewerkers, en daar zit een risico in.

Tekstberichten zoals sms’jes en WhatsApp-berichten op zowel zakelijke als privételefoons
van bestuurders en ambtenaren vallen onder de Wet openbaarheid van bestuur (Wob), als
deze in het kader van het werk zijn verstuurd. Het is van belang om belangrijke berichten te
bewaren. Tekstberichten zoals WhatsApp- en sms-berichten kunnen uitsluitend door de
gebruiker zelf gearchiveerd worden.

Archivering tekstberichten, zoals sms- en WhatsApp berichten - VNG

mrmrmr schreef op woensdag 26 maart 2025 @ 11:13:
[...]
Misschien eens bij de NSA solliciteren?

Omdat ik verder kan lezen dan de krantenkop? Is dat zo'n zeldzame skill tegenwoordig?

De NSA schrijft in de waarschuwing dat het kennis heeft van aanvallen van "groepen" die met behulp van phishing toegang verkrijgen en dat apparaten werden toegevoegd zodat er ongemerkt kon worden meegelezen. Dat is van belang voor diverse gebruikersgroepen, die vatbaar zijn voor beide beveiligingsproblemen. De manier waarop deze phishing wordt bedreven is gepubliceerd en kan ook door "gewone" phishers worden gebruikt.

Het is een voorbeeld van hoe meerdere kwetsbaarheden worden misbruikt door aanvallers om verschillende doelen te bereiken.

Het gaat hier om twee vormen van onveilige QR codes, wat twee intrinsieke kwetsbaarheden zijn. De links werden aangepast en gecodeerd zodat die verwezen naar de site van aanvallers. Het gaat over een group-invite, en naar een device van de aanvallers laten verwijzen werd uitgevoerd in javascript. Het is voor doorsnee gebruikers moeilijk herkenbaar.

Aan Rusland toegeschreven groepen vallen op deze wijze Oekraïne aan, schrijft Google.

Signal is niet duidelijk of alle kwetsbare software up to date is of wordt gebracht. Er is geen CVE of een lijst van kwetsbaarheden of fixes op de site van Signal. De reactie op X door CEO Whittaker op het door Google en vervolgens door NSA gerapporteerde probleem is vooral Trumpiaans van aard.

Vandaag Threema (iOS) geïnstalleerd.
Europees, Zwitsers, open software.
Servers in eigen beheer.
Anoniem: geen email of telefoonnummer nodig.
End2End encrypted
Maar ja kost geld €5,99 bij aanschaf app.

Bij beveiliging in de ICT is het altijd van belang om een afweging te maken tussen de use-cases en de risico's.

100% veilig is in principe 0% bruikbaar (stop je data in een enorme fysieke kluis zonder enige netwerkverbinding en vernietig de sleutel - dan is je data veilig maar tegelijk onbruikbaar).

Dus wat is je use-case?

Wil je met vrienden of collega's afspreken waar en wanneer de vrijmibo plaats gaat vinden? Gebruik Whatsapp, Signal, Telegram, desnoods SMS of Facebookchat. Tenzij je heel bijzondere mensen onder je vrienden of collega's hebt kraait er geen haan naar de informatie die je uitwissellt.

Zakelijke communicatie waarin gegevens worden uitgewisseld die mogelijk binnen het bedrijf moeten blijven? Een end-to-end encrypted service als WhatsApp of Signal zal waarschijnlijk voldoen, maar het is aan de beveiligingsfunctionaris van het bedrijf om de risico's af te wegen. Zolang er geen blueprints van de volgende generatie chipfabricagemachines worden uitgewisseld is de kans groot dat het risico op een professionele aanval aanvaardbaar klein wordt geacht.

Gaat het om gegevens waarvan je echt zeker wilt zijn dat niemand erbij kan? Dan kan je nog wat stappen verder gaan, zoals communicatie over dedicated communicatiekanalen (dus niet standaard GSM). Dat kost een hoop extra moeite en geld, maar hoe denk je dat een organisatie als de NAVO internationaal communiceert over (reacties op) operaties?

In de praktijk zal Signal, net als WhatsApp, voor de huis-, tuin- en keukengebruiker veilig genoeg zijn, op voorwaarde dat ze zelf zorgen dat ze zorgvuldig omgaan met de beveiliging van de apps. Als je een desktopapp gebruikt voor bijvoobeeld Whatsapp, en je laat in een cafe je laptop ontgrendeld achter als je gaat pissen, ben je sowieso niet slim bezig, maar dat heeft niets met de veiligheid van Whatsapp te maken.

Het verschil is dat iemand die zijn (prive) mail- of whatsappaccount te grabbel gooit vooral hinder zal ondervinden (en mogelijk wat financiele schade) terwijl iemand die een beveiligd NAVO communicatiekanaal compromitteert de gevangenis in kan (in sommige gevallen na een krijgsraad).

Uiteindelijk is elke beveiliging te kraken op de zwakste schakel, en die zwakste schakel is nog steeds de mens. Vergeet niet dat de meest berucht hacker ooit, Steve Mitnick, welliswaar iets van computers afwist, maar dat zijn aanvallen (vrijwel?) alttijd afhankelijk waren van "social engineering".