Toen WhatsApp zijn privacybeleid bijwerkte (om de gegevens van zijn gebruikers te kunnen delen met Facebook), dat WhatsApp in 2014 kocht, begonnen gebruikers WhatsApp te verlaten. Massaal werden accounts aangemaakt op Signal en Telegram. En terecht. End to end encryptie stelt niks voor als er in het geniep meegelezen wordt.
Hoewel deze update geen gevolgen heeft voor gebruikers in de EU en het VK, zullen gebruikers in de VS, Australië, Azië, enz. Op 8 februari moeten instemmen met het delen van nieuwe gegevens of de toegang tot WhatsApp verliezen. Let op, net als met alle regels die worden tegengehouden zal het uiteindelijk gefaseerd gewoon ingevoerd worden. En wat als je een keer buiten de EU komt of als je chat met een gebruiker buiten de EU? Als je privacy je iets waard is ben je voorbereid.
Telegram meldde dat 25 miljoen nieuwe accounts in slechts 72 uur, waarmee het totale aantal actieve gebruikers op een half miljard komt.
Signal heeft ook een enorme toename in aantal gezien. Nadat Elon Musk ‘Use Signal’ had getweet – dat Edward Snowden heeft geretweet – heeft de app ook een enorme boost gekregen in het aantal nieuwe gebruikers. Het is de nummer één gedownloade app op iOS geworden.
Maar voor degenen die overwegen om WhatsApp te verlaten, wat is de betere keuze: Signal of Telegram? Uit recent onderzoek naar apps voor beveiligde berichtenuitwisseling blijkt overtuigend: Signal heeft standaard betere privacy- en beveiligingsfuncties dan Telegram.
Signal versus telegram
Om de privacy- en beveiligingsaspecten van Signal en Telegram te beoordelen, isgekeken naar de verschillende technische aspecten van deze beveiligde berichten-apps.
Hier zijn de resultaten:
Signal | Telegram | |
Platformen | Windows, Android, iOS, macOS, Linux | Windows, Android, iOS, macOS, Linux |
Standaard security? | Secure by default | Not secure by default |
Transfer protocols | Https/SIP over WebSockets | Https/SIP over WebSockets |
Gebruikte ncryptie |
Signal protocol (X3DH + Double ratchet + AES-256) | MTProto 2.0 (AES-256, AES IGE IV 256) |
Keys-Exchange & Cryptographic primitives | Pre-keys + Curve25519, HMAC-SHA256 | Persistent shared key generated via DH, KDF, Double SHA-256 |
Zoals je kunt zien, komen beide platforms in de meeste opzichten overeen, met de grootste variatie in de codering die ze gebruiken en hun sleuteluitwisseling en cryptografische primitieven. Deze platforms gebruikten variaties van RSA en AES voor codering en sleutelhashes – enkele van de veiligste coderingsalgoritmen die momenteel beschikbaar zijn.
Maar de grootste reden dat Signal Telegram verslaat, is dat Telegram standaard niet veilig is. Je moet hier als gebruiker mee aan de slag en als je dat niet goed doet dan ben je … niet veilig.
Deze functie is de cruciale end-to-end-codering die, bizar genoeg, WhatsApp standaard gebruikt. Bij end-to-end-codering kunnen alleen de afzender en de ontvanger de berichten bekijken. Zonder end-to-end-codering kan de berichtenapp-server die zich tussen de afzender en de ontvanger bevindt, de berichten mogelijk lezen.
Nog een belangrijke opmerking: de functie Secret Chat (end-to-end-codering) van Telegram werkt alleen voor directe berichten tussen twee mensen. Er is geen end-to-end-versleuteling voor groepschats, wat betekent dat een aanvaller (of wetshandhavers) uw groepsberichten kan lezen. Omdat Signal standaard beveiligd is, zijn al hun chats – direct en in groep – end-to-end versleuteld.
Dit betekent dat, als de gebruiker de app gebruikt, zonder de instellingen te wijzigen, hij nog steeds meer bescherming heeft op WhatsApp dan op Telegram. Dit is natuurlijk slecht, aangezien uit een onderzoek bleek dat ongeveer 5% van de mensen hun instellingen in een bepaalde app veranderde, terwijl de andere 95% de standaardinstellingen behield.
Hoewel we niet zeker weten hoe dat nummer er specifiek uitziet voor Telegram, moeten we er ook van uitgaan dat de meeste mensen niet zo privacy- en veiligheidsbewust zijn als we zouden willen. Telegram heeft nu minstens 500 miljoen actieve gebruikers, en de end-to-end gecodeerde berichtenfunctie, Secret Chat genaamd, wordt hoogstwaarschijnlijk door de meeste van zijn gebruikers niet gebruikt.
Signal en Telegram’s geschiedenis van kwetsbaarheden
Er zijn natuurlijk veel goede redenen waarom mensen WhatsApp zouden moeten verlaten voor veiligere berichten-apps. Een van die redenen is dat WhatsApp veel meer kritieke kwetsbaarheden heeft gehad dan Signal of Telegram.
Er is bijvoorbeeld een tijd dat aanvallers Israëlische spyware op de telefoon van een doelwit konden installeren door ze gewoon via WhatsApp te bellen.
Hoewel niet zo erg, heeft Signal ook behoorlijk wat problemen gehad: het was het slachtoffer van een nogal complexe aanval waarbij iemand naar je omgeving kon luisteren door een soort spookoproep te doen – door Signal te bellen en vervolgens op mute te drukken zonder dat bellen gezien werd, om je gesprekken af te luisteren.
Telegram van zijn kant had een kwetsbaarheid waarbij aanvallers audio- en afbeeldingsbestanden die op het platform werden verzonden, konden vervangen.
En dan hebben we het nog niet over de toegang tot deze apps voor de overheid, die, afhankelijk van waar ter wereld je bent, een probleem kan zijn. In Hong Kong zou een Telegram-bug naar verluidt door de Chinese regering zijn misbruikt om de telefoonnummers van gebruikers te lekken. Duitse onderzoekers ontdekten ook dat WhatsApp, Signal en Telegram de persoonlijke gegevens van gebruikers blootlegden via contactdetectie.
De belangrijkste punten op een rij:
- Signal en Telegram, als alternatieven voor WhatsApp, zullen beide verschillende kwetsbaarheden hebben
- Als je end-to-end-codering gebruikt, kunnen die kwetsbaarheden worden beperkt
- Al het andere is gelijk, omdat de meeste mensen waarschijnlijk de standaardinstellingen behouden, zullen de meeste mensen beter af zijn met Signal
Signal heeft beveiligde (end-to-end gecodeerde) groepschats, en Telegram niet!!
Als je meer een Telegram-persoon bent dan een Signal-persoon, is dit natuurlijk gemakkelijk op te lossen: gebruik alleen geheime chats op Telegram (maar gebruik Signal voor beveiligde groepschats).
Om geheime chat te gebruiken op Telegram doe je het volgende: open op iOS gewoon het profiel van de gebruiker met wie je contact wilt opnemen. Tik op ‘…’ en vervolgens op ‘Geheime chat starten’. Voor Android moet je rechtsonder op het potloodpictogram tikken en vervolgens ‘Geheime chat’ selecteren. Helaas moet je dit per gesprek doen.
Mijn advies, skip Telegram.. ga direct door naar Signal. Psst Signal heeft ook een desktop app waarmee je handig op je computer kunt werken!