Tijdens het eerste kwartaal van 2016 heeft WhatsApp zijn end-to-end versleutelingsmechanisme uitgerold naar alle gebruikers van zijn toonaangevende communicatie-app. Dit betekende dat een miljard mensen nu communiceerden in zogeheten totale privacy zodat zelfs overheden en zelfs WhatsApp zelf geen berichten en telefoontjes konden onderscheppen. Dat kwam in een context en in een tijd waarin klokkenluiders en rechtszaken ervoor zorgden dat sommige mensen zich zorgen maakten of communicatie via internet nog steeds privé en veilig is. Maar is de codering van WhatsApp echt de moeite waard?
Wat waard? Het kost niets voor de miljard gebruikers; het verandert niets aan het functioneren van de app - het maakt je woorden gewoon heel veilig en veilig. Eigenlijk zijn er kosten aan verbonden. Technisch gezien zijn er geringe kosten verbonden aan het gegevensverbruik, omdat versleuteling enige overhead vereist. Maar deze kosten zijn vrij klein. De andere kosten zouden zijn om te geloven dat alles nu heel veilig is en dat er nooit iets fout zal gaan. Is het erg veilig? Hoewel we het willen, zijn er bepaalde overwegingen die ons sceptisch maken.
Versleuteling werkt niet altijd
Uw berichten en spraakoproepen worden standaard standaard versleuteld met WhatsApp. Het werkt echter niet in alle gevallen. Als u bijvoorbeeld communiceert met iemand die niet beschikt over de nieuwste versie van de app, is er geen codering omdat alleen de nieuwste versie dit ondersteunt. Bovendien, als u communiceert in een groep en een van de leden niet is bijgewerkt, verloopt de hele groep zonder codering.
Nu, zelfs als beide partijen bijgewerkte apps hebben en het versleutelingsmechanisme gebruiken, kan het zijn dat er nog steeds geen codering is. Dat is wat u moet controleren wanneer u het bericht krijgt dat de berichten die u verzendt, beveiligd zijn met end-to-end-codering, zodat u kunt aankloppen voor meer informatie. Door te tikken, wordt u geleid om te verifiëren via een sleutel die wordt weergegeven door een QR-code en een reeks cijfers. Als die cijfers exact hetzelfde zijn als die van uw correspondent, bent u beveiligd. Als alternatief kunt u de code op het apparaat van uw correspondent scannen om uiteindelijk de grote vink te zien die zegt dat u veilig bent. Deze controle suggereert dat bepaalde codes mogelijk niet werken. Daarnaast zijn er meldingen geweest van codes die niet bevestigen, wat betekent dat berichten niet gecodeerd zijn. Omdat we niet elk bericht dat we versturen zullen controleren, hoe zeker kunnen we zijn dat elk bericht versleuteld is?
Metadata niet gecodeerd
Uw berichten en spraakoproepen zijn gecodeerd, maar niet de metagegevens die ermee gepaard gaan. Eenvoudig uitgelegd, metadata zijn de ondersteunende gegevens die naast de echte gegevens gaan om transmissie te helpen. Wanneer u een brief via de post verzendt, zijn uw gegevens de letters binnen de envelop. Het adres op de envelop, de stempel en andere gegevens die post- en transportmedewerkers helpen, zijn metadata.
Door de niet-versleutelde metadata kunnen bedrijven, schurkenstaten en elke partij die patronen van uw communicatie wil vastleggen, dit doen. Ze kunnen enorme hoeveelheden informatie verzamelen van de chatservers, informatie zoals met wie, wanneer en hoe lang. Dit zegt een heleboel dingen en kan worden verwerkt tot zinvolle informatie.
Transparantie en vertrouwen
WhatsApp maakt gebruik van het signaalprotocol, dat mensen wel weten, maar een deel van het mechanisme is gesloten. Er is zeker een deel van het werk dat ondoorzichtig blijft. Dat deel kan worden gebruikt voor backdoor-toegang. In hoeverre vertrouw je Facebook, het bedrijf achter WhatsApp?
En dan?
Voor zoveel van de miljard gebruikers, versleuteling of niet, blijft alles hetzelfde. Ze hebben niets te verbergen en het maakt hen niet uit als hun berichten worden onderschept. Bovendien zijn mensen zich ervan bewust dat ze, door alleen maar een account aan te maken op netwerken als Facebook en WhatsApp, zichzelf blootstellen aan de wereld, en de meesten zijn daar goed mee. De introductie van end-to-end encryptie zou ze geen paranoïde privacy moeten maken. Wat betreft degenen die geven om privacy en veiligheid, terwijl ze zich een beetje veiliger zouden voelen, ze hebben hier vragen om over na te denken.
