Cloudflare verifieert veiligheid WhatsApp

Cloudflare heeft een nieuwe service aangekondigd die de integriteit van public keys verifieert in de end-to-end-versleuteling van populaire berichtenapps. Berichtenapps met end-to-end-versleuteling (E2EE) versleutelen berichten door een public-private key uit te wisselen. Hierdoor zijn de berichten beschermd tegen onderschepping door derden. Door automatisch te controleren dat er niet met de public keys is geknoeid, geeft Cloudflare gebruikers het vertrouwen dat end-to-end-versleutelde berichten daadwerkelijk aan de beoogde ontvangers worden bezorgd. WhatsApp de eerste berichtenapp die van dit nieuwe auditproces gebruikmaakt.

End-to-end-versleuteling (E2EE) is een versleutelingsmethode die berichten voor iedereen privé houdt, zelfs voor de berichtenservice zelf. Met end-to-end-versleuteling zijn berichten alleen zichtbaar voor de verzender en de beoogde ontvanger. Als iemand een bericht stuurt, wordt het op het apparaat van de verzender versleuteld voordat het over het internet wordt verzonden. Dit betekent dat het bericht op zo'n manier wordt gecodeerd, dat alleen het apparaat van de ontvanger het kan decoderen. Omdat het is versleuteld, kan zelfs WhatsApp de inhoud niet lezen. Wanneer het bericht op het apparaat van de ontvanger met een overeenkomstige public key aankomt, wordt het in zijn oorspronkelijke vorm gedecodeerd zodat de ontvanger het kan lezen. Veel communicatieservices bieden verificatie met een beveiligingssleutel. Dit zorgt ervoor dat gebruikers daadwerkelijk met de beoogde ontvanger chatten.

Hoewel de verificatie van berichteninfrastructuur met E2EE vooral belangrijk is voor gebruikers voor wie veiligheid cruciaal is (zoals journalisten, activisten en mensen die zich voor mensenrechten inzetten), is het voor iedereen aan te bevelen. Veiligheidsbewuste gebruikers kunnen de veiligheid van hun berichten handmatig verifiëren door met behulp van een alternatieve communicatiemethode de QR-code van een contact te controleren. Dit moet regelmatig worden gedaan, bijvoorbeeld wanneer een contact een nieuw apparaat heeft en om te controleren of de berichtenapp zelf de keys niet heeft veranderd.

Cloudflare introduceert nu Plexi, een auditor voor de key transparency-infrastructuur. Key transparency is een opkomende standaard die ontworpen is om de authenticiteit te verzekeren van keys die voor de versleuteling van end-to-end-berichten worden gebruikt. Plexi helpt om te verifiëren dat de keys aan beide kanten van de communicatie legitiem zijn en dat berichten veilig ontvangen en gelezen kunnen worden. Cloudflare kan nu als auditor van deze technologie optreden. Dat doet het bedrijf door te verifiëren dat de logs van deze keys correct zijn opgebouwd. Ook verstrekt het een audithandtekening die de berichtenapp vervolgens aan gebruikers kan doorgeven om het vertrouwen in het systeem te vergroten. Cloudflare is er trots op dat het als auditor van de open-sourced Auditable Key Directory (AKD) van WhatsApp kan optreden.

"Organisaties, journalisten en activisten die veel risico lopen, vertrouwen regelmatig op Cloudflare om hun websites, e-mails en verkeer te beveiligen. We hebben al miljoenen organisaties en klanten die op ons vertrouwen. Onze rol als externe auditor voor berichtenapps met end-to-end-versleuteling is in lijn met onze waarden en technologie", zei Matthew Prince, medeoprichter en CEO van Cloudflare. "Met de implementatie van dit verificatieproces in samenwerking met WhatsApp zetten we een hoge standaard voor andere berichtenapps om te volgen."