Cloudflare heeft een nieuwe service aangekondigd die de integriteit van public keys verifieert in de end-to-end-versleuteling van populaire berichtenapps. Berichtenapps met end-to-end-versleuteling (E2EE) versleutelen berichten door een public-private key uit te wisselen. Hierdoor zijn de berichten beschermd tegen onderschepping door derden.
Cloudflare maakt het leven gemakkelijker voor gebruikers die zich zorgen maken om de veiligheid. Door automatisch te controleren dat er niet met de public keys is geknoeid, geeft Cloudflare gebruikers het vertrouwen dat end-to-end-versleutelde berichten daadwerkelijk aan de beoogde ontvangers worden bezorgd. WhatsApp werkt al lange tijd samen met Cloudflare voor beveiligingsverificaties. Wederom is WhatsApp de eerste berichtenapp die van dit nieuwe auditproces gebruikmaakt om het vertrouwen van gebruikers in de app te vergroten.
End-to-end-versleuteling (E2EE) is een versleutelingsmethode die berichten voor iedereen privé houdt, zelfs voor de berichtenservice zelf. Met end-to-end-versleuteling zijn berichten alleen zichtbaar voor de verzender en de beoogde ontvanger. Als iemand een bericht stuurt, wordt het op het apparaat van de verzender versleuteld voordat het over het internet wordt verzonden. Dit betekent dat het bericht op zo’n manier wordt gecodeerd, dat alleen het apparaat van de ontvanger het kan decoderen. Omdat het is versleuteld, kan zelfs WhatsApp de inhoud niet lezen. Wanneer het bericht op het apparaat van de ontvanger met een overeenkomstige public key aankomt, wordt het in zijn oorspronkelijke vorm gedecodeerd zodat de ontvanger het kan lezen. Veel communicatieservices bieden verificatie met een beveiligingssleutel. Dit zorgt ervoor dat gebruikers daadwerkelijk met de beoogde ontvanger chatten.
Hoewel de verificatie van berichteninfrastructuur met E2EE vooral belangrijk is voor gebruikers voor wie veiligheid cruciaal is (zoals journalisten, activisten en mensen die zich voor mensenrechten inzetten), is het voor iedereen aan te bevelen. Veiligheidsbewuste gebruikers kunnen de veiligheid van hun berichten handmatig verifiëren door met behulp van een alternatieve communicatiemethode de QR-code van een contact te controleren. Dit moet regelmatig worden gedaan, bijvoorbeeld wanneer een contact een nieuw apparaat heeft en om te controleren of de berichtenapp zelf de keys niet heeft veranderd.
Plexi, een auditor voor key transparency-infrastructuur
Cloudflare introduceert nu Plexi, een auditor voor de key transparency-infrastructuur. Key transparency is een opkomende standaard die ontworpen is om de authenticiteit te verzekeren van keys die voor de versleuteling van end-to-end-berichten worden gebruikt. Plexi helpt om te verifiëren dat de keys aan beide kanten van de communicatie legitiem zijn en dat berichten veilig ontvangen en gelezen kunnen worden. Cloudflare kan nu als auditor van deze technologie optreden. Dat doet het bedrijf door te verifiëren dat de logs van deze keys correct zijn opgebouwd. Ook verstrekt het een audithandtekening die de berichtenapp vervolgens aan gebruikers kan doorgeven om het vertrouwen in het systeem te vergroten. Cloudflare is er trots op dat het als auditor van de open-sourced Auditable Key Directory (AKD) van WhatsApp kan optreden.
“Organisaties, journalisten en activisten die veel risico lopen, vertrouwen regelmatig op Cloudflare om hun websites, e‑mails en verkeer te beveiligen. We hebben al miljoenen organisaties en klanten die op ons vertrouwen. Onze rol als externe auditor voor berichtenapps met end-to-end-versleuteling is in lijn met onze waarden en technologie”, zei Matthew Prince, medeoprichter en CEO van Cloudflare. “Met de implementatie van dit verificatieproces in samenwerking met WhatsApp zetten we een hoge standaard voor andere berichtenapps om te volgen.”
“Wij werken graag samen met Cloudflare om de key-transparantie op WhatsApp verder te verbeteren en gebruikers opnieuw te verzekeren dat hun versleutelde berichten veilig zijn”, zegt Nitin Gupta, Head of Engineering bij Whatsapp. “Deze samenwerking met Cloudflare maakt het nog makkelijker voor onze gebruikers om de authenticiteit van hun chats te verifiëren.”
De technische blog voor onafhankelijke onderzoekers en beveiligingsdeskundigen is beschikbaar op https://blog.cloudflare.com/key-transparency. De blog biedt meer inzicht in het ontwerp van het verificatiesysteem en de resultaten van de testverificatie die op https://dash.key-transparency.cloudflare.com zijn gepubliceerd. Cloudflare helpt graag bij de integriteitsaudit van alle soorten end-to-end-versleutelde infrastructuur. Bedrijven en organisaties die een audit willen laten uitvoeren, kunnen contact met ons opnemen op https://www.cloudflare.com/lp/privacy-edge/.
Hier is een technische blog over deze aanpak: Cloudflare werkt samen met Whatsapp voor audit van public key-infrastructuur
