Interoperabiliteit voor WhatsApp : Wat gebeurt er met end-to-end-encryptie?
Indignatie redactie
6 min. lezen
Gebruikers van WhatsApp, Facebook Messenger en iMessage moeten in de toekomst berichten kunnen schrijven. Dit is waar de geplande Digital Markets Act van de EU om vraagt. De implementatie zal moeilijk zijn – sommigen vermoeden een gevaar voor de end-to-end encryptie.
Het is bedoeld om de macht van grote platforms te breken: vorige week zijn EU-onderhandelaars het eens geworden over de Digital Markets Act . Het legt meer dan een dozijn verplichtingen op voor de platformgiganten Google, Facebook en andere zogenaamde poortwachters. Dit moet eerlijke kansen bieden voor kleinere concurrerende bedrijven.
Eén verplichting springt eruit: poortwachtersboodschappen moeten interoperabel worden. Dit zal zeker gevolgen hebben voor de diensten WhatsApp, Facebook Messenger en Instagram Messenger die Meta aanbiedt, evenals iMessage van Apple. Zo moeten gebruikers van WhatsApp in de toekomst zowel met iMessage als met andere, kleinere apps berichten kunnen uitwisselen . Als Facebook en Apple niet aan de eisen voldoen en hun apps niet openen om berichten uit te wisselen met andere diensten, riskeren ze boetes die in de miljarden lopen.
Oudere internetdiensten zoals e-mail, die over providergrenzen heen werken, zijn daarbij een rolmodel. Maar hoewel de nodige standaarden zich in de loop der jaren hebben kunnen ontwikkelen, zijn er geen algemeen aanvaarde minimumspecificaties voor de veel jongere koeriersdiensten. Omdat de EU ook geen precieze technische specificaties geeft, tollen overal de hoofden of en hoe het gestelde doel kan worden bereikt.
Waarschuwing voor gecompromitteerde codering
De ontsteltenis is in ieder geval groot in de VS. Experts dicht bij de platforms waarschuwen voor beveiligingsproblemen die worden veroorzaakt door de nieuwe regelgeving uit Europa. Er is een “consensus onder cryptografen” dat verplichte interoperabiliteit moeilijk, zo niet onmogelijk te rijmen zou zijn met de end-to-end encryptie van WhatsApp, schrijft het technologieportaal The Verge .
Facebook’s ex-beveiligingschef Alex Stamos tweette zelfs dat de EU de codering zelfs opzettelijk zou kunnen ondermijnen met haar vermeende maatregel voor eerlijkere markten – een verwijzing naar langdurige overwegingen in Brussel om de autoriteiten toegang te geven tot gecodeerde inhoud . De critici uit de Amerikaanse tech-industrie nemen dus dezelfde koers als de Amerikaanse regering, die had gewaarschuwd voor “cyberveiligheidsrisico’s” uit de EU-wetgeving .
Dus wordt end-to-end encryptie op WhatsApp bedreigd? Een definitief antwoord is er nog niet, maar er zijn wel eerste inschattingen en indicaties.
Nieuwe regels gelden vanaf 2023
De technische details van de nieuwe EU-verordening zijn tot nu toe blanco. De hoofdonderhandelaar van het EU-parlement, CDU-lid Andreas Schwab , was het met de EU-commissie en het Franse voorzitterschap van de Raad eens over alle essentiële kwesties. Maar hoewel er relevante tekstpassages zijn uitgelekt , wordt gezegd dat er nog aan de details wordt gewerkt. Een definitieve tekst van de wet zou pas over een paar weken beschikbaar moeten zijn. Dan moeten de EU-Raad en het Parlement het akkoord opnieuw bevestigen. Ze treedt zes maanden later in werking, waarschijnlijk begin 2023.
Het is nu al duidelijk dat de boodschappersrevolutie geleidelijk zal plaatsvinden. Ten eerste moeten twee individuele gebruikers van verschillende messengers berichten kunnen uitwisselen. Technisch ingewikkelder zaken als groepsberichten, audio- en videogesprekken volgen later. De eerste kan op zijn vroegst drie maanden na de inwerkingtreding van de wet worden verwacht, aldus een woordvoerder van de Europese Commissie; Groepsvideogesprekken kunnen tot vier jaar duren. Het EU-voorstel bepaalt uitdrukkelijk dat dezelfde privacystandaard – inclusief end-to-end encryptie – gehandhaafd moet blijven.
Kleinere providers zijn niet verplicht om hun messengers interoperabel te maken. Zo vertelde de Zwitserse fabrikant Threema aan netzpolitik.org dat het uitwisselen van berichten met WhatsApp en iMessage “om verschillende redenen niet interessant voor ons was”. Bedrijfsbaas en oprichter Martin Blatter wil niet dat de metadata en identiteiten van zijn gebruikers bij WhatsApp en andere bedrijven terechtkomen – mogelijke problemen met gegevensbescherming zijn de “zwakste schakel in de keten”, zegt Blatter.
Interoperabiliteit met grote providers is ook economisch niet interessant. Volgens Blatter zou het zelfs de marktmacht van WhatsApp en Co. kunnen versterken als het naadloos zou worden geïmplementeerd. Threema is een van de weinige messengers die een vergoeding vraagt en toch WhatsApp heeft vervangen in sommige sociale groepen, zoals de bedrijfsbaas zegt. Maar als Threema niet meer nodig is om deel uit te maken van een groep – zoals een voetbalclub – dan “blijft men bij WhatsApp” in plaats van een paar euro uit te geven aan een alternatief. De interoperabiliteit dreigt het bedrijfsmodel van de Facebook-groep te verstevigen.
Andere WhatsApp-alternatieven houden een laag profiel. Messenger Signal reageerde aanvankelijk niet op verzoek, maar was in het verleden sceptisch over dergelijke benaderingen . Of Telegram, dat in een clinch ligt met de autoriteiten in Duitsland, berichten wil uitwisselen met WhatsApp of iMessage, kon niet worden achterhaald. Een kortdurend persverzoek van netzpolitik.org bleef aanvankelijk onbeantwoord. Het fundament achter het open communicatieprotocol Matrix , dat bijvoorbeeld door de Bundeswehr wordt gebruikt , sprak zijn steun uit voor het EU-voorstel . Facebook zelf wilde niet reageren op de EU-wetgeving.
Interoperabiliteit is technisch lastig
Het staat buiten kijf dat de verplichte interoperabiliteit voor versleutelde messengers technisch lastig is. Elke provider kookt zijn eigen soep als het gaat om cryptografische standaarden, gebruikers- en sleutelbeheer of het bezorgen van berichten op meerdere apparaten in een account. Zo koppelt Apple onder meer de cryptografische sleutels van zijn iMessage-dienst aan de hardware van de gebruiker – of hetzelfde beveiligingsniveau ook kan worden gegarandeerd voor platforms buiten zijn controle, zoals bepaald in een voorlopige versie van de DMA-tekst, blijft voorlopig open.
Het eenvoudig uitwisselen van berichten zou relatief eenvoudig moeten zijn. Matthew Hodgson van de Matrix Foundation verwacht echter niet dat alle grote providers plotseling hun eigen aanpak zullen laten varen en overeenstemming zullen bereiken over een gemeenschappelijke standaard. Volgens hem zouden echter zogenaamde “bruggen” tussen de verschillende aanbieders kunnen bemiddelen . Om te voorkomen dat de end-to-end-codering wordt verbroken, kunnen de bruggen lokaal op de apparaten worden uitgevoerd.
Ook de vraag hoe gebruikers tussen de verschillende platformen kunnen worden geïdentificeerd en aangesproken , levert hoofdbrekens op . Voor het uitwisselen van versleutelde berichten zijn duidelijke identificatiekenmerken nodig, zodat deze berichten ook daadwerkelijk op vervalsingbestendige wijze bij de juiste persoon terechtkomen. Op dit moment is er simpelweg geen centraal of decentraal systeem klaar voor gebruik dat een telefoonnummer, e-mailadres of andere identifier betrouwbaar koppelt aan de juiste publieke sleutel van een persoon over providergrenzen heen.
Matrix-medeoprichter Hodgson speculeert aan netzpolitik.org dat dit probleem op korte termijn kan worden opgelost door gebruikers zich te identificeren bij verschillende poortwachters en deze verificatie vervolgens door andere diensten te gebruiken. Maar iedereen die interoperabel wil communiceren, zou dan bijvoorbeeld een Facebook-account moeten aanmaken – wat uiteraard problematisch is.
“Het zal iedereen sterker maken, inclusief WhatsApp”
Op de lange termijn zou een nieuwe industriestandaard kunnen ontstaan op basis van bestaande oplossingen. Volgens Hodgson zou het ENUM-systeem, dat conventionele telefonie combineert met op internet gebaseerde VoIP, kunnen worden gebruikt . Daarnaast werken instanties zoals het World Wide Web Consortium of particuliere bedrijven ook aan ‘gedecentraliseerde identificatie-architecturen’, zegt Hodgson. Alle deskundigen raden echter af om gecentraliseerde databases te gebruiken, zoals een door de EU geëxploiteerde directoryservice. Het zou gevaarlijk zijn om alle informatie op één plek te hebben, waarschuwt Threema-baas Blatter: “Dat zou een uitkomst zijn voor elke hacker”, om nog maar te zwijgen van de geheime diensten of de politie.
Het is afwachten hoe het ambitieuze plan van de EU daadwerkelijk in de praktijk wordt uitgevoerd, hoeveel kleine providers zullen deelnemen en of verplichte interoperabiliteit uiteindelijk de marktmacht van WhatsApp & Co zal breken of versterken. Matthew Hodgson is in ieder geval optimistisch: “Het is een eerste stap en beter dan niets”, zegt Matrix-medeoprichter Amandine Le Pape. “Het zal iedereen sterker maken, inclusief WhatsApp.”
