Begin deze maand raadde Snowden het gebruik van de internetbrowser en chatapp nog aan in een tweet. Hij adviseerde de diensten te gebruiken als reactie op een artikel in The Washington Post. Daarin schreef de krant dat twee hooggeplaatste FBI-ambtenaren in onderlinge berichten hun afkeer tegen onder meer toenmalig presidentskandidaat Donald Trump uitspraken. Beide FBI-medewerkers werkten tot afgelopen zomer onder speciaal aanklager Robert Mueller aan het onderzoek naar de banden tussen de Trump-campagne en Rusland.
Dat de berichten naar boven zijn gekomen, is op z’n minst onhandig. Dat een FBI-medewerker duidelijk anti-Trump is, kan de onpartijdigheid van het onderzoek in gevaar brengen. Snowdens redenatie: dit was niet naar boven gekomen als de FBI-ambtenaar Signal had gebruikt om die berichten te versturen.
Eerder dit jaar adviseerde het prominente techtijdschrift Wired ook om alle chatapps te laten vallen en over te stappen op Signal. Deze app (iOS en Android) staat bekend op zijn sterke end-to-endencryptie. Dat houdt in dat alleen de zender en ontvanger de verstuurde berichten kunnen lezen. Het Signal-protocol is bovendien open source en gratis te gebruiken.
Ook De Correspondent raadde zijn lezers begin dit jaar, tijdens zijn privacyweek, aan om over te stappen van WhatsApp naar Signal. Wat privacy betreft geeft De Correspondent een goed argument. WhatsApp is immers eigendom van Facebook: een bedrijf dat zo veel mogelijk over jou te weten wil komen.
Nobel doel
Hoezeer Edward Snowden, Wired en De Correspondent (en anderen) met deze boodschap een nobel doel nastreven, is het rigoureus vervangen van WhatsApp (en andere chatapps) door Signal praktisch onmogelijk. Het ophemelen van Signal tegenover WhatsApp wekt bovendien de suggestie dat laatstgenoemde feitelijk onveilig is. Dat is onjuist. WhatsApp maakt sinds april 2016 immers ook gebruik van het Signal-protocol. Dat betekent dat ook WhatsApp gebruik maakt van de sterke end-to-endencryptie die berichten voor buitenstaanders onleesbaar maakt.
Met inmiddels meer dan 1 miljard dagelijkse gebruikers wereldwijd is dat een enorme mijlpaal voor het gebruik van veilige chatapps.
Dit wil niet zeggen dat WhatsApp op het gebied van privacy op gelijke voet staat met Signal. WhatsApp verzamelt nog altijd metadata over gesprekken (en wil die graag delen met moederbedrijf Facebook) en is niet volledig open source (dus niet volledig controleerbaar).
Signal profileert zich nog steeds als een app die zo min mogelijk data verzamelt, inclusief metadata (wie praat met wie). Wat dat betreft is Signal nog altijd privacyvriendelijker dan WhatsApp.
Safety in numbers
Toch is het advies om van WhatsApp te laten vallen voor Signal uiteindelijk een slecht advies. Ja, wie uit privacy-overwegingen liever niet heeft dat Facebook meegluurt, kan uiteraard overstappen op een alternatief (en proberen om anderen te overtuigen). Maar een individu dat overstapt, bereikt praktisch weinig mee. Het gebruik van een chatapp staat of valt immers met het het aantal medegebruikers.
Wil Signal écht een waardig alternatief voor WhatsApp zijn, dan moet iedereen die definitief wil overstappen zijn omgeving daar ook van overtuigen. (Een jaar geleden telde Signal 410.000 maandelijks actieve gebruikers, gebaseerd op data van Apptopia, december 2016). Het overtuigen van 1 miljard WhatsApp-gebruikers is enorm moeilijk, laat staan onmogelijk.
Een algemeen advies is een slecht advies
Daarnaast blijkt dat zelfs Snowden nog iets kan leren op het gebied van InfoSec (information security, digitale en fysieke informatiebeveiliging). Belangrijk hierbij is dat de NSA-klokkenluider in deze discussie Signal aan, omdat je daarmee zo min mogelijk prijsgeeft over de inhoud van je gesprek. Van de betreffende FBI-agenten was immers al bekend dat ze met elkaar praatten (metadata).
Het ging dus om de inhoud. En daarbij is de end-to-endencryptie (die WhatsApp ook biedt) al enorm waardevol. De reden waarom het advies van Snowden slecht is, is omdat het een algemeen advies is.
In InfoSec geldt: wat wil je beschermen, en tegen wie wil je je beschermen? Een gewone Nederlandse burger die (for the sake of argument) ‘niets te verbergen heeft’, hoeft misschien niet bang te zijn voor de politie of de nationale inlichtingendienst. Dat wordt anders als je een journalist bent die zijn gevoelige bron wil beschermen. Of een activist in een repressief regime.
De belangrijkste reden om over te stappen van WhatsApp naar Signal, is dan ook omdat jouw threat model daarom vraagt. Op het gebied van informatiebeveiliging biedt Signal weinig voordelen, zeker als je niet op de radar van een grootmacht staat.
Wie naast de inhoud van zijn gesprekken ook metadata verborgen wil houden (of principieel onder de duim van Facebook uit wil), kan het advies van Snowden natuurlijk ter harte nemen. Zo niet, dan heb je met WhatsApp een prima chatapp op je telefoon.
