Een groep van vijf ontwikkelaars heeft een tool ontwikkeld waarmee volledig anoniem gecommuniceerd kan worden. De makers van de software hebben het ontwikkeld als reactie op de commotie rond Edward Snowden en het Amerikaanse PRISM-project. De ontwikkelaars vinden het recht op privacy een basis die niet door overheden geschonden mag worden. Voor het in-huis ontwerp en de service is Kwik-Bit automatisering verantwoordelijk.
In de digitale wereld van vandaag is het mogelijk om informatie op het internet over bijna iedereen te verzamelen. Elk individu, organisatie en met name de overheid kan het internet gebruiken als een instrument om berichten, e-mails, foto’s, bestanden of telefoontjes van iedereen vast te leggen. Naar aanleiding van het nieuws omtrent Edward Snowden is het NaviChat-project ontstaan.
Unieke sleutels
NaviChat is een eenvoudig programma waarmee berichten kunnen worden verzonden en ontvangen op een beveiligde en versleutelde manier. Deze maakt het onmogelijk voor anderen om deze informatie op te vangen. Ieder bericht wordt versleuteld met een unieke sleutel die alleen de afzender en ontvanger kennen. Zelfs de servers weten niet welke sleutels worden gebruikt voor de decryptie. Er is geen server die de sleutels of geschiedenis opslaat. Alleen de gebruiker en zijn contactpersoon hebben toegang tot de berichten.
Mocht er een verzoek van de overheid of een organisatie gedaan worden om hen te voorzien van informatie, dan kan NaviChat dat gewoonweg niet omdat het geen geschiedenis opslaat op de servers. Daarnaast worden de sleutels die nodig zijn voor het decoderen van de berichten niet opgeslagen op de server. NaviChat maakt gebruik van een op maat gemaakte encryptie. Niets wordt opgeslagen op de server. Alle berichten die worden verzonden via het programma worden client-side gecodeerd en gedecodeerd.
Privacy
‘De prioriteit van NaviChat is privacy’, zegt Jonathan Flietstra, één van de vijf ontwikkelaars van het programma en medewerker van Kwik-Bit automatisering. ‘Met de bouw van NaviChat is gestart toen in het nieuws kwam dat de Amerikaanse overheid gebruik maakt van PRISM om enorme hoeveelheden (internet)gegevens te controleren en vast te leggen. Dit geldt bijvoorbeeld voor e-mails, surfgeschiedenis, zoekresultaten, telefoon logs en locatie-informatie. Wij hechten waarde aan onze privacy. Betekent dit dat je iets te verbergen hebt? Misschien, maar zelfs als je niets te verbergen hebt, heb je nog altijd recht op privacy. Zelfs op het internet.’
Het idee was om een programma te maken waarmee berichten, documenten of foto’s op een veilige manier uitgewisseld kunnen worden. Het moest een programma worden dat niet centraal informatie bewaard. Flietstra: ‘Op deze manier kunnen we nooit gedwongen worden om gegevens af te geven, aan welke organisatie dan ook. We hebben het gewoonweg niet. Het enige dat we bewaren zijn de unieke nummers die het programma gebruikt om contacten toe te voegen en te herkennen. We willen ermee bereiken dat naast het beveiligd kunnen communiceren met derden een bredere discussie over internet en privacy aangewakkerd wordt. NaviChat kan ook zakelijk worden ingezet. Om het in eigen beheer of intern te gebruiken kan men een eigen NaviChat-service opstarten.’
Voordelen en nadeel
Met NaviChat worden alleen berichten van goedgekeurde contactpersonen ontvangen. Berichten en bestanden worden lokaal versleuteld opgeslagen en die kunnen niet worden gebruikt op een andere computer. NaviChat mag gebruikt worden ‘as-is’. De eindgebruiker is verantwoordelijk voor wat hij met NaviChat doet. ‘Voordelen zijn veiligheid door unieke sleutels per bericht, het is spamvrij, er vindt geen opslag van centrale profielen of berichten plaats, lokale gegevens zijn versleuteld opgeslagen en NaviChat weet geen sleutels van berichten’, meent Flietstra. ‘Alle mogelijkheden zijn gebaseerd op veiligheid dus er kan bijvoorbeeld niet gezocht worden op profielen of naam. Daarnaast is het voor ons als maker onmogelijk om informatie aan derden te verschaffen omdat wij geen enkele informatie vastleggen. Een nadeel is er ook. Door de keuze van veiligheid moet je bij het eerste contact het NaviChat-nummer (NC-ID) uitwisselen.’
NaviChat wordt als gratis download aangeboden via de website www.navichat.nl. Op dit moment is het alleen beschikbaar voor het Windows-platform. Indien er genoeg belangstelling is voor het programma kunnen er ook versies worden uitgebracht voor mobiele apps, Mac en Linux. NaviChat is dus nog in ontwikkeling. Als NaviChat een veel gebruikt programma blijkt te zijn, worden er nieuwe beveiligde functies toegevoegd.
Idee lijkt me een leuke eerste aanzet. Wat ik me nog wel afvraag, waarom niet peer-to-peer en zoals ik het lees zijn er nog wel een paar aandachtspunten.
Ten eerste zul je bij wet gedwongen worden om bijvoorbeeld meta data op te slaan (wie communiceert met wie). En het systeem lijkt niet veilig op het gebied van anonimiteit. Ten tweede: Contact via een server betekent dat je weet welk IP adres de verzender en de ontvanger heeft, en dat is ook informatie.
De server is er alleen om met elkaar in contact te komen. Daarna gaat het van client naar client. De server weet niet eens wie navichat gebruikt.
En kan daarom ook geen Meta data opslaan..
Dit protocol zou breed ingezet kunnen worden..
Jammer dat de Amerikaanse overheid afdwingt om toch in je systeem te kunnen kijken…
Het is ook geen technisch probleem om te encrypten bij andere partijen maar een juridisch probleem.
Aangezien dit bedrijf (neem ik even aan) niet daar gevestigd is waar zij juridisch onder het Amerikaans recht vallen, hebben de Amerikanen hier niets over te zeggen
wellicht is de bijgaande link een effectiever alternatief om “identiteitsloos” over het internet te gaan:
https://www.torproject.org
@Maarten,
Dit loopt via proxy’s.. en mijn ervaring dat het traag is.
Navichat gaat van client naar client. Elk bericht/file/conversatie is uniek versleuteld. Na gebruik is de sleutel waardeloos.
Als elk bericht uniek versleuteld is, hoe worden dan de sleutels uitgewisseld ? Het hele concept van Publieke en private sleutels is dat ik jouw publieke sleutel ken, en dat jij een bericht met je private sleutel kan decoderen. Uiteraard kan je initieel allebei unieke sessie-gebaseerde publieke sleutels uitwisselen, maar hoe weet ik dan zeker dat ik met jou communiceer ?
@Maarten
Daarbij komt dat skype, whatsapp, hangout, ed. wel jou gegevens opslaan, en laten inzien.
@J.
dan maar PGP gaan gebruiken…
@Erwin
als je te veel sessie sleutels met een master key maakt, wordt je systeem steeds kwetsbaarder, omdat in principe elke keer iets meegegeven wordt door de sleutel aan de vercijferde data, tenzij je een one time pad gebruikt, Dus wordt je informatie vanzelf kwetsbaar en ja de andere kan moet dezelfde sleutel etc hebben. Dat is o.a waarom Pub key zo handig is. Maar goed blijft natuurlijk: wat wil je hoe sterk beveiligen. Komt nog bij, dat de provider om de informatie die jij verstuurt het nodige aan informatie heen bakt, waardoor je toch informatie vrij geeft, wanneer je communiceert. Kortom, complex iets om het afdoende te doen.