AboutSignal
Home > Blog

Kritiek op Signal - en hoe Signal daarop reageert

Is er eigenlijk kritiek op de berichtenapp Signal? En zo ja, wat wordt er dan bekritiseerd? En hoe reageert Signal op deze kritiek? In deze blogpost gaan we op deze vragen in.

Signal is inmiddels in veel landen de populairste veilige berichtenapp. De meeste gebruikers kennen de vele voordelen van Signal ten opzichte van vergelijkbare apps zoals WhatsApp of Telegram (meer privacy, hogere veiligheid, open source, non-profitorganisatie, moderne functies). Niet voor niets wordt Signal door veel beveiligingsexperts en privacyvoorvechters aanbevolen. Maar uiteraard is er ook kritiek die regelmatig terugkomt. We bespreken hier de belangrijkste punten, leggen de achtergrond uit en laten zien wat Signal hierover zegt.

Kritiek 1: Ik heb een geldig telefoonnummer nodig om me bij Signal te registreren

Om Signal te gebruiken, heb je een geldig telefoonnummer nodig (net als bij WhatsApp). Dit nummer wordt tijdens de registratie bevestigd met een verificatiecode en gekoppeld aan je Signal-account. Details over het registratieproces vind je op deze officiële ondersteuningspagina.

Veel gebruikers die waarde hechten aan anonimiteit bekritiseren dit, omdat een telefoonnummer mogelijk herleid kan worden tot een persoon. Signal is dus niet 100% anoniem.

Daar staat echter tegenover: Signal weet alleen dát een telefoonnummer bij Signal geregistreerd is (en op welke datum). Verder weet Signal niets. Niet de inhoud van je berichten, niet je contacten, niet je profielinformatie, niet met wie je communiceert en niet in welke groepen je zit. Niets.

Daarom geldt: als een opsporingsinstantie contact opneemt met Signal over een telefoonnummer om informatie over een account te verkrijgen, dan is de enige informatie die zij -indien succesvol- van Signal ontvangen het volgende: ja, dit telefoonnummer is bij Signal geregistreerd. Het is op deze datum geregistreerd en dit is het tijdstip waarop het voor het laatst verbinding maakte met onze servers. Signal documenteert dit ook netjes op https://signal.org/bigbrother, waar deze verzoeken en de reacties van Signal als PDF's worden gepubliceerd.

Wij beschouwen dit probleem daarom als zeer gering, vooral omdat de voordelen van het gebruik van een telefoonnummer voor registratie opwegen tegen de nadelen (zie onze blogpost Waarom een telefoonnummer nodig is om je bij Signal te registreren voor meer details). In het kort: het gebruik van een telefoonnummer voor registratie helpt nieuwe Signal-gebruikers om eenvoudig contacten te leggen binnen Signal. Dit is een belangrijke reden waarom Signal zo wijdverbreid wordt gebruikt, vooral in vergelijking met veel andere veilige messengers die helaas door vrijwel niemand worden gebruikt.

Hoe Signal reageert:

De president van Signal, Meredith Whittaker, heeft dit onderwerp in talrijke interviews besproken. Haar belangrijkste boodschap: “Telefoonnummers stellen mensen in staat om hun sociale netwerk (‘social graph’) in Signal te importeren en, nog belangrijker, mee te nemen als ze besluiten te stoppen met het gebruik van Signal.” Daarom is een telefoonnummer vereist om zich bij Signal te registreren. Het vereisen van een telefoonnummer vermindert ook spam, omdat het voor spammers moeilijker wordt om zich te registreren.

Kritiek 2: Alle contacten die ik bericht kunnen mijn telefoonnummer zien

Deze kritiek klinkt erg vergelijkbaar met de vorige. Het probleem hier is echter niet dat je een telefoonnummer (mobiel of vast) nodig hebt voor een eenmalige registratie, maar dat alle contacten op Signal je telefoonnummer zouden kunnen zien.

Deze kritiek is verouderd en is niet langer van toepassing. Signal introduceerde ‘telefoonnummerprivacy’ in Februari 2024. Standaard is je telefoonnummer nu verborgen voor gebruikers (of andere groepsleden) die het niet in hun contactenlijst hebben opgeslagen. Daarnaast kun je nu ook contact leggen met andere gebruikers via een gebruikersnaam.

Meer informatie over deze functie vind je op Signal's ondersteuningspagina.

Hoe Signal reageert:

Signal heeft deze kritiek aangepakt met de introductie van gebruikersnamen in februari 2024. Deze kritiek is daarom verouderd.

Kritiek 3: Kent Signal al mijn contacten en maakt het back-ups van mijn adresboek?

Deze kritiek is onjuist. Signal kent je contacten niet. Hoewel contacten worden opgeslagen voor accountherstel, zijn ze dubbel versleuteld, zodat alleen jij en niemand anders er toegang toe heeft.

Dit onderscheidt Signal fundamenteel van veel andere messengers die simpelweg je contactenlijst (en veel andere gegevens) op hun servers opslaan. Dat is misschien handig, maar ook zeer onveilig.

Zoals gebruikelijk probeert Signal hier een balans te vinden en beide te combineren: gebruiksgemak en de hoogste veiligheidsnormen.

Maar terug naar de kritiek dat Signal je contacten zou kennen. Laten we deze onjuiste beschuldiging wat nader bekijken. Er zijn in principe twee manieren waarop Signal iets over je contacten zou kunnen leren (let op: het wordt een beetje technisch):

1. Signal-contacten vinden

Wanneer je Signal installeert, wil je waarschijnlijk weten welke van je contacten ook Signal gebruiken, zodat je ze direct via Signal kunt berichten. Signal maakt dit mogelijk via een zeer innovatieve functie genaamd Private Contact DiscoveryDeze is speciaal door Signal ontwikkeld en heeft twee beveiligingslagen om te voorkomen dat Signal je contacten te weten kan komen. Ten eerste worden de telefoonnummers van je contacten versleuteld als een zogenaamde ‘hash’. Deze versleuteling alleen biedt echter onvoldoende bescherming, omdat het aantal mogelijke telefoonnummers beperkt is. Daarom verwerkt Signal deze versleutelde gegevens uitsluitend in een aparte en speciaal beveiligde omgeving van Intel-processoren (een zogenaamde SGX enclaveom te controleren of je contacten ook Signal gebruiken.

Signal heeft een gedetailleerde blogpost gepubliceerd waarin dit proces wordt beschreven. Hier is een samenvatting van de belangrijkste stappen:

1. Er wordt een contact discovery-service uitgevoerd in een beveiligde SGX enclave.

2. Clients die contact discovery willen uitvoeren, zetten een beveiligde verbinding op via het netwerk, helemaal tot aan het externe besturingssysteem en de enclave.

3. Clients voeren een remote attestation uit om te controleren dat de code die in de enclave draait overeenkomt met de verwachte gepubliceerde open source code.

4. Clients sturen de versleutelde identifiers uit hun adresboek naar de enclave.

5. De enclave vergelijkt de contacten van de client met de set van alle geregistreerde gebruikers en versleutelt de resultaten terug naar de client.

Omdat de enclave bevestigt welke software er draait en omdat de externe server en het besturingssysteem geen zicht hebben op de enclave, komt de dienst niets te weten over de inhoud van de aanvraag van de client. Het is bijna alsof de client de query lokaal op het eigen apparaat uitvoert.

2. Je eigen Signal-contacten herstellen

Lange tijd had Signal geen behoefte aan het maken van back-ups van je contactenlijst. Signal vertrouwde immers uitsluitend op telefoonnummers als contactmethode, waardoor je contacten altijd in het adresboek van je smartphone stonden. Dit leidde echter tot kritiek dat je telefoonnummer zichtbaar was voor andere gebruikers (zie de sectie ‘Alle contacten die ik bericht kunnen mijn telefoonnummer zien’ hierboven).

Zoals we hebben gezien, heeft Signal als reactie hierop telefoonnummerprivacy en gebruikersnamen geïntroduceerd. Dit brengt echter een nieuw probleem met zich mee: contacten op basis van gebruikersnamen staan niet in je adresboek, waardoor Signal nu zelf moet zorgen voor een back-up van deze contacten (bijvoorbeeld als je je telefoon verliest).

Hiervoor introduceerde Signal het principe van Secure Value Recovery. Zoals Signal-oprichter Moxie Marlinspike uitlegde:

Het doel van dit werk [aan Secure Value Recovery] is om adressering zonder telefoonnummers mogelijk te maken, waardoor Signal je contacten moet beheren in plaats van je adresboek.

Concreet gebeurt het volgende: als je dit toestaat, maakt Signal een back-up van je contacten met Secure Value Recovery en dubbele beveiliging, zodat Signal geen toegang heeft tot deze gegevens. Ten eerste worden de gegevens versleuteld met een pincode die de gebruiker zelf kiest (van willekeurige lengte, inclusief letters en speciale tekens). Ten tweede vindt de versleuteling plaats in een beveiligde SGX enclave.

Dit uitstekende Duitse artikel op Golem beschrijft dit proces in detail:

Bij SVR [Secure Value Recovery] wordt de SGX enclave gebruikt om de sleutels te beheren die worden gebruikt om contactenlijsten te versleutelen. Voor elke Signal-installatie wordt een willekeurige 256-bit sleutel opgeslagen samen met een hash van de Signal-pincode. De sleutel kan uit de SGX enclave worden opgehaald door de hash van de Signal-pincode te presenteren. Samen met de Signal-pincode wordt vervolgens de sleutel gegenereerd die wordt gebruikt om de contactenlijst te versleutelen. Op deze manier blijven contacten behouden, zelfs als de smartphone verloren gaat, mits de juiste Signal-pincode wordt ingevoerd.

Tegelijkertijd biedt deze technologie bescherming tegen brute-force aanvallen, omdat de sleutel niet alleen uit de Signal-pincode kan worden afgeleid, aangezien het sleutelgedeelte uit de SGX enclave ontbreekt.

Samenvatting

Beide mogelijke scenario's waarin Signal toegang tot je contactenlijst nodig heeft, zijn zeer goed beveiligd, waardoor Signal je contacten nooit ziet. In scenario 1 (Signal-contacten vinden) gebeurt dit via Private Contact Discovery met hashes en SGX. In scenario 2 (Signal-contacten herstellen, inclusief gebruikersnamen) gebeurt dit via Secure Value Recovery, beveiligd met je pincode en SGX. Signal heeft dus nooit toegang tot je contacten.

Als je deze processen niet wilt toestaan, kun je ze ook uitschakelen in Signal. Voor scenario 1 kun je de Signal-app toegang tot je contacten weigeren op OS-niveau. Voor scenario 2 kun je de Signal-pincode uitschakelen via: Signal-instellingen – Account – Geavanceerde pincode-instellingen – Pincode uitschakelen.

Het uitschakelen van deze twee dingen leidt echter tot minder gebruiksgemak, zoals eerder genoemd: je weet dan niet welke van je contacten via Signal bereikbaar zijn en je kunt deze contacten niet herstellen als je telefoon beschadigd raakt.

Hoe Signal reageert:

Er is een duidelijk antwoord op deze vraag op Signals ondersteuningspagina's:

Signal heeft op geen enkele manier kennis van jouw contactenlijst. Alle gegevens staan alleen op jouw telefoon.

Daarnaast

Signal ontwikkelde een private contact discovery -proces waarmee Signal-gebruikers efficiënt en schaalbaar kunnen bepalen of de contacten in hun adresboek Signal-gebruikers zijn zonder deze contacten aan de Signal-dienst bekend te maken. Zodra jouw telefoon weet welke van jouw contacten een Signal-gebruiker is, kan deze je optioneel een melding geven wanneer een nieuw contact Signal gebruikt.

Signal heeft veel technische inspanning geleverd voor dit probleem en probeert gebruiksvriendelijkheid te combineren met maximale bescherming van je gegevens. De technische details en overwegingen zijn uitgebreid beschreven in blogposts. Als je meer wilt weten, vind je ze hier en hier (voor Private Contact Discovery) en hier (voor Secure Value Recovery).

Kritiek 4: Signal gebruikt cloudservices van grote techbedrijven

Signal beheert geen eigen servers, maar maakt gebruik van de cloudinfrastructuur van grote techbedrijven zoals Amazon, Google of Microsoft. Signal staat hier niet alleen in, aangezien bijna elk groot technologiebedrijf tegenwoordig deze infrastructuur gebruikt. Toch rijst de vraag of dit gebruik wel te combineren is met de hoge privacybeloften van Signal. Kunnen Amazon, Google of Microsoft waardevolle data van Signal-gebruikers verkrijgen, aangezien diensten en verkeer via hun servers verlopen?

Allereerst: wat voor technische middelen heeft Signal eigenlijk nodig? Om een messenger zoals Signal te laten werken, heb je -eenvoudig gezegd- rekenkracht, opslagruimte en netwerkbandbreedte nodig. Omdat de versleutelde data die Signal produceert uiteindelijk verwerkt, (tijdelijk) opgeslagen en verzonden moet worden. In een blogartikel heeft Signal deze noodzaak en de bijbehorende kosten in detail uitgelegd.

De vraag is nu: welke Signal-data zien Amazon, Google en Microsoft? Het antwoord: dezelfde data als Signal zelf. Of anders gezegd: bijna niets. Duitse IT-beveiligings- en privacy-expert Mike Kuketz heeft dit onderwerp nader bekeken en concludeert: cloudproviders zien alleen IP-adressen en de grootte van datapakketten. Omdat alle data echter versleuteld is, zien ze daar verder niets van. Kuketz betwijfelt sterk of ze veel kunnen doen met alleen IP-adressen en pakketgrootte en concludeert: “Op basis van mijn technische kennis raad ik nog steeds Signal aan. […] Afgezien van de messenger Briar (die een gedecentraliseerde aanpak volgt), is er momenteel geen enkele messenger die het zero-knowledge-principe consequenter implementeert en metadata op ontwerpniveau vermijdt.”

Hoe Signal reageert:

De president van Signal, Meredith Whittaker, heeft recent uitvoerig over dit onderwerp gesproken. We geven hier haar antwoord, iets ingekort en met enkele nadrukken toegevoegd:

In tegenstelling tot bijna alle andere consumenten-technologieproducten is Signal ontworpen zodat niets, inclusief de servers van Signal, toegang heeft tot je data. […]

In het geval van Signal moeten we ook erkennen dat privacy collectief is. Het maakt niet uit hoe privacy en sterke beveiliging voor mij persoonlijk eruitzien. Als mijn vrienden, collega’s, partners en degenen met wie ik wil communiceren geen berichtenservice gebruiken, is het nutteloos voor mij.

Het doel van Signal is robuuste privacy voor iedereen te bieden. Om dit te bereiken, mogen we niet beperkt worden tot privacy-denkoefeningen: onwrikbare privacy in theorie, maar ongebruikt in de praktijk omdat het niet werkt volgens de verwachtingen en wensen van mensen. Om nuttig te zijn, moet een berichtenservice direct beschikbaar zijn, altijd en overal. Dit is een norm die is gevestigd door messengers die deelnemen aan het surveillance-businessmodel, dat Signal verwerpt. Maar alleen omdat wij het surveillance-businessmodel verwerpen, betekent dit niet dat we de norm ‘altijd beschikbaar’ kunnen negeren als we nuttig, gebruikt en relevant willen blijven.

Om aan deze verwachtingen te voldoen, is momenteel een wereldwijd beschikbaar servernetwerk nodig. Deze infrastructuur -die we vaak ‘cloudservices’ noemen- is momenteel in handen van een handvol bedrijven. Dit komt doordat de technologiesector zich het afgelopen decennium heeft geconsolideerd dankzij het surveillance-businessmodel en de netwerkeffecten ervan. Het is niet mogelijk om hoog beschikbare services zoals Signal te ontwikkelen zonder zelf een van deze ‘Big Tech’-bedrijven te zijn of cloudservers van hen te licentiëren. Dit is niet de wereld die we willen. Maar het is wel de wereld waarin we opereren.

Dit leidt tot een discussie over de kosten van het ontwikkelen en onderhouden van hoog-beschikbare software zoals Signal. Kosten vormen een van de grootste uitdagingen voor het runnen van een service zoals Signal, gezien het lucratieve businessmodel van surveillance. We besteden jaarlijks tientallen miljoenen dollars om Signal draaiende te houden. En servers en bandbreedte zijn twee van de grootste uitgaven.

Zowel servers als bandbreedte hebben aanzienlijke schaalvoordelen, wat de eigenaren van deze cloudresources significante voordelen biedt in termen van flexibele resource-allocatie.

Om een concreet voorbeeld te geven toen het gebruik van Signal in januari 2021 10x toenam, konden we snel onze cloudproviders bellen en binnen enkele uren onze hostingcapaciteit en bandbreedte uitbreiden. Als we in januari 2021 onze eigen infrastructuur hadden gedraaid en gehost, hadden we grote ongebruikte reserves moeten hebben om dezelfde veerkracht te garanderen in deze dynamische omstandigheden. In dat scenario hadden we ook datacenters moeten huren en teams van engineers en hardware-operationele medewerkers wereldwijd moeten aannemen om onze infrastructuur te bouwen en te onderhouden. Dit model zou waarschijnlijk niet tientallen, maar honderden miljoenen dollars per jaar kosten om een vergelijkbare robuuste prestatie te bereiken.

Als we in de toekomst opties ontwikkelen of ontdekken die niet afhankelijk zijn van grootschalige cloudinfrastructuur en -belangrijk- voldoen aan de verwachtingen van mensen over ‘altijd beschikbaar’ terwijl ze economisch haalbaar zijn, zullen we deze uiteraard bekijken. Maar momenteel bestaat er geen dergelijke optie. En overstappen naar een gedistribueerde architectuur zonder deze kwesties serieus aan te pakken, zou het nut van Signal voor de mensen die erop vertrouwen verminderen en mogelijk hun privacy. Wij zijn daar nog niet klaar voor.

Kritiek 5: Signal heeft geen statusupdates zoals WhatsApp

Op sommige sites kun je nog steeds informatie vinden dat Signal geen statusupdates biedt zoals WhatsApp. Deze informatie is verouderd. Sinds november 2022 ondersteunt Signal statusupdates, die veel gebruikers kennen van WhatsApp. In Signal heet deze functie ‘Verhalen’ en is dit privacyvriendelijk geïmplementeerd (end-to-end versleuteld en je kunt zelf instellen welke contacten je verhalen kunnen zien).

Wat Signal erover zegt:

We hebben deze functie al geruime tijd. En hier en hier vind je meer informatie.

Conclusie

Dit zijn alle veelgehoorde kritieken op Signal die we konden bedenken. Hoewel we fans van Signal zijn, hebben we geprobeerd de kritiekpunten zo volledig en neutraal mogelijk te behandelen. Als je nog andere kritiekpunten kent, kun je altijd contact met ons opnemen.

Deel privé via Signal:

Kopieer URL & open Signal
of deel met minder privacy:

Gerelateerde berichten.

Snel naar.

> Nieuws & Blog

> Video's & Podcasts

> Downloaden

> Community  

> Signal.org (officieel)

Laatste nieuws.

Meer nieuws >