Beste VRT NWS, beste Kenneth Lasoen,

Betreft: “Staatsgeheimen op Signal: waarom gebruiken toppolitici in VS de berichtenapp? En hoe (on)veilig is dat?”, VRT NWS, 25 maart 2025.

In uw interview van 25 maart 2025, getiteld “Staatsgeheimen op Signal: waarom gebruiken toppolitici in VS de berichtenapp? En hoe (on)veilig is dat?”, verspreidt u gevaarlijke desinformatie over communicatieapps. Signal is, zoals u zelf nog rapporteerde in Terzake op 20 maart de zogenaamde “gold standard” in veilige en private communicatie. Dit is niet enkel de repliek van Signal zelf; dit is ook de conclusie van zowat alle onafhankelijke experts en onderzoekers wereldwijd.

Uw interview kwam dan ook als een totale verrassing. Het is — uiteraard — verkeerd om een civiel kanaal zoals Signal te gebruiken voor staatsgeheimen, vanwege de redenen genoemd in het interview. Maar daarenboven argumenteert Kenneth Lasoen dat Signal “te prenetreren” valt en die “encryptie te kraken” valt door inlichtingendiensten.

“Natuurlijk zijn er wel inlichtingendiensten die over de capaciteiten beschikken om die app toch te penetreren en die encryptie te kraken” – Kenneth Lasoen

Voor zulke brede claims is op zijn minst duiding nodig. Er zijn geen publieke bronnen die deze claims ondersteunen. In het beste geval verwijst professor Lasoen naar de enkele gevallen van gelekte Signalgesprekken, waarbij de toestellen van de gebruikers zelf gecompromitteerd waren.

Daarna vertelt professor Lasoen dat Threema een beter alternatief is, omdat het gebruikt wordt door veiligheidsdiensten, alsook veiligheidsdiensten in ons land. Dat is op zich erg verontrustend, gegeven het historisch slecht track record van deze Zwitserse app. Kijkt u gerust ook naar de presentatie van Kenny Paterson, professor cryptografie aan ETH Zürich, over de veiligheid van Threema. Threema’s voornaamste voordeel voor veiligheidsdiensten is de mogelijkheid om de rol van gespreksdeelnemers te visualiseren: Threema geeft weer of een deelnemer al dan niet een bekend contact is, of deel is van je eigen organisatie.

“De servers staan op een hoog beveiligde locatie in Zwitserland en vallen dus ook onder het Zwitserse recht. Daardoor is het bedrijf ook niet zomaar verplicht om die communicatie over te maken.” – Kenneth Lasoen

Signal heeft een lijst van alle informatie die zij ooit hebben overgemaakt aan overheden. Of die alles bevat, of ze eventueel een subpoena hebben gekregen van een geheime rechtbank, is onbekend. Wat wel bekend is, is dat Signal enkel toegang heeft tot volgende informatie: laatste datum van registratie, laatste contactmoment van de gebruiker. Zwitserse servers kunnen een extra gevoel van veiligheid geven, maar het is niet omdat de servers in Zwitserland staan dat de communicatie veiliger is.

“Daarnaast kiest Threema ervoor om communicatiesleutels om de zoveel tijd veranderen. Wanneer een hacker de sleutel van jouw communicatie via Threema dus in handen zou krijgen, kan die jouw berichtgeving uit het verleden niet inzien.” – Kenneth Lasoen

Dit is opnieuw, in het allerbeste geval, een misleidende uitspraak. Het principe van sleutelrotatie is een standaardpraktijk in de cryptografie, die populair gemaakt werd door Signal. Daarnaast heeft Signal altijd zogenaamde “post compromise” security geboden, wat Threema pas recent heeft ingevoerd. Dit is opmerkelijk, want zowel de specificatie als de implementatie van Signal zijn openlijk beschikbaar, zodat Threema dit kosteloos had kunnen overnemen.

“De kwantumcomputer zit eraan te komen. Daar is ook Threema niet tegen opgewassen” – Kenneth Lasoen

De meningen rond toekomstige (of huidige) kwantumcomputers zijn verdeeld. De meeste onderzoekers zijn wel van het “better safe than sorry” principe, en hebben daarom algoritmes ontwikkeld die resistent zouden zijn tegen kwantumcomputers. Threema is inderdaad niet zogenaamd “post-quantum secure”, maar Signal is dat sinds bijna twee jaar wel, net zoals Apple’s iMessage.

“Zo’n computer maakt honderden miljoenen keren sneller berekeningen dan de computers van vandaag. Het zorgwekkende is dat een kwantumcomputer daarom in staat is de meest complexe en geavanceerde codes in een fractie van een seconde te kraken.”

Dit is een misvatting. Quantumcomputers zijn niet sneller dan “gewone” computers. Quantumcomputers hebben een aantal specifieke mogelijkheden die hen sneller maken in bepaalde, erg specifieke berekeningen, waaronder vermoedelijk het breken van het RSA en het ECC algoritme. Dit is exact waar de meningen verdeeld zijn: sommige onderzoekers geloven dat het fysiek bouwen van die specifieke quantumcomputer fysisch niet mogelijk zal zijn. De meeste huidige quantumcomputers die gebouwd worden, zijn niet eens gebouwd met die specifieke doelen in het achterhoofd.

Door deze desinformatie te verspreiden, overtuigt u mensen om over te stappen op een minder veilig alternatief. Dat brengt deze mensen potentieel in gevaar. Signal wordt gebruikt door klokkenluiders en journalisten, die in oorlogsgebieden en in dictatoriale regimes hun leven riskeren om de waarheid te kunnen rapporteren. Uw repliek is hierdoor levensgevaarlijk.