Overheden zullen dit niet leuk vinden: versleutelde berichten tussen Android- en iOS-apparaten komen eraan.

Stel je een wereld voor waarin Android- en Apple iOS-gebruikers met elkaar kunnen communiceren via berichten die volledig beveiligd zijn tegen afluisteren door middel van end-to-end-encryptie (E2EE). Dit geldt niet alleen voor één-op-één-gesprekken, maar ook voor groepschats tussen grote groepen werknemers en gebruikers. Op dit moment is dit alleen mogelijk via externe apps zoals WhatsApp en Signal, maar daar kan binnenkort verandering in komen.

De GSM Association (GSMA) heeft een nieuwe technische specificatie vrijgegeven: RCS Universal Profile versie 3.0. Rich Communication Services (RCS), de beoogde opvolger van SMS, biedt al geavanceerde functies zoals leesbevestigingen, typindicatoren en mediadeling. De integratie van E2EE was echter altijd een uitdaging. Dankzij het Messaging Layer Security (MLS)-protocol, ondersteund door het Internet Engineering Task Force (IETF), wordt dit nu werkelijkheid.

Volgens de GSMA zal RCS 3.0 met MLS bedrijven een aantrekkelijk alternatief bieden voor bestaande berichtenapps, doordat het zowel beveiliging als schaalbaarheid voor grote groepen ondersteunt. Tom Van Pelt, technisch directeur van de GSMA, benadrukt dat deze technologie zorgt voor vertrouwelijke en veilige overdracht van berichten en andere content tussen gebruikers. RCS wordt hiermee de eerste grootschalige berichtenservice die interoperabele E2EE biedt tussen verschillende providers en platforms. Dit, gecombineerd met SIM-gebaseerde authenticatie, zal bescherming bieden tegen oplichting, fraude en andere beveiligingsrisico’s.

RCS-fragmentatie en de weg naar interoperabiliteit

Een van de grootste uitdagingen voor RCS is de fragmentatie binnen het ecosysteem. Momenteel wordt RCS door verschillende mobiele netwerken, besturingssystemen en fabrikanten op hun eigen manier geïmplementeerd. Dit bemoeilijkt de adoptie en interoperabiliteit. Zo vereist veilige RCS-communicatie tussen Android-gebruikers dat beide partijen Google’s Berichten-app gebruiken, omdat alleen die app E2EE via het Signal-protocol ondersteunt. Apple heeft RCS in iMessage geïmplementeerd, maar met een eigen versie van E2EE, wat verdere compatibiliteitsproblemen oplevert.

Met de introductie van MLS in RCS 3.0 verandert dit. Eén gestandaardiseerd protocol maakt het mogelijk om geavanceerde functies zoals groepschats veilig en consistent te ondersteunen. Op dit moment kunnen groepsgesprekken kwetsbaar zijn als slechts één deelnemer een RCS-app zonder compatibele E2EE gebruikt. MLS zorgt ervoor dat alle apps dezelfde standaard hanteren, waardoor deze kwetsbaarheid wordt geëlimineerd.

De impact op WhatsApp en andere platforms

Google heeft aangekondigd MLS in Berichten te gaan implementeren, wat betekent dat het huidige Signal-protocol, dat minder goed schaalt voor grote groepen, uiteindelijk wordt vervangen. Apple heeft eveneens toegezegd RCS-berichten met E2EE via MLS te ondersteunen in toekomstige software-updates voor iOS, iPadOS, macOS en watchOS.

Een grote afwezige in dit verhaal is WhatsApp. Met drie miljard gebruikers opereert WhatsApp als een onafhankelijk ecosysteem naast RCS-gebaseerde apps. Moederbedrijf Meta richt zich op het transformeren van WhatsApp tot een dominant zakelijk communicatieplatform en heeft momenteel weinig prikkels om MLS te adopteren. Echter, vanwege regelgeving zoals de Digital Markets Act van de EU, die app-interoperabiliteit eist, zou WhatsApp op termijn MLS kunnen implementeren.

Volgens beveiligingsexperts zoals Arne Möhle, CEO van Tuta Mail, brengt interoperabiliteit ook nieuwe uitdagingen met zich mee, zoals een verhoogd risico op spam en phishing. Dit zijn problemen waar WhatsApp al mee worstelt en die verergerd kunnen worden als de app wordt opengesteld voor communicatie met andere platforms.

Toekomstige uitdagingen en overheidsinmenging

Hoewel E2EE op dit moment een belangrijke stap vooruit is op het gebied van privacy en beveiliging, zal de technologie in de toekomst verder moeten evolueren. De opkomst van quantumcomputers vormt een potentieel risico voor traditionele encryptiemethoden. Experts waarschuwen dat RCS 3.0 op termijn moet worden geüpgraded met kwantumbestendige encryptiesleutels om toekomstige aanvallen te kunnen weerstaan.

Daarnaast blijven overheden E2EE kritisch volgen. De Britse overheid voert bijvoorbeeld een campagne om backdoors in encryptie te introduceren en heeft Apple als testcase gekozen, specifiek gericht op de encryptie van iCloud-services. Hoewel client-side scanning – het scannen van berichten voordat ze op het apparaat worden versleuteld – momenteel niet van toepassing is op RCS, zou dit in de toekomst kunnen veranderen als overheden verdere controle nastreven.

Kortom, de introductie van E2EE in RCS via MLS is een belangrijke mijlpaal voor veilige en interoperabele communicatie. Het zal niet alleen de acceptatie van RCS versnellen, maar ook druk uitoefenen op bestaande berichtenplatforms om hun standaarden te herzien. De komende jaren zullen cruciaal zijn in de strijd tussen beveiliging, privacy en overheidsregulering.

Door: Drifter