Abo
  • Services:
Anzeige
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

IMHO: Vorsicht vor falschen Krypto-Versprechen

Eine Menge verschlüsselter Messenger-Dienste wie Threema buhlt zurzeit um Nutzer, die aufgrund der Whatsapp-Übernahme durch Facebook nach Alternativen suchen. Skepsis ist angebracht.

Anzeige

Jubeln dürften diese Woche unter anderem die Betreiber des Messenger-Dienstes Threema. Das Schweizer Unternehmen erlebt wie andere alternative Messenger einen wahren Ansturm neuer Nutzer, nachdem bekanntwurde, dass der Whatsapp-Service von Facebook übernommen wurde. Besonders beliebt sind dabei die Alternativen mit angeblich sicherer Verschlüsselung - Threema wurde erst gestern als einziger Messenger von der Stiftung Warentest als unkritisch eingestuft. Denn um Whatsapp nicht zu vertrauen, hätten die Nutzer den Deal mit Facebook gar nicht gebraucht: Immer wieder fiel das Programm mit geradezu peinlichen Sicherheitslücken auf. Den Entwicklern fehlten teilweise ganz offensichtlich wesentliche Kenntnisse über die Grundlagen der Entwicklung kryptographischer Protokolle. Leider ist das bei der Konkurrenz nicht unbedingt anders.

Die Schwierigkeiten von Kryptographie werden unterschätzt

Der jetzige Trend, dass reihenweise Startup-Unternehmen und kleine Projekte neue Messenger herausbringen, die angeblich Nachrichten sicher verschlüsseln, ist daher besorgniserregend. Noch gut im Gedächtnis sollten die Katastrophen bei der Entwicklung von Cryptocat oder Whistle.im sein.

Dabei zeigt sich immer wieder: Wenn Anfänger Kryptographie implementieren, begehen sie Anfängerfehler. Es reicht längst nicht, einen Verschlüsselungsalgorithmus wie AES oder RSA verstanden zu haben, um ihn auch sicher zu implementieren. Die Verwendung guter Zufallszahlen muss gewährleistet sein, Timing-Angriffe und andere Seitenkanalangriffe müssen verhindert werden und auch aus sicheren Bausteinen lassen sich unsichere Protokolle erstellen.

Nicht vergessen darf man dabei, dass bewährte Verschlüsselungsprogramme wie GnuPG oder OpenSSL einen langen Weg hinter sich haben und viel Lehrgeld bezahlen mussten. OpenSSL akzeptierte einst gefälschte RSA-Signaturen, GnuPG erstellte unsichere ElGamal-Schlüssel, und ein kleiner Patch sorgte dafür, dass unzählige Debian-Anwender trivial brechbare private Schlüssel hatten. Und selbst im TLS-Protokoll tauchen immer wieder Sicherheitsprobleme auf, wie zuletzt die BEAST-Attacke, die Lucky-Thirteen-Attacke und andere Angriffe zeigten.

Wer ein kryptographisches Protokoll neu erfindet und die entsprechende Software dafür schreibt, muss eine sehr lange Liste von Dingen dabei berücksichtigen. Dabei reicht es nicht, Erfahrung im Programmieren zu besitzen. Man muss sich detailliert mit den Tücken der Kryptographie auseinandersetzen. Andernfalls sind gravierende Fehler kaum vermeidbar.

Für Nutzer kann das nur heißen, dass sie den Anbietern der angeblich sicheren Lösungen Fragen stellen: Habt ihr erfahrene Kryptographen im Entwicklerteam? Oder wurde eure Software einer Review durch erfahrene Krypto-Programmierer unterzogen?

Nur Quellcode schafft Vertrauen 

eye home zur Startseite
DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?



Anzeige

Stellenmarkt
  1. Süwag Energie AG, Frankfurt am Main
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Berlin
  3. T-Systems International GmbH, Leinfelden-Echterdingen, München
  4. Landeskreditbank Baden-Württemberg -Förderbank-, Karlsruhe


Anzeige
Top-Angebote
  1. 29,00€ inkl. Versand
  2. 11,00€ inkl. Versand
  3. 5,00€ inkl. Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Künstliche Intelligenz

    Softbank und Honda wollen sprechendes Auto bauen

  2. Alternatives Android

    Cyanogen soll zahlreiche Mitarbeiter entlassen

  3. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  4. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  5. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  6. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  7. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  8. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  9. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  10. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Schrott im Netz: Wie Social Bots das Internet gefährden
Schrott im Netz
Wie Social Bots das Internet gefährden
  1. Netzwerk Wie Ausrüster Google Fiber und Facebooks Netzwerk sehen
  2. Secret Communications Facebook-Messenger bald mit Ende-zu-Ende-Verschlüsselung
  3. Social Media Ein Netzwerk wie ein Glücksspielautomat

Masterplan Teil 2: Selbstfahrende Teslas werden zu Leihautos
Masterplan Teil 2
Selbstfahrende Teslas werden zu Leihautos
  1. Projekt Titan Apple Car soll später kommen
  2. Nissan Serena Automatisiert fahrender Minivan soll im August erscheinen
  3. Elon Musk Tesla-Chef arbeitet an neuem Masterplan

Dirror angeschaut: Der digitale Spiegel, der ein Tablet ist
Dirror angeschaut
Der digitale Spiegel, der ein Tablet ist
  1. Bluetooth 5 Funktechnik sendet mehr Daten auch ohne Verbindungsaufbau
  2. Smarter Schalter Wenn Github mit dem Lichtschalter klingelt
  3. Tony Fadell Nest-Gründer macht keine Omeletts mehr

  1. Re: Des Menschen Logik

    Analysator | 06:20

  2. Re: Riecht irgendwie faul...

    ve2000 | 03:18

  3. Re: Fragwürdiges Funktionsprinzip

    ve2000 | 03:17

  4. Re: 5 jahre für pkw

    ecv | 03:11

  5. Re: Gut so, hoffentlich bald alle arbeitslos

    sardello | 02:58


  1. 15:17

  2. 14:19

  3. 13:08

  4. 09:01

  5. 18:26

  6. 18:00

  7. 17:00

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel