Abo
  • Services:
Anzeige
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

IMHO: Vorsicht vor falschen Krypto-Versprechen

Eine Menge verschlüsselter Messenger-Dienste wie Threema buhlt zurzeit um Nutzer, die aufgrund der Whatsapp-Übernahme durch Facebook nach Alternativen suchen. Skepsis ist angebracht.

Anzeige

Jubeln dürften diese Woche unter anderem die Betreiber des Messenger-Dienstes Threema. Das Schweizer Unternehmen erlebt wie andere alternative Messenger einen wahren Ansturm neuer Nutzer, nachdem bekanntwurde, dass der Whatsapp-Service von Facebook übernommen wurde. Besonders beliebt sind dabei die Alternativen mit angeblich sicherer Verschlüsselung - Threema wurde erst gestern als einziger Messenger von der Stiftung Warentest als unkritisch eingestuft. Denn um Whatsapp nicht zu vertrauen, hätten die Nutzer den Deal mit Facebook gar nicht gebraucht: Immer wieder fiel das Programm mit geradezu peinlichen Sicherheitslücken auf. Den Entwicklern fehlten teilweise ganz offensichtlich wesentliche Kenntnisse über die Grundlagen der Entwicklung kryptographischer Protokolle. Leider ist das bei der Konkurrenz nicht unbedingt anders.

Die Schwierigkeiten von Kryptographie werden unterschätzt

Der jetzige Trend, dass reihenweise Startup-Unternehmen und kleine Projekte neue Messenger herausbringen, die angeblich Nachrichten sicher verschlüsseln, ist daher besorgniserregend. Noch gut im Gedächtnis sollten die Katastrophen bei der Entwicklung von Cryptocat oder Whistle.im sein.

Dabei zeigt sich immer wieder: Wenn Anfänger Kryptographie implementieren, begehen sie Anfängerfehler. Es reicht längst nicht, einen Verschlüsselungsalgorithmus wie AES oder RSA verstanden zu haben, um ihn auch sicher zu implementieren. Die Verwendung guter Zufallszahlen muss gewährleistet sein, Timing-Angriffe und andere Seitenkanalangriffe müssen verhindert werden und auch aus sicheren Bausteinen lassen sich unsichere Protokolle erstellen.

Nicht vergessen darf man dabei, dass bewährte Verschlüsselungsprogramme wie GnuPG oder OpenSSL einen langen Weg hinter sich haben und viel Lehrgeld bezahlen mussten. OpenSSL akzeptierte einst gefälschte RSA-Signaturen, GnuPG erstellte unsichere ElGamal-Schlüssel, und ein kleiner Patch sorgte dafür, dass unzählige Debian-Anwender trivial brechbare private Schlüssel hatten. Und selbst im TLS-Protokoll tauchen immer wieder Sicherheitsprobleme auf, wie zuletzt die BEAST-Attacke, die Lucky-Thirteen-Attacke und andere Angriffe zeigten.

Wer ein kryptographisches Protokoll neu erfindet und die entsprechende Software dafür schreibt, muss eine sehr lange Liste von Dingen dabei berücksichtigen. Dabei reicht es nicht, Erfahrung im Programmieren zu besitzen. Man muss sich detailliert mit den Tücken der Kryptographie auseinandersetzen. Andernfalls sind gravierende Fehler kaum vermeidbar.

Für Nutzer kann das nur heißen, dass sie den Anbietern der angeblich sicheren Lösungen Fragen stellen: Habt ihr erfahrene Kryptographen im Entwicklerteam? Oder wurde eure Software einer Review durch erfahrene Krypto-Programmierer unterzogen?

Nur Quellcode schafft Vertrauen 

eye home zur Startseite
DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?



Anzeige

Stellenmarkt
  1. medavis GmbH, Karlsruhe
  2. 20-20 Technologies GmbH, Osnabrück
  3. Empirius GmbH, Kirchheim bei München
  4. Bankhaus Metzler, Frankfurt


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Bestimmung, Life of Pi, House of Wax, Predator, Der Polarexpress, X-Men)
  2. (u. a. Jurassic World, Die Unfassbaren, Creed, Interstellar, Mad Max Fury Road)
  3. 22,96€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Systemüberwachung

    Facebook veröffentlicht Osquery für Windows

  2. Onlinehandel

    Bundesweite Streiks bei Amazon und Prime Instant Video

  3. Soziale Netzwerke

    Wie ich einen Betrüger aufspürte und seine Mama kontaktierte

  4. Modulare Geräte

    Phonebloks will nicht aufgeben

  5. Smart Lock

    Amazon will den Schlüssel zur Haustür

  6. Propilot Chair

    Nissan entwickelt autonomen Stuhl für Warteschlangen

  7. Tradfri

    Smarte Beleuchtung von Ikea

  8. Videos in die Cloud

    Mit Plex Cloud zur eigenen Netflix-Lösung

  9. Handmade

    Amazon verlangt von Verkäufern mehr als Dawanda

  10. Dice

    Kampagne von Battlefield 1 spielt an vielen Fronten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

  1. So ein Quark

    HubertHans | 10:31

  2. Re: oder einen anstieg der nutzung anderer messanger

    Eswil | 10:30

  3. Re: warum Urheberrecht-Verletzung?

    opodeldox | 10:30

  4. Re: In Deuschland verboten - wer ruft den...

    Eheran | 10:30

  5. Re: Auf eBay leider an der Tagesordnung

    skyynet | 10:30


  1. 10:30

  2. 10:23

  3. 09:05

  4. 08:52

  5. 08:01

  6. 07:44

  7. 07:31

  8. 07:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel