Abo
  • Services:
Anzeige
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

IMHO: Vorsicht vor falschen Krypto-Versprechen

Eine Menge verschlüsselter Messenger-Dienste wie Threema buhlt zurzeit um Nutzer, die aufgrund der Whatsapp-Übernahme durch Facebook nach Alternativen suchen. Skepsis ist angebracht.

Anzeige

Jubeln dürften diese Woche unter anderem die Betreiber des Messenger-Dienstes Threema. Das Schweizer Unternehmen erlebt wie andere alternative Messenger einen wahren Ansturm neuer Nutzer, nachdem bekanntwurde, dass der Whatsapp-Service von Facebook übernommen wurde. Besonders beliebt sind dabei die Alternativen mit angeblich sicherer Verschlüsselung - Threema wurde erst gestern als einziger Messenger von der Stiftung Warentest als unkritisch eingestuft. Denn um Whatsapp nicht zu vertrauen, hätten die Nutzer den Deal mit Facebook gar nicht gebraucht: Immer wieder fiel das Programm mit geradezu peinlichen Sicherheitslücken auf. Den Entwicklern fehlten teilweise ganz offensichtlich wesentliche Kenntnisse über die Grundlagen der Entwicklung kryptographischer Protokolle. Leider ist das bei der Konkurrenz nicht unbedingt anders.

Die Schwierigkeiten von Kryptographie werden unterschätzt

Der jetzige Trend, dass reihenweise Startup-Unternehmen und kleine Projekte neue Messenger herausbringen, die angeblich Nachrichten sicher verschlüsseln, ist daher besorgniserregend. Noch gut im Gedächtnis sollten die Katastrophen bei der Entwicklung von Cryptocat oder Whistle.im sein.

Dabei zeigt sich immer wieder: Wenn Anfänger Kryptographie implementieren, begehen sie Anfängerfehler. Es reicht längst nicht, einen Verschlüsselungsalgorithmus wie AES oder RSA verstanden zu haben, um ihn auch sicher zu implementieren. Die Verwendung guter Zufallszahlen muss gewährleistet sein, Timing-Angriffe und andere Seitenkanalangriffe müssen verhindert werden und auch aus sicheren Bausteinen lassen sich unsichere Protokolle erstellen.

Nicht vergessen darf man dabei, dass bewährte Verschlüsselungsprogramme wie GnuPG oder OpenSSL einen langen Weg hinter sich haben und viel Lehrgeld bezahlen mussten. OpenSSL akzeptierte einst gefälschte RSA-Signaturen, GnuPG erstellte unsichere ElGamal-Schlüssel, und ein kleiner Patch sorgte dafür, dass unzählige Debian-Anwender trivial brechbare private Schlüssel hatten. Und selbst im TLS-Protokoll tauchen immer wieder Sicherheitsprobleme auf, wie zuletzt die BEAST-Attacke, die Lucky-Thirteen-Attacke und andere Angriffe zeigten.

Wer ein kryptographisches Protokoll neu erfindet und die entsprechende Software dafür schreibt, muss eine sehr lange Liste von Dingen dabei berücksichtigen. Dabei reicht es nicht, Erfahrung im Programmieren zu besitzen. Man muss sich detailliert mit den Tücken der Kryptographie auseinandersetzen. Andernfalls sind gravierende Fehler kaum vermeidbar.

Für Nutzer kann das nur heißen, dass sie den Anbietern der angeblich sicheren Lösungen Fragen stellen: Habt ihr erfahrene Kryptographen im Entwicklerteam? Oder wurde eure Software einer Review durch erfahrene Krypto-Programmierer unterzogen?

Nur Quellcode schafft Vertrauen 

eye home zur Startseite
DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Frankfurt am Main, Bonn, Leinfelden-Echterdingen, München
  2. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart, Neu-Ulm, Ulm
  3. T-Systems International GmbH, Bonn
  4. T-Systems International GmbH, verschiedene Einsatzorte


Anzeige
Spiele-Angebote
  1. 49,98€ (Vorbesteller-Preisgarantie)
  2. 349,99€
  3. 24,96€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  2. Landwirtschaft 4.0 Swagbot hütet das Vieh
  3. Künstliche Muskeln Skelettroboter klappert mit den Zähnen

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: Jetzt ist sie raus. Ich habe mehr erwartet.

    t3st3rst3st | 18:26

  2. Re: ja, leider

    Silberfan | 18:23

  3. Re: Desktop-Android - Clickbait at it's best!

    redbullface | 18:18

  4. Re: WC`ehn müsste Linux mittelfristg (ab 2020)

    Silberfan | 18:11

  5. Re: Handzeichen ist trotzdem Pflicht

    daniel_m | 18:05


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel