Anzeige
Auf der Sigint 2013 musst sich der Cryptocat-Entwickler Nadim Kobeissi Kritik stellen.
Auf der Sigint 2013 musst sich der Cryptocat-Entwickler Nadim Kobeissi Kritik stellen. (Bild: Jörg Thoma/Golem.de)

Unsicheres Cryptocat "Das ist ein Desaster"

Der Gründer und Hauptentwickler von Cryptocat wollte eigentlich die Vorzüge seines Projekts auf der Sigint 2013 vorstellen. Stattdessen musste sich Nadim Kobeissi aber rechtfertigen - für eine gefährliche Sicherheitslücke in seinem Chatsystem.

Anzeige

Es sollte ein gemütlicher Vortrag auf der diesjährigen Hacker-Konferenz Sigint 2013 in Köln über die Vorzüge des verschlüsselten Chatsystems Cryptocat werden. Stattdessen musste Nadim Kobeissi sich für die jüngst bekanntgewordene Sicherheitslücke in Cryptocat rechtfertigen. Ausgerechnet in der Verschlüsselung hatte er einen schweren Fehler eingebaut. Mit Hilfe eines Werkzeugs lassen sich privaten Schlüssel von Cryptocat schnell und einfach berechnen.

Kobeissi gab sich zerknirscht und wehrte sich auch gegen die erhobenen Vorwürfe, wer seine Software nutze, bringen Menschen in Gefahr. Der gebürtige Libanese, der in Kanada lebt und arbeitet, sagte, er habe zu keinem Zeitpunkt Aktivisten in gefährdeten Ländern dazu geraten, seine Software einzusetzen. Tatsächlich verspricht Cryptocat eine einfache Möglichkeit, sicher zu chatten. Und sie soll leicht zu installieren und nutzen sein, für Nutzer, die sich mit Technik nicht auskennen.

Verschlüsselung für alle

Das ist das Hauptanliegen von Cryptocat und seines Initiators Kobeissi. Er habe eine Software entwickeln wollen, bei der sich Nutzer nicht zuerst Gedanken machen müssen wie sie mit PGP verschlüsseln, sondern einfach mit dem Chatten loslegen können. Dass sämtliche vor 2013 für das Chatprogramm erstellten Schlüssel unsicher sind, bezeichnet Kobeissi als "absolutes Desaster" für das nur er selbst verantwortlich sei.

Der Bug sei im Gruppenchat des Chatsystems, das er selbst von Grund auf entwickelt habe, sagte Kobeissi. Er sei ohnehin für etwa 80 Prozent des Programmcodes verantwortlich, bekomme nur wenig Hilfe. Und er selbst sei kein Kryptografieexperte, sagte Kobeissi mehrfach. Er könne dabei Hilfe gebrauchen. Geplant seien außerdem Multi-Party-OTR, Video und Audio über WebRTC und eine bessere Authentifizierung.

Weitermachen

Er habe in den letzten Tagen den Sinn des Projekts überdacht, aber er wolle Cryptocat nicht aufgeben, sagte Kobeissi. Es sind nicht die ersten schweren Fehler, die bekanntwurden, seitdem das Projekt 2011 startete. Beispielsweise war die Auslieferung des Chatprogramms zunächst unsicher, denn die als Browser-Plugin umgesetzte Anwendung war nicht signiert. Lange Zeit fehlte Browsern ein nutzbarer Zufallsgenerator. Er selbst hatte eine weitere schwere Sicherheitslücke in die Benutzeroberfläche einprogrammiert. Das alles gibt Kobeissi in seinem Vortrag unumwunden zu. Und erntet damit Sympathie aus dem Publikum. Der Hacker Felix "FX" Lindner sagt, Cryptocat sei selbst mit kaputter Verschlüsselung allemal besser als Skype. Ein anderer Zuschauer beruhigt Kobeissi: Er könne hier doch sehen, dass alles nicht so schlimm sei. "Dann hast Du darüber aber nicht auf Twitter gelesen!" entgegnete Kobeissi.

Nach dem Vortrag habe er zahlreiche Hilfsangebote bekommen, auch von Entwicklern, die sich mit Kryptografie auskennen, sagte Kobeissi Golem.de. Und er überdenke, wie er das Projekt besser organisieren und mehr Entwickler einbeziehen könne. Gerade bewirbt er sein Projekt auf den Lightning Talks auf der Sigint 2013.


eye home zur Startseite
Hu5eL 10. Jul 2013

Weil man immer einen für "private" Projekte zur Hand hat... Logo

Noppen 07. Jul 2013

Was bedeutet "Allheilmittel"?

Atalanttore 06. Jul 2013

Wenn der Programmierer in der IT-Abteilung einer deutschen Behörde arbeiten würde, würde...

Kommentieren



Anzeige

  1. Software-Entwickler Java/C++ (m/w)
    IVU Traffic Technologies AG, Berlin, Aachen
  2. Solution Inhouse Consultant PLM (m/w)
    Phoenix Contact GmbH & Co. KG, Blomberg
  3. Software-Architekt/in für Bremssysteme
    Robert Bosch GmbH, Abstatt
  4. Senior Inhouse Consultant PLM (m/w)
    PHOENIX CONTACT GmbH & Co. KG, Blomberg

Detailsuche



Anzeige
Top-Angebote
  1. NEU: PlayStation 4 - Konsole (1TB) + Uncharted 4: A Thief's End
    369,00€
  2. NEU: Der Hobbit: Die Schlacht der fünf Heere [3D Blu-ray]
    9,99€
  3. NUR HEUTE: 50% Rabatt auf Star-Wars-Games
    (u. a. Star Wars Battlefront 33,95€, Star Wars: Knights of the Old Republic II The Sith Lords 4...

Weitere Angebote


Folgen Sie uns
       


  1. Konkurrenz für Bandtechnik

    EMC will Festplatten abschalten

  2. Mobilfunk

    Telekom will bei eSIM keinen Netzwechsel zulassen

  3. Gründung von Algorithm Watch

    Achtgeben auf Algorithmen

  4. Mobilfunk

    Störung zwischen E-Plus-Netz und Telekom

  5. Bug-Bounty-Programm

    Facebooks jüngster Hacker

  6. Taxidienst

    Mytaxi-Bestellungen jetzt per Whatsapp möglich

  7. Koalitionsstreit über WLAN

    Merkel drängt auf rasche Einigung zu Störerhaftung

  8. Weltraumteleskop Hitomi

    Softwarefehler zerstört japanisches Röntgenteleskop im Orbit

  9. Sailfish OS

    Jolla sichert sich Finanzierung über 12 Millionen US-Dollar

  10. Lede Project

    OpenWRT-Kernentwickler starten eigenen Fork



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HTC 10 im Test: Seht her, ich bin ein gutes Smartphone!
HTC 10 im Test
Seht her, ich bin ein gutes Smartphone!
  1. HTC 10 Update soll Schärfe bei Fotos verbessern
  2. HTC 10 im Hands on HTCs neues Topmodell erhält wieder eine Ultrapixel-Kamera

Raspberry Pi 3 im ersten Test: Kein Grund zur Eile
Raspberry Pi 3 im ersten Test
Kein Grund zur Eile
  1. Pi Camera V2 Neues 8-Megapixel-Kameramodul für den Raspberry Pi
  2. IOT-Hat Funkaufsatz und Gamepad für den Raspberry Pi Zero
  3. 502IOT Das Über-Shield für den Raspberry Pi

Thermophotovoltaik: Die echte Sonne ist manchmal nicht gut genug
Thermophotovoltaik
Die echte Sonne ist manchmal nicht gut genug
  1. Solarflugzeug Solar Impulse startet wieder
  2. Erneuerbare Energien Solarzellen wandeln Regen in Strom
  3. Rollarray Solarstrom von der Rolle

  1. Re: Ähhh....also mein S4 kann das schon

    plutoniumsulfat | 21:15

  2. Re: Genial geschrieben

    crypt0 | 21:13

  3. "Über Feedback unserer Zuhörer(...)" <--- Bei mir...

    MüllerWilly | 21:12

  4. Re: Ein echter Vorteil für die Verbraucher ...

    Neuro-Chef | 21:10

  5. Re: Komplett-Flats für unter 10¤ gibt es bisher...

    sofries | 21:07


  1. 19:01

  2. 16:52

  3. 16:07

  4. 15:26

  5. 15:23

  6. 15:06

  7. 15:06

  8. 14:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel