Unsicheres Cryptocat: "Das ist ein Desaster"
Auf der Sigint 2013 musst sich der Cryptocat-Entwickler Nadim Kobeissi Kritik stellen. (Bild: Jörg Thoma/Golem.de)

Unsicheres Cryptocat "Das ist ein Desaster"

Der Gründer und Hauptentwickler von Cryptocat wollte eigentlich die Vorzüge seines Projekts auf der Sigint 2013 vorstellen. Stattdessen musste sich Nadim Kobeissi aber rechtfertigen - für eine gefährliche Sicherheitslücke in seinem Chatsystem.

Anzeige

Es sollte ein gemütlicher Vortrag auf der diesjährigen Hacker-Konferenz Sigint 2013 in Köln über die Vorzüge des verschlüsselten Chatsystems Cryptocat werden. Stattdessen musste Nadim Kobeissi sich für die jüngst bekanntgewordene Sicherheitslücke in Cryptocat rechtfertigen. Ausgerechnet in der Verschlüsselung hatte er einen schweren Fehler eingebaut. Mit Hilfe eines Werkzeugs lassen sich privaten Schlüssel von Cryptocat schnell und einfach berechnen.

Kobeissi gab sich zerknirscht und wehrte sich auch gegen die erhobenen Vorwürfe, wer seine Software nutze, bringen Menschen in Gefahr. Der gebürtige Libanese, der in Kanada lebt und arbeitet, sagte, er habe zu keinem Zeitpunkt Aktivisten in gefährdeten Ländern dazu geraten, seine Software einzusetzen. Tatsächlich verspricht Cryptocat eine einfache Möglichkeit, sicher zu chatten. Und sie soll leicht zu installieren und nutzen sein, für Nutzer, die sich mit Technik nicht auskennen.

Verschlüsselung für alle

Das ist das Hauptanliegen von Cryptocat und seines Initiators Kobeissi. Er habe eine Software entwickeln wollen, bei der sich Nutzer nicht zuerst Gedanken machen müssen wie sie mit PGP verschlüsseln, sondern einfach mit dem Chatten loslegen können. Dass sämtliche vor 2013 für das Chatprogramm erstellten Schlüssel unsicher sind, bezeichnet Kobeissi als "absolutes Desaster" für das nur er selbst verantwortlich sei.

Der Bug sei im Gruppenchat des Chatsystems, das er selbst von Grund auf entwickelt habe, sagte Kobeissi. Er sei ohnehin für etwa 80 Prozent des Programmcodes verantwortlich, bekomme nur wenig Hilfe. Und er selbst sei kein Kryptografieexperte, sagte Kobeissi mehrfach. Er könne dabei Hilfe gebrauchen. Geplant seien außerdem Multi-Party-OTR, Video und Audio über WebRTC und eine bessere Authentifizierung.

Weitermachen

Er habe in den letzten Tagen den Sinn des Projekts überdacht, aber er wolle Cryptocat nicht aufgeben, sagte Kobeissi. Es sind nicht die ersten schweren Fehler, die bekanntwurden, seitdem das Projekt 2011 startete. Beispielsweise war die Auslieferung des Chatprogramms zunächst unsicher, denn die als Browser-Plugin umgesetzte Anwendung war nicht signiert. Lange Zeit fehlte Browsern ein nutzbarer Zufallsgenerator. Er selbst hatte eine weitere schwere Sicherheitslücke in die Benutzeroberfläche einprogrammiert. Das alles gibt Kobeissi in seinem Vortrag unumwunden zu. Und erntet damit Sympathie aus dem Publikum. Der Hacker Felix "FX" Lindner sagt, Cryptocat sei selbst mit kaputter Verschlüsselung allemal besser als Skype. Ein anderer Zuschauer beruhigt Kobeissi: Er könne hier doch sehen, dass alles nicht so schlimm sei. "Dann hast Du darüber aber nicht auf Twitter gelesen!" entgegnete Kobeissi.

Nach dem Vortrag habe er zahlreiche Hilfsangebote bekommen, auch von Entwicklern, die sich mit Kryptografie auskennen, sagte Kobeissi Golem.de. Und er überdenke, wie er das Projekt besser organisieren und mehr Entwickler einbeziehen könne. Gerade bewirbt er sein Projekt auf den Lightning Talks auf der Sigint 2013.


Hu5eL 10. Jul 2013

Weil man immer einen für "private" Projekte zur Hand hat... Logo

Noppen 07. Jul 2013

Was bedeutet "Allheilmittel"?

Atalanttore 06. Jul 2013

Wenn der Programmierer in der IT-Abteilung einer deutschen Behörde arbeiten würde, würde...

Kommentieren



Anzeige

  1. Web-Devoloper/in
    GAMESROCKET GmbH, Aschaffenburg
  2. Projektleiter (m/w) Project Management Office
    Siemens AG, Erlangen
  3. Software Architect (m/w) - Grafik & Video
    Harman Becker Automotive Systems GmbH, München
  4. IT-Spezialist (m/w) Analytik / Labor
    Phytolab GmbH & Co. KG, Vestenbergsgreuth (Großraum Nürnberg)

 

Detailsuche


Folgen Sie uns
       


  1. Lumina

    PC-BSD zeigt Fortschritte des eigenen Desktops

  2. Cloud

    Niedrigerer Preis und neue Funktionen bei Dropbox

  3. Dragon Age Inquisition

    Multiplayer mit Mikrotransaktionen

  4. Lyft

    Uber soll Konkurrenten mit unsauberen Methoden bekämpfen

  5. Enlightenment

    E19 bekommt offiziell neuen Wayland-Compositor

  6. Cybercrime

    BKA fordert Gesetze zur Ermittlung von Tor-Nutzern

  7. Chrome 37

    Besseres Font-Rendering und 64 Bit für Windows

  8. Neues Instrument Holometer

    Ist unser Universum zweidimensional?

  9. Koei Tecmo

    Capcom sieht Patentverletzungen in 50 Spielen

  10. Windows on Devices

    Großes Betriebssystem auf kleinem Rechner



Haben wir etwas übersehen?

E-Mail an news@golem.de



Breitbandausbau: Netzbetreiber und Regierung schachern um Netzneutralität
Breitbandausbau
Netzbetreiber und Regierung schachern um Netzneutralität
  1. Mobiles Internet Roaming-Gebühren benachteiligen Grenzregionen
  2. Digitale Agenda Bitkom fordert komplette Nutzung des 700-Megahertz-Bandes
  3. Digitale Agenda 38 Seiten Angst vor festen Zusagen

Spiele auf dem Oculus Rift DK2: Manchmal klappt es, manchmal nicht
Spiele auf dem Oculus Rift DK2
Manchmal klappt es, manchmal nicht
  1. Oculus Rift Geld für gefundene Sicherheitslücken
  2. Virtuelle Realität Hüft-OP mit Oculus Rift und zwei Gopro-Kameras
  3. Oculus Rift Valve aktualisiert SteamVR für das DK2

Sofia: Der fliegende Blick durch den Staub
Sofia
Der fliegende Blick durch den Staub
  1. Audio aus Video Gefilmte Topfpflanze verrät Gespräche
  2. Nahrungsmittel Trinken statt Essen
  3. Bioelektronik Pilze sind die besten Zellschnittstellen

    •  / 
    Zum Artikel