Auf der Sigint 2013 musst sich der Cryptocat-Entwickler Nadim Kobeissi Kritik stellen.
Auf der Sigint 2013 musst sich der Cryptocat-Entwickler Nadim Kobeissi Kritik stellen. (Bild: Jörg Thoma/Golem.de)

Unsicheres Cryptocat "Das ist ein Desaster"

Der Gründer und Hauptentwickler von Cryptocat wollte eigentlich die Vorzüge seines Projekts auf der Sigint 2013 vorstellen. Stattdessen musste sich Nadim Kobeissi aber rechtfertigen - für eine gefährliche Sicherheitslücke in seinem Chatsystem.

Anzeige

Es sollte ein gemütlicher Vortrag auf der diesjährigen Hacker-Konferenz Sigint 2013 in Köln über die Vorzüge des verschlüsselten Chatsystems Cryptocat werden. Stattdessen musste Nadim Kobeissi sich für die jüngst bekanntgewordene Sicherheitslücke in Cryptocat rechtfertigen. Ausgerechnet in der Verschlüsselung hatte er einen schweren Fehler eingebaut. Mit Hilfe eines Werkzeugs lassen sich privaten Schlüssel von Cryptocat schnell und einfach berechnen.

Kobeissi gab sich zerknirscht und wehrte sich auch gegen die erhobenen Vorwürfe, wer seine Software nutze, bringen Menschen in Gefahr. Der gebürtige Libanese, der in Kanada lebt und arbeitet, sagte, er habe zu keinem Zeitpunkt Aktivisten in gefährdeten Ländern dazu geraten, seine Software einzusetzen. Tatsächlich verspricht Cryptocat eine einfache Möglichkeit, sicher zu chatten. Und sie soll leicht zu installieren und nutzen sein, für Nutzer, die sich mit Technik nicht auskennen.

Verschlüsselung für alle

Das ist das Hauptanliegen von Cryptocat und seines Initiators Kobeissi. Er habe eine Software entwickeln wollen, bei der sich Nutzer nicht zuerst Gedanken machen müssen wie sie mit PGP verschlüsseln, sondern einfach mit dem Chatten loslegen können. Dass sämtliche vor 2013 für das Chatprogramm erstellten Schlüssel unsicher sind, bezeichnet Kobeissi als "absolutes Desaster" für das nur er selbst verantwortlich sei.

Der Bug sei im Gruppenchat des Chatsystems, das er selbst von Grund auf entwickelt habe, sagte Kobeissi. Er sei ohnehin für etwa 80 Prozent des Programmcodes verantwortlich, bekomme nur wenig Hilfe. Und er selbst sei kein Kryptografieexperte, sagte Kobeissi mehrfach. Er könne dabei Hilfe gebrauchen. Geplant seien außerdem Multi-Party-OTR, Video und Audio über WebRTC und eine bessere Authentifizierung.

Weitermachen

Er habe in den letzten Tagen den Sinn des Projekts überdacht, aber er wolle Cryptocat nicht aufgeben, sagte Kobeissi. Es sind nicht die ersten schweren Fehler, die bekanntwurden, seitdem das Projekt 2011 startete. Beispielsweise war die Auslieferung des Chatprogramms zunächst unsicher, denn die als Browser-Plugin umgesetzte Anwendung war nicht signiert. Lange Zeit fehlte Browsern ein nutzbarer Zufallsgenerator. Er selbst hatte eine weitere schwere Sicherheitslücke in die Benutzeroberfläche einprogrammiert. Das alles gibt Kobeissi in seinem Vortrag unumwunden zu. Und erntet damit Sympathie aus dem Publikum. Der Hacker Felix "FX" Lindner sagt, Cryptocat sei selbst mit kaputter Verschlüsselung allemal besser als Skype. Ein anderer Zuschauer beruhigt Kobeissi: Er könne hier doch sehen, dass alles nicht so schlimm sei. "Dann hast Du darüber aber nicht auf Twitter gelesen!" entgegnete Kobeissi.

Nach dem Vortrag habe er zahlreiche Hilfsangebote bekommen, auch von Entwicklern, die sich mit Kryptografie auskennen, sagte Kobeissi Golem.de. Und er überdenke, wie er das Projekt besser organisieren und mehr Entwickler einbeziehen könne. Gerade bewirbt er sein Projekt auf den Lightning Talks auf der Sigint 2013.


Hu5eL 10. Jul 2013

Weil man immer einen für "private" Projekte zur Hand hat... Logo

Noppen 07. Jul 2013

Was bedeutet "Allheilmittel"?

Atalanttore 06. Jul 2013

Wenn der Programmierer in der IT-Abteilung einer deutschen Behörde arbeiten würde, würde...

Kommentieren



Anzeige

  1. Projektmanager (m/w) MS SharePoint
    item Industrietechnik GmbH, Solingen
  2. Produktionsplaner/in IT-Batchsteuerung & Jobnetze
    HALLESCHE Krankenversicherung a. G., Stuttgart
  3. IT System Engineer (m/w) Networking Solutions
    Bechtle AG, Karlsruhe
  4. PHP-Entwickler (m/w)
    CONET Business Consultants GmbH, Hennef bei Bonn, Ludwigsburg

 

Detailsuche


Folgen Sie uns
       


  1. Mega

    Kim Dotcom sind angeblich die Millionen ausgegangen

  2. Die ROM-Ecke

    Slimkat - viele Einstellungen und viel Schwarz

  3. Gesundschrumpfung

    Sony will Smartphone-Modellvielfalt reduzieren

  4. Tchibo

    3D-Drucker beim Kaffeeröster

  5. Auftragsfertiger

    Samsung startet Serienproduktion des 14-nm-FinFET-Prozesses

  6. Safari

    Apple sucht neuen Partner für Internetsuche

  7. Neue Mission

    Nasa will magnetische Rekonnexion erforschen

  8. Bundesregierung

    Klimaziele wegen mangelnder Elektroautoförderung in Gefahr

  9. Flugsicherheitsbehörde

    Lieferdrohnen benötigen Piloten mit Fluglizenz

  10. Gift Trading

    Steam ändert Regeln für geschenkte Spiele



Haben wir etwas übersehen?

E-Mail an news@golem.de



Smarthome: Das intelligente Haus wird nie fertig
Smarthome
Das intelligente Haus wird nie fertig
  1. Smart Home Das vernetzte Zuhause hilft beim Energiesparen
  2. Leuchtmittel Die Leuchtdiode kommt aus dem 3D-Drucker
  3. Agora, Energy@home und EEBus Einheitliche Sprache für europäische Smart Homes

Test Escape Dead Island: Urlaub auf der Zombieinsel
Test Escape Dead Island
Urlaub auf der Zombieinsel

Elektronikdiscounter: Wie Preisvergleichsdienste ausgehebelt werden
Elektronikdiscounter
Wie Preisvergleichsdienste ausgehebelt werden
  1. Samsung Eyecan+ Open-Source-Mausersatz steuert PC mit den Augen
  2. SDK 2.0 Schnellere Physik-Berechnungen für die Playstation 4
  3. Piixl G-Pack Der 2-Zoll-Huckepack-Spiele-PC fürs Wohnzimmer

    •  / 
    Zum Artikel