Anzeige
Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Verschlüsselung: EFF gibt Empfehlung für sichere Messenger

Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Neue Tools zur angeblich sicheren Kommunikation gibt es seit der NSA-Affäre jede Menge. Die Electronic Frontier Foundation (EFF) versucht, einen Überblick zu verschaffen. Textsecure und Cryptocat schneiden besonders gut ab.

Anzeige

Seit den NSA-Enthüllungen gibt es einen Boom an neuen Verschlüsselungstools. Startups, die versprechen, Nachrichten mit Apps vor der NSA zu schützen, gibt es reichlich. Für unbedarfte Anwender ist es jedoch oft schwierig, zu entscheiden, was die Versprechen der Anbieter wert sind.

Secure Messenger Scorecard

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) versucht jetzt, mit einem neuen Projekt einen Überblick über die zahlreichen Messenger-Tools zu verschaffen: die Secure Messenger Scorecard. Anhand von sieben Kriterien bewertet die EFF, wie gut die Nachrichten der Nutzer geschützt sind. In vielen Punkten entsprechen die Kriterien der EFF den Aspekten, die wir auch auf Golem.de schon in früheren Artikeln thematisiert haben. Neben der Bewertung nach sieben Kriterien hat die EFF einige Messenger als Featured herausgestellt. Das ist jedoch nicht als Qualitätskriterium gemeint, vielmehr handelt es sich dabei um die nach Einschätzung der EFF beliebtesten oder wichtigsten Tools zur Nachrichtenübertragung.

Als Gewinner unter den Featured-Tools gehen zwei Programme hervor: Textsecure und Cryptocat. Dass Textsecure bei der Bewertung gut abschneidet, überrascht kaum. Das Tool vom Krypto-Experten Moxie Marlinspike gilt geradezu als Referenz in Sachen sicherer Nachrichtenübermittlung. Erst kürzlich wurde das Protokoll von Textsecure einer ausführlichen Analyse von Kryptografen unterzogen. Dabei wurden zwar einige Details kritisiert, relevante Sicherheitsprobleme traten jedoch nicht zu Tage.

Überraschungssieger Cryptocat

Etwas überraschender dürfte die Einschätzung beim browserbasierten Tool Cryptocat sein. Im vergangenen Jahr wurde bei einer Analyse des Cryptocat-Codes festgestellt, dass durch die Wahl von schwachen Zufallszahlen sich die privaten Schlüssel berechnen lassen. Ein Desaster, doch inzwischen wurde Cryptocat einem Sicherheits-Audit unterzogen, und es wurden seit längerer Zeit keine weiteren gravierenden Probleme gefunden.

Neben diesen beiden Tools schaffen es vier weitere Tools, in allen sieben Kategorien zu glänzen, werden jedoch nicht als Featured-Tools betrachtet: Chatsecure/Orbot, Signal/Redphone, Silent Phone und Silent Text. Chatsecure basiert auf dem OTR-Protokoll, Redphone stammt von denselben Entwicklern wie Textsecure. Silent Phone und Silent Text stammen von der Firma Silent Circle, an der PGP-Erfinder Phil Zimmermann beteiligt ist.

Punkt eins auf der Liste ist eigentlich eine Selbstverständlichkeit: Werden die Daten auf dem Transportweg zwischen Nutzer und Server verschlüsselt? Auch hier scheitern bereits manche Messenger, etwa das chinesische Instant-Messaging-Tool QQ. Punkt zwei auf der Liste fragt, ob der Anbieter des jeweiligen Services die Nachrichten mitlesen kann. Entscheidend ist hier also, ob eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Whatsapp, der Facebook Chat und Google Hangouts scheitern an diesem Kriterium bereits. Als drittes Kriterium fragt die EFF, ob Kontakte sich gegenseitig, beispielsweise über einen QR-Code, authentifizieren können.

Bei Punkt vier geht es an die kryptografischen Details: Ist die Kommunikation aus der Vergangenheit noch sicher, wenn in Zukunft der Schlüssel gestohlen wird? Das ist die klassische Frage nach dem Einsatz von Forward Secrecy, die durch einen Schlüsselaustausch etwa nach dem Diffie-Hellman-Protokoll erreicht werden kann.

Kryptografisches Protokoll soll dokumentiert sein

In Punkt fünf fragt die EFF, ob der Quellcode für eine unabhängige Überprüfung zur Verfügung steht. Punkt sechs ist besonders interessant: Das Design des Sicherheitskonzepts und der verwendeten kryptografischen Verfahren muss klar dokumentiert sein. Auch wir bei Golem.de stellen immer wieder fest, dass neue Messenger zwar mit blumigen Versprechen beworben werden, aber über ein paar Schlagworte hinaus kaum Details über die verwendeten Verschlüsselungsverfahren zu finden sind.

Zuletzt fordert die EFF als siebten Punkt, dass ein unabhängiges Audit des Codes in den vergangenen zwölf Monaten durchgeführt worden sein soll. Die Kriterien für diesen Punkt dürften etwas strittiger sein als die anderen Punkte, denn die EFF akzeptiert es bereits, wenn ein solches Audit stattgefunden hat. Die Ergebnisse müssen nicht veröffentlicht werden.

Metadatenschutz kein Kriterium

Was die EFF nicht testet ist, wie vertrauenswürdig das jeweils verwendete Betriebssystem ist. Auch der Schutz von Metadaten mittels Anonymisierungsdiensten ist kein Kriterium. Letzteres versucht ein Tool namens Pond zu realisieren, indem Nachrichten über das Tor-Netzwerk geschickt werden. Pond ist ein Projekt von Google-Entwickler Adam Langley, es wird allerdings bislang selbst von seinem Entwickler nur für experimentelle Zwecke empfohlen und hat es daher wohl auch nicht in die EFF-Liste geschafft.


eye home zur Startseite
WilhelmHagg 11. Nov 2014

Schön wäre noch eine Liste der unterstützten features der Messenger. All meine bisherigen...

Seitan-Sushi-Fan 10. Nov 2014

LOL, MMS. Muhahahaha!

Jorgo34 06. Nov 2014

Das stimmt so nicht.. man schickt eine Anfrage raus und der Gegenüber muss diese nur...

dauerPALAVER 06. Nov 2014

Aus meiner Sicht benutzt CryptoCat das Jabber Protokoll (XMPP). Oder täusche ich mich da?

Droids 06. Nov 2014

Netter Ansatz, aber auch wieder closed source. Was bringt das wirklich... Höchstens vllt...

Kommentieren



Anzeige

  1. Fachanalyst/in
    Landeshauptstadt München, München
  2. IT-Architect Vernetzte Dienste (m/w)
    T-Systems on site services GmbH, München, Gaimersheim
  3. Software-Entwickler/in für den Bereich HMI
    Robert Bosch GmbH, Crailsheim
  4. IT Project Manager Microsoft SharePoint (m/w)
    Infoman AG, Stuttgart

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    18,99€ (Vorbesteller-Preisgarantie)
  2. Jack Ryan Box [Blu-ray]
    13,97€
  3. VORBESTELLBAR: BÖHSE FÜR'S LEBEN [Blu-ray]
    36,99€

Weitere Angebote


Folgen Sie uns
       


  1. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  2. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  3. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  4. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  5. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  6. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  7. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  8. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  9. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  10. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Zenbook 3 im Hands on: Kleiner, leichter und schneller als das Macbook
Zenbook 3 im Hands on
Kleiner, leichter und schneller als das Macbook
  1. 8x Asus ROG 180-Hz-Display, Project Avalon, SLI-WaKü-Notebook & mehr
  2. Transformer 3 (Pro) Asus zeigt Detachable mit Kaby Lake
  3. Asus Zenbook Flip kommt für fast 800 Euro in den Handel

  1. Re: vermenschelte Fragen und arg konstruierte...

    plutoniumsulfat | 13:39

  2. Re: Das läuft dann wie bei Druckern...

    4edebd0f81eeffc... | 13:39

  3. Re: neues Thunderbolt Display mit Grafikkarte...

    Netspy | 13:39

  4. Re: Lets encrypt vs Comodo

    Teebecher | 13:37

  5. Re: unseriös?

    Teebecher | 13:35


  1. 10:36

  2. 09:50

  3. 09:15

  4. 09:01

  5. 14:45

  6. 13:59

  7. 13:32

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel