Abo
  • Services:
Anzeige
Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Verschlüsselung: EFF gibt Empfehlung für sichere Messenger

Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Neue Tools zur angeblich sicheren Kommunikation gibt es seit der NSA-Affäre jede Menge. Die Electronic Frontier Foundation (EFF) versucht, einen Überblick zu verschaffen. Textsecure und Cryptocat schneiden besonders gut ab.

Anzeige

Seit den NSA-Enthüllungen gibt es einen Boom an neuen Verschlüsselungstools. Startups, die versprechen, Nachrichten mit Apps vor der NSA zu schützen, gibt es reichlich. Für unbedarfte Anwender ist es jedoch oft schwierig, zu entscheiden, was die Versprechen der Anbieter wert sind.

Secure Messenger Scorecard

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) versucht jetzt, mit einem neuen Projekt einen Überblick über die zahlreichen Messenger-Tools zu verschaffen: die Secure Messenger Scorecard. Anhand von sieben Kriterien bewertet die EFF, wie gut die Nachrichten der Nutzer geschützt sind. In vielen Punkten entsprechen die Kriterien der EFF den Aspekten, die wir auch auf Golem.de schon in früheren Artikeln thematisiert haben. Neben der Bewertung nach sieben Kriterien hat die EFF einige Messenger als Featured herausgestellt. Das ist jedoch nicht als Qualitätskriterium gemeint, vielmehr handelt es sich dabei um die nach Einschätzung der EFF beliebtesten oder wichtigsten Tools zur Nachrichtenübertragung.

Als Gewinner unter den Featured-Tools gehen zwei Programme hervor: Textsecure und Cryptocat. Dass Textsecure bei der Bewertung gut abschneidet, überrascht kaum. Das Tool vom Krypto-Experten Moxie Marlinspike gilt geradezu als Referenz in Sachen sicherer Nachrichtenübermittlung. Erst kürzlich wurde das Protokoll von Textsecure einer ausführlichen Analyse von Kryptografen unterzogen. Dabei wurden zwar einige Details kritisiert, relevante Sicherheitsprobleme traten jedoch nicht zu Tage.

Überraschungssieger Cryptocat

Etwas überraschender dürfte die Einschätzung beim browserbasierten Tool Cryptocat sein. Im vergangenen Jahr wurde bei einer Analyse des Cryptocat-Codes festgestellt, dass durch die Wahl von schwachen Zufallszahlen sich die privaten Schlüssel berechnen lassen. Ein Desaster, doch inzwischen wurde Cryptocat einem Sicherheits-Audit unterzogen, und es wurden seit längerer Zeit keine weiteren gravierenden Probleme gefunden.

Neben diesen beiden Tools schaffen es vier weitere Tools, in allen sieben Kategorien zu glänzen, werden jedoch nicht als Featured-Tools betrachtet: Chatsecure/Orbot, Signal/Redphone, Silent Phone und Silent Text. Chatsecure basiert auf dem OTR-Protokoll, Redphone stammt von denselben Entwicklern wie Textsecure. Silent Phone und Silent Text stammen von der Firma Silent Circle, an der PGP-Erfinder Phil Zimmermann beteiligt ist.

Punkt eins auf der Liste ist eigentlich eine Selbstverständlichkeit: Werden die Daten auf dem Transportweg zwischen Nutzer und Server verschlüsselt? Auch hier scheitern bereits manche Messenger, etwa das chinesische Instant-Messaging-Tool QQ. Punkt zwei auf der Liste fragt, ob der Anbieter des jeweiligen Services die Nachrichten mitlesen kann. Entscheidend ist hier also, ob eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Whatsapp, der Facebook Chat und Google Hangouts scheitern an diesem Kriterium bereits. Als drittes Kriterium fragt die EFF, ob Kontakte sich gegenseitig, beispielsweise über einen QR-Code, authentifizieren können.

Bei Punkt vier geht es an die kryptografischen Details: Ist die Kommunikation aus der Vergangenheit noch sicher, wenn in Zukunft der Schlüssel gestohlen wird? Das ist die klassische Frage nach dem Einsatz von Forward Secrecy, die durch einen Schlüsselaustausch etwa nach dem Diffie-Hellman-Protokoll erreicht werden kann.

Kryptografisches Protokoll soll dokumentiert sein

In Punkt fünf fragt die EFF, ob der Quellcode für eine unabhängige Überprüfung zur Verfügung steht. Punkt sechs ist besonders interessant: Das Design des Sicherheitskonzepts und der verwendeten kryptografischen Verfahren muss klar dokumentiert sein. Auch wir bei Golem.de stellen immer wieder fest, dass neue Messenger zwar mit blumigen Versprechen beworben werden, aber über ein paar Schlagworte hinaus kaum Details über die verwendeten Verschlüsselungsverfahren zu finden sind.

Zuletzt fordert die EFF als siebten Punkt, dass ein unabhängiges Audit des Codes in den vergangenen zwölf Monaten durchgeführt worden sein soll. Die Kriterien für diesen Punkt dürften etwas strittiger sein als die anderen Punkte, denn die EFF akzeptiert es bereits, wenn ein solches Audit stattgefunden hat. Die Ergebnisse müssen nicht veröffentlicht werden.

Metadatenschutz kein Kriterium

Was die EFF nicht testet ist, wie vertrauenswürdig das jeweils verwendete Betriebssystem ist. Auch der Schutz von Metadaten mittels Anonymisierungsdiensten ist kein Kriterium. Letzteres versucht ein Tool namens Pond zu realisieren, indem Nachrichten über das Tor-Netzwerk geschickt werden. Pond ist ein Projekt von Google-Entwickler Adam Langley, es wird allerdings bislang selbst von seinem Entwickler nur für experimentelle Zwecke empfohlen und hat es daher wohl auch nicht in die EFF-Liste geschafft.


eye home zur Startseite
WilhelmHagg 11. Nov 2014

Schön wäre noch eine Liste der unterstützten features der Messenger. All meine bisherigen...

Seitan-Sushi-Fan 10. Nov 2014

LOL, MMS. Muhahahaha!

Jorgo34 06. Nov 2014

Das stimmt so nicht.. man schickt eine Anfrage raus und der Gegenüber muss diese nur...

dauerPALAVER 06. Nov 2014

Aus meiner Sicht benutzt CryptoCat das Jabber Protokoll (XMPP). Oder täusche ich mich da?

Droids 06. Nov 2014

Netter Ansatz, aber auch wieder closed source. Was bringt das wirklich... Höchstens vllt...



Anzeige

Stellenmarkt
  1. über Robert Half Technology, Raum Hamburg
  2. Fresenius Netcare GmbH, Bad Homburg
  3. über Robert Half Technology, Großraum Düsseldorf
  4. Bosch Software Innovations GmbH, Immenstaad


Anzeige
Blu-ray-Angebote
  1. (u. a. Jurassic World, Die Unfassbaren, Creed, Interstellar, Mad Max Fury Road)
  2. (u. a. Der Schuh des Manitu, Agenten sterben einsam, Space Jam, Dark City)
  3. (u. a. The Knick, Person of Interest, Shameless, The Wire)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Die Woche im Video

    Grüne Welle und grüne Männchen

  2. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  3. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  4. Internetsicherheit

    Die CDU will Cybersouverän werden

  5. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  6. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  7. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  8. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  9. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  10. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft: Das bringt Windows Server 2016
Microsoft
Das bringt Windows Server 2016
  1. Microsoft Windows Server 2016 wird im September fertig

Soziale Netzwerke: Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
Soziale Netzwerke
Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
  1. iOS 10 und WatchOS 3.0 Apple bringt geschwätzige Tastatur-App zum Schweigen
  2. Rio 2016 Fancybear veröffentlicht medizinische Daten von US-Sportlern
  3. Datenbanksoftware Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

  1. Re: Blaues Licht? - Wohl kaum.

    jhp | 10:25

  2. Re: Wieder dieser SUV Mist

    moppi | 10:21

  3. Re: So eine Verschwendung von Steuergeldern

    marcelpape | 10:16

  4. Re: Achja:

    Emulex | 09:54

  5. Re: Das Auto könnte locker 600km schaffen...

    Niaxa | 09:53


  1. 09:02

  2. 08:01

  3. 19:24

  4. 19:05

  5. 18:25

  6. 17:29

  7. 14:07

  8. 13:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel