Abo
  • Services:
Anzeige
Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Verschlüsselung: EFF gibt Empfehlung für sichere Messenger

Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Neue Tools zur angeblich sicheren Kommunikation gibt es seit der NSA-Affäre jede Menge. Die Electronic Frontier Foundation (EFF) versucht, einen Überblick zu verschaffen. Textsecure und Cryptocat schneiden besonders gut ab.

Anzeige

Seit den NSA-Enthüllungen gibt es einen Boom an neuen Verschlüsselungstools. Startups, die versprechen, Nachrichten mit Apps vor der NSA zu schützen, gibt es reichlich. Für unbedarfte Anwender ist es jedoch oft schwierig, zu entscheiden, was die Versprechen der Anbieter wert sind.

Secure Messenger Scorecard

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) versucht jetzt, mit einem neuen Projekt einen Überblick über die zahlreichen Messenger-Tools zu verschaffen: die Secure Messenger Scorecard. Anhand von sieben Kriterien bewertet die EFF, wie gut die Nachrichten der Nutzer geschützt sind. In vielen Punkten entsprechen die Kriterien der EFF den Aspekten, die wir auch auf Golem.de schon in früheren Artikeln thematisiert haben. Neben der Bewertung nach sieben Kriterien hat die EFF einige Messenger als Featured herausgestellt. Das ist jedoch nicht als Qualitätskriterium gemeint, vielmehr handelt es sich dabei um die nach Einschätzung der EFF beliebtesten oder wichtigsten Tools zur Nachrichtenübertragung.

Als Gewinner unter den Featured-Tools gehen zwei Programme hervor: Textsecure und Cryptocat. Dass Textsecure bei der Bewertung gut abschneidet, überrascht kaum. Das Tool vom Krypto-Experten Moxie Marlinspike gilt geradezu als Referenz in Sachen sicherer Nachrichtenübermittlung. Erst kürzlich wurde das Protokoll von Textsecure einer ausführlichen Analyse von Kryptografen unterzogen. Dabei wurden zwar einige Details kritisiert, relevante Sicherheitsprobleme traten jedoch nicht zu Tage.

Überraschungssieger Cryptocat

Etwas überraschender dürfte die Einschätzung beim browserbasierten Tool Cryptocat sein. Im vergangenen Jahr wurde bei einer Analyse des Cryptocat-Codes festgestellt, dass durch die Wahl von schwachen Zufallszahlen sich die privaten Schlüssel berechnen lassen. Ein Desaster, doch inzwischen wurde Cryptocat einem Sicherheits-Audit unterzogen, und es wurden seit längerer Zeit keine weiteren gravierenden Probleme gefunden.

Neben diesen beiden Tools schaffen es vier weitere Tools, in allen sieben Kategorien zu glänzen, werden jedoch nicht als Featured-Tools betrachtet: Chatsecure/Orbot, Signal/Redphone, Silent Phone und Silent Text. Chatsecure basiert auf dem OTR-Protokoll, Redphone stammt von denselben Entwicklern wie Textsecure. Silent Phone und Silent Text stammen von der Firma Silent Circle, an der PGP-Erfinder Phil Zimmermann beteiligt ist.

Punkt eins auf der Liste ist eigentlich eine Selbstverständlichkeit: Werden die Daten auf dem Transportweg zwischen Nutzer und Server verschlüsselt? Auch hier scheitern bereits manche Messenger, etwa das chinesische Instant-Messaging-Tool QQ. Punkt zwei auf der Liste fragt, ob der Anbieter des jeweiligen Services die Nachrichten mitlesen kann. Entscheidend ist hier also, ob eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Whatsapp, der Facebook Chat und Google Hangouts scheitern an diesem Kriterium bereits. Als drittes Kriterium fragt die EFF, ob Kontakte sich gegenseitig, beispielsweise über einen QR-Code, authentifizieren können.

Bei Punkt vier geht es an die kryptografischen Details: Ist die Kommunikation aus der Vergangenheit noch sicher, wenn in Zukunft der Schlüssel gestohlen wird? Das ist die klassische Frage nach dem Einsatz von Forward Secrecy, die durch einen Schlüsselaustausch etwa nach dem Diffie-Hellman-Protokoll erreicht werden kann.

Kryptografisches Protokoll soll dokumentiert sein

In Punkt fünf fragt die EFF, ob der Quellcode für eine unabhängige Überprüfung zur Verfügung steht. Punkt sechs ist besonders interessant: Das Design des Sicherheitskonzepts und der verwendeten kryptografischen Verfahren muss klar dokumentiert sein. Auch wir bei Golem.de stellen immer wieder fest, dass neue Messenger zwar mit blumigen Versprechen beworben werden, aber über ein paar Schlagworte hinaus kaum Details über die verwendeten Verschlüsselungsverfahren zu finden sind.

Zuletzt fordert die EFF als siebten Punkt, dass ein unabhängiges Audit des Codes in den vergangenen zwölf Monaten durchgeführt worden sein soll. Die Kriterien für diesen Punkt dürften etwas strittiger sein als die anderen Punkte, denn die EFF akzeptiert es bereits, wenn ein solches Audit stattgefunden hat. Die Ergebnisse müssen nicht veröffentlicht werden.

Metadatenschutz kein Kriterium

Was die EFF nicht testet ist, wie vertrauenswürdig das jeweils verwendete Betriebssystem ist. Auch der Schutz von Metadaten mittels Anonymisierungsdiensten ist kein Kriterium. Letzteres versucht ein Tool namens Pond zu realisieren, indem Nachrichten über das Tor-Netzwerk geschickt werden. Pond ist ein Projekt von Google-Entwickler Adam Langley, es wird allerdings bislang selbst von seinem Entwickler nur für experimentelle Zwecke empfohlen und hat es daher wohl auch nicht in die EFF-Liste geschafft.


eye home zur Startseite
WilhelmHagg 11. Nov 2014

Schön wäre noch eine Liste der unterstützten features der Messenger. All meine bisherigen...

Seitan-Sushi-Fan 10. Nov 2014

LOL, MMS. Muhahahaha!

Jorgo34 06. Nov 2014

Das stimmt so nicht.. man schickt eine Anfrage raus und der Gegenüber muss diese nur...

dauerPALAVER 06. Nov 2014

Aus meiner Sicht benutzt CryptoCat das Jabber Protokoll (XMPP). Oder täusche ich mich da?

Droids 06. Nov 2014

Netter Ansatz, aber auch wieder closed source. Was bringt das wirklich... Höchstens vllt...



Anzeige

Stellenmarkt
  1. Swyx Solutions AG, Dortmund
  2. Daimler AG, Stuttgart-Untertürkheim
  3. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  4. Daimler AG, Sindelfingen


Anzeige
Hardware-Angebote
  1. 47,50€
  2. (reduzierte Überstände, Restposten & Co.)
  3. beim Kauf einer GeForce GTX 1070 und GTX 108

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Spielebranche

    Shadow Tactics gewinnt Deutschen Entwicklerpreis 2016

  2. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  3. Final Fantasy 15

    Square Enix will die Story patchen

  4. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  5. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  6. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  7. Weltraumroboter

    Ein R2D2 für Satelliten

  8. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  9. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  10. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

Astrohaus Freewrite im Test: Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
Astrohaus Freewrite im Test
Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
  1. Cisco Global Cloud Index Bald sind 90 Prozent der Workloads in Cloud-Rechenzentren
  2. Cloud Computing Hyperkonvergenz packt das ganze Rechenzentrum in eine Kiste
  3. Cloud Computing Was ist eigentlich Software Defined Storage?

Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

  1. Re: DSL-Community

    M.P. | 07:03

  2. Re: Dann halt wieder wie früher

    mackes | 07:02

  3. Re: Ubisoft und Always online -> Nein Danke

    ohinrichs | 06:59

  4. Re: In vielen Ländern Europas ist der...

    robinx999 | 06:58

  5. Re: Danke an Ubisoft...

    ohinrichs | 06:36


  1. 22:00

  2. 18:47

  3. 17:47

  4. 17:34

  5. 17:04

  6. 16:33

  7. 16:10

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel