Abo
  • Services:
Anzeige
Das Whispeer-Logo
Das Whispeer-Logo (Bild: Whispeer)

Quelltexte öffentlich, aber nicht Open Source

Anzeige

Die Quelltexte der Web-App sind auf Github veröffentlicht, aber nicht unter einer Open-Source-Lizenz. "Wir wollen uns nichts verbauen", erklärt Kenneweg diese Entscheidung mit Blick auf potenzielle Investoren. "Wichtig ist, dass man nachprüfen kann, dass es das macht, was es soll, und dafür reicht die Github-Website." Er sei aber prinzipiell für Open Source. Die Quelltexte der Server-Komponente, die sich um Datenspeicherung, Schlüsselverteilung und Nachrichtenaustausch kümmert, sind aber nicht veröffentlicht. Es würden nur verschlüsselte Daten verarbeitet und daher würden dessen Quelltexte nicht sicherheitsrelevant sein, sagt Kenneweg.

Auf den ersten Blick wirkt die Oberfläche von Whispeer aufgeräumt und modern, aber auch unspektakulär: keine Posts anderer Nutzer, keine sich hektisch aktualisierende Timeline. Kein Wunder, denn die Posts der anderen lassen sich ohne Kenntnis der notwendigen Schlüssel nicht lesen. Wird ein neuer Freund hinzugefügt, so fungiert Whispeer als Keyserver und tauscht zwischen den Nutzern die öffentlichen Schlüssel der asymmetrischen Schlüsselpaare aus.

Viele Schlüssel werden ausgetauscht

Darüber werden dann neue geheime Schlüssel für die Freundschaft, den Newsfeed und Chat vereinbart. Wird jetzt ein Post geschrieben, dann wird dieser mit dem Schlüssel des Newsfeeds verschlüsselt, den wiederum alle Freunde haben. Wird ein Freund entfernt, wird auch der Schlüssel ausgewechselt und an alle verbleibenden Kontakte verteilt. So sind die Posts auch nur von der jeweiligen Zielgruppe lesbar. Gleiches passiert, wenn ein Chat gestartet wird: Zwischen allen Chat-Teilnehmern wird ein Kommunikationsschlüssel ausgehandelt.

  • Whispeer-Gründer Nils Kenneweg (rechts) und Daniel Melchior (Mitte) im Gespräch mit einem Tutor beim Security Startup Challenge (Foto: Kaspersky Lab)
  • Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)
  • Privatsphäreeinstellungen (Screenshot: Golem.de)
  • Whispeer bietet die üblichen Einstellungen im eigenen Profil. (Screenshot: Golem.de)
  • Die Wiederherstellung per ausgedrucktem QR-Code funktioniert erstaunlich einfach, ist aber nicht unproblematisch. (Screenshot: Golem.de)
  • Für die Registrierung wird nur ein Benutzername und ein Passwort benötigt. Wer möchte, kann nach der Anmeldung aber auch weitere Angaben machen. (Screenshot: Golem.de)
  • Die Sucheergebnisse sind nicht immer nachvollziehbar, liefern aber meist das Gesuchte. (Screenshot: Golem.de)
  • Die Anmeldung bei Whispeer (Screenshot: Golem.de)
Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)

Aber dieser Schlüssel wird nicht nach einer Weile ausgewechselt (Perfect Forward Secrecy), was ein Schutz gegen nachträgliche Kompromittierung wäre. "Das Problem an Perfect Forward Secrecy ist, dass, wenn du dich von einem anderen Rechner einloggst, du die Daten nicht lesen kannst", erläutert Nils Kenneweg das Dilemma. Und dies widerspreche der Idee einer komfortablen Handhabung.

Nur die nötigsten Funktionen

Der Funktionsumfang von Whispeer ist überschaubar. Posts lassen sich auf die eigene Pinnwand schreiben, Beiträge der anderen können kommentiert werden. Die Freunde lassen sich in Kreisen gruppieren - analog zu Freundeslisten in anderen Netzwerken. Dadurch kann einerseits der eigene Newsfeed gefiltert werden, um sich beispielsweise nur Posts von Arbeitskollegen anzeigen zu lassen. Anderseits lassen sich die Kreise nutzen, um eigene Posts nur einem bestimmten Teil der Freunde zugänglich zu machen. Die Posts können Fotos enthalten, aber keine Videos und lassen sich auch nachträglich löschen.

Außerdem können Nachrichten zwischen zwei oder mehr Nutzern untereinander verschickt werden. Einer laufenden Konversation kann aber niemand hinzugefügt werden, dafür ist ein neuer Chat nötig, denn hier wird ein neuer Schlüssel für die erweiterte Runde benötigt.

Damit keine Man-in-the-Middle-Attacken möglich sind, können die Nutzer sich gegenseitig mit einem Fingerprint verifizieren. Um diesen zu überprüfen, gibt es die Wahl zwischen einer Texteingabe und dem QR-Code. Viermal 14 Zeichen einzugeben ist aber noch umständlicher als die Seriennummer bei der Windows-Installation - anders die Alternative mit dem QR-Code, bei der einfach das Display vor eine angeschlossene Webcam gehalten wird.

"Wir nennen das Laptop-Liebe", sagt Nils Kenneweg, während er das Display seines Laptops vor die Webcam des anderen Laptops hält. Ist ein Kontakt verifiziert, wird das durch eine grüne Umrahmung des Profilbildes hervorgehoben. Später soll ein Web of Trust die Verifizierung weiter vereinfachen, indem man sieht, welche Nutzer die eigenen Freunde bereits verifiziert haben.

 Whispeer: Soziales Netzwerk mit Ende-zu-Ende-VerschlüsselungAuch Whispeer ist nicht grenzenlos sicher 

eye home zur Startseite
firstdeathmaker 18. Aug 2015

Ich sehe noch einen zweiten Angriffsvektor: Geheimdienst geht zum Anbieter und zwingt...

menno 17. Aug 2015

Hab mich vor Jahren ein wenig mit beschäftigt: Die Diaspora-Software ist OpenSource und...

Moe479 14. Aug 2015

sicher? 1 Punkt: welches os läuft nocheinmal auf der mehrheit der desktopgeräte? 99...

AnonymerHH 13. Aug 2015

was bei dir so als beleidigung durchgeht ^^ es ist eine ganz normale frage, ob du...

matok 13. Aug 2015

Solange der Client nicht vollständig offen ist, spielt es überhaupt keine Rolle, was...



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Sparda-Bank Ostbayern eG, Regensburg
  3. Robert Bosch GmbH, Leonberg
  4. Heinzmann GmbH & Co. KG, Schönau


Anzeige
Hardware-Angebote
  1. und Samsung Galaxy S7 edge, Galaxy S7 oder Galaxy Tab E gratis erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Syndicate (1993)

    Vier Agenten für ein Halleluja

  2. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  3. USA

    Samsung will Note 7 in Backsteine verwandeln

  4. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  5. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  6. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  7. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  8. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  9. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  10. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Industrial Light & Magic: Wenn King Kong in der Renderfarm wütet
Industrial Light & Magic
Wenn King Kong in der Renderfarm wütet
  1. Streaming Netflix-Nutzer wollen keine Topfilme
  2. Videomarkt Warner Bros. kauft Machinima
  3. Video Twitter verkündet Aus für Vine-App

Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

  1. Re: Samsung noch mehr gestorben

    crazypsycho | 12:47

  2. Re: Wie heißt dieses Spiel? Pls help...

    mw (Golem.de) | 12:45

  3. Re: Eigentlich reicht auch der Entzug der...

    m9898 | 12:43

  4. Re: Uralte Klassiker:

    raketenhund | 12:42

  5. Re: Da guck ich mal eben in meine Spielesammlung...

    mw (Golem.de) | 12:41


  1. 09:49

  2. 17:27

  3. 12:53

  4. 12:14

  5. 11:07

  6. 09:01

  7. 18:40

  8. 17:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel