Abo
  • Services:

Asynchronous Ratcheting Tree: Facebook demonstriert sicheren Gruppenchat für Apps

Bisher haben Chat-Anwendungen mit modernen Algorithmen wie Signal und Whatsapp Probleme damit, Gruppenchats dauerhaft abzusichern. Ein neuer Algorithmus von Facebook und Forschern der Uni Oxford könnte das künftig ändern.

Artikel veröffentlicht am ,
Apps wie Whatsapp und der Facebook Messenger können Sicherheitsprobleme bei Gruppenchats haben.
Apps wie Whatsapp und der Facebook Messenger können Sicherheitsprobleme bei Gruppenchats haben. (Bild: Justin Sullivan, Getty Images North America)

In Zusammenarbeit mit einem Forscherteam der Universität Oxford stellt die Forschungsabteilung von Facebook einen neuen Algorithmus sowie eine Referenzimplementierung vor, die Gruppenchats in Anwendungen wie Whatsapp, dem Facebook Messenger oder Signal mit ähnlichen Sicherheitseingenschaften ausstatten sollen, wie die Apps dies auch für eine direkte Kommunikation zwischen zwei Personen bieten.

Future Secrecy nicht in Gruppenchats

Stellenmarkt
  1. Dataport, Verschiedene Standorte
  2. persona service Lüdenscheid, Lüdenscheid

Die ursprünglich von den Signal-Machern initiierte Technik, die nun in vielen modernen Anwendungen genutzt wird, bietet mit dem Double-Ratchet-Algorithmus eine Eigenschaft, die als Future Secrecy oder auch als Post-Compromise Security (PCS) bezeichnet wird. Die Idee dabei ist, eine Konversation später über einen sicheren Kanal wieder aufnehmen zu können, nachdem ein für die Konversation genutztes Gerät kompromittiert worden ist. PCS zwinge Angreifer damit zu einer dauerhaften Man-in-the-Middle-Position für die gesamte Kommunikation.

Dieses Konzept funktioniert bisher aber nur bei Point-to-Point-Kommunikation, also zwischen zwei Endpunkten. Soll das Konzept auf Gruppen übertragen werden, müssten neue Nachrichten mit den jeweiligen Schlüsseln sämtlicher Beteiligter immer wieder verschlüsselt werden. Dieses Konzept skaliere allerdings nur sehr schlecht, wie die Forscher in einer wissenschaftlichen Abhandlung schreiben (PDF).

Wohl auch deshalb werde nicht dieses System eingesetzt, sondern stattdessen meist ein synchrones über sogenannte Senderschlüssel. Ist hier allerdings eines der beteiligten Geräte kompromittiert, ist dann auch der Gruppenchat dauerhaft kompromittiert. Die Verwendung dieser verminderten Sicherheit von Gruppenchats werde Nutzern darüber hinaus nicht mitgeteilt. Mit dem nun vorgestellten Asynchronous Ratcheting Tree (ART) soll genau das aber vermieden werden.

Neue Schlüssel für die Gruppen

ART nutzt zunächst einen asymmetrischen Setup-Key, der vom Gruppen-Initiator zu Beginn einer Sitzung erstellt wird. Dieser wird genutzt, um in einer Binärbaumstruktur asymmetrische Prekeys an den Blättern des Baumes pro Gruppenteilnehmer zu erzeugen. Diese Art Preykeys wird auch bei einer Point-to-Point-Kommunikation in Signal verwendet.

Wird das Gerät eines Gruppenteilnehmers kompromittiert, muss im Sinne der PCS der kompromittierte Blatt-Schlüssel nicht nur neu erzeugt werden, sondern auch an andere Gruppenteilnehmer verteilt werden. Dafür gibt es entsprechende Ableitungsfunktionen, die den zugrundeliegenden Baum aktualisieren.

In dem Fall werden die neuen öffentlichen Schlüssel an allen Knoten entlang des Pfads von dem betroffenen Blatt zu der Wurzel neu berechnet und diese öffentlichen Blattschlüssel zusammen mit den anderen öffentlichen Schlüsseln an die Gruppe gesendet. Die anderen Gruppenmitglieder können daraus dann selbst wieder offline die neuen Schlüssel der Gruppe berechnen.

Zur Demonstration der Funktionsfähigkeit von ART hat das Team eine Referenzimplementierung in Java auf Github veröffentlicht. Diese steht jedoch unter einer für Software eher unüblichen nicht-kommerziellen Creative-Commons-Lizenz. Ob ART mittelfristig für Signal, Whatsapp oder andere Apps eingesetzt wird, ist zurzeit noch offen.



Anzeige
Spiele-Angebote
  1. (-34%) 22,99€
  2. 34,99€ (erscheint am 14.02.)
  3. (u. a. Life is Strange Complete Season 3,99€, Deus Ex: Mankind Divided 4,49€)
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)

LoopBack 11. Jan 2018

Wenn auf dem Server gespeichert wird muss entweder auf dem Server unverschlüsselt...


Folgen Sie uns
       


Metro Exodus - Fazit

In Metro Exodus kommt Artjom endlich streckenweise wirklich an die frische Luft.

Metro Exodus - Fazit Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Tesla: Kleiner Gewinn, ungewisse Zukunft
Tesla
Kleiner Gewinn, ungewisse Zukunft

Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
Eine Analyse von Dirk Kunde

  1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
  2. Kundenprotest Tesla senkt Supercharger-Preise wieder
  3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
Android-Smartphone
10 Jahre in die Vergangenheit in 5 Tagen

Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
Ein Erfahrungsbericht von Martin Wolf

  1. Android Q Google will den Zurück-Button abschaffen
  2. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
  3. Google Auf dem Weg zu reinen 64-Bit-Android-Apps

    •  /