Abo
  • Services:

Nur Quellcode schafft Vertrauen

Eine der beliebtesten Whatsapp-Alternativen ist zurzeit Threema. Das Unternehmen wirbt damit, in der Schweiz beheimatet zu sein, fernab vom Zugriff durch die NSA. Doch das ist ein trügerisches Versprechen - und das nicht nur, weil die Schweiz selbst gerade kräftig daran arbeitet, Datenschutz und Bürgerrechte zu schwächen.

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Dataport, verschiedene Standorte

Es ist im Grunde völlig egal, wo sich ein Unternehmen befindet, das eine Verschlüsselungssoftware entwickelt. Vertrauen in eine Software kann nur dann entstehen, wenn deren Funktionsweise unabhängig überprüft werden kann. Bei Threema ist das schwierig: Der Quellcode steht nicht zur Verfügung.

Für den Anwender am besten ist es natürlich, wenn ein Produkt als freie Software zur Verfügung steht. Doch selbst wenn ein Unternehmen wie Threema sich entscheidet, sein Produkt als Kaufware anzubieten, spricht grundsätzlich nichts gegen eine Veröffentlichung des Quellcodes. Threema könnte etwa den Quellcode nur zur Einsicht bereitstellen und Veränderungen nicht erlauben. Doch im Moment erhält der Nutzer nur ein Binärpaket.

Im Klartext heißt das: Wer ein Produkt wie Threema benutzt, vertraut den Programmierern blind, dass sie keine Hintertüren einbauen und keine Fehler machen.

Ein sicherer Messenger muss die Funktionsweise seines Protokolls und den Quellcode offenlegen. Klar ist aber auch: Der Quellcode alleine reicht nicht. Es muss auch gewährleistet sein, dass dieser von erfahrenen Kryptographen untersucht wurde und es muss nachvollziehbar sein, wie aus dem Quellcode das spätere Binärpaket erstellt wurde.

Nicht das Rad neu erfinden

Verschlüsselte Messenger sind zwar aktuell im Trend, aber neu sind sie nicht. Viel Lob hat sich über die Jahre die OTR-Verschlüsselung verdient. Das OTR-Protokoll kann zusammen mit Jabber/XMPP genutzt werden und bot als eines der ersten Protokolle Forward Secrecy beim Chatten. OTR hat allerdings - das sollte man nicht verschweigen - für mobile Messenger einen Nachteil: Es benötigt Kommunikation in beide Richtungen und funktionieren somit nur, wenn beide Nutzer online sind.

Wo immer möglich, sollte man bei der Entwicklung von Kryptographie-Software auf Bewährtes setzen. Auch wenn TLS seine Tücken hat, gravierende Fehler wird man darin bei Verwendung der aktuellen Version wahrscheinlich nicht finden, Selbiges gilt für PGP und OTR. Wer neue Protokolle entwickeln will, sollte trotz allem nicht versuchen, Verschlüsselungsalgorithmen wie AES selber zu programmieren, es gibt genügend frei verwendbaren Code.

 IMHO: Vorsicht vor falschen Krypto-VersprechenSicherheit des Gesamtsystems oft fragwürdig 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (bis zu 500,00€ Direktabzug auf Laptops und PCs)
  2. (u. a. Doom, Fallout 4, Dishonored 2)
  3. (u. a. 2 TB 77,99€, 4 TB 108,99€)
  4. 219,00€

DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?


Folgen Sie uns
       


Samsung Galaxy Watch Active - Hands on

Samsungs neue Smartwatch Galaxy Watch Active richtet sich an sportliche Nutzer. Auf eine drehbare Lünette wie bei den Vorgängermodellen müssen Käufer aber verzichten.

Samsung Galaxy Watch Active - Hands on Video aufrufen
EEG: Windkraft in Gefahr
EEG
Windkraft in Gefahr

Besitzer älterer Windenergieanlagen könnten bald ein Problem bekommen: Sie erhalten keine Förderung mehr. Das könnte sogar die Energiewende ins Wanken bringen.
Ein Bericht von Daniel Hautmann

  1. Windenergie Mister Windkraft will die Welt vor dem Klimakollaps retten
  2. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  3. Fistuca Der Wasserhammer hämmert leise

Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


    FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
    FreeNAS und Windows 10
    Der erste NAS-Selbstbau macht glücklich

    Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
    Ein Erfahrungsbericht von Oliver Nickel

    1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

      •  /