Abo
  • Services:
Anzeige
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

IMHO: Vorsicht vor falschen Krypto-Versprechen

Eine Menge verschlüsselter Messenger-Dienste wie Threema buhlt zurzeit um Nutzer, die aufgrund der Whatsapp-Übernahme durch Facebook nach Alternativen suchen. Skepsis ist angebracht.

Anzeige

Jubeln dürften diese Woche unter anderem die Betreiber des Messenger-Dienstes Threema. Das Schweizer Unternehmen erlebt wie andere alternative Messenger einen wahren Ansturm neuer Nutzer, nachdem bekanntwurde, dass der Whatsapp-Service von Facebook übernommen wurde. Besonders beliebt sind dabei die Alternativen mit angeblich sicherer Verschlüsselung - Threema wurde erst gestern als einziger Messenger von der Stiftung Warentest als unkritisch eingestuft. Denn um Whatsapp nicht zu vertrauen, hätten die Nutzer den Deal mit Facebook gar nicht gebraucht: Immer wieder fiel das Programm mit geradezu peinlichen Sicherheitslücken auf. Den Entwicklern fehlten teilweise ganz offensichtlich wesentliche Kenntnisse über die Grundlagen der Entwicklung kryptographischer Protokolle. Leider ist das bei der Konkurrenz nicht unbedingt anders.

Die Schwierigkeiten von Kryptographie werden unterschätzt

Der jetzige Trend, dass reihenweise Startup-Unternehmen und kleine Projekte neue Messenger herausbringen, die angeblich Nachrichten sicher verschlüsseln, ist daher besorgniserregend. Noch gut im Gedächtnis sollten die Katastrophen bei der Entwicklung von Cryptocat oder Whistle.im sein.

Dabei zeigt sich immer wieder: Wenn Anfänger Kryptographie implementieren, begehen sie Anfängerfehler. Es reicht längst nicht, einen Verschlüsselungsalgorithmus wie AES oder RSA verstanden zu haben, um ihn auch sicher zu implementieren. Die Verwendung guter Zufallszahlen muss gewährleistet sein, Timing-Angriffe und andere Seitenkanalangriffe müssen verhindert werden und auch aus sicheren Bausteinen lassen sich unsichere Protokolle erstellen.

Nicht vergessen darf man dabei, dass bewährte Verschlüsselungsprogramme wie GnuPG oder OpenSSL einen langen Weg hinter sich haben und viel Lehrgeld bezahlen mussten. OpenSSL akzeptierte einst gefälschte RSA-Signaturen, GnuPG erstellte unsichere ElGamal-Schlüssel, und ein kleiner Patch sorgte dafür, dass unzählige Debian-Anwender trivial brechbare private Schlüssel hatten. Und selbst im TLS-Protokoll tauchen immer wieder Sicherheitsprobleme auf, wie zuletzt die BEAST-Attacke, die Lucky-Thirteen-Attacke und andere Angriffe zeigten.

Wer ein kryptographisches Protokoll neu erfindet und die entsprechende Software dafür schreibt, muss eine sehr lange Liste von Dingen dabei berücksichtigen. Dabei reicht es nicht, Erfahrung im Programmieren zu besitzen. Man muss sich detailliert mit den Tücken der Kryptographie auseinandersetzen. Andernfalls sind gravierende Fehler kaum vermeidbar.

Für Nutzer kann das nur heißen, dass sie den Anbietern der angeblich sicheren Lösungen Fragen stellen: Habt ihr erfahrene Kryptographen im Entwicklerteam? Oder wurde eure Software einer Review durch erfahrene Krypto-Programmierer unterzogen?

Nur Quellcode schafft Vertrauen 

eye home zur Startseite
DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?



Anzeige

Stellenmarkt
  1. Continental AG, München
  2. Paul Bauder GmbH & Co. KG, Stuttgart
  3. Robert Bosch Start-up GmbH, Renningen
  4. Robert Bosch GmbH, Abstatt


Anzeige
Spiele-Angebote
  1. 3,99€
  2. (u. a. Rayman Legends 8,99€, Rayman Origins 4,99€, Syberia 3 14,80€)
  3. 9,99€

Folgen Sie uns
       


  1. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  2. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  3. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  4. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  5. Big Four

    Kundendaten von Deloitte offenbar gehackt

  6. U2F

    Yubico bringt winzigen Yubikey für USB-C

  7. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  8. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  9. Nintendo

    Super Mario Run wird umfangreicher und günstiger

  10. Seniorenhandys im Test

    Alter, sind die unpraktisch!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

  1. Re: parlamentarische "Demokratie" ist nicht...

    mnementh | 18:58

  2. Re: Vermutung

    muhzilla | 18:57

  3. Re: wieso denn Neuwahlen?

    mnementh | 18:55

  4. Re: Nutzen von ECC?

    tg-- | 18:55

  5. Re: 67W im Idle - Aua

    derdiedas | 18:52


  1. 19:00

  2. 17:32

  3. 17:19

  4. 17:00

  5. 16:26

  6. 15:31

  7. 13:28

  8. 13:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel