Abo
  • Services:

IMHO: Vorsicht vor falschen Krypto-Versprechen

Eine Menge verschlüsselter Messenger-Dienste wie Threema buhlt zurzeit um Nutzer, die aufgrund der Whatsapp-Übernahme durch Facebook nach Alternativen suchen. Skepsis ist angebracht.

Artikel veröffentlicht am , Hanno Böck
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

Jubeln dürften diese Woche unter anderem die Betreiber des Messenger-Dienstes Threema. Das Schweizer Unternehmen erlebt wie andere alternative Messenger einen wahren Ansturm neuer Nutzer, nachdem bekanntwurde, dass der Whatsapp-Service von Facebook übernommen wurde. Besonders beliebt sind dabei die Alternativen mit angeblich sicherer Verschlüsselung - Threema wurde erst gestern als einziger Messenger von der Stiftung Warentest als unkritisch eingestuft. Denn um Whatsapp nicht zu vertrauen, hätten die Nutzer den Deal mit Facebook gar nicht gebraucht: Immer wieder fiel das Programm mit geradezu peinlichen Sicherheitslücken auf. Den Entwicklern fehlten teilweise ganz offensichtlich wesentliche Kenntnisse über die Grundlagen der Entwicklung kryptographischer Protokolle. Leider ist das bei der Konkurrenz nicht unbedingt anders.

Die Schwierigkeiten von Kryptographie werden unterschätzt

Inhalt:
  1. IMHO: Vorsicht vor falschen Krypto-Versprechen
  2. Nur Quellcode schafft Vertrauen
  3. Sicherheit des Gesamtsystems oft fragwürdig

Der jetzige Trend, dass reihenweise Startup-Unternehmen und kleine Projekte neue Messenger herausbringen, die angeblich Nachrichten sicher verschlüsseln, ist daher besorgniserregend. Noch gut im Gedächtnis sollten die Katastrophen bei der Entwicklung von Cryptocat oder Whistle.im sein.

Dabei zeigt sich immer wieder: Wenn Anfänger Kryptographie implementieren, begehen sie Anfängerfehler. Es reicht längst nicht, einen Verschlüsselungsalgorithmus wie AES oder RSA verstanden zu haben, um ihn auch sicher zu implementieren. Die Verwendung guter Zufallszahlen muss gewährleistet sein, Timing-Angriffe und andere Seitenkanalangriffe müssen verhindert werden und auch aus sicheren Bausteinen lassen sich unsichere Protokolle erstellen.

Nicht vergessen darf man dabei, dass bewährte Verschlüsselungsprogramme wie GnuPG oder OpenSSL einen langen Weg hinter sich haben und viel Lehrgeld bezahlen mussten. OpenSSL akzeptierte einst gefälschte RSA-Signaturen, GnuPG erstellte unsichere ElGamal-Schlüssel, und ein kleiner Patch sorgte dafür, dass unzählige Debian-Anwender trivial brechbare private Schlüssel hatten. Und selbst im TLS-Protokoll tauchen immer wieder Sicherheitsprobleme auf, wie zuletzt die BEAST-Attacke, die Lucky-Thirteen-Attacke und andere Angriffe zeigten.

Stellenmarkt
  1. SHW Automotive GmbH, Aalen, Bad Schussenried
  2. SCISYS Deutschland GmbH, Bochum

Wer ein kryptographisches Protokoll neu erfindet und die entsprechende Software dafür schreibt, muss eine sehr lange Liste von Dingen dabei berücksichtigen. Dabei reicht es nicht, Erfahrung im Programmieren zu besitzen. Man muss sich detailliert mit den Tücken der Kryptographie auseinandersetzen. Andernfalls sind gravierende Fehler kaum vermeidbar.

Für Nutzer kann das nur heißen, dass sie den Anbietern der angeblich sicheren Lösungen Fragen stellen: Habt ihr erfahrene Kryptographen im Entwicklerteam? Oder wurde eure Software einer Review durch erfahrene Krypto-Programmierer unterzogen?

Nur Quellcode schafft Vertrauen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?


Folgen Sie uns
       


Google Pixel 3 XL - Test

Das Pixel 3 XL ist eines von zwei neuen Smartphones von Google. Das Gerät soll dank Algorithmen besonders gute Fotos machen - in unserem Test kann Google dieses Versprechen aber nur bedingt halten.

Google Pixel 3 XL - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Campusnetze: Das teure Versäumnis der Telekom
Campusnetze
Das teure Versäumnis der Telekom

Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
Eine Analyse von Achim Sawall

  1. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen
  2. Achim Berg "In Sachen Gigabit ist Deutschland ein großer weißer Fleck"
  3. Telefónica Bündelung von Bandbreiten aus 4G und 5G ist doch möglich

    •  /