Abo
  • Services:
Anzeige
Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Verschlüsselung: EFF gibt Empfehlung für sichere Messenger

Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Neue Tools zur angeblich sicheren Kommunikation gibt es seit der NSA-Affäre jede Menge. Die Electronic Frontier Foundation (EFF) versucht, einen Überblick zu verschaffen. Textsecure und Cryptocat schneiden besonders gut ab.

Anzeige

Seit den NSA-Enthüllungen gibt es einen Boom an neuen Verschlüsselungstools. Startups, die versprechen, Nachrichten mit Apps vor der NSA zu schützen, gibt es reichlich. Für unbedarfte Anwender ist es jedoch oft schwierig, zu entscheiden, was die Versprechen der Anbieter wert sind.

Secure Messenger Scorecard

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) versucht jetzt, mit einem neuen Projekt einen Überblick über die zahlreichen Messenger-Tools zu verschaffen: die Secure Messenger Scorecard. Anhand von sieben Kriterien bewertet die EFF, wie gut die Nachrichten der Nutzer geschützt sind. In vielen Punkten entsprechen die Kriterien der EFF den Aspekten, die wir auch auf Golem.de schon in früheren Artikeln thematisiert haben. Neben der Bewertung nach sieben Kriterien hat die EFF einige Messenger als Featured herausgestellt. Das ist jedoch nicht als Qualitätskriterium gemeint, vielmehr handelt es sich dabei um die nach Einschätzung der EFF beliebtesten oder wichtigsten Tools zur Nachrichtenübertragung.

Als Gewinner unter den Featured-Tools gehen zwei Programme hervor: Textsecure und Cryptocat. Dass Textsecure bei der Bewertung gut abschneidet, überrascht kaum. Das Tool vom Krypto-Experten Moxie Marlinspike gilt geradezu als Referenz in Sachen sicherer Nachrichtenübermittlung. Erst kürzlich wurde das Protokoll von Textsecure einer ausführlichen Analyse von Kryptografen unterzogen. Dabei wurden zwar einige Details kritisiert, relevante Sicherheitsprobleme traten jedoch nicht zu Tage.

Überraschungssieger Cryptocat

Etwas überraschender dürfte die Einschätzung beim browserbasierten Tool Cryptocat sein. Im vergangenen Jahr wurde bei einer Analyse des Cryptocat-Codes festgestellt, dass durch die Wahl von schwachen Zufallszahlen sich die privaten Schlüssel berechnen lassen. Ein Desaster, doch inzwischen wurde Cryptocat einem Sicherheits-Audit unterzogen, und es wurden seit längerer Zeit keine weiteren gravierenden Probleme gefunden.

Neben diesen beiden Tools schaffen es vier weitere Tools, in allen sieben Kategorien zu glänzen, werden jedoch nicht als Featured-Tools betrachtet: Chatsecure/Orbot, Signal/Redphone, Silent Phone und Silent Text. Chatsecure basiert auf dem OTR-Protokoll, Redphone stammt von denselben Entwicklern wie Textsecure. Silent Phone und Silent Text stammen von der Firma Silent Circle, an der PGP-Erfinder Phil Zimmermann beteiligt ist.

Punkt eins auf der Liste ist eigentlich eine Selbstverständlichkeit: Werden die Daten auf dem Transportweg zwischen Nutzer und Server verschlüsselt? Auch hier scheitern bereits manche Messenger, etwa das chinesische Instant-Messaging-Tool QQ. Punkt zwei auf der Liste fragt, ob der Anbieter des jeweiligen Services die Nachrichten mitlesen kann. Entscheidend ist hier also, ob eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Whatsapp, der Facebook Chat und Google Hangouts scheitern an diesem Kriterium bereits. Als drittes Kriterium fragt die EFF, ob Kontakte sich gegenseitig, beispielsweise über einen QR-Code, authentifizieren können.

Bei Punkt vier geht es an die kryptografischen Details: Ist die Kommunikation aus der Vergangenheit noch sicher, wenn in Zukunft der Schlüssel gestohlen wird? Das ist die klassische Frage nach dem Einsatz von Forward Secrecy, die durch einen Schlüsselaustausch etwa nach dem Diffie-Hellman-Protokoll erreicht werden kann.

Kryptografisches Protokoll soll dokumentiert sein

In Punkt fünf fragt die EFF, ob der Quellcode für eine unabhängige Überprüfung zur Verfügung steht. Punkt sechs ist besonders interessant: Das Design des Sicherheitskonzepts und der verwendeten kryptografischen Verfahren muss klar dokumentiert sein. Auch wir bei Golem.de stellen immer wieder fest, dass neue Messenger zwar mit blumigen Versprechen beworben werden, aber über ein paar Schlagworte hinaus kaum Details über die verwendeten Verschlüsselungsverfahren zu finden sind.

Zuletzt fordert die EFF als siebten Punkt, dass ein unabhängiges Audit des Codes in den vergangenen zwölf Monaten durchgeführt worden sein soll. Die Kriterien für diesen Punkt dürften etwas strittiger sein als die anderen Punkte, denn die EFF akzeptiert es bereits, wenn ein solches Audit stattgefunden hat. Die Ergebnisse müssen nicht veröffentlicht werden.

Metadatenschutz kein Kriterium

Was die EFF nicht testet ist, wie vertrauenswürdig das jeweils verwendete Betriebssystem ist. Auch der Schutz von Metadaten mittels Anonymisierungsdiensten ist kein Kriterium. Letzteres versucht ein Tool namens Pond zu realisieren, indem Nachrichten über das Tor-Netzwerk geschickt werden. Pond ist ein Projekt von Google-Entwickler Adam Langley, es wird allerdings bislang selbst von seinem Entwickler nur für experimentelle Zwecke empfohlen und hat es daher wohl auch nicht in die EFF-Liste geschafft.


eye home zur Startseite
WilhelmHagg 11. Nov 2014

Schön wäre noch eine Liste der unterstützten features der Messenger. All meine bisherigen...

Seitan-Sushi-Fan 10. Nov 2014

LOL, MMS. Muhahahaha!

Jorgo34 06. Nov 2014

Das stimmt so nicht.. man schickt eine Anfrage raus und der Gegenüber muss diese nur...

dauerPALAVER 06. Nov 2014

Aus meiner Sicht benutzt CryptoCat das Jabber Protokoll (XMPP). Oder täusche ich mich da?

Droids 06. Nov 2014

Netter Ansatz, aber auch wieder closed source. Was bringt das wirklich... Höchstens vllt...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Montabaur
  2. Kommunales Rechenzentrum Niederrhein, Kamp-Lintfort
  3. Zentrum Bayern Familie und Soziales, München, Bayreuth
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck


Anzeige
Top-Angebote
  1. (50% Rabatt!)
  2. 219,00€ (Bestpreis!)
  3. (u. a. Gear VR 66,00€, Gear S3 277,00€)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

  1. Re: Chipsätze nie angeboten???

    haxti | 23:02

  2. Mobilfunk + Festnetz-Anschluss meiner Eltern

    __destruct() | 23:02

  3. Re: Immer noch zu wenige Dienste per IPv6 erreichbar

    Käx | 22:59

  4. Re: E-Auto laden utopisch

    Eheran | 22:52

  5. Besonders traurig:

    __destruct() | 22:49


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel