Abo
  • Services:

Verschlüsselung: EFF gibt Empfehlung für sichere Messenger

Neue Tools zur angeblich sicheren Kommunikation gibt es seit der NSA-Affäre jede Menge. Die Electronic Frontier Foundation (EFF) versucht, einen Überblick zu verschaffen. Textsecure und Cryptocat schneiden besonders gut ab.

Artikel veröffentlicht am , Hanno Böck
Die EFF fragt, welche Messenger wirklich sicher sind.
Die EFF fragt, welche Messenger wirklich sicher sind. (Bild: EFF)

Seit den NSA-Enthüllungen gibt es einen Boom an neuen Verschlüsselungstools. Startups, die versprechen, Nachrichten mit Apps vor der NSA zu schützen, gibt es reichlich. Für unbedarfte Anwender ist es jedoch oft schwierig, zu entscheiden, was die Versprechen der Anbieter wert sind.

Secure Messenger Scorecard

Stellenmarkt
  1. ING-DiBa AG, Frankfurt, Nürnberg
  2. inovex GmbH, Karlsruhe

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) versucht jetzt, mit einem neuen Projekt einen Überblick über die zahlreichen Messenger-Tools zu verschaffen: die Secure Messenger Scorecard. Anhand von sieben Kriterien bewertet die EFF, wie gut die Nachrichten der Nutzer geschützt sind. In vielen Punkten entsprechen die Kriterien der EFF den Aspekten, die wir auch auf Golem.de schon in früheren Artikeln thematisiert haben. Neben der Bewertung nach sieben Kriterien hat die EFF einige Messenger als Featured herausgestellt. Das ist jedoch nicht als Qualitätskriterium gemeint, vielmehr handelt es sich dabei um die nach Einschätzung der EFF beliebtesten oder wichtigsten Tools zur Nachrichtenübertragung.

Als Gewinner unter den Featured-Tools gehen zwei Programme hervor: Textsecure und Cryptocat. Dass Textsecure bei der Bewertung gut abschneidet, überrascht kaum. Das Tool vom Krypto-Experten Moxie Marlinspike gilt geradezu als Referenz in Sachen sicherer Nachrichtenübermittlung. Erst kürzlich wurde das Protokoll von Textsecure einer ausführlichen Analyse von Kryptografen unterzogen. Dabei wurden zwar einige Details kritisiert, relevante Sicherheitsprobleme traten jedoch nicht zu Tage.

Überraschungssieger Cryptocat

Etwas überraschender dürfte die Einschätzung beim browserbasierten Tool Cryptocat sein. Im vergangenen Jahr wurde bei einer Analyse des Cryptocat-Codes festgestellt, dass durch die Wahl von schwachen Zufallszahlen sich die privaten Schlüssel berechnen lassen. Ein Desaster, doch inzwischen wurde Cryptocat einem Sicherheits-Audit unterzogen, und es wurden seit längerer Zeit keine weiteren gravierenden Probleme gefunden.

Neben diesen beiden Tools schaffen es vier weitere Tools, in allen sieben Kategorien zu glänzen, werden jedoch nicht als Featured-Tools betrachtet: Chatsecure/Orbot, Signal/Redphone, Silent Phone und Silent Text. Chatsecure basiert auf dem OTR-Protokoll, Redphone stammt von denselben Entwicklern wie Textsecure. Silent Phone und Silent Text stammen von der Firma Silent Circle, an der PGP-Erfinder Phil Zimmermann beteiligt ist.

Punkt eins auf der Liste ist eigentlich eine Selbstverständlichkeit: Werden die Daten auf dem Transportweg zwischen Nutzer und Server verschlüsselt? Auch hier scheitern bereits manche Messenger, etwa das chinesische Instant-Messaging-Tool QQ. Punkt zwei auf der Liste fragt, ob der Anbieter des jeweiligen Services die Nachrichten mitlesen kann. Entscheidend ist hier also, ob eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Whatsapp, der Facebook Chat und Google Hangouts scheitern an diesem Kriterium bereits. Als drittes Kriterium fragt die EFF, ob Kontakte sich gegenseitig, beispielsweise über einen QR-Code, authentifizieren können.

Bei Punkt vier geht es an die kryptografischen Details: Ist die Kommunikation aus der Vergangenheit noch sicher, wenn in Zukunft der Schlüssel gestohlen wird? Das ist die klassische Frage nach dem Einsatz von Forward Secrecy, die durch einen Schlüsselaustausch etwa nach dem Diffie-Hellman-Protokoll erreicht werden kann.

Kryptografisches Protokoll soll dokumentiert sein

In Punkt fünf fragt die EFF, ob der Quellcode für eine unabhängige Überprüfung zur Verfügung steht. Punkt sechs ist besonders interessant: Das Design des Sicherheitskonzepts und der verwendeten kryptografischen Verfahren muss klar dokumentiert sein. Auch wir bei Golem.de stellen immer wieder fest, dass neue Messenger zwar mit blumigen Versprechen beworben werden, aber über ein paar Schlagworte hinaus kaum Details über die verwendeten Verschlüsselungsverfahren zu finden sind.

Zuletzt fordert die EFF als siebten Punkt, dass ein unabhängiges Audit des Codes in den vergangenen zwölf Monaten durchgeführt worden sein soll. Die Kriterien für diesen Punkt dürften etwas strittiger sein als die anderen Punkte, denn die EFF akzeptiert es bereits, wenn ein solches Audit stattgefunden hat. Die Ergebnisse müssen nicht veröffentlicht werden.

Metadatenschutz kein Kriterium

Was die EFF nicht testet ist, wie vertrauenswürdig das jeweils verwendete Betriebssystem ist. Auch der Schutz von Metadaten mittels Anonymisierungsdiensten ist kein Kriterium. Letzteres versucht ein Tool namens Pond zu realisieren, indem Nachrichten über das Tor-Netzwerk geschickt werden. Pond ist ein Projekt von Google-Entwickler Adam Langley, es wird allerdings bislang selbst von seinem Entwickler nur für experimentelle Zwecke empfohlen und hat es daher wohl auch nicht in die EFF-Liste geschafft.



Anzeige
Top-Angebote
  1. 99,99€ (versandkostenfrei)
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  3. 54,99€
  4. 59,99€

WilhelmHagg 11. Nov 2014

Schön wäre noch eine Liste der unterstützten features der Messenger. All meine bisherigen...

Seitan-Sushi-Fan 10. Nov 2014

LOL, MMS. Muhahahaha!

Jorgo34 06. Nov 2014

Das stimmt so nicht.. man schickt eine Anfrage raus und der Gegenüber muss diese nur...

dauerPALAVER 06. Nov 2014

Aus meiner Sicht benutzt CryptoCat das Jabber Protokoll (XMPP). Oder täusche ich mich da?

Droids 06. Nov 2014

Netter Ansatz, aber auch wieder closed source. Was bringt das wirklich... Höchstens vllt...


Folgen Sie uns
       


HP Spectre Folio - Test

Das HP Spectre Folio sieht außergewöhnlich aus, riecht gut und fühlt sich weich an. Das liegt an dem Echtleder, welches das Gehäuse einhüllt. Allerdings zeigen sich im Test die Nachteile des Materials.

HP Spectre Folio - Test Video aufrufen
Überwachung: Wenn die Firma heimlich ihre Mitarbeiter ausspioniert
Überwachung
Wenn die Firma heimlich ihre Mitarbeiter ausspioniert

Videokameras, Wanzen, GPS-Tracker, Keylogger - es gibt viele Möglichkeiten, mit denen Firmen Mitarbeiter kontrollieren können. Nicht wenige tun das auch und werden dafür mitunter bestraft. Manchmal kommen sie aber selbst mit heimlichen Überwachungsaktionen durch. Es kommt auf die Gründe an.
Von Harald Büring

  1. Österreich Bundesheer soll mehr Daten bekommen
  2. Datenschutz Chinesische Kameraüberwachung hält Bus-Werbung für Fußgänger
  3. Überwachung Infosystem über Funkzellenabfragen in Berlin gestartet

Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Pauschallizenzen CDU will ihre eigenen Uploadfilter verhindern

    •  /