Abo
  • Services:
Anzeige
Das Whispeer-Logo
Das Whispeer-Logo (Bild: Whispeer)

Quelltexte öffentlich, aber nicht Open Source

Anzeige

Die Quelltexte der Web-App sind auf Github veröffentlicht, aber nicht unter einer Open-Source-Lizenz. "Wir wollen uns nichts verbauen", erklärt Kenneweg diese Entscheidung mit Blick auf potenzielle Investoren. "Wichtig ist, dass man nachprüfen kann, dass es das macht, was es soll, und dafür reicht die Github-Website." Er sei aber prinzipiell für Open Source. Die Quelltexte der Server-Komponente, die sich um Datenspeicherung, Schlüsselverteilung und Nachrichtenaustausch kümmert, sind aber nicht veröffentlicht. Es würden nur verschlüsselte Daten verarbeitet und daher würden dessen Quelltexte nicht sicherheitsrelevant sein, sagt Kenneweg.

Auf den ersten Blick wirkt die Oberfläche von Whispeer aufgeräumt und modern, aber auch unspektakulär: keine Posts anderer Nutzer, keine sich hektisch aktualisierende Timeline. Kein Wunder, denn die Posts der anderen lassen sich ohne Kenntnis der notwendigen Schlüssel nicht lesen. Wird ein neuer Freund hinzugefügt, so fungiert Whispeer als Keyserver und tauscht zwischen den Nutzern die öffentlichen Schlüssel der asymmetrischen Schlüsselpaare aus.

Viele Schlüssel werden ausgetauscht

Darüber werden dann neue geheime Schlüssel für die Freundschaft, den Newsfeed und Chat vereinbart. Wird jetzt ein Post geschrieben, dann wird dieser mit dem Schlüssel des Newsfeeds verschlüsselt, den wiederum alle Freunde haben. Wird ein Freund entfernt, wird auch der Schlüssel ausgewechselt und an alle verbleibenden Kontakte verteilt. So sind die Posts auch nur von der jeweiligen Zielgruppe lesbar. Gleiches passiert, wenn ein Chat gestartet wird: Zwischen allen Chat-Teilnehmern wird ein Kommunikationsschlüssel ausgehandelt.

  • Whispeer-Gründer Nils Kenneweg (rechts) und Daniel Melchior (Mitte) im Gespräch mit einem Tutor beim Security Startup Challenge (Foto: Kaspersky Lab)
  • Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)
  • Privatsphäreeinstellungen (Screenshot: Golem.de)
  • Whispeer bietet die üblichen Einstellungen im eigenen Profil. (Screenshot: Golem.de)
  • Die Wiederherstellung per ausgedrucktem QR-Code funktioniert erstaunlich einfach, ist aber nicht unproblematisch. (Screenshot: Golem.de)
  • Für die Registrierung wird nur ein Benutzername und ein Passwort benötigt. Wer möchte, kann nach der Anmeldung aber auch weitere Angaben machen. (Screenshot: Golem.de)
  • Die Sucheergebnisse sind nicht immer nachvollziehbar, liefern aber meist das Gesuchte. (Screenshot: Golem.de)
  • Die Anmeldung bei Whispeer (Screenshot: Golem.de)
Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)

Aber dieser Schlüssel wird nicht nach einer Weile ausgewechselt (Perfect Forward Secrecy), was ein Schutz gegen nachträgliche Kompromittierung wäre. "Das Problem an Perfect Forward Secrecy ist, dass, wenn du dich von einem anderen Rechner einloggst, du die Daten nicht lesen kannst", erläutert Nils Kenneweg das Dilemma. Und dies widerspreche der Idee einer komfortablen Handhabung.

Nur die nötigsten Funktionen

Der Funktionsumfang von Whispeer ist überschaubar. Posts lassen sich auf die eigene Pinnwand schreiben, Beiträge der anderen können kommentiert werden. Die Freunde lassen sich in Kreisen gruppieren - analog zu Freundeslisten in anderen Netzwerken. Dadurch kann einerseits der eigene Newsfeed gefiltert werden, um sich beispielsweise nur Posts von Arbeitskollegen anzeigen zu lassen. Anderseits lassen sich die Kreise nutzen, um eigene Posts nur einem bestimmten Teil der Freunde zugänglich zu machen. Die Posts können Fotos enthalten, aber keine Videos und lassen sich auch nachträglich löschen.

Außerdem können Nachrichten zwischen zwei oder mehr Nutzern untereinander verschickt werden. Einer laufenden Konversation kann aber niemand hinzugefügt werden, dafür ist ein neuer Chat nötig, denn hier wird ein neuer Schlüssel für die erweiterte Runde benötigt.

Damit keine Man-in-the-Middle-Attacken möglich sind, können die Nutzer sich gegenseitig mit einem Fingerprint verifizieren. Um diesen zu überprüfen, gibt es die Wahl zwischen einer Texteingabe und dem QR-Code. Viermal 14 Zeichen einzugeben ist aber noch umständlicher als die Seriennummer bei der Windows-Installation - anders die Alternative mit dem QR-Code, bei der einfach das Display vor eine angeschlossene Webcam gehalten wird.

"Wir nennen das Laptop-Liebe", sagt Nils Kenneweg, während er das Display seines Laptops vor die Webcam des anderen Laptops hält. Ist ein Kontakt verifiziert, wird das durch eine grüne Umrahmung des Profilbildes hervorgehoben. Später soll ein Web of Trust die Verifizierung weiter vereinfachen, indem man sieht, welche Nutzer die eigenen Freunde bereits verifiziert haben.

 Whispeer: Soziales Netzwerk mit Ende-zu-Ende-VerschlüsselungAuch Whispeer ist nicht grenzenlos sicher 

eye home zur Startseite
firstdeathmaker 18. Aug 2015

Ich sehe noch einen zweiten Angriffsvektor: Geheimdienst geht zum Anbieter und zwingt...

menno 17. Aug 2015

Hab mich vor Jahren ein wenig mit beschäftigt: Die Diaspora-Software ist OpenSource und...

Moe479 14. Aug 2015

sicher? 1 Punkt: welches os läuft nocheinmal auf der mehrheit der desktopgeräte? 99...

AnonymerHH 13. Aug 2015

was bei dir so als beleidigung durchgeht ^^ es ist eine ganz normale frage, ob du...

matok 13. Aug 2015

Solange der Client nicht vollständig offen ist, spielt es überhaupt keine Rolle, was...



Anzeige

Stellenmarkt
  1. censhare AG, München
  2. Elektronische Fahrwerksysteme GmbH, Ingolstadt
  3. T-Systems International GmbH, verschiedene Standorte
  4. KEB Automation KG, Barntrup


Anzeige
Hardware-Angebote
  1. täglich neue Deals

Folgen Sie uns
       


  1. Light L16

    Kamera mit 16 Kameramodulen soll DSLRs ersetzen

  2. Yara Birkeland

    Autonomes Containerschiff soll elektrisch fahren

  3. Airport Guide Robot

    LG lässt den Flughafenroboter los

  4. Biometrische Erkennung

    Delta lässt Passagiere mit Fingerabdruck boarden

  5. Niantic

    Keine Monster bei Pokémon-Go-Fest

  6. Essential Phone

    Rubins Smartphone soll "in den kommenden Wochen" erscheinen

  7. Counter-Strike Go

    Bei Abschuss Ransomware

  8. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  9. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  10. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  2. Verbrenner Porsche denkt über Dieselausstieg nach
  3. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

  1. Re: Zivilisation

    ssj3rd | 08:34

  2. Re: e-Auto als Zweitwagen

    ssj3rd | 08:31

  3. Re: 6 Knoten pro Stunde

    maverick1977 | 08:29

  4. Re: Eine Beleidigung für echte Fotografen

    Bautz | 08:29

  5. Re: Ich kaufe mir ein E-Auto wenn...

    ssj3rd | 08:28


  1. 07:25

  2. 07:14

  3. 15:35

  4. 14:30

  5. 13:39

  6. 13:16

  7. 12:43

  8. 11:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel