Abo
  • Services:
Anzeige
Das Whispeer-Logo
Das Whispeer-Logo (Bild: Whispeer)

Quelltexte öffentlich, aber nicht Open Source

Anzeige

Die Quelltexte der Web-App sind auf Github veröffentlicht, aber nicht unter einer Open-Source-Lizenz. "Wir wollen uns nichts verbauen", erklärt Kenneweg diese Entscheidung mit Blick auf potenzielle Investoren. "Wichtig ist, dass man nachprüfen kann, dass es das macht, was es soll, und dafür reicht die Github-Website." Er sei aber prinzipiell für Open Source. Die Quelltexte der Server-Komponente, die sich um Datenspeicherung, Schlüsselverteilung und Nachrichtenaustausch kümmert, sind aber nicht veröffentlicht. Es würden nur verschlüsselte Daten verarbeitet und daher würden dessen Quelltexte nicht sicherheitsrelevant sein, sagt Kenneweg.

Auf den ersten Blick wirkt die Oberfläche von Whispeer aufgeräumt und modern, aber auch unspektakulär: keine Posts anderer Nutzer, keine sich hektisch aktualisierende Timeline. Kein Wunder, denn die Posts der anderen lassen sich ohne Kenntnis der notwendigen Schlüssel nicht lesen. Wird ein neuer Freund hinzugefügt, so fungiert Whispeer als Keyserver und tauscht zwischen den Nutzern die öffentlichen Schlüssel der asymmetrischen Schlüsselpaare aus.

Viele Schlüssel werden ausgetauscht

Darüber werden dann neue geheime Schlüssel für die Freundschaft, den Newsfeed und Chat vereinbart. Wird jetzt ein Post geschrieben, dann wird dieser mit dem Schlüssel des Newsfeeds verschlüsselt, den wiederum alle Freunde haben. Wird ein Freund entfernt, wird auch der Schlüssel ausgewechselt und an alle verbleibenden Kontakte verteilt. So sind die Posts auch nur von der jeweiligen Zielgruppe lesbar. Gleiches passiert, wenn ein Chat gestartet wird: Zwischen allen Chat-Teilnehmern wird ein Kommunikationsschlüssel ausgehandelt.

  • Whispeer-Gründer Nils Kenneweg (rechts) und Daniel Melchior (Mitte) im Gespräch mit einem Tutor beim Security Startup Challenge (Foto: Kaspersky Lab)
  • Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)
  • Privatsphäreeinstellungen (Screenshot: Golem.de)
  • Whispeer bietet die üblichen Einstellungen im eigenen Profil. (Screenshot: Golem.de)
  • Die Wiederherstellung per ausgedrucktem QR-Code funktioniert erstaunlich einfach, ist aber nicht unproblematisch. (Screenshot: Golem.de)
  • Für die Registrierung wird nur ein Benutzername und ein Passwort benötigt. Wer möchte, kann nach der Anmeldung aber auch weitere Angaben machen. (Screenshot: Golem.de)
  • Die Sucheergebnisse sind nicht immer nachvollziehbar, liefern aber meist das Gesuchte. (Screenshot: Golem.de)
  • Die Anmeldung bei Whispeer (Screenshot: Golem.de)
Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)

Aber dieser Schlüssel wird nicht nach einer Weile ausgewechselt (Perfect Forward Secrecy), was ein Schutz gegen nachträgliche Kompromittierung wäre. "Das Problem an Perfect Forward Secrecy ist, dass, wenn du dich von einem anderen Rechner einloggst, du die Daten nicht lesen kannst", erläutert Nils Kenneweg das Dilemma. Und dies widerspreche der Idee einer komfortablen Handhabung.

Nur die nötigsten Funktionen

Der Funktionsumfang von Whispeer ist überschaubar. Posts lassen sich auf die eigene Pinnwand schreiben, Beiträge der anderen können kommentiert werden. Die Freunde lassen sich in Kreisen gruppieren - analog zu Freundeslisten in anderen Netzwerken. Dadurch kann einerseits der eigene Newsfeed gefiltert werden, um sich beispielsweise nur Posts von Arbeitskollegen anzeigen zu lassen. Anderseits lassen sich die Kreise nutzen, um eigene Posts nur einem bestimmten Teil der Freunde zugänglich zu machen. Die Posts können Fotos enthalten, aber keine Videos und lassen sich auch nachträglich löschen.

Außerdem können Nachrichten zwischen zwei oder mehr Nutzern untereinander verschickt werden. Einer laufenden Konversation kann aber niemand hinzugefügt werden, dafür ist ein neuer Chat nötig, denn hier wird ein neuer Schlüssel für die erweiterte Runde benötigt.

Damit keine Man-in-the-Middle-Attacken möglich sind, können die Nutzer sich gegenseitig mit einem Fingerprint verifizieren. Um diesen zu überprüfen, gibt es die Wahl zwischen einer Texteingabe und dem QR-Code. Viermal 14 Zeichen einzugeben ist aber noch umständlicher als die Seriennummer bei der Windows-Installation - anders die Alternative mit dem QR-Code, bei der einfach das Display vor eine angeschlossene Webcam gehalten wird.

"Wir nennen das Laptop-Liebe", sagt Nils Kenneweg, während er das Display seines Laptops vor die Webcam des anderen Laptops hält. Ist ein Kontakt verifiziert, wird das durch eine grüne Umrahmung des Profilbildes hervorgehoben. Später soll ein Web of Trust die Verifizierung weiter vereinfachen, indem man sieht, welche Nutzer die eigenen Freunde bereits verifiziert haben.

 Whispeer: Soziales Netzwerk mit Ende-zu-Ende-VerschlüsselungAuch Whispeer ist nicht grenzenlos sicher 

eye home zur Startseite
firstdeathmaker 18. Aug 2015

Ich sehe noch einen zweiten Angriffsvektor: Geheimdienst geht zum Anbieter und zwingt...

menno 17. Aug 2015

Hab mich vor Jahren ein wenig mit beschäftigt: Die Diaspora-Software ist OpenSource und...

Moe479 14. Aug 2015

sicher? 1 Punkt: welches os läuft nocheinmal auf der mehrheit der desktopgeräte? 99...

AnonymerHH 13. Aug 2015

was bei dir so als beleidigung durchgeht ^^ es ist eine ganz normale frage, ob du...

matok 13. Aug 2015

Solange der Client nicht vollständig offen ist, spielt es überhaupt keine Rolle, was...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Karlsruhe
  2. über Ratbacher GmbH, München
  3. KNECHT Kellerbau GmbH über Tauster GmbH, Metzingen
  4. TAMPOPRINT® AG, Korntal-Münchingen


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 29,99€
  3. 69,99€ (Release 31.03.)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  2. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  3. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  4. Autonomes Fahren

    Der Truck lernt beim Fahren

  5. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  6. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  7. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  8. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  9. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  10. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: Bitcoin ist ne tolle Sache, aber die...

    Maldino | 12:27

  2. Eine Generation verwöhnter Idioten

    pool | 12:18

  3. Re: warum ist eure hauptseite nicht erreichbar?

    gs (Golem.de) | 12:18

  4. Re: SHA1 Kollision

    Astorek | 12:09

  5. Re: First World Problems

    pool | 12:03


  1. 11:57

  2. 09:02

  3. 18:02

  4. 17:43

  5. 16:49

  6. 16:21

  7. 16:02

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel