Abo
  • Services:
Anzeige
Das Whispeer-Logo
Das Whispeer-Logo (Bild: Whispeer)

Quelltexte öffentlich, aber nicht Open Source

Anzeige

Die Quelltexte der Web-App sind auf Github veröffentlicht, aber nicht unter einer Open-Source-Lizenz. "Wir wollen uns nichts verbauen", erklärt Kenneweg diese Entscheidung mit Blick auf potenzielle Investoren. "Wichtig ist, dass man nachprüfen kann, dass es das macht, was es soll, und dafür reicht die Github-Website." Er sei aber prinzipiell für Open Source. Die Quelltexte der Server-Komponente, die sich um Datenspeicherung, Schlüsselverteilung und Nachrichtenaustausch kümmert, sind aber nicht veröffentlicht. Es würden nur verschlüsselte Daten verarbeitet und daher würden dessen Quelltexte nicht sicherheitsrelevant sein, sagt Kenneweg.

Auf den ersten Blick wirkt die Oberfläche von Whispeer aufgeräumt und modern, aber auch unspektakulär: keine Posts anderer Nutzer, keine sich hektisch aktualisierende Timeline. Kein Wunder, denn die Posts der anderen lassen sich ohne Kenntnis der notwendigen Schlüssel nicht lesen. Wird ein neuer Freund hinzugefügt, so fungiert Whispeer als Keyserver und tauscht zwischen den Nutzern die öffentlichen Schlüssel der asymmetrischen Schlüsselpaare aus.

Viele Schlüssel werden ausgetauscht

Darüber werden dann neue geheime Schlüssel für die Freundschaft, den Newsfeed und Chat vereinbart. Wird jetzt ein Post geschrieben, dann wird dieser mit dem Schlüssel des Newsfeeds verschlüsselt, den wiederum alle Freunde haben. Wird ein Freund entfernt, wird auch der Schlüssel ausgewechselt und an alle verbleibenden Kontakte verteilt. So sind die Posts auch nur von der jeweiligen Zielgruppe lesbar. Gleiches passiert, wenn ein Chat gestartet wird: Zwischen allen Chat-Teilnehmern wird ein Kommunikationsschlüssel ausgehandelt.

  • Whispeer-Gründer Nils Kenneweg (rechts) und Daniel Melchior (Mitte) im Gespräch mit einem Tutor beim Security Startup Challenge (Foto: Kaspersky Lab)
  • Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)
  • Privatsphäreeinstellungen (Screenshot: Golem.de)
  • Whispeer bietet die üblichen Einstellungen im eigenen Profil. (Screenshot: Golem.de)
  • Die Wiederherstellung per ausgedrucktem QR-Code funktioniert erstaunlich einfach, ist aber nicht unproblematisch. (Screenshot: Golem.de)
  • Für die Registrierung wird nur ein Benutzername und ein Passwort benötigt. Wer möchte, kann nach der Anmeldung aber auch weitere Angaben machen. (Screenshot: Golem.de)
  • Die Sucheergebnisse sind nicht immer nachvollziehbar, liefern aber meist das Gesuchte. (Screenshot: Golem.de)
  • Die Anmeldung bei Whispeer (Screenshot: Golem.de)
Auf der Pinnwand sind nur die Posts lesbar, die nach Bestätigung der Freundschaft veröffentlicht wurden. (Screenshot: Golem.de)

Aber dieser Schlüssel wird nicht nach einer Weile ausgewechselt (Perfect Forward Secrecy), was ein Schutz gegen nachträgliche Kompromittierung wäre. "Das Problem an Perfect Forward Secrecy ist, dass, wenn du dich von einem anderen Rechner einloggst, du die Daten nicht lesen kannst", erläutert Nils Kenneweg das Dilemma. Und dies widerspreche der Idee einer komfortablen Handhabung.

Nur die nötigsten Funktionen

Der Funktionsumfang von Whispeer ist überschaubar. Posts lassen sich auf die eigene Pinnwand schreiben, Beiträge der anderen können kommentiert werden. Die Freunde lassen sich in Kreisen gruppieren - analog zu Freundeslisten in anderen Netzwerken. Dadurch kann einerseits der eigene Newsfeed gefiltert werden, um sich beispielsweise nur Posts von Arbeitskollegen anzeigen zu lassen. Anderseits lassen sich die Kreise nutzen, um eigene Posts nur einem bestimmten Teil der Freunde zugänglich zu machen. Die Posts können Fotos enthalten, aber keine Videos und lassen sich auch nachträglich löschen.

Außerdem können Nachrichten zwischen zwei oder mehr Nutzern untereinander verschickt werden. Einer laufenden Konversation kann aber niemand hinzugefügt werden, dafür ist ein neuer Chat nötig, denn hier wird ein neuer Schlüssel für die erweiterte Runde benötigt.

Damit keine Man-in-the-Middle-Attacken möglich sind, können die Nutzer sich gegenseitig mit einem Fingerprint verifizieren. Um diesen zu überprüfen, gibt es die Wahl zwischen einer Texteingabe und dem QR-Code. Viermal 14 Zeichen einzugeben ist aber noch umständlicher als die Seriennummer bei der Windows-Installation - anders die Alternative mit dem QR-Code, bei der einfach das Display vor eine angeschlossene Webcam gehalten wird.

"Wir nennen das Laptop-Liebe", sagt Nils Kenneweg, während er das Display seines Laptops vor die Webcam des anderen Laptops hält. Ist ein Kontakt verifiziert, wird das durch eine grüne Umrahmung des Profilbildes hervorgehoben. Später soll ein Web of Trust die Verifizierung weiter vereinfachen, indem man sieht, welche Nutzer die eigenen Freunde bereits verifiziert haben.

 Whispeer: Soziales Netzwerk mit Ende-zu-Ende-VerschlüsselungAuch Whispeer ist nicht grenzenlos sicher 

eye home zur Startseite
firstdeathmaker 18. Aug 2015

Ich sehe noch einen zweiten Angriffsvektor: Geheimdienst geht zum Anbieter und zwingt...

menno 17. Aug 2015

Hab mich vor Jahren ein wenig mit beschäftigt: Die Diaspora-Software ist OpenSource und...

Moe479 14. Aug 2015

sicher? 1 Punkt: welches os läuft nocheinmal auf der mehrheit der desktopgeräte? 99...

AnonymerHH 13. Aug 2015

was bei dir so als beleidigung durchgeht ^^ es ist eine ganz normale frage, ob du...

matok 13. Aug 2015

Solange der Client nicht vollständig offen ist, spielt es überhaupt keine Rolle, was...



Anzeige

Stellenmarkt
  1. AKDB, München, Regensburg, Bayreuth
  2. Bosch Service Solutions Magdeburg GmbH, Berlin, Magdeburg
  3. dSPACE GmbH, Paderborn
  4. Smartsteuer GmbH, Hannover


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Minecraft

    Eine Server-Farm für (fast) alle Klötzchenbauer

  2. Kabelnetz

    Unitymedia bringt neue Connect App, Booster und Sprachsuche

  3. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger

  4. Auslastung

    Wenn es Abend wird im Kabelnetz

  5. Milliarden-Deal

    Google kauft Teile der HTC-Smartphone-Sparte

  6. MPEG

    H.265-Nachfolger kann 30 bis 60 Prozent Verbesserung bringen

  7. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  8. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  9. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  10. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  2. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  3. Kreditrating Equifax' Krisenreaktion ist ein Desaster

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

  1. Re: Cloud! Docker! KI! VR!!!

    Kondratieff | 10:45

  2. Re: 50Mbit und guter Ping 24/7/365 Telekom...

    WalterWhite | 10:45

  3. Re: Habe es immer noch nicht ganz verstanden

    darklord007 | 10:45

  4. Re: Und trotzdem wird auch das nach der Wahl...

    Niaxa | 10:44

  5. Re: Kostenlos

    HansiHinterseher | 10:44


  1. 10:03

  2. 10:00

  3. 09:00

  4. 08:00

  5. 07:10

  6. 07:00

  7. 18:10

  8. 17:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel