Instant Messaging – InfoSec Blog | Patrick Sauer & Dominik Sauer

Threema ist Dank der WhatsApp-Übernahme von Facebook im Kommen

21. Februar 2014 by Patrick Sauer Leave a Comment

Nachdem Facebook WhatsApp übernommen hat, ist die wesentlich sicherere Alternative Threema aus der Schweiz im Kommen. Interessanterweise waren es nicht die Sicherheitsprobleme in WhatsApp, die Nutzer zum Wechseln brachten, sondern die Übernahme von Facebook. Anscheinend wird die Datenkrake Facebook als schlimmer angesehen wie jedes noch so großes Sicherheitsloch. Wobei Sicherheit und WhatsApp ohnehin nie zueinander passten.

Threema bietet eine sichere Ende-Zu-Ende-Verschlüsselung, d.h. es ist (sofern hoffentlich korrekt implementiert) unmöglich, dass jemand übertragene Nachrichten oder Fotos mitlesen kann. Damit ist Threema sicherer als E-Mail und auch konzeptionell sicherer als DE-Mail, welches keine Ende-Zu-Ende-Verschlüsselung bietet. Aus Security-Sicht kann man nur sagen: Löscht WhatsApp, nutzt Threema!

Threema: Sichere Alternative zu WhatsApp

20. August 2013 by Patrick Sauer 1 Comment

Nachdem Whistle.im ein gutes Beispiel dafür ist, wie man Verschlüsselungstechniken nicht in der Praxis umsetzt, scheint es hingegen bei Threema gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschlüsselung ein, bei der die kryptographischen Schlüssel auf dem Endgerät des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schlüssel zentral auf ihren eigenen Servern zu speichern.

Threema ist leider nicht Open Source, sodass man nicht wie bei Whistle.im zur Analyse den kompletten Zugriff auf den Quelltexts besitzt. Ausgehend von den offiziellen Informationen von Threema scheint das Sicherheitskonzept durchdacht zu sein. Threema generiert das eigene Schlüsselpaar lokal und geheime Schlüssel werden niemals übertragen. Besonders gut finde ich die drei verschiedenen Stufen, in denen die Echtheit des Absenders eingeteilt wird. Die höchste Sicherheitsstufe erreicht man, wenn man dem Absender zuvor persönlich begegnet ist und die beiden beteiligten Smartphones sich per QR-Code verifiziert haben. Ein persönliches Treffen ist jedoch nicht zwingend Voraussetzung für eine verschlüsselte Kommunikation.

Die verwendeten kryptographischen Verfahren dürften als sicher angesehen werden. Die schlimmsten Fehler entstehen im Einsatz von Krypto wie bei Whistle.im eher im grundsätzlichen Design einer Anwendung. Solange man nicht auf die blöde Idee kommt, kryptographische Verfahren selbst zu implementieren, sollte man auf der sicheren Seite sein. Das ist ohnehin weder bei Whistle.im noch bei Threema der Fall. Dafür ist die Sicherheit in Whistle.im broken by design.

Ausgehend von den vorliegenden Informationen, kann man Threema als sicher betrachten. Die Verschlüsselung wird eher nicht angreifbar sein. Der einzige offensichtlich mögliche Angriffsvektor besteht in der Applikation selbst: Ist sie nicht Open Source, lässt sich nur sehr schwer nachvollziehen, was im Hintergrund passiert. In wie weit man ihr vertraut, muss jeder selbst wissen. Sicherer als WhatsApp oder das security broken by design Whistle.im wird es sein.

Whistle.im ist unsicher

19. August 2013 by Patrick Sauer Leave a Comment

Whistle.im soll eine sichere Alternative zu WhatsApp sein. Whistle wirbt mit der Aussage: „Sichere Sofortnachrichten. Made in Germany.“ Wir wissen ja auch dank Wirtschaftsminister Rösler, dass wir bei Verschlüsselungstechnologien einen technischen Vorsprung besitzen.

Leider ist es total blöd, dass sich jemand mit Know-How Whistle angesehen hat: Die Jungs vom CCC Hannover. Sofern die beschriebene Analyse dort auch nur einen Funken Wahrheit besitzt, kann man auch gleich weiter WhatsApp benutzen. Whistle ist unsicher und offenbar wurden grundsätzliche Prinzipien beim Einsatz von Verschlüsselungstechnologien nicht beachtet. Ein gutes Beispiel für jeden Anwendungsentwickler, wie man Kryptographie nicht einsetzt. Sicherheit ist etwas anderes. Die Analyse vom CCC ist absolut lesenswert.