Mitglied des CCC kritisiert Messenger whistle.im

19. August 2013 Kategorie: Backup & Security, Internet, geschrieben von: caschy

PRISM, NSA, Tempora und Co. Hochkonjunktur für angeblich sichere Dienste „Made in Germany“. Leider oft getreu dem Motto „Gut gedacht, schlecht gemacht“. So auch im Falle des angeblich sicheren Messengers whistle.im, den wir an dieser Stelle bereits vorstellten. Ein Mitglied des Chaos Computer Club hat sich den Messenger, dessen Kryptographiemodul Open Source ist, einmal angeschaut und rät derzeit vom Einsatz ab. So haben sich die Macher von whistle.im wohl einige Fehltritte in der Realisierung des Messengers erlaubt.

whistle

Ich zitiere in Auszügen.

  • Der Dienstanbieter betreibt einen Keyserver, auf dem die RSA-Keys aller Kommunikationsteilnehmer abgelegt sind. Dies bedeutet, dass der Anbieter die Schlüssel an die Nutzer austeilt. Dort kann natürlich ein gefälschter Key ausgeliefert werden und somit die Kommunikation mitgelesen werden.
  • Die privaten Schlüssel der Kommunikationsteilnehmer liegen (wenn auch verschlüsselt) auf dem Server des Dienstanbieters. Erhält dieser Kenntnis vom Passwort, so kann nachträglich jede Kommunikation entschlüsselt werden.
  • Es handelt sich um einen zentralen Dienst. Daher ist der Dienstanbieter auch in er Lage herauszufinden, wer, wann mit wem für wie lange kommuniziert.

Die genutzte SSL-Verschlüsselung wird in Sachen SSL-Zertifikat weiter nicht geprüft, sodass selbst signierte Zertifikate akzeptiert werden. Weiterhin ein Kritikpunkt: Nicht nur der Public-, sondern auch der Private-Key liegen auf dem Server des Dienstanbieters. Obwohl die Website vermittelt, dass der Anbieter keinen Zugriff auf die Kommunikation hat, werden die Schlüssel auf dem Server abgelegt. Diese sind zwar verschlüsselt, mit Kenntnis des Benutzerpasswortes kann aber Anbieterseitig die komplette Kommunikation nachvollzogen werden. Ebenfalls werden Nachrichten auf dem Server zwischengepuffert, sodass der Betreiber nachträglich Nachrichten lesen könnte, sofern er das Passwort zum Entschlüsseln der privaten Keys in die Hände bekommt.

Das Fazit des Sicherheitsexperten?

Alles in allem ein vollkommen undurchdachtes Konzept. Die aktuellen Analysen kratzen bisher nur an der Oberfläche und decken eklatante Sicherheinsmängel und ein grundlegendes Missverständnis kryptographischer Algorithmen auf. Statt sich mit existierenden Lösungen zu beschäftigen und diese zu verbessern, wird hier durch den Versuch ein neueres, bunteres Verfahren zu entwickeln eine cryptographische Bauchlandung vollzogen.

Brauchbare Alternativen gibt es, wie zum Beispiel OTR in diversen Messengern oder GnuPG über XMPP, ihnen fehlt allerdings die benutzerfreundliche Integration.



Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22144 Artikel geschrieben.

31 Kommentare

Max 19. August 2013 um 10:15 Uhr

Ich kann hier wirklich „Threema“ empfehlen!

Perry 19. August 2013 um 10:32 Uhr

Aus welchem Grund liegen die privaten Schlüssel eigentlich auf dem Server? Was haben die Anbieter damit vor?

keek69 19. August 2013 um 10:33 Uhr

Diese ganzen Insellösungen (Threema, hemlis, whistle) wollen einen „idiotensicheren“ IM wo aber letztendlich die Flexibilität auf der Strecke bleibt. Ich möchte einem IM abhängig sein. Beispielsweise nutze ich auf meinem Smartphone Gibberbot oder yaxim und auf dem Desktop pidgin (Linux) und Miranda (Win). Auch möchte ich (web.de) mit anderen kommunizieren können (z.B. jabber).
Die Basis (offenes xmpp) sollte stets die Grundlage sein! On top kann ein IM gerne eine „idiotensichere“ Authentifizierung enthalten sofern es für mich möglich ist mein web.de Konto ans Netz zu bringen.
Habe keine Lust zig verschiedene IM auf meinem Smartphone zu installieren weil jeder meiner Kontakte eine andere Lösung hat.

keek69 19. August 2013 um 10:34 Uhr

….NICHT von einem IM abhängig sein.
Typo – sry!

Phadda 19. August 2013 um 10:47 Uhr

Lieber ein ‚idioten“sichere“s‘ Mailprogramm wie ein IM.

tbo 19. August 2013 um 10:50 Uhr

Würde es besser finden wenn dieser „Sicherheitsheitsexperte“ lieber mit den Machern diskutieren würde damit die Software / App besser wird anstatt in die Welt zu posaunen wie unsagbar schlecht whistle.im (angeblich) ist.

eve 19. August 2013 um 10:53 Uhr

da die anbieter eh zugriff auf die SIM haben und somit auf das gerät ist es soweiso sinnlos… auf so einem gerät irgend was für sicer zu erachten

keek69 19. August 2013 um 11:15 Uhr

@tbo
Finde das schon richtig es anzuprangern. Der Sicherheitsexperte ist hier nicht in der Bringschuld. Vermutlich wußte er überhaupt nichts von dem Projekt. Vielmehr hätten sich die Macher besser informieren sollen.
Übrigens basteln ein paar Schweden an einem ähnlichen Projekt (www.heml.is). Hier hatte ein xda-Sicherheitsspezialist im Vorfeld einiges kritisiert und angeboten sich mit ihm in Kontakt zu setzen. Ob dies nun allerdings geschehen ist weiß ich nicht..

Jakob 19. August 2013 um 11:21 Uhr

@tbo:
Nach dem Lesen der Quelle kann man eigentlich nur zu dem Schluss kommen, dass den Machern der App nicht zu helfen ist. Grundlegende Fehler im Konzept kann man nicht mal eben reparieren…
Ich möchte auch keine „sichere“ Messenger-App von Leuten verwenden die jetzt nur auf den Zug aufspringen weil es gerade „In“ ist, ohne Grundlegende Kryptographie-Kenntnisse zu haben…

blablubb 19. August 2013 um 12:07 Uhr

Wie schaut es denn eigentlich im Moment aus?

So wie ich das mitbekommen habe ist Threema doch am weitesten verbreitet und scheint das „Rennen“ um die sicheren Messenger zu gewinnen, oder?

Wie schaut es denn bei Threema mit der Sicherheit aus? Wie ist der allgemeine Konsenz zu dessen Sicherheit?

Jakob 19. August 2013 um 12:10 Uhr

Threema hätte denke ich vielleicht eine Chance wenn es eine (eingeschränkte) kostenlose Variante geben würde. Also wenn z.B. mit der kostenlosen keine Bilder versendet werden können. Oder wenn man nur mit maximal 5 Personen chatten kann. Zum testen würde das reichen.
Das Problem ist das eine kritische Masse erreicht werden muss, und das ist bei Bezahl-Apps nicht so leicht….

Axel 19. August 2013 um 12:26 Uhr

Threema ist für Android-Nutzer günstiger als WhatsApp. Hier wird einmal gezahlt und das war es dann. Sucht im Internet mal nach „Monoxyd“ und „Threema“. Es gibt dort einen Podcast zu dieser App mit dem Entwickler. Sehr informativ.

Deneb 19. August 2013 um 12:28 Uhr

Wie siehts denn mit Hoccer XO aus, hat jemand schon Erfahrung damit?

david 19. August 2013 um 12:40 Uhr

Ich nutze auch gerne Threema. Es ist schön zu sehen, dass der Messenger so langsam Anklang findet.
Ich bin gespannt ob sich der CCC auch mal Threema vornimmt, denn auch diese App muss noch die Sicherheit bis ins Detail beweisen.

Der Podcast mit dem Kasper (Initiator der App) war zu mindestens sehr ermutigend.

keek69 19. August 2013 um 12:40 Uhr

Gibberbot+Dateitransfer
Das wär’s!
Die Gibberbot Jungs sind auch absolute Sicherheitsfanatiker. Sicherlich kein Schmuh, was die machen.
Wundere mich sowieso weshalb es noch keinen jabber client mit Filetransfer gibt – mal von den ganzen Sicherheitsaspekten abgesehen.

Florian 19. August 2013 um 13:26 Uhr

Also die Aussage, dass es sich um eine Kampagne handelt, finde ich bei einem Mitglied des CCC, welches „sichere“ Software auf seine Sicherheitstauglichkeit überprüftet für überzogen und falsch. Ich finde es auch gut, dass die Meinung öffentlich gemacht wird, damit der Hype gestoppt / verhindert werden kann. Was passiert, wenn dein Freundeskreis erstmal zu whistle hinmigriert ist von whatsapp? Noch eine Migration auf einen anderen Dienst wird es nicht so schnell geben.

Mich würde auch interessieren, ob es näheres zu Threema gibt, außer den Äußerungen der Entwickler. Hier sollte man auch beachten, dass Threema bereits vor Snowdens Äußerungen vorhanden war und jetzt nicht auf Krypto-Zug aufspringen muss im Gegensatz zu den derzeit aufkeimenden Pseudo-Krypto-Diensten…

Just Me 19. August 2013 um 15:37 Uhr

Die Entwickler von whistle.im sind ja auch zwei Studenten, ich denke da fehlt schon die Erfahrung und ich bezweifle, dass sie eine Spezialisierung auf dem Gebiet Kryptographie haben 😉 Als Student macht man viele grundlegende Fehler, gerade schon beim anfänglichem Design.
Aber private Schlüssel auf Server auslagern ist nie eine wirklich gute Idee, auch wenn es wohl gemacht wird um mehrere Geräte mit seinem Benutzernamen nutzen zu können ohne sich über den „Transport“ des Schlüssels Gedanken machen zu müssen.
Ich selber nutze auch Threema, mit kaum Kontakten, wie es sich für ein Programm eben gehört, welches nicht WhatsApp heißt 😉 . Ob das jetzt sicherer ist kann man nicht sagen, da es eben closed source ist. Zumindest bleibt der private Schlüssel dort auf dem Gerät, ansonsten muss man sicher aber auf die Aussagen der Hersteller verlassen und diese glauben.

Fabian 19. August 2013 um 15:48 Uhr

„Aber private Schlüssel auf Server auslagern ist nie eine wirklich gute Idee, auch wenn es wohl gemacht wird um mehrere Geräte mit seinem Benutzernamen nutzen zu können ohne sich über den “Transport” des Schlüssels Gedanken machen zu müssen.“

Was natürlich das ganze VÖLLIG ad absurdum führt.
Wenn es EINE EINZIGE Sache gibt um die man sich bei Verschlüsselung auf jeden Fall sorgen sollte, dann ist das der ‚Transport‘ des Private Keys. Sonst kann man es gleich sein lassen…

Jakob 19. August 2013 um 16:07 Uhr

Wenn es wirklich nur um das Unterstützden von mehreren Geräten geht, ist das Speichern der (verschlüsselten) private Keys auf dem Server echt übers Ziel hinausgeschossen! Ein einfacher QR-Code zum Abfotografieren hätte ja gereicht, Kameras haben die Geräte doch eh alle…

leosmutter 19. August 2013 um 17:24 Uhr

Gibberbot auf Android, ChatSecure auf iOS, Pidgin mit OTR-Plugin auf Win (kann wirklich jeder Horst installieren) und die Sache ist gegessen. Jahrelang bewährtes OTR auf allen Platformen. Ich persönlich würde keiner „Lösung“ vertrauen, die private Schlüssel über das Internet versendet bzw auf Servern vorhält (ob verschlüsselt oder nicht).

gast 19. August 2013 um 18:17 Uhr

die jungs vom CCC sollten mal ein paar gute messenger nennen oder selber an einem mitarbeit oder erstellen wenn sie schon so viel ahnung haben

Jakob 19. August 2013 um 19:22 Uhr

@OTR: soweit ich das verstanden habe geht OTR nur für chat-Verbindungen bei denen beide gleichzeitig online sind. Das ist für mobile kommunikation aber nicht sehr vorteilhaft. Man möchte auch Nachrichten verschicken können, wenn der Kommunikationspartner gerade offline ist. Und das geht mit OTR eben nicht… Es wäre allerdings schön wenn es für dieses Problem einen anderen Standard geben würde.

leosmutter 20. August 2013 um 09:37 Uhr

@Jakob

Threema hört sich vom Prinzip (Private Key verbleibt auf dem Endgerät) her sicher an. Ob die Implementierung allerdings auch sicher programmiert wurde ist eine andere Frage.

Für mich jedenfalls bleibt OTR das Maß der Dinge. Und für Offlinemessages am PC schnappt man sich bitmessage. Das kann auch jeder DAU starten und benutzen.

Deneb 20. August 2013 um 12:27 Uhr

@leosmutter
dann erklär doch mal bitte die Installation von bitmessage, zb auf Mac OSX, so dass es jeder DAU hinbekommt.

leosmutter 20. August 2013 um 20:01 Uhr

@Deneb

„Und für Offlinemessages am !PC! schnappt man sich bitmessage“ -> Wer lesen kann ist klar im Vorteil. Unter OSX scheint es ja zu klappen, auch wenn man ein paar Zeilen ins Terminal eintippen muss bzw. der normale Mac-User kann ja Copy/Paste mit der Maus aus dem bitmessage-Wiki machen. Das sollte ihn nicht überfordern 😉

Wie auch immer. Die Whistle-Boys sollten ihr SSL anwerfen, private Keys lokal auf dem Gerät speichern mit verschlüsselter Export/Import-Option, public Keys bitte signieren und vielleicht auch lokal speichen und das Ding ist wieder wasserdicht. Nur lange rumeiern sollten Sie nicht und auch nicht rumheulen dass es Beta ist. Die Frage ist nur ob das ganze Projekt nicht zu sehr unter diesem CCC-Bericht gelitten hat. Vielleicht hätte ein kurzer Blick auf das Threema-Konzept auch geholfen.

MikeS 22. August 2013 um 07:25 Uhr

Hinter C64 sollte eigentlich das Wort „stand“ statt „debattieren“ stehen.

Zehbesoft 25. August 2013 um 08:46 Uhr

Habt ihr schon mal Kontalk angeschaut. Das kann man gut testen. Sehr Recourcenschonend, kostenlos, Opensource und Ende zu Ende verschlüsselt. Das kann man gut parallel zu WhatsApp ausprobieren 🙂




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.