Verschlüsselung für Smartphonenachrichten threema, surespot, textsecure, Kontalk

Kennt jemand Hike?

IMHO: Vorsicht vor falschen Krypto-Versprechen

Wer ein kryptographisches Protokoll neu erfindet und die entsprechende Software dafür schreibt, muss eine sehr lange Liste von Dingen dabei berücksichtigen. Dabei reicht es nicht, Erfahrung im Programmieren zu besitzen. Man muss sich detailliert mit den Tücken der Kryptographie auseinandersetzen. Andernfalls sind gravierende Fehler kaum vermeidbar.
[…]
Ein sicherer Messenger muss die Funktionsweise seines Protokolls und den Quellcode offenlegen. Klar ist aber auch: Der Quellcode alleine reicht nicht. Es muss auch gewährleistet sein, dass dieser von erfahrenen Kryptographen untersucht wurde und es muss nachvollziehbar sein, wie aus dem Quellcode das spätere Binärpaket erstellt wurde.
[…]
Wo immer möglich, sollte man bei der Entwicklung von Kryptographie-Software auf Bewährtes setzen. Auch wenn TLS seine Tücken hat, gravierende Fehler wird man darin bei Verwendung der aktuellen Version wahrscheinlich nicht finden, Selbiges gilt für PGP und OTR. Wer neue Protokolle entwickeln will, sollte trotz allem nicht versuchen, Verschlüsselungsalgorithmen wie AES selber zu programmieren, es gibt genügend frei verwendbaren Code.

Kennt jemand Hike?

Hat soweit ich weiß nur SSL Verschlüsselung, also nichts mit Ende zu Ende.

Ich nutze noch skype und kenne Leute, die Viber nutzen. Sind natürlich keine reinen Messenger.

Prinzipiell verstehe ich auch nicht die Panikmache um whatsapp. Wer auf Facebook keine Geheimnisse hat und da seinen Seelenstriptease abzieht (gibt ja solche Leute und zwar nicht gerade wenige), dem können unverschlüsselte Nachrichten doch auch schnurz sein.

Prinzipiell verstehe ich auch nicht die Panikmache um whatsapp.

Vielleicht weil es Leute gibt, auf die

Wer auf Facebook keine Geheimnisse hat und da seinen Seelenstriptease abzieht (gibt ja solche Leute und zwar nicht gerade wenige), dem können unverschlüsselte Nachrichten doch auch schnurz sein.

nicht zutrifft?

Kürzlich gab es zu diesem Thema auch einen Artikel bei heise.de.... fyi.
Bei TextSecure soll nun angeblich die Krypto-Funktion für SMS entfernt werden.

Hat schon einmal jemand "Sicher" von der dt. Firma "Shape" ausprobiert?
heise.de
Hersteller

#a

falls noch jemand threema ausprobieren will: das gibts heute angeblich fürn halben preis im äppstohr

ich find ja die argumentation von ihm gar nicht schlecht, dass man trotz der fragwürdigen sicherheitsaspekte mit threema eben mal nicht über die server der üblichen verdächtigen kommuniziert. immerhin ein anfang.

Bleep: Neuer Chat-Service von BitTorrent im Alpha-Status gestartet

Neu von der EFF: Secure Messaging Scorecard - Which apps and tools actually keep your messages safe?

Jetzt gibts also haufenweise „sichere“ Messenger fürs Telefon, die alle das gleiche Problem haben: sie sind zueinander inkompatibel. Muss es erst wieder soweit kommen, dass man Multimessenger wie Trillian, Miranda, Psi und wie sie alle hießen benötigt, um EIN Programm zur Kommunikation mit allen Partnern zu verwenden? Warum zum Teufel kann man sich nicht mal auf einen Standard einigen? Ist ja nicht so, dass es keine offenen Standards gibt.

Warum zum Teufel kann man sich nicht mal auf einen Standard einigen? Ist ja nicht so, dass es keine offenen Standards gibt.

Hat man ja, bei den meisten Anbietern läuft oder lief irgendeine Form von XMPP (auch als Jabber bekannt). Definitiv bei Google Talk, Facebook und WhatsApp. In der Anfangsphase konnte man als "normaler" Jabbernutzer auch mit Leuten reden, die bei Google Talk und Facebook waren. Aber dann haben die sich gedacht "ist ja eigentlich blöd, dann melden die sich gar nicht bei uns an" und der Datenaustausch mit anderen XMPP-Servern wurde unterbunden. Und dann endete die kurze schöne Zeit des (dank OTR) sicheren Instant Messagings für die Massen.

Jetzt haben wir übzn Lösungen, die zueinander inkompatibel sind und deren Sicherheit häufig auf "wir haben ganz dolle Krypto, vertraut uns!" basiert. Vertrauen muss man meistens, dass der Anbieter selbst nicht Teil der Attacke ist. Da dieser ganze Krypto-Messaging Hype im Nachgang der Snowden-Sache entstanden ist fand ich, dass dieses Argument einer gewissen Komik nicht entbehrte.

War ja eigentlich absehbar, da es bei zentralisierten Diensten immer so läuft. Entweder setzt sich einer durch und der Rest ist völlig unbedeutend und nur noch in Nischen relevant (Facebook vs. Google+/Ello/Lokalisten/ResearchGate/Wiesiealleheißen) oder es bilden sich eben zueinander inkompatible Systeme die Ihren Markt bedienen, so wie früher ICQ in Europa recht verbreitet war während in den Staaten eher MSN genutzt wurde. Angearscht war, wer Kontakte in beiden Regionen hatte.

Dass es nochmal ein Trillian oder Miranda geben wird, mit dem das alles erträglicher wird, glaube ich aber eher nicht. Heute kriegt man über Patentklagen oder sonstige "Hackergesetze" solche Clients eigentlich ganz gut kaputt. Denn sie wiedersprechen ja dem erklärten Ziel, der alleinige Marktführer zu werden, damit der Venture Capitalist seinen fetten Exit bekommt.

Federated Services wie Jabber sind leider nicht mit der Startup-Welt vereinbar. Darum ist ja die EMail immernoch der kleinste Nenner, mit dem man jeden erreicht. Ein Musterbeispiel für einen Federated Service, auch wenn hier nicht alles perfekt ist. Das hat aber eher damit zu tun, dass beim Entwurf nie daran gedacht wurde, dass mal Milliarden Menschen den Dienst nutzen würden.

Dieser Beitrag wurde von Polygon: 05 Nov 2014, 18:30 bearbeitet

Xmpp wird halt erst sehr langsam fit für den "mobilen" Einsatz. Zwar gibt es schon ewig Xabber aber das kann kein Stream Management, was zu haufenweise disconnects/connects führt wenn man sich "durch verschiedene Netz" bewegt und auch keine Message Carbons, mit denen die Daten nicht nur auf einem (dem im Zweifelsfall gerade falschen) Gerät landen. Conversations kann zwar beides, ist aber sonst im Funktionsumfang noch recht begrenzt. Dazu kommt das die ganzen Erweiterungen noch vom Server beherrscht werden müssen.

Für ende-zu-ende Crypto kommt bei XMPP ja meist OTR zum Einsatz, was zwar viele Clients können, was aber IMO nicht mit wechselnden Ressourcen klar kommt, da die Statemachine im Client ist. Im Zweifelsfall ekommt man so also Nachrichten die man nicht entschlüsseln kann auf dem gerade aktuellen Gerät.

Hier muss noch einiges passieren, bis XMPP wirklich eine zuverlässige Option ist.

Ich bin mal gespannt wie es mit Mail weitergeht. Gerade Google sägt hier ja mit seinen vielen "Ideen" zur Auswertung daran das es ein "einfaches" Kommunikationsmedium bleibt. Ganz zu schweigen von Bemühungen wie De-Mail & co.

In der Übersicht fehlt eine Spalte für: kann man ohne Augenkrebs und Krüppelfinger nutzen.

Jabber/XMPP ist denke ich schon die beste Lösung.
Es läuft sogar auf Java-feature-Phones (zB mit IM+), auf Symbian-Handies (Slick) und auch ansonsten auf nahezu jeder Plattform.
Man kann sich seinen Serverbetreiber, dem man vertraut, selbst aussuchen. Wenn man niemandem vertraut, kann man noch seinen eigenen betreiben oder eben OTR benutzen.
Zwischen den Server und den Clients wird per TLS verschlüsselt, und dass die tausend unabhängigen Serverbetreiber alle ihre Daten an die Schlapphüte weiterleiten, halte ich für realitätsfern.
Mit Conversations, der sehr aktiv weiterentwickelt wird, steht nun auch ein schicker Android-Client zur Verfügung, der alles richtig zu machen scheint.
Und, für die Zukunft meiner Meinung nach sehr wichtig: XMPP kann niemals von Facebook oder Google gekauft werden, da es eine dezentrale offene Technik ist.
Da das Protokoll erweiterbar ist, kann es mit den Anforderungen mitwachsen (was es ja auch tut).
Diese ganzen Insellösungen und walled gardens bringen uns ja doch nur kurzfristig weiter.

Wer von euch benutzt denn Jabber?