|
threema, surespot, textsecure, Kontalk
|
|
28 Feb 2014, 15:21
|
parse error
Punkte: 13746
seit: 27.05.2003
|
IMHO: Vorsicht vor falschen Krypto-VersprechenWer ein kryptographisches Protokoll neu erfindet und die entsprechende Software dafür schreibt, muss eine sehr lange Liste von Dingen dabei berücksichtigen. Dabei reicht es nicht, Erfahrung im Programmieren zu besitzen. Man muss sich detailliert mit den Tücken der Kryptographie auseinandersetzen. Andernfalls sind gravierende Fehler kaum vermeidbar. […] Ein sicherer Messenger muss die Funktionsweise seines Protokolls und den Quellcode offenlegen. Klar ist aber auch: Der Quellcode alleine reicht nicht. Es muss auch gewährleistet sein, dass dieser von erfahrenen Kryptographen untersucht wurde und es muss nachvollziehbar sein, wie aus dem Quellcode das spätere Binärpaket erstellt wurde. […] Wo immer möglich, sollte man bei der Entwicklung von Kryptographie-Software auf Bewährtes setzen. Auch wenn TLS seine Tücken hat, gravierende Fehler wird man darin bei Verwendung der aktuellen Version wahrscheinlich nicht finden, Selbiges gilt für PGP und OTR. Wer neue Protokolle entwickeln will, sollte trotz allem nicht versuchen, Verschlüsselungsalgorithmen wie AES selber zu programmieren, es gibt genügend frei verwendbaren Code.
|
|
|
|
|
28 Feb 2014, 15:26
|
Straight Esh
Punkte: 14030
seit: 01.10.2003
|
Zitat(iggi @ 28 Feb 2014, 10:14) Kennt jemand Hike? Hat soweit ich weiß nur SSL Verschlüsselung, also nichts mit Ende zu Ende.
--------------------
bonum agere et bonum edere, sol delectans et matrona delectans (Verlängere dein Leben indem du hier und hier und hier und hier klickst!)
|
|
|
|
|
06 Mar 2014, 15:00
|
Neuling
Punkte: 9
seit: 06.03.2014
|
Ich nutze noch skype und kenne Leute, die Viber nutzen. Sind natürlich keine reinen Messenger.
--------------------
Wir haben zwar kein Ziel vor Augen, strengen uns dafür aber um so mehr an.
|
|
|
|
|
07 Mar 2014, 12:52
|
Neuling
Punkte: 9
seit: 06.03.2014
|
Prinzipiell verstehe ich auch nicht die Panikmache um whatsapp. Wer auf Facebook keine Geheimnisse hat und da seinen Seelenstriptease abzieht (gibt ja solche Leute und zwar nicht gerade wenige), dem können unverschlüsselte Nachrichten doch auch schnurz sein.
|
|
|
|
|
07 Mar 2014, 16:03
|
dLikP
Punkte: 1497
seit: 06.10.2006
|
Zitat(Magister @ 07 Mar 2014, 11:52) Prinzipiell verstehe ich auch nicht die Panikmache um whatsapp.
Vielleicht weil es Leute gibt, auf die Zitat Wer auf Facebook keine Geheimnisse hat und da seinen Seelenstriptease abzieht (gibt ja solche Leute und zwar nicht gerade wenige), dem können unverschlüsselte Nachrichten doch auch schnurz sein. nicht zutrifft?
--------------------
flickrUnd wenn sie kommt, fährt sie an uns vorbei -RaT-
|
|
|
|
|
30 Jul 2014, 23:19
|
alleingelassen.
Punkte: 9584
seit: 22.10.2004
|
Kürzlich gab es zu diesem Thema auch einen Artikel bei heise.de.... fyi. Bei TextSecure soll nun angeblich die Krypto-Funktion für SMS entfernt werden.Hat schon einmal jemand "Sicher" von der dt. Firma "Shape" ausprobiert? heise.de Hersteller#a
--------------------
..:: Wir sind gekommen Dunkelheit zu vertreiben, in unseren Händen Licht und Feuer ::..
|
|
|
|
|
05 Nov 2014, 18:26
|
dLikP
Punkte: 1497
seit: 06.10.2006
|
Zitat(mcnesium @ 05 Nov 2014, 16:26) Warum zum Teufel kann man sich nicht mal auf einen Standard einigen? Ist ja nicht so, dass es keine offenen Standards gibt. Hat man ja, bei den meisten Anbietern läuft oder lief irgendeine Form von XMPP (auch als Jabber bekannt). Definitiv bei Google Talk, Facebook und WhatsApp. In der Anfangsphase konnte man als "normaler" Jabbernutzer auch mit Leuten reden, die bei Google Talk und Facebook waren. Aber dann haben die sich gedacht "ist ja eigentlich blöd, dann melden die sich gar nicht bei uns an" und der Datenaustausch mit anderen XMPP-Servern wurde unterbunden. Und dann endete die kurze schöne Zeit des (dank OTR) sicheren Instant Messagings für die Massen. Jetzt haben wir übzn Lösungen, die zueinander inkompatibel sind und deren Sicherheit häufig auf "wir haben ganz dolle Krypto, vertraut uns!" basiert. Vertrauen muss man meistens, dass der Anbieter selbst nicht Teil der Attacke ist. Da dieser ganze Krypto-Messaging Hype im Nachgang der Snowden-Sache entstanden ist fand ich, dass dieses Argument einer gewissen Komik nicht entbehrte. War ja eigentlich absehbar, da es bei zentralisierten Diensten immer so läuft. Entweder setzt sich einer durch und der Rest ist völlig unbedeutend und nur noch in Nischen relevant (Facebook vs. Google+/Ello/Lokalisten/ResearchGate/Wiesiealleheißen) oder es bilden sich eben zueinander inkompatible Systeme die Ihren Markt bedienen, so wie früher ICQ in Europa recht verbreitet war während in den Staaten eher MSN genutzt wurde. Angearscht war, wer Kontakte in beiden Regionen hatte. Dass es nochmal ein Trillian oder Miranda geben wird, mit dem das alles erträglicher wird, glaube ich aber eher nicht. Heute kriegt man über Patentklagen oder sonstige "Hackergesetze" solche Clients eigentlich ganz gut kaputt. Denn sie wiedersprechen ja dem erklärten Ziel, der alleinige Marktführer zu werden, damit der Venture Capitalist seinen fetten Exit bekommt. Federated Services wie Jabber sind leider nicht mit der Startup-Welt vereinbar. Darum ist ja die EMail immernoch der kleinste Nenner, mit dem man jeden erreicht. Ein Musterbeispiel für einen Federated Service, auch wenn hier nicht alles perfekt ist. Das hat aber eher damit zu tun, dass beim Entwurf nie daran gedacht wurde, dass mal Milliarden Menschen den Dienst nutzen würden. Dieser Beitrag wurde von Polygon: 05 Nov 2014, 18:30 bearbeitet
|
|
|
|
|
05 Nov 2014, 19:10
|
Diplom
Punkte: 1811
seit: 16.05.2007
|
Xmpp wird halt erst sehr langsam fit für den "mobilen" Einsatz. Zwar gibt es schon ewig Xabber aber das kann kein Stream Management, was zu haufenweise disconnects/connects führt wenn man sich "durch verschiedene Netz" bewegt und auch keine Message Carbons, mit denen die Daten nicht nur auf einem (dem im Zweifelsfall gerade falschen) Gerät landen. Conversations kann zwar beides, ist aber sonst im Funktionsumfang noch recht begrenzt. Dazu kommt das die ganzen Erweiterungen noch vom Server beherrscht werden müssen. Für ende-zu-ende Crypto kommt bei XMPP ja meist OTR zum Einsatz, was zwar viele Clients können, was aber IMO nicht mit wechselnden Ressourcen klar kommt, da die Statemachine im Client ist. Im Zweifelsfall ekommt man so also Nachrichten die man nicht entschlüsseln kann auf dem gerade aktuellen Gerät. Hier muss noch einiges passieren, bis XMPP wirklich eine zuverlässige Option ist. Ich bin mal gespannt wie es mit Mail weitergeht. Gerade Google sägt hier ja mit seinen vielen "Ideen" zur Auswertung daran das es ein "einfaches" Kommunikationsmedium bleibt. Ganz zu schweigen von Bemühungen wie De-Mail & co.
|
|
|
|
|
08 Feb 2015, 16:59
|
Neuling
Punkte: 6
seit: 08.02.2015
|
Jabber/XMPP ist denke ich schon die beste Lösung. Es läuft sogar auf Java-feature-Phones (zB mit IM+), auf Symbian-Handies (Slick) und auch ansonsten auf nahezu jeder Plattform. Man kann sich seinen Serverbetreiber, dem man vertraut, selbst aussuchen. Wenn man niemandem vertraut, kann man noch seinen eigenen betreiben oder eben OTR benutzen. Zwischen den Server und den Clients wird per TLS verschlüsselt, und dass die tausend unabhängigen Serverbetreiber alle ihre Daten an die Schlapphüte weiterleiten, halte ich für realitätsfern. Mit Conversations, der sehr aktiv weiterentwickelt wird, steht nun auch ein schicker Android-Client zur Verfügung, der alles richtig zu machen scheint. Und, für die Zukunft meiner Meinung nach sehr wichtig: XMPP kann niemals von Facebook oder Google gekauft werden, da es eine dezentrale offene Technik ist. Da das Protokoll erweiterbar ist, kann es mit den Anforderungen mitwachsen (was es ja auch tut). Diese ganzen Insellösungen und walled gardens bringen uns ja doch nur kurzfristig weiter.
|
|
|
1 Nutzer liest/lesen dieses Thema (1 Gäste)
0 Mitglieder:
|