_
toggle menu eXmatrikulationsamt.de
online: Frecki und 338 gäste

Verschlüsselung für Smartphonenachrichten

threema, surespot, textsecure, Kontalk
Themen Layout: [Standard] · Linear · Outline Thema abonnieren | Thema versenden | Thema drucken
post 13 Jul 2013, 02:02
avatar
Straight Esh
*********

Punkte: 14030
seit: 01.10.2003

Wer benutzt sowas, wer hat da schon Erfahrungen? Welche app taugt und worauf sollte man achten?


--------------------


bonum agere et bonum edere,
sol delectans et matrona delectans

(Verlängere dein Leben indem du hier und hier und hier und hier klickst!)
ProfilPM
AntwortenZitierenTOP
post 13 Jul 2013, 13:58
avatar
alleingelassen.
*********

Punkte: 9584
seit: 22.10.2004

Man sollte zunächst auf einige grundlegende Kriterien achten: Kann der Messanger End-to-end-Verschlüsselung, Offline-Messaging, Groupchats und ist er OpenSource?

Habe da einen Blog-Eintrag mit einer Übersicht gefunden, der als erster Einstieg in das Thema dienen kann.

Ansonsten gilt dies. smile.gif

~Abd


--------------------
..:: Wir sind gekommen Dunkelheit zu vertreiben, in unseren Händen Licht und Feuer ::..
ProfilPM
AntwortenZitierenTOP
post 13 Jul 2013, 16:32
avatar
Leisetreter
********

Punkte: 1723
seit: 20.10.2004

Zitat(abadd0n @ 13 Jul 2013, 14:58)
Habe da einen Blog-Eintrag mit einer Übersicht gefunden, der als erster Einstieg in das Thema dienen kann.
*

Xabber für Android könnte man noch hinzufügen (kann OTR).

Golem.de hat gestern einen zusammenfassenden Artikel über Verschlüsselungsmöglichkeiten veröffentlicht.


--------------------
bild kann nicht angezeigt werden
ProfilPM
AntwortenZitierenTOP
post 14 Jul 2013, 11:19
avatar
parse error
*********

Punkte: 13746
seit: 27.05.2003

der meiner meinung nach wichtigste aspekt beim versuch, einen whatsapp-nachfolger aus der taufe zu heben, ist standardkonformität, sprich, ob das programm der wahl nur mit seinesgleichen sprechen kann, oder auch mit anderen programmen.

wenn man ne email schreibt, ist auch keine grundvoraussetzung, dass der empfänger das gleiche mailprogramm verwendet wie man selbst. und genau so sollte es beim chatten ebenfalls sein.

push notifications über die apis, die die betriebssysteme zur verfügung stellen, sollte jedenfalls drin sein, sonst ist der akku nach drei stunden bereitschaft leer (wie bei xabber zb.)
ProfilPM
AntwortenZitierenTOP
post 14 Jul 2013, 11:55
avatar
Leisetreter
********

Punkte: 1723
seit: 20.10.2004

Das mag ein wichtiger Aspekt für dich oder allgemein technikaffine Nutzer sein, aber für die meisten Nutzer muss es vor allem einfach und funktional sein. Und hier hat WhatsApp die wahrscheinlich einfachste Möglichkeit überhaupt gefunden: Es benutzt die Telefonnummer des Nutzers und jeder andere wird automatisch in der Liste angezeigt. Um einen neuen Anbieter zu etablieren müsste er etwas bieten, was die bisherigen Platzhirsche nicht bieten und ich bin mir nicht so sicher ob Verschlüsselung da ein hinreichend starkes Argument ist. Heml.is hört sich recht interessant an, wird aber wahrscheinlich auch ein geschlossenes System.
ProfilPM
AntwortenZitierenTOP
post 15 Jul 2013, 17:33
avatar
Straight Esh
*********

Punkte: 14030
seit: 01.10.2003

Für mich kommt als knackpunkt auch noch die Plattform hinzu. Da liegt whatsapp ganz vorne, aber mindestens Apple und Google sollten unterstützt werden.

Würdet ihr für gute Verschlüsselung zahlen?
Wie stehen die Chancen, das Google, Apple oder der Programmierer gezwungen werden, verdeckt die Daten am Gerät abzugreifen?
ProfilPM
AntwortenZitierenTOP
post 15 Jul 2013, 18:20
avatar
parse error
*********

Punkte: 13746
seit: 27.05.2003

zahlen tut man meistens für software, deren quellcode nicht zur verfügung steht. da kann man also gar nicht überprüfen, ob die verschlüsselung „gut“ ist. also: nein.
ProfilPM
AntwortenZitierenTOP
post 16 Jul 2013, 09:12
avatar
dLikP
*******

Punkte: 1497
seit: 06.10.2006

Zitat(mcnesium @ 15 Jul 2013, 19:20)
zahlen tut man meistens für software, deren quellcode nicht zur verfügung steht. da kann man also gar nicht überprüfen, ob die verschlüsselung „gut“ ist. also: nein.
*


Ack, gute Kryptografie ist immer offen, nachprüfbar (nein, das heißt nicht, dass jeder Nutzer das selber tun soll) und hat sich idealerweise schon ein paar Jahre im Einsatz bewährt.

Zitat(Chris @ 15 Jul 2013, 18:33)
Für mich kommt als knackpunkt auch noch die Plattform hinzu. Da liegt whatsapp ganz vorne, aber mindestens Apple und Google sollten unterstützt werden.

Würdet ihr für gute Verschlüsselung zahlen?
Wie stehen die Chancen, das Google, Apple oder der Programmierer gezwungen werden, verdeckt die Daten am Gerät abzugreifen?
*


Definiere doch erstmal gegen was du dich schützen willst:

- Neugierige Blicke von Freunden/Familie/Whoever
- Passiver Netzwerksniffer (offenes WLAN z.B.)
- Man in the Middle, der auch Traffic verändern kann
- Der Betreiber des Messaging-Dienstes, der nicht mitlesen können soll
- Die NSA und co.- Also die, die mit U-Booten Unterseekabel anzapfen fährt und sicher auch Google/Apple dazu bringen kann, dir beim nächsten Update mal eine etwas andere Version der Apps auszuliefern. Da hilft dann auch OpenSource nicht mehr, wenn die Binaries aus dem AppStore nicht echt sind.

Je nach Szenario reicht die Antwort dann von "Telefon mit Passwort schützen" bis zu "geht nicht". Das neuerliche Interesse an Kryptografie kommt ja vermutlich mehrheitlich vom Abhörskandal. Aber leider verträgt sich Krypto und "einfach und funktional" meist garnicht. Das geht zwar, aber meist nur, wenn alle Teilnehmer einer zentralen Instanz vertrauen. Die signiert/verwaltet dann meist die öffentlichen Schlüssel so dass man sich den mühsameren PGP-Weg mit Web of Trust und Keys selber signieren sparen kann. Blöd nur, dass ja jetzt gerade herausgekommen ist, dass diese zentralen Instanzen eben nicht ganz so vertrauenswürdig sind (die ganzen SSL-Fuckups sind ja nicht wirklich über interessierte Kreise hinaus publik geworden).

Und auch OpenSource und der Einsatz bewährter Bibliotheken schützt nicht vor schlechter Krypto, wenn der Entwickler ignorant ist, wie das Beispiel von Cryptocat (SZ-Version) schön zeigt (Nerd-Version des SZ-Artikels).

Ich bin sicher, die aktuelle Nachfrage nach einfach zu bedienender Krypto wird sicher mit schnell dahinprogrammierten Apps befriedigt werden und in jeder werden irgendwelche Zeitbomben schlummern. Da ist es doch vielleicht besser in dem Wissen zu kommunizieren, dass man abgehört wird, anstatt fälschlicherweise Vertraulichkeit anzunehmen.


--------------------
flickr
Und wenn sie kommt, fährt sie an uns vorbei
-RaT-
ProfilPM
AntwortenZitierenTOP
post 16 Jul 2013, 09:55
avatar
parse error
*********

Punkte: 13746
seit: 27.05.2003

Zitat(Polygon @ 16 Jul 2013, 10:12)
Da ist es doch vielleicht besser in dem Wissen zu kommunizieren, dass man abgehört wird, anstatt fälschlicherweise Vertraulichkeit anzunehmen.


wenn man weiß, dass man überwacht wird, verhält man sich aber nicht mehr so, wie man sich in vertrauter umgebung verhält. das kann man zwar erstmal hinnehmen, aber es ist ein für die freiheitlich demokratisch aufgeklärte gesellschaft sehr gefährlich, denn früher oder später gewöhnt sich der gemeine homo sapiens an die unterdrückung, und merkt gar nicht, wenn der knoten immer und immer enger gezogen wird.

frosch im kochtopf, DDR, 1984… jedem sollte klar sein, wo das hinführt. darum bin ich strikt dagegen, die sache einfach zu akzeptieren. wir müssen nach lösungen zu suchen, die uns irgendwie voranbringen.

chris' vorstoß ist der richtige weg: diskussionen anfeuern, den leuten die problematik ins bewusstsein bringen und früher oder später sogar mutti und vati überzeugen, dass hier von jedem selbst etwas getan werden muss. „informationelle selbstbestimmung“ ist das stichwort.
ProfilPM
AntwortenZitierenTOP
post 17 Jul 2013, 08:39
avatar
Straight Esh
*********

Punkte: 14030
seit: 01.10.2003

Wogegen will ich mich schützen: hauptsächlich gegen Datensammler, die dann im nachhinein aus meinen Daten komprimitierendes Material generieren. Also Geheimdienste, die die Daten selbst abgreifen oder Serverbetreiber, die das Material dann an Richter oder andere Dienste ausliefern müssen.

Für die Authentifizierung von Schlüsseln hat threema einen schönen weg gefunden, man kann die Information einfach via QRCode einscannen, wenn man sich gegenüber steht. Und die Möglichkeit habe ich ja mit Handy und meinen Freunden doch oft genug.
ProfilPM
AntwortenZitierenTOP
post 17 Jul 2013, 19:15
avatar
dLikP
*******

Punkte: 1497
seit: 06.10.2006

Zitat(mcnesium @ 16 Jul 2013, 10:55)
wenn man weiß, dass man überwacht wird, verhält man sich aber nicht mehr so, wie man sich in vertrauter umgebung verhält. das kann man zwar erstmal hinnehmen, aber es ist ein für die freiheitlich demokratisch aufgeklärte gesellschaft sehr gefährlich, denn früher oder später gewöhnt sich der gemeine homo sapiens an die unterdrückung, und merkt gar nicht, wenn der knoten immer und immer enger gezogen wird.

frosch im kochtopf, DDR, 1984… jedem sollte klar sein, wo das hinführt. darum bin ich strikt dagegen, die sache einfach zu akzeptieren. wir müssen nach lösungen zu suchen, die uns irgendwie voranbringen.


Ich glaube du hast meinen Beitrag falsch verstanden. Ich stimme dir natürlich zu. Die Frage war aber eher ob es sinnvoll ist, jetzt irgendwelche schnell dahinprogrammierten Apps einzusetzen, die vermutlich fast alle Schwachstellen (meist im Namen der Einfachheit) haben und sich dann in falscher Sicherheit zu wiegen (siehe Cryptocat).

Es ist aber durchaus eine interessante Frage ob es besser ist in dem Glauben zu kommunizieren, nicht abgehört zu werden, obwohl das vielleicht nicht stimmt.

Zitat
chris' vorstoß ist der richtige weg: diskussionen anfeuern, den leuten die problematik ins bewusstsein bringen und früher oder später sogar mutti und vati überzeugen, dass hier von jedem selbst etwas getan werden muss. „informationelle selbstbestimmung“ ist das stichwort.
*


Ja, die Frage ist nur ob es sinnvoll ist, wenn dann unsichere Lösungen propagiert werden. Denn wie gesagt, hier geht es nicht mehr um Verteidigung vor neugierigen Blicken irgendwelcher Bekannter sondern um Verteidigung gegen den Betreiber und potenzielle Geheimdienste.

Zitat(Chris @ 17 Jul 2013, 09:39)
Wogegen will ich mich schützen: hauptsächlich gegen Datensammler, die dann im nachhinein aus meinen Daten komprimitierendes Material generieren. Also Geheimdienste, die die Daten selbst abgreifen oder Serverbetreiber, die das Material dann an Richter oder andere Dienste ausliefern müssen.

Für die Authentifizierung von Schlüsseln hat threema einen schönen weg gefunden, man kann die Information einfach via QRCode einscannen, wenn man sich gegenüber steht. Und die Möglichkeit habe ich ja mit Handy und meinen Freunden doch oft genug.
*


Also Threema hab ich mir mal angesehen. Es geht alles über einen zentralen Dienst, das heißt der Betreiber kennt auf jeden Fall

- Wann du mit jemandem kommunizierst
- Mit wem du kommunizierst
- Wieviel mit kommunizierst

Das entspricht grob dem, was es hier in Deutschland mal als Vorratsdatenspeicherung geben sollte. Weiterhin möchte diese App in der Android-Version folgende Rechte haben:

- Kontakte lesen
- Inhalt des Telefonspeichers auslesen
- SMS empfangen, lesen und bearbeiten (WTF?)
- Standortbestimmung (WTF??)
- Zugriff auf Kamera für Bilder und Videos, daher auch Mikrofon (WTF???)
- Deine persönlichen Daten lesen

Der Anbieter beteuert natürlich, dass er nix böses anstellt, aber wenn man ihm das glaubt, geht es eben wieder um Vertrauen. Da kann man dann auch jeden anderen nehmen. Weiterhin ist die Anwendung closed-source (großes No-Go bei crypto!) und wurde lt. eines Podcasts auch noch nicht einem externen Audit unterworfen. D.h. man muss derzeit davon ausgehen, dass sich den Cryptocode noch niemand außer den Entwicklern angesehen hat und daher weiß auch keiner ob es dort Unsicherheiten gibt. Die müssen nichtmal absichtlich eingebaut worden sein, da reichen schon dumme Fehler aus Unkenntnis und plötzlich bleiben von den vielen schönen Bits des Schlüssels effektiv nur noch sehr wenige übrig.
ProfilPM
AntwortenZitierenTOP
post 18 Jul 2013, 05:19
avatar
Straight Esh
*********

Punkte: 14030
seit: 01.10.2003

Thema wer mit wem:
mit der Idee, dass man Daten an jeder beliebigen Stelle der Übermittlung abgreifen kann, ist es überhaupt möglich zu verhindern, dass man diese Daten preis gibt? auch ein jabberserver muss seine Daten irgendwie zustellen und sobald ich Zugriff auf den Server habe, kann ich das überwachen?

Thema Rechte von threema:
Zugeständnisse an die Einfachheit. mittels SMS identifiziert man seine Telefonnummer, man kann aus dem Programm heraus seinen Standort und Bilder verschicken. klar muss ich vertrauen, aber zu moderner Kommunikation gehören solche Daten dazu.

weitere Frage:
wie ist es mir möglich zu überprüfen, ob die app aus dem Google Markt dem Source Code entspricht? oder sind alle Bestrebungen nutzlos, weil mir Google immer eine aufgebohrte Version unterschieben kann ohne dass ich es merke?
ProfilPM
AntwortenZitierenTOP
post 09 Aug 2013, 14:18
avatar
parse error
*********

Punkte: 13746
seit: 27.05.2003

WHISTLE.IM - Verschlüsselter Whatsapp-Konkurrent kommt aus Deutschland

Nach Angaben von Whatsapp gibt es 20 Millionen aktive Anwender in Deutschland. Whistle.im will eine 2.048-Bit-End-To-End-verschlüssselte Alternative sein, bei der das Adressbuch nicht bei der NSA abgegeben wird.

ProfilPM
AntwortenZitierenTOP
post 19 Aug 2013, 08:57
avatar
Diplom
********

Punkte: 1811
seit: 16.05.2007

http://hannover.ccc.de/~nexus/whistle.html - Nur falls jemand Hoffnungen hatte.
ProfilPM
AntwortenZitierenTOP
post 19 Aug 2013, 08:59
avatar
fuk da hataz
*********

Punkte: 15000
seit: 27.05.2003

Zitat
Fehler: Server nicht gefunden
Der Server unter hannover.ccc.de konnte nicht gefunden werden.


ich hatte zumindest hoffnungen, die seite öffnen zu können :P


--------------------
onkelroman war hier
ProfilPM
AntwortenZitierenTOP
1 Nutzer liest/lesen dieses Thema (1 Gäste)
0 Mitglieder: