whistle.im – Versprochene Verschlüsselung als undurchdachtes Konzept

In der zehnten Woche nach Beginn der Snowden-Enthüllungen werden Messanger-Dienste immer beliebter, die verschlüsselte Kommunikation versprechen. Facebook fällt weg, weil wahrscheinlich Schnittstellen zur NSA, zumindest erzählen das die PRISM-Folien. Whatsapp ist zwar vor allem in Deutschland populär, was aber nur an der Einfachheit und Verbreitung liegt und weniger an der nicht vorhandenen verschlüsselten Kommunikation.

In den letzten Wochen haben sich Threema und whistle.im als Alternativen verbreitet. Im Freundeskreis habe ich festgestellt, dass das Schweizer Start-Up Threema gerade bei Personen populär wird, die keine Ahnung von Technik haben und sich nicht dafür interessieren. Denen aber zumindest bewusst ist, dass man die eigene Kommunikation lieber verschlüsseln sollte. Das verspricht Threema, aber ein Beweis ist noch nicht erbracht, dass das Versprechen technisch auch eingehalten wird.

Der Chaos Computer Club Hannover hat sich jetzt mal den Konkurrenten whistle.im genauer angesehen. Der deutsche Dienst ist in den letzten Wochen auch gehypt worden, weil es aus Deutschland kommt, ein Start-Up ist und Verschlüsselung verspricht. Das Werbeversprechen ist: „Secure instant messaging made in Germany.“. Und das Fazit des CCC Hannover lautet: FaaS – Fuckup as a Service. Kurzfassung: Auf die Verschlüsselung sollte man sich nicht verlassen.

Alles in allem ein vollkommen undurchdachtes Konzept. Die aktuellen Analysen kratzen bisher nur an der Oberfläche und decken eklatante Sicherheitsmängel und ein grundlegendes Missverständnis kryptographischer Algorithmen auf. Statt sich mit existierenden Lösungen zu beschäftigen und diese zu verbessern, wird hier durch den Versuch ein neueres, bunteres Verfahren zu entwickeln eine cryptographische Bauchlandung vollzogen.

Und jetzt bitte mal Threema genauer untersuchen. Danke.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Gibt es eigentlich ein Projekt, das die Nutzerfreundlichkeit von whistle.im / Threema mit den bestehenden FOSS-Konzepten kombiniert? Auf dem Desktop ist das ja auch so ein Krampf, bis auf Adium kenn ich kaum einen Client, der Verschlüsselung mit OTR für normalsterbliche Nutzer hinreichend komfortabel macht. Im Mobilbereich kenne ich da auch nicht wirklich viel, wo sich vielleicht auch mal ein GUI-Designer mehr als 30 Sekunden Gedanken zu gemacht hat. Bis auf Messenger wie IM+ mit kostenpflichtigem OTR Paket. Also … ?

    1. Fuer den PC is Pidgin cross platform und unterstuetzt OTR mE brauchbar und vor allem sehr transparent.

    1. Und soll bald als Standard in Cyanogenmod uebernommen werden. Neben der Implementierung von SELinux in 10.2 (Android 4.3) und dem Privacyguard in 10.1 (Android 4.2) ein weiterer Grund CM als Android System zu nutzen.

    2. Soll demnaechst als Standard in Cyanogenmod (Android-Mod) implementiert werden, sprich Nutzer muessen kein zusaetzliches Programm installieren, sondern kommunizieren standardmaessig verschluesselt per SMS/MMS.

      Neben dem Privacyguard und der Einfuehrung von SELinux in 10.2 (Android 4.3) ein weiterer Grund auf diese Androidversion umzusteigen.

  2. Dir ist schon klar, was die Tilde in der URL andeutet? „Ein User auf hannover.ccc.de“ klingt natürlich nicht so schön wie „Der Hannoveraner Chaos Computer Club“.

    1. Das Diagramm sagt im wesentlichen nichts darüber aus wo welche Keys generiert werden oder wann die wohin übertragen werden.
      Sollte tatsächlich ein private key auf deren Server erzeugt werden, dann ist das wohl ein Projekt von NSA/BND/BVT/etc. Das würde nämlich jegliches, noch so sichere, Konzept komplett ad Absurdum führen.
      Gruß MacLemon

  3. Was spricht eigentlich gegen irgend einen jabber client und dem verschlüsseltem Server wie dem jabber.ccc.de ?

    Viele verschiedene Apps machen die Überwachung schwerer und solange der Anbieter nicht sein Zertifikat zur NSA schickt können die nicht mitlesen.
    Als weiteres Plus funktioniert es sofort und auf allen Systemen.

    Eine Man-in-the-middle-Attacke kann man nicht beliebig (und dauerhaft) ausweiten. Und als Metadaten wäre nur Uhrzeit+jabberserver verfügbar, oder ?

  4. auf der homepage von whistle steht eindeutig das es noch eine beta version ist und das es durchaus lücken usw. geben kann.

    1. Beta ist in der Softwareentwicklung daß noch nicht alle Features drin sind und noh einige Bugs existieren. Allerdings ist die Konzeptionsphase längst vorbei. Hier liegen aber grundsätzliche konzeptionelle Fehler vor. Im Grunde wäre ein kompletter Neuanfang notwendig …

  5. Immer wieder das selbe, die einfachsten logischen Zusammenhänge wie z.B. Schlüsselverwaltung werden von den jungen Leuten in den Start-Ups nicht verstanden. Dort wurde anscheinend mal wieder das Rad neu erfunden anstatt sich über existierende Software zu informieren. Schulnote 6.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.