Checkliste Messenger-Sicherheit: Verbraucher-Organistion EFF informiert
Die Electronic Frontier Foundation, eine amerikanische, nicht-staatliche Bürgerrechtsorganisation, die in ihren Belangen wohl am ehesten mit dem hiesigen CCC zu vergleichen ist, hat heute ihre Secure Messaging Scorecard vorgelegt.
Auf einer eigenes eingerichteten Sonderseite informiert die EFF über die Sicherheits-Funktionen der unterschiedlichsten Instant Messenger nud berücksichtigt auch mehrere iOS-Applikationen.
Die Punkte-Karte konzentriert sich auf sieben Kategorien, darunter die Transportverschlüsselung, die Verifizierbarkeit von Kontakten und die Offenheit des Messenger-Quellcodes und bewertet die wichtigsten Security-Eigenschaften der geprüften Messenger im Raster. Die Sonderseite listet unter anderem Skype, Apples iMessage und WhatsApp und beschreibt die Methodik hinter den Test-Kriterien hier.
In the face of widespread Internet data collection and surveillance, we need a secure and practical means of talking to each other from our phones and computers. Many companies offer „secure messaging“ products – but how can users know if these systems actually secure? The Electronic Frontier Foundation (EFF) released its Secure Messaging Scorecard today, evaluating dozens of messaging technologies on a range of security best practices.
Whispersystems ist ein paar mal mit nur grünen Haken vertreten, hoffentlich wird in „Signal“ bald die Chat Funktion nachgereicht: https://whispersystems.org/blog/signal/
Interessant, da kommt iMessage gar nicht so schlecht weg. Ich befürworte eigentlich Threema, wobei mir dort insbesondere der Standort der Server (Schweiz) gefällt.
Für iMessage spricht eindeutig die einfache Einrichtung und Bedienung und die Kombination mit SMS und damit zu Leuten ohne Smartphone.
Gegen Threema leider die fehlende Verbreitung.
Daher nutze ich seit einer Weile immer mehr iMessage, das außerdem den großen Vorteil hat, dass mich Mitteilungen auf iPhone und iPad gleichzeitig erreichen. (Leider nicht auf meinem Mac, zu ‚alt‘ ;-(. )
Da gibt mir diese Studie ein wenig mehr Sicherheit alles richtig zu machen. Klar, mehr geht fast immer, aber einen absoluten Schutz Suche ich nicht und den gibt es ohnehin nur theoretisch.
Solange die Nachrichten ordentlich verschlüsselt sind, ist mir der Serverstandort relativ egal.
„fehlende Verbreitung“? iMessage gibt es z.B. nur auf iOS-Geräten (und ein paar Macs) – auf keiner anderen Plattform. Und dass es automatisch/beliebig und für den User nicht wirklich gut erkennbar zwischen iMessage („sicher“) und SMS („offen wie Scheunentor“) umschaltet ist nun wirklich kein Garant für Sicherheit. Mich würde ja mal interessieren, wer denn das Konzept und Code gesehen und Auditiert hat.
Da sag ich nur: Threema! Kann mir jemand erklären warum die Offenheit des Codes so wichtig ist?
Behaupten das niemand mitlesen kann, kann jeder … überprüfbar muss es sein. Deswegen offener Code. Ich hoffe für „Signal“ wird bald die Chat funktion nachgereicht.
Damit man das Versprechen nach Sicherheit auch von Dritten geprüft werden kann.
Bei offenem Quellcode lassen sich keine versteckten Hintertüren bsw einbauen.
Ein wichtiger Punkt auch bei Verschlüsselungsprogrammen auf dem Computer zum Beispiel.
Doch, lassen sich. Werden aber schneller gefunden.
OT: Bei mir seit kurzem auch! MBP late2013
Wer auf Platformübergreifend und Sicherheit steht wird wohl momentan nicht um Threema rum kommen.!?
Threema!
Text gelesen?
Bedienungstechnisch als auch von der GUI hat sich bei mir und uns Telegram durchgesetzt
Ja, kann ich bestätigen. Sieht auch WhatsApp sehr ähnlich, sodass man sich nicht viel umstellen muss.
Sorry mal kurz OT: Hat noch wer Probleme unter OS X Yosemite? Bei mir zeigt es ab und zu keine Ordner und Dateinamen an wenn ich in verschiedene Ordner klicke oder auf USB Sticks. MBP 2013.
Ich hatte gestern einen komplett leeren Desktop. Nach Neustart war alles wieder da.
Ja aber das ist andauernd so und hab nirgendwo Berichte darüber gelesen. Ich mag Apple, aber es wird immer schlimmer…schade.
Eine Frage ,
wenn der Quellcode für jeden sichtbar ist, dann kann Mann zwar überprüfen ob die Angaben korrekt sind,
aber dann müsste es doch für Hacker ein leichtes sein ein hack durchzuführen weil sie ja den Quellcode schon haben und da suchen können!?
Oder ist das so nicht richtig ?
Also ich als Leihe versteh das so der Quellcode ist die Bedienungsanleitung, wenn ich weiß wie was gebaut wird kann ich ja dementsprechenden einen hack programm Programmieren bez. schreiben ?!
Hi Zeus,
die Software stellt ja nur die Funktionalitäten zur Verschlüsselung bereit. Wenn der Quellcode öffentlich verfügbar ist, können diese auf Schwachstellen (Fehler) und Hintertüren (Absicht) hin geprüft werden.
Die Schlüssel sollten vom Anwender bzw. geräteabhängig erzeugt werden können. Private Schlüssel dürfen dabei natürlich nicht öffentlich werden.
Wenn du den Bauplan eines Hauses inklusive sämtlicher Installationen, hast du ohne Schlüssel im Normalfall noch keinen Zutritt. Aber du kannst den Plan natürlich dahingehend untersuchen, ob du eventuell anders reinkommst (Schornstein vs. Geheimzutritt).
bmu
pwn
Gut und verständlich erklärt, auch für Laien (nicht: Leihen).
Der Bauplan ist ein schlechter Vergleich. Vielleicht besser: Ein Hochsicherheitskomplex sollte auch dann sicher sein, wenn der Bauplan und die Sicherheitsüberwachung bekannt ist. Sprich: Systeme, die wirklich unüberwindbar sind. Man kennt das aus Filmen: Ein Bauplan ist bekannt, der Zyklus der Überwachungskameras und schon steigt das Ding. Oder sie klettern einfach über einen alten Keller in die Bank. Dass Problem ist nicht, dass die Einbrecher die Grundrisse hatten, sondern dass der Keller nicht gesichert wurde oder die Überwachungskameras Lücken aufweisen oder sich austricksen lassen.
Bei Software ist es das gleiche. Wenn das System nur sicher sein soll, weil keiner den Code kennt, findet irgendwann einer raus, wie er den Code umgehen kann. Und das ist dann nicht sicher. Wenn dein geheimer Algorithmus also jeden zweiten Buchstaben deines Nicknames mit jedem vierten Buchstaben dieser URL mischt und hinten noch 123 anfügt, dann kann jemand das rausbekommen und dann ist dein komplettes System kompromittiert. Wenn ich dir aber sage, dass mein Passwort sich zusammensetzt aus meinem Masterpasswort, dem dritten Wort meiner Adresse, meinem zweiten Masterpasswort, der URL und des Datums, dann hilft dir diese Info nicht, mein Passwort zu erraten, weil du mindestens zwei beliebige Passwörter nicht kennst. Das macht diesen Algorithmus sicherer, obwohl du ihn kennst. Zusätzlich hat man bei Open Source natürlich den Vorteil, dass mehr Augen Schwachstellen finden können.
Schade – LINE Messenger ist nicht dabei. Der ist mit einer Benutzerbasis von 500 Millionen nicht gerade unbedeutend.
Threema ist eine Totgeburt! Da fast niemand es nutzt wird es in der Versenkung verschwinden.
Egal wie sicher!
Gegen Whatsapp ist schon lange kein ankommen mehr möglich!
Hatte Threema auch drauf, nach Monaten ganze 2 Kontakte, also ab in die Tonne!
Man sieht das, was man sehen will ;) Dann machst Du wohl etwas falsch. Es gibt hier genug, die komplett auf Threema umgestiegen sind. Man muss nur einfach whatsapp löschen, wenn man es ernst meint. Dann wechseln die anderen auch. Und zum Glück gibt es ja noch die gute alte SMS oder die Sprechmuschel :)
Sehe ich auch so. Wenn man nie Whatsapp löscht, wird auch weiterhin über Whatsapp angeschrieben, weil man da ja drin ist. Im Freundeskreis (mit Android und iOS) haben wir einfach alle auf Threema umgestellt und nach einer Warnung an den restlichen Freundeskreis zwei Tage später Whatsapp gelöscht. In der Familie benutze ich nur iMessage, weil alle iOS haben. Mittlerweile sind in Threema ziemlich viele Kontakte und entfernte Bekannte drin.
Man muss einfach wirklich wollen und machen. Wer immer noch Whatsapp & Co. benutzt, hat das grundlegende Problem nicht verstanden. Deshalb habe ich grundsätzlich meine komplette Kommunikation (Threema, iMessage, S/MIME) und Datenaustausch (Cloud, Computer, iPhone, iPad, externe Festplatten) auf Verschlüsselung umgestellt.
Danke für die bildliche Darstellung, bez. Erklärung“ SOSO “ ich habe es verstanden
Telegramm Messenger soll ja auch ziemlich sicher sein ??
Wollte eigentlich zu Telegramm wechseln, nur hat das irgend wie nicht geklappt, hab es inzwischen gelöscht , whats app hat glaub jeder in Deutschland ausser Soso und seine Familie;) installiert, kenne bei mir im bekannten kreis niemanden der das nicht hat, SCHON KRASS, die müssen ja Tonnen an Daten haben, kein Wunder das Face das Teil gekauft hat Information ist die neue Währung unserer Zeit