Hacker kritisieren Apples iMessage-Verschlüsselung
Auf einer Hackerkonferenz in Kuala Lumpur wurde Kritik an der Apple-Aussage laut, die Verschlüsselung von iMessages sei sicher und für niemanden zu knacken. Im Rahmen einer Demonstration wurde offenbar aufgezeigt, dass jemand mit Zugang zu den entsprechenden Systemen durchaus in der Lage sei, Nachrichten abzufangen. Man habe zwar keinen Anlass zu vermuten, dass derlei konkret geschehe , die Aussagen von Apple betreffend der Sicherheit des Systems würden jedoch nicht zutreffen.
Apples iMessage-Konzept bietet dabei zunächst keinerlei Angriffspunkte nach außen. Die verschlüsselten Nachrichten werden erst direkt auf dem empfangenden Gerät mit dem privaten Schlüssel des Empfängers entschlüsselt. Dafür muss die iMessage beim Versenden natürlich auch mit dem richtigen Schlüssel codiert werden. Für diesen Zweck greift die iMessage-App nun auf einen speziellen Server bei Apple zu, um sich von dort den zum Empfänger passenden Code zu besorgen.
Hier sehen die iMessage-Kritiker nun eine Schwachstelle. Apple habe ja die komplette Kontrolle über diesen Server und könne somit auch modifizierte Schlüssel ausliefern, ohne dass Sender oder Empfänger Wind davon bekommen.
Faktisch ist diese Annahme sicherlich korrekt. Allerdings setzt dies ein hohes Maß an krimineller Energie innerhalb Apples oder entsprechend hohen Druck durch beispielsweise Regierungsbehörden voraus. Die Schwachstelle ist in diesem Fall dann weniger die technische Umsetzung, sondern die vermutlich immer und überall lauernde Gefahr, dass ein Mensch, aus welchen Motiven auch immer, entsprechend Aufwand betreibt, um Informationen zu erlangen oder weiter zu geben. Und da gibt es neben dem geschilderten Verfahren sicher noch beliebig viele weitere Möglichkeiten, ein System zu kompromittieren.
Apple hat sich bislang zu den Vorwürfen nicht geäußert. Gewissheit darüber, dass Apple keine Daten an staatliche Behörden herausgibt, werden wir schon aufgrund der Tatsache nicht erhalten, dass sämtliche Firmen, die diesbezüglich mit Behörden zusammenarbeiten an eine Strenge Schweigepflicht gebunden sind. Die amerikanische Rauschgiftbehörde DEA jedenfalls hat Anfang des Jahres ihr Scheitern an der iMessage-Verschlüsselung eingestanden:
iMessages between two Apple devices are considered encrypted communication and cannot be intercepted, regardless of the cell phone service provider.
Update
Eine Apple-Sprecherin hat gegenüber dem Technikblog des Wall Street Journal AllThingsD beteuert, dass man die Nachrichten weder mitlesen könne noch wolle.
iMessage is not architected to allow Apple to read messages,” said Apple spokeswoman Trudy Muller said in a statement to AllThingsD. “The research discussed theoretical vulnerabilities that would require Apple to re-engineer the iMessage system to exploit it, and Apple has no plans or intentions to do so.
Threema!
Heml.is !
Ich freu mich schon so auf heml.is!
Mit anderen Worten. Es gibt keine Schwachstelle, nur misstrauen.
Doch, die gibt es. Sie ist aber leider in der US Gesetzgebung verankert, die Apple zwingt diese Schlüssel auszuhändigen. Wenn Server in den USA stehen, kannst Du davon ausgehen, daß alles abgegriffen wird was möglich ist.
Und was soll die NSA mit deinem public key anfangen, außer dir Nachrichten schicken…? <.<
Pazuzu ist hier wahrscheinlich einer der wenigen, die überhaupt verstehen, wie die Verschlüsselung funktioniert.
Apple (der Server) muß ja wohl auch jeden privaten Schlüssel kennen, wie soll das Ganze denn sonst funktionieren? Wer hat die privaten Schlüssel denn generiert?
Nein, die privaten Schlüssel müssen nicht auf Apples Servern sein. Die braucht nur dein iOS Device zum entschlüsseln nicht der Sender. Dafür brauch man nur den öffentliche Public Key.
Ach und generieren kann das auch dein iPhone. Das macht es ganz nebenbei.
Vodafone wird nie sein Nutzer weitergeben …
Zum Update: Ist ja klar das Apple das nicht will und kann. Aber die NSA & Co. will und kann.
Will und kann aber net. Wenn könn die den Puplickey vom Appleserver bekomm aber net deinen persönlich- individuellen von DEINEM iPhone
Und ob die das können. Jedes System hat eine Hintertür. Alpine lässt grüßen.
Lol hast eine Ahnung. Vodafone filtert deinen gesamten mobilen datenverbrauch durch ihre Proxy Server. Mit der aussagt dass man das Traffic optimiert was auch schon widerlegt wurde. Ich als Entwickler von webapps erhalte manchmal verschiedene Ergebnisse wenn ich mobil die App teste oder aus dem WLAN.
Wer’s nicht glaubt kann googlen !
Die Kritiker behaupten also, wenn ich das richtig verstehe: Wer Zugriff auf die Schlüssel hat (Server), kommt auch in die Wohnung rein und kann Gespräche (Messages) mithören. Ob das nicht eine arg gewagte These ist? o_O
(@Max: Für Threema gilt nichts anderes.)
Wenn Du den Beitrag bis zum Ende lesen würdest, wirst Du merken, daß die Verschlüsselung auf dem Server von Apple der Knackpunkt ist. Und für Threema gilt etwas anderes, nämlich daß deren Server in der Schweiz stehen. Dort gilt die amerikanische Gesetzgebung nicht und die Betreiber sind nicht verpflichtet die Daten auszuhändigen. Die Server gehören dem Betreiber selbst und er hat die volle Kontrolle darüber.
Ich bin mir nicht sicher ob die Schweiz sicher ist. Schließlich habe auch alle Gangster der Welt ihr Geld in der Schweiz. Ich denke da sind ausreichend Connections vorhanden. Und da die NSA die Hintertüre zu den Betriebssystemen hat ist es doch völlig irrelevant wo der Server steht. Sie kommen in dein PC/Mac/iPhone als Admin rein, wie über einen Remote Desktop Zugang. Alles was online ist, ist unsicher. Zum Teil sind auch GSM Chips auf den Hauptprozessoren, so dass man auch ohne WLAN daheim nicht sicher ist.
GSM Chips? In einem PC???
@Frank: Kannst du mir zu den GSM Chips in den Hauptprozessoren irgendeine glaubwürdige Quelle nennen? Wenn nicht, ist das nämlich nur unglaublich stupider Schwachsinn…
Wir wissen doch schon längst, dass Apple mit den Behörden zusammenarbeitet. (US Firmen haben keine Wahl)
Wenn sich’s lohnt, dann kommt jedes Maß an krimineller Energie für die Geheimdienste in Anbetracht. Es ist nur vermutlich einfacher entsprechende Handys mit der Hilfe von Apple zu hacken und deren Nachrichtenverlauf auf diese Weise mitzuschneiden.
So sehe ich das auch!
Geheimdienste sind staatlich legitimierte kriminelle Vereinigungen.
Das sind keine echte Szenarien!
Das ist ja, als wenn jemand im Haus den Hund an die Leine bindet und von innen einem Einbrecher die Türe öffnet …. so was geht immer (und ist für mich kein klassischer Einbruch).
Exakt: Wenn ich jemandem den Schlüssel gebe (ob freiwillig oder unter Druck), kommt er in die Wohnung rein. Das ist kein Hack, das ist banal.
Dachte hinter iMessage steckt eine in der UK ansässige Firma? Aber grundsätzlich gilt folgendes… Daten die sich auf US oder UK Server befinden, können von den Geheimdiensten eingesehen bzw. abgeschöpft werden, selbst verschlüsselte, ohne großen Aufwand.
Ich glaub ihr alle checkt das Prinzip einer Client – Server Verbindung nicht ganz xDD oh man.. selbst mit Logkey des Servers kann man net wirklich was „einsehen“. Maximal könnte die NSA dir ne Nachricht senden xD oh wow.. Was für’n Hack xD
„Im Rahmen einer Demonstration wurde offenbar aufgezeigt, dass jemand mit Zugang zu den entsprechenden Systemen durchaus in der Lage sei, Nachrichten abzufangen. “
Und darauf kommt es an……^^
Da Geheimdienste usw wichtige Dinge per Imessage schicken, macht dies auch unheimlich Sinn …^^
Auch wenn es nur ums Prinzip geht nervt dieses ständige „hätte hätte Fahrradkette…@
Wenn ich den Code vom Alarm Red hätte, wäre ich auch in der Lage Atomraketen abzuschießen..
Nein dafür braucht man einen Fingerabdruck.
Yuckfou, Du weißt einfach alles…!
Allgemeinwissen ;)
Gefährliches Halbwissen trifft’s eher -.-
Schaut Euch die Messenger app threema an.
Threema
Schweizer Unternehmen mit Server in der Schweiz. ( mich überzeugt zwar mittlerweile nichts mehr, aber klingt schon mal besser)
Hauptgrund war für mich aber der Export des Chat Verlaufs als mail inkl aller aatachments in chronologischer Reihenfolge, laut Entwickler. ( hab’s selber noch nicht ausprobieren können)
Kennt jemand noch andere Messenger mit exportfunktion inkl. aller attachments (Foto/ Video ) in richtiger chrinologischer Reihenfolge ?
(Bitte nicht whatsapp
Dir ist daran gelegen, dass deine Nachrichten nicht ausgelesen werden können im Programm, aber möchtest sie dann via Mail exportieren können, weil du verschlüsselte Mails über das iPhone versendest, die min. eine gleichwertige Verschlüsselung bieten? Falls ja: Erkläre mir das mit den Mails.
Falls nein: Benutze Whatsapp -.-
S/Mime Zertifikat nützen oder spezial App und PGP. Geht also schon. Auch wenn es keiner nutzt.
Mir ist threema sympathischer. Auch in Bezug auf Sicherheit.
Mit ein Hauptgrund für mich war der Export des Chats.
Wüsste eigentlich nichts was ich weiter erklären könnte ;-)
Ich wette meine Nachrichten voll mit LOL und SWAG sind so interessant, dass jemand innerhalb der Apple serverräume modifizierte Schlüssel ausliefern wird, damit der Herr Cook ein Stück von meinem #SWAG abhaben kann.
/Eure privaten nachtichten interessieren keinen. Wenn ihr einen Anschlag gegen den Bundestag oder das weiße Haus plant, kann das auch anders sein.
Mich stört es, völlig nackig durch die Stadt zu laufen, unabhängig davon, ob es jemanden geil macht oder nicht.
Ich kann die Fluchtmethode „ich habe nix zu verstecken“ nicht mehr hören!
Wer’s glaubt. Als wenn die sich Kommunikationsdaten amerik. Firmen entgehen lassen.
Gute Finte, Drogenhändler in Sicherheit zu wiegen. Lügen gehört zum Geschäft der Behörden.
Gut gesagt.
Die sind vielleicht witzig… Wie soll man das ganze denn sonst sicher ver- und entschlüsseln? Das ist die einzige Möglichkeit, die es dafür gibt und für Hacker wäre es bestimmt nicht ohne weiteres möglich an die zur Nachricht passenden Schlüssel heran zu kommen.
Wenn der Schlüssel direkt auf dem Gerät generiert würde müsste er trotzdem übertragen werden und könnte noch viel eher abgefangen werden!
Bei E-Mails ist es so, dass jeder einen privaten und öffentlich hat. Wobei der private nie übertragen wird, ind der öffentlich an jede E-Mail angehängt wird.
Bei iMessage funktioniert es nach dem exakt gleichen Prinzip (RSA) mit private und Public Keys.
Dem, der mir die Verschlüsselung anbietet, muss ich logischerweise vertrauen oder halt alternativ eine eigene Verschlüsslung für den Privatgebrauch programmieren.
Mach dich mal schlau über die verschiedenen Verschlüsselungsalgorythmen und welche Dienste maßgeblich an deren Entwicklung beteiligt waren. Wirst staunen.
LOL, Dir ist scheinbar nicht bewusst, daß die NSA an 90% der Verschlüsselungen mitgearbeitet hat bzw. sie geliefert hat.
Wieso LOL? Das angesprochene Vertrauen beinhaltet natürlich auch diese Faktoren. Muss jeder für sich selbst abwägen und dann die persönliche Entscheidung treffen, ob er es nutzen will oder nicht. Genauso nervig wie das ständige Facebook-Google-Geheule. Keiner ist gezwungen, das zu nutzen, kann auch weiterleiten wie zuvor ohne den Kram. Wenn er denn aber die Bequemlichkeit (für lau, wohlgemerkt) will, muss er halt ggf. damit rechnen. So einfach ist das.
Was beschweren die sich denn über die Verschlüsselung, es funzt ja eh nicht.
Aber auf dem Server liegt doch nur der öffentliche Schlüssel. Da er öffentlich ist darf den dich jeder sehen. Den privaten Schlüssel darf nur ich haben. So und wie soll der Angriff jetzt gehen?
Ich gebe jemanden einen falschen öffentlichen Schlüssel und der signiert die Mail so, daß ich sie lesen kann, der Empfänger aber nicht mehr. Spätestens da merkt der Empfänger und Sender doch daß was nicht stimmt.
Also nicht so ganz einleuchtend für mich
Geuß Mikesch
Das von den Hackern genannte Szenario zielt eher auf einen MITM-Angriff. Sprich der Server könnte ja ein extra-Schlüsselpärchen erstellen und die Nachrichten von A mit Schlüsselpaar 1 bei sich entschlüsseln, auslesen und dan für Gesprächspartner B mit Schlüsselpaar 2 verschlüsseln und weiterleiten. Da der Server ja den Austausch der Public Keys erledigt, fällt das niemandem auf.
Nach diesem (nicht neuem) Kritikpunkt müsste man jedoch alle(!) Kommunikationsverfahren mit PGP/GPG Key und ähnlichen Verschlüsselungen als unsicher ansehen. Inklusive halt auch iMessage oder dem oben angesprochenem Threema.
Die einzige sichere Variante wäre dann, dass ich meinen Public Key nur persönlich unter vier Augen mit meinem Gesprächspartner austausche. Am besten in einem schallisoliertem, auf Wanzen und Kameras geprüftem Raum. Rein mündlich, da ein aufgeschriebener Schlüssel ja verloren gehen könnte und jemand könnte den Zettel finden und dann bräuchte ich einen neuen Key…
Am besten sollte ich auch einen inividuellen public key pro Chatpartner wählen. Gut…Gruppendiskussionen wären damit erstmal nicht mehr umsetzbar.
Aber…theoretisch könnte das Apple potentiell irgendwann einmal machen, wenn sie es tun wollten.
Aber genau von dir beschrieben Szenario wird bei Threema doch angewendet. Dort müssen die „Chatpartner“ Ihre Schlüssel unter 4 Augen austauschen.
Bei Start des Messengers muss man einen privaten Schlüssel genereieren. Diesen kann man seinem Chatpartner nur geben wenn der halt da ist.
Somit sollte der Private Schlüssel nur auf dem Handy der Gesprächspartner sein.
Natürlich ist dies auch kein Schutz wenn sich die Geheimdienste auf welche Art und weise zugang zu deinem Handy verschaffen können.
Was das iPhone betrifft, so gab es ja einen Bericht, dass die NSA dort eindringen kann, sobald man das iPhone mit iTunes synchronisiert.
Das heißt, dass ich mich bei Threema mit meinem Chatpartner „IRL“ (wie man so schön sagt) treffen muss, damit er seinen Public Key in mein iPhone eintippt?
Okay, dann hast du Recht.
Wenn nein:
Read again :)
—
Die iTunes Synch Geschichte klingt nicht schlüssig. Link oder Hoax ;)
Das geht halt noch etwas weiter: Ich gebe jemandem einen falschen öffentlichen Schlüssel und kann die Nachricht dann lesen. Anschließend verschlüssele ich mit dem richtigen öffentlichen Schlüssel und sende diese dann an den ursprünglichen Empfänger weiter. Keiner merkt was! Geht aber nur wenn ich Kontrolle über die Schlüssel und den Nachrichtentransport habe.
Naja das geht eben nicht, da ich zum VERschlüsseln den privaten Key brauche. Ich hab mir die Analyse jetzt mal durchgelesen und e. Beruht ja darauf, daß ich die Verbindung beider Gesprächspartner unter Kontrolle bringen muß. Also alles in allem kein unmögliches aber doch ein verfahren das für Apple als serverbetreiber möglich ist aber unwahrscheinlich für andere Hacker. Wobei nur aktuell verschickte Nachrichten gehackt werden können und keine alten bereits verschickte.
Gruß Mikesch
Nein – VERschlüsselt wird mit dem öffentlichen Schlüssel und ENTschlüsselt mit dem privaten Schlüssel.
Mikesch, Grundlagenfehler. Zum VERschlüsseln öffentlicher, zum ENTschlüsseln privater Key.
Zum Verschlüsseln wird der eigene private und der Public des Empfänger genutzt. Zum Empfangen umgekehrt. Das schöne hieran ist, dass der Public key bekannt sein kann und man mit dem überhaupt nichts „böses“ anstellen kann.
UPS Sorry ihr habt natürlich recht mit dem Public Key beim verschlüsseln
Solange man seine iMessages als iCloud-Backup wieder hochlädt, und Apple das Apple-ID-Passwort zurücksetzen kann, braucht man sich über die exakte Verschlüsselungstechnik keine Gedanken zu machen, wenn es darum geht, ob die NSA mitlesen kann.
Also mich nervt dieser übertriebene sicherheitsfetisch mittlerweile sehr.
1. Ist es nicht nur bei Apple oder dem iPhone so, sondern bei so gut wie jeder Art von Kommunikation.
2. Wenn sich jemand die Mühe macht und stundenlang illegal Server hackt und weiß der Teufel was alles, dann darf er auch gerne lesen wie ich meiner Freundin gute Nacht wünsche.
Wer über Handy oder was weiß ich geheime Daten verschickt oder verwaltet ist selber schuld!!
3. mir doch egal
Danke!
Bla, bla, bla
Mir wuscht! Sollen sie mir doch Nachrichten schicken. Wer sensible Daten verteilt (egal wie) muss das Risiko eingehen.
Das Vertrauen in unsere digitalen Kommunikationstools ist, wie meine Enkelin so schön sagt: „gabut“!
Das erübrigt sich bei mir ja eh, da imessage seit ios7 auf meinem 5er eh nicht mehr funktioniert, hat Apple somit komplett sicher gestaltet…
Also ich glaube nicht, dass Apple an den Messages an meine Frau interessiert ist. Was sollen’s mit “ Guten Morgen Liebling! “ usw. anfangen?
hmm,,,
hört mal auf die Sachen zu zerstören,
beim zerstören ist der Mensch Kreativ und erfinderisch
dem einen Sachen wegzunehmen das ist IN
beim Erfinden, beim gutes tun, da kennt sich niemand aus
Apple sichert sich ab, das ist ja gut so,
wer gutes tut und sich Normal vergällt, braucht sich auch nicht zu fürchten