Verschlüsselung

End-to-End-Verschlüsselung auch bei sozialen Messengern geboten

28. Januar 2013
  • Verschlüsselung

Soziale Messenger sind weiter auf dem Vormarsch. Mittlerweile gibt es eine Vielzahl an Tools, die den Versand von Nachrichten in den eigenen sozialen Netzwerken ermöglichen. Das derzeit bekannteste und sicherlich beliebtestes ist der Facebook Chat. Aber auch Dienste speziell für den mobilen Versand sozialer Nachrichten wie WhatsApp sowie Tools, die ehemals eher mit der Begrifflichkeit Instant Messenger versehen waren, fallen heute in die Kategorie der Social Messenger. Zu Letzteren zählt beispielsweise der Windows Live Messenger.

Wer auf den Schutz seiner Privatsphäre und seiner Daten Wert legt, sollte nicht außer Acht lassen, dass viele dieser sozialen Messenger die über sie versandten Nachrichten unverschlüsselt im Klartext übertragen. Das bedeutet: Sie können abgefangen und mitgelesen werden. Daher sollten sicherheitsbewusste Nutzer dieser Dienste – wie beispielsweise auch bei der E-Mail-Kommunikation – konsequent auf eine End-to-End-Verschlüsselung setzen und Nachrichten grundsätzlich nur verschlüsselt mit Freunden, Bekannten und Kollegen austauschen.

Während Facebook mit dem Facebook Messenger – verfügbar für Blackberry, Android sowie iPhone, iPad und iPod touch – eine eigene Smartphone-und Tablet-App für den mobilen, verschlüsselten Versand von Facebook-Nachrichten bietet, ist der webbasierte Facebook Chat nicht von vornherein Ende-zu-Ende-verschlüsselt. Hier muss der Nutzer selbst aktiv werden. Allerdings führen nur Umwege – und zwar über das Jabber-Protokoll – zum Ziel: Der Facebook Chat müsste nämlich zuvor in einen anderen Instant Messaging-Dienst – beispielsweise Pidgin, AIM oder den Windows Live Messenger – integriert werden. Über Schnittstellen ist dies mittlerweile ohne weiteres möglich. So offerieren die genannten Dienste ihren Nutzern von Hause aus die Kommunikation auch über den Facebook Chat.

Warum die Nutzung von Facebook Chat über diese Drittdienste? Ganz einfach: Sie unterstützen das sogenannte Off-the-Record Messaging (OTR). Es kombiniert das symmetrische Kryptoverfahren AES, den Diffie-Hellman-Schlüsselaustausch und die Hashfunktion SHA-1 miteinander und realisiert so eine zuverlässige End-to-End-Verschlüsselung, die damit auch für die Kommunikation über Facebook Chat greift. Für Pidgin und AIM müssen entsprechende OTR-Plugins installiert werden, die jedoch kostenfrei verfügbar sind.

Threema: Die wirklich sichere Alternative zu WhatsApp & Co.

Für Nutzer der mobilen Messaging-Dienste WhatsApp und Hike gibt es jedoch schlechte Nachrichten: Diese unterstützen derzeit keine End-to-End-Verschlüsselung. Stattdessen kommt nur eine End-to-Server-Verschlüsselung, die ein deutlich niedrigeres Sicherheitsniveau aufweist und über Sicherheitslücken in den Apps obendrein umgangen werden kann, zum Einsatz. Wer nach einer wirklichen sicheren Alternative zu WhatsApp & Co. sucht, kommt an der mobilen App Threema nicht vorbei. Sie bietet denselben gewohnten Funktionsumfang und Bedienungskomfort beim mobilen Messaging – schützt den Nachrichtenversand aber durch eine echte End-to-End-Verschlüsselung.

Hierzu greift die App auf das Elliptic Curve Crypthography (ECC)-Verfahren zurück – ein modernes asymmetrisches Verschlüsselungsverfahren, das selbst gegenüber dem etablierten RSA-Verfahren durch eine höhere Leistungsfähigkeit überzeugen kann. Die asymmetrischen ECC-Schlüssel, die Threema dabei verwendet, sind 255 Bits lang, was einer Stärke von RSA mit 2048 Bits entspricht. Zudem fügt die App sogar eine zufällige Menge an Füllbytes zu jeder Nachricht hinzu, um Versuche zu vereiteln, ihren Inhalt zu erraten.

Die Verschlüsselung und Entschlüsselung der mit Threema versandten Nachrichten zwischen Sender und Empfänger findet darüber hinaus direkt auf dem Gerät statt. Dies hat zwei wesentliche Vorteile: Zum einen behält der Anwender die volle Kontrolle über den Schlüsselaustausch. Zum anderen kann nicht einmal der Betreiber des Dienstes, über dessen Server die verschlüsselten Nachrichten übermittelt werden deren Inhalt entschlüsseln. Man-in-the-Middle-Attacken im mobilen Messaging gehören dank Threema endgültig der Vergangenheit an. Derzeit ist die App für das iPhone erhältlich. An einer Android-Version wird gegenwärtig gearbeitet.



4 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es 4 Reaktionen

  1. T | 2. August 2013

    Wie fast überall wir mal wider viel zu locker und ungenau über die Messenger und den Schutz gesprochen. Die verschlüsselungen von facebook und Co sind zwar gegen leichte Angriffe von ausen geschützt, dennoch können die Anbieter wie facebook natürlich alles mitlesen und die Mails wieder entschlüsseln, diese weiter verarbeiten. Die Folgen sind den meisten gar nicht bewusst. Zudem bekommen auch NSA Zugriff auf die Nachrichten da diese einen Zugriff auf alle US untermengen haben somit auch auf die Nachricht. Fakt ist die Verschlüsselung birgt am Ende nix wenn die die es nicht sehen sollen es Entschlüssen können.

    2. August 2013 @ 14:32 Antworten
    • Bianca Wellbrock | 5. August 2013

      Hallo T,

      besten Dank für deine kritische Meinung, die für uns Anlass genug ist, in einem weiteren Blogbeitrag tiefer zu gehen. Deshalb gehen wir an dieser Stelle nur kurz auf neue Technologien wie etwa BlockPRISM ein; eine Browser-Extension, die u. a. Facebook-Chats mittels PGP verschlüsselt. Im Laufe dieser Woche widmen wir uns einer ausführlichen Antwort in einem neuen Blogbeitrag.

      Danke für die Anregung,
      dein PSW-Team

      5. August 2013 @ 15:07 Antworten
  2. Heinz Rosenbach | 25. Februar 2014

    Threema ist proprietäre Closed-Source-Software. Niemand kann nachvollziehen, was da wirklich abläuft. Und der Dienst kann vom Anbieter jederzeit wieder abgestellt werden oder, wie bei WhatsApp gesehen, über einen Verkauf in vertrauensunwürdige Hände gelangen.

    Sicherer unterwegs ist man mit einem der vielen Open-Source Jabber-Clients, die OTR-Verschlüsselung beherrschen. Deren Kommunikation basiert auf dem offenen XMPP-Protokoll und eine Vielzahl von unabhängigen Servern garantiert die langfristige Verfügbarkeit. Zudem können die Nachrichten zur Anonymisierung über das Tor-Netzwerk geschickt werden.

    25. Februar 2014 @ 15:32 Antworten
    • Bianca Wellbrock | 12. März 2014

      Danke für deine Meinung, Heinz – die Nichtnachvollziehbarkeit von Threema sehen wir auch kritisch. Wir widmen uns in den kommenden Wochen einem sehr ausführlichen Messengertest, bei dem die von dir angesprochenen Punkte relevant werden.

      12. März 2014 @ 20:41 Antworten