Krypto-Messenger whistle.im soll jetzt sicher sein

Die Entwickler des verschlüsselnden Chat-Tools whistle.im haben auf die Kritik des Chaos Computer Club (CCC) Hannover reagiert und eine neue Version ihrer Android-App veröffentlicht. Version 1.10 soll sämtliche Krypto-Pannen ausbessern, die CCC-Mitglied nexus in einer ausführlichen Analyse unter mit dem Titel whistle.im: FaaS – Fuckup as a Service zusammenfasst. Ebenfalls ausgebessert wurde angeblich die Browser-Version.

Einer der größeren Schnitzer ist, dass die App das SSL-Zertifikat ihres Gegenübers laut CCC-Analyse nicht ausreichend überprüft hat, als sie HTTPS-verschlüsselt mit dem Server des Anbieters kommunizierte. Dadurch konnte ein Angreifer als Man-in-the-Middle den Datenverkehr manipulieren und die gesamte Verschlüsselung zu Fall bringen. Laut den Entwicklern wird mit der App nun das Serverzertifikat des whistle.im-Servers geliefert und beim Verbindungsaufbau mit dem von den Gegenseite genutzten Zertifikat verglichen. Die übliche Praxis ist, hierfür den digitalen Fingerabdruck zu überprüfen.

Whistle.im verspricht seinen Nutzern eine Ende-zu-Ende-Verschlüsselung mit privatem und öffentlichem Schlüssel. An der bisherigen Umsetzung hatte der CCC berechtige Kritik geäußert: So werden die privaten Schlüssel zum Entschlüsseln der Nachrichten etwa entgegen gängiger Sicherheitsempfehlungen auf dem Server des Herstellers gespeichert. Die Schlüssel werden zwar mit dem Nutzerpasswort verschlüsselt, von dem kennt der Betreiber allerdings zumindest den Bcrypt-Hash. In der neuen Version soll Nutzer ihre privaten Schlüssel nun auch lokal verwalten können – ohne dass der Hersteller sie speichert. Das hat freilich den Nachteil, dass man den Schlüssel händisch auf alle Geräte kopieren muss, mit denen man die Krypto-Nachrichten entschlüsseln will.

Der Anbieter kümmert sich auch um das Verteilen der öffentlichen Schlüssel, was ebenfalls einen Angriffspunkt bot: nexus vom CCC fand heraus, dass ein Angreifer, der den Datenverkehr kontrolliert, den ausgelieferten Public Key austauschen kann, ohne dass es auffällt. So könnte ein Man-in-the-Middle die öffentlichen Schlüssel durch seinen eigenen Ersetzen, um die Krypto-Nachrichten auf dem Transportweg zu entschlüsseln. Die neue Version der App soll sich nun merken, welchen Public Keys die Gesprächspartner nutzen und bei Änderungen Alarm schlagen.

Mit der neuen Version versuchen sich die beiden Entwickler auch an verschlüsselten Gruppenchats. Wie einer der beiden Entwickler gegenüber heise Security erklärte, erzeugt die App für jeden Gruppenchat ein Paar aus privatem und öffentlichem Schlüssel. Dieses soll die App des Gruppeninitiators anschließend automatisch an die eingeladenen Teilnehmer senden – und zwar in Form einer verschlüsselten Chatnachricht. Wie sicher diese Funktion implementiert wurde, dazu gibt es bislang keine Analysen. Nach der "kryptografischen Bauchlandung", wie nexus die Bugs der vorherigen Version nennt, ist das öffentliche Vertrauen in das Projekt zumindest getrübt.

Irritierend ist die Aussage der Entwickler, dass die ein Workaround für den unzuverlässigen Zufallszahlengenerator von Android in der App zwar "längst enthalten" sei. Wer seine ID (und damit auch seinen privaten Schlüssel) unter Android erstellt habe und "sichergehen möchte, nicht davon betroffen zu sein", solle vorsichtshalber aber trotzdem einen neuen Schlüssel generieren.

Anfang Juli stellte sich heraus, dass auch dem Entwickler des Chat-Programms CryptoCat Fehler bei der Implementierung der Krypto-Funktionen unterlaufen sind. Nachrichten, die darüber über einen Zeitraum von zwei Jahren ausgetauscht wurden, lassen sich im Nachhinein mit vertretbarem Aufwand knacken. (rei)