Checkliste beleuchtet Sicherheit von Messengern
Die Auswahl an Messenger-Programmen ist groß, aber welchen kann man wirklich vertrauen? Die EFF hat plattformübergreifend 39 Programme untersucht und präsentiert ihre Ergebnisse übersichtlich in ihrer Secure Messaging Scorecard.
- Ronald Eikenberg
Die Secure Messaging Scorecard der Electronic Frontier Foundation (EFF) liefert einen plattformübergreifenden Überblick über die Sicherheitseigenschaften von Messaging-Apps. So erfährt man leicht, ob ein Messenger die Nachrichten grundsätzlich verschlüsselt überträgt und ob er Ende-zu-Ende-Verschlüsselung einsetzt – also sichergestellt ist, dass nur der legitime Empfänger die Nachrichten wieder entschlüsseln kann.
Perfect Forward Secrecy
Zudem erfährt man, welche Kandidaten Perfect Forward Secrecy bieten. Dies gewährleistet, dass die Nachrichten auch in Zukunft nicht von Dritten entschlüsselt werden können, wenn der verschlüsselte Datenverkehr aufgezeichnet wurde und der private Krypto-Schlüssel eines Gesprächsteilnehmers zu einem späteren Zeitpunkt kompromittiert wird.
Geprüfter Code
Nicht weniger wichtig ist der Punkt, ob die kryptografischen Verfahren ausreichend dokumentiert werden und ob der Quellcode zwecks Überprüfung öffentlich einsehbar ist. Last but not least erfährt man, ob der Code von einer unabhängigen Instanz geprüft wurde – unabhängig davon, ob es nun eine Open-Source-Anwendungen ist oder nicht. Die EFF gibt an, die Angaben in der Scorecard auch überprüft zu haben, macht zur genauen Vorgehensweise jedoch keine Angaben.
6 aus 39
Von den 39 gelisteten Messengern können immerhin 6 in allen Kategorien punkten: Signal und RedPhone, TextSecure, ChatSecure mit dem Orbot-Plugin, Silent Text, Silent Phone, sowie CryptoCat. In letzteren hatten Forscher mehrfach signifikante Probleme entdeckt, die inzwischen anscheinend jedoch behoben wurden. Apples Dienste iMessage (Nachrichten) und FaceTime erfüllen immerhin fünf der sieben Kriterien. Die verbreitetsten Messenger wie WhatsApp, Facebook Messenger und Google Hangouts kommen bei der EFF erwartungsgemäß schlecht weg.
TextSecure unter der Lupe
Erst kürzlich haben vier Forscher der Ruhr Uni Bochum den Messenger TextSecure en Detail auf seine Sicherheit untersucht (PDF). Sie stießen dabei zwar auf eine Angriffsmöglichkeit, beschreiben jedoch auch, wie sich diese recht einfach beseitigen ließe. Wird diese Verbesserung umgesetzt, liefere TextSecure Verschlüsselung sehr hoher Qualität, lautet ihr Fazit. Vergleichbare Untersuchungen für andere Messenger sind rar. Für Apps wie Threema, Surespot und Slient Circles SCIMP gibt es keine öffentlichen Analysen.
Siehe hierzu auch:
- Unter vier Augen, Sichere Kurznachrichten – mehr als verschlüsseln aus c't c't 8/14, S. 172 (kostenlos abrufbar)
(rei)