1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Jan Koum: Whatsapp-Gründer verlässt…

End2end encryption

  1. Thema

Neues Thema Ansicht wechseln


  1. End2end encryption

    Autor: amagol 01.05.18 - 18:11

    Hier scheinen ja einige in e2e Verschluesselung den Stein der Weisen zu sehen, aber mal ehrlich, wie kann man einer App aus einem Appstore vertrauen, das diese tatsaechlich und immer e2e verschluesselt und nie irgendwelche Schluessel leakt?
    Ist es nicht viel ehrlicher zu sagen, wir machen keine Verschluesselung, und wenn ihr das System stuerzen wollt muesst ihr euch irgendwelche Codes ausdenken?

  2. Re: End2end encryption

    Autor: h31nz 01.05.18 - 20:05

    Du kannst Android Apps decompilieren und dir anschauen, was sie tun. Dann weißt du zumindest für die Version, die du dir angeschaut hast, dass sie sauber ist.

    Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen angeschaut wird.

    Edit: Selbst irgendwelche Codes ausdenken ist eine sehr schlechte Idee. Kryptographie richtig zu implementieren ist sehr schwer. Bei dem geringsten Fehler sind deine Geheimnisse nicht mehr geheim.



    1 mal bearbeitet, zuletzt am 01.05.18 20:09 durch h31nz.

  3. Re: End2end encryption

    Autor: amagol 01.05.18 - 21:44

    h31nz schrieb:
    --------------------------------------------------------------------------------
    > Du kannst Android Apps decompilieren und dir anschauen, was sie tun. Dann
    > weißt du zumindest für die Version, die du dir angeschaut hast, dass sie
    > sauber ist.

    Und das machst du bei jedem deiner Gespraechspartner. Bei jedem Update. Auf jedem seiner Geraete. Glaub ich dir sofort.

    > Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen
    > angeschaut wird.

    Und wie schnell kann die meistgenutzte App der Welt fuer einen unauffaellig kleinen Teil der Nutzer per Remote Update ausgetauscht werden?

    > Edit: Selbst irgendwelche Codes ausdenken ist eine sehr schlechte Idee.
    > Kryptographie richtig zu implementieren ist sehr schwer. Bei dem geringsten
    > Fehler sind deine Geheimnisse nicht mehr geheim.

    Brauchst du mir nicht erzaehlen. Nur jede App, die bequem zugaenglich ist is praktisch eben auch unsicher. Sobald du nicht selbst die Kontrolle ueber den Client hast (und alles zwischen dem Client und dir - UI-Komponenten, Display-Treiber, Tastatur-Controller, ...) bietet E2E Verschluesselung nur eine scheinbare Sicherheit.

  4. Re: End2end encryption

    Autor: elidor 02.05.18 - 08:00

    Und wenn du dir den Code auf einem Betriebssystem anguckst, das du nicht selbst geschrieben oder bis ins letzte kontrolliert hast, bringt dir die Kontrolle auch nichts.
    Gehen wir noch einen Schritt weiter: Wenn du dein selbstgeschriebenes Betriebssystem auf Hardware laufen lässt, die du nicht kokmplett selbst gebaut hast, kannst du dir nicht sicher sein, dass keine Backdoor in der CPU ist.
    Und auf welchem Rechner hast du dann dein OS geschrieben / kompiliert?

    Mal ehrlich, du kannst nicht jeden Client einzeln kontrollieren, aber du kannst sicher sein, dass ein paar Versionen kontrolliert wurden. Wird auch nur einmal eine Lücke gefunden, dann wird das kommuniziert und zumindest die IT Welt bekommt das mit.

    Davon abgesehen hat Whatsapp doch eh keine echte E2E Verschlüsselung, oder? Die Verschlüsselung geht nur von Smartphone zu Smartphone. Sobalt eine Partei Whatsapp Web nutzt, hat sich das doch erledigt, oder?

  5. Re: End2end encryption

    Autor: h31nz 02.05.18 - 08:59

    amagol schrieb:
    --------------------------------------------------------------------------------
    > h31nz schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Du kannst Android Apps decompilieren und dir anschauen, was sie tun.
    > Dann
    > > weißt du zumindest für die Version, die du dir angeschaut hast, dass sie
    > > sauber ist.
    >
    > Und das machst du bei jedem deiner Gespraechspartner. Bei jedem Update. Auf
    > jedem seiner Geraete. Glaub ich dir sofort.

    Nein, wie im direkt folgenden Abschnitt erläutert tun dies viele andere. Gemeint sind hier Sicherheitsforscher, die nur darauf warten, über so etwas berichten zu können ;)

    >
    > > Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen
    > > angeschaut wird.
    >
    > Und wie schnell kann die meistgenutzte App der Welt fuer einen unauffaellig
    > kleinen Teil der Nutzer per Remote Update ausgetauscht werden?

    Ist dir bekannt, dass Google Apps auf einzelnen Geräten über die Play Services austauschen kann? Hast du mal eine Quelle?

    >
    > > Edit: Selbst irgendwelche Codes ausdenken ist eine sehr schlechte Idee.
    > > Kryptographie richtig zu implementieren ist sehr schwer. Bei dem
    > geringsten
    > > Fehler sind deine Geheimnisse nicht mehr geheim.
    >
    > Brauchst du mir nicht erzaehlen. Nur jede App, die bequem zugaenglich ist
    > is praktisch eben auch unsicher.

    Nee. Gegenbeispiel: Signal

    Ist bequem zugänglich und nach aktuellem Stand sicher. Stichworte sind hier E2E-Verschlüsselung, Forward Secrecy, Reproducable Builds. Allein die Pflicht zur Verwendung der Telefonnummer als Anmeldenamen könnte man ihnen vorwerfen.

    > Sobald du nicht selbst die Kontrolle ueber
    > den Client hast (und alles zwischen dem Client und dir - UI-Komponenten,
    > Display-Treiber, Tastatur-Controller, ...) bietet E2E Verschluesselung nur
    > eine scheinbare Sicherheit.

    Scheinbare Sicherheit halte ich hier für etwas übertrieben. Was im Leben ist schon 100% sicher? Sicherheit ist immer relativ.

    Obwohl deine Haustür nicht 100% gegen Einbrecher schützt, sperrst du sie doch ab.

  6. Re: End2end encryption

    Autor: h31nz 02.05.18 - 09:05

    elidor schrieb:
    --------------------------------------------------------------------------------
    > Davon abgesehen hat Whatsapp doch eh keine echte E2E Verschlüsselung, oder?
    > Die Verschlüsselung geht nur von Smartphone zu Smartphone. Sobalt eine
    > Partei Whatsapp Web nutzt, hat sich das doch erledigt, oder?

    Doch, Whatsapp verwendet durchgehend die gleiche E2E-Verschlüsselung wie Signal, auch in der Browserversion. Dies wird durch einen Schlüsselaustausch via QR-Code realisiert.

  7. Re: End2end encryption

    Autor: bigblob 02.05.18 - 10:45

    h31nz schrieb:
    --------------------------------------------------------------------------------
    > Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen
    > angeschaut wird.

    Eine vielgenutzte Bibliotheken für verschlüsselte Verbindungen (OpenSSL) hatte über 2 Jahre hinweg (2012 - 2014) eine schwerwiegende Sicherheitslücke (Heartbleed) von der schätzungsweise eine halbe Million Webseiten betroffen waren.
    Da half es auch nicht dass sie, weil sie als Open Source Software zur Verfügung stand, von Jedermann hätte begutachtet werden können.
    Zusätzlich waren Geräte wie VoIP-Telefone und Router namenhaften Hersteller betroffen (oder sind es vermutlich wegen nicht eingepflegter Updates heute immer noch).

  8. Re: End2end encryption

    Autor: amagol 02.05.18 - 16:56

    h31nz schrieb:
    --------------------------------------------------------------------------------
    > Nein, wie im direkt folgenden Abschnitt erläutert tun dies viele andere.
    > Gemeint sind hier Sicherheitsforscher, die nur darauf warten, über so etwas
    > berichten zu können ;)

    Damit legst du dich erstens auf den Mainstream fest, bei welchem du damit rechnen musst, dass er zumindest Regierungen die entsprechenden Rechte einraeumen wird ("Gib und die Schluessel oder wir schlten deinen Messenger in unserem Land ab").

    Ausserdem sind Sicherheitsforscher nicht unfehlbar. Oft genug werden Bugs lange nicht entdeckt, was ist dann bei konstruierten und getarnten Schwachstellen zu erwarten?

    > Ist dir bekannt, dass Google Apps auf einzelnen Geräten über die Play
    > Services austauschen kann? Hast du mal eine Quelle?

    Nein, aber ich weiss, dass man aufgrund bestimmter Kriterien unterschiedliche Binaries ausliefern kann. Also gibt es die kompromitierte Version vielleicht nur fuer ein bestimmtes Modell, weil ich dort jemanden bahoeren moechte.
    Und Updates sind in dem Moment ein Problem, denn entweder riskiert man das Update auf eine noch nicht reviewte Version oder dass man in der alten Version eine Sicherheitsluecke hat.

    > Obwohl deine Haustür nicht 100% gegen Einbrecher schützt, sperrst du sie
    > doch ab.

    Eben, mir reicht auch das Vertrauen darauf, dass jemand meine Nachrichten nicht liesst, weil ich wie vermutlich 99% der Bevoelkerung nichts kompromitierendes schreibe, was ich nicht auch so ueber den Parkplatz rufen wuerde.
    Und ja es ist mir klar, dass meine Haustuer einen professionellen Einbrecher keine 3 Sekunden aufhaelt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ADAC IT Service GmbH, München
  2. Polizeipräsidium Oberfranken, Bamberg, Hof, Coburg
  3. Universität Passau, Passau
  4. BruderhausDiakonie - Stiftung Gustav Werner und Haus am Berg, Reutlingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Razer Blade Stealth 13 im Test: Sieg auf ganzer Linie
Razer Blade Stealth 13 im Test
Sieg auf ganzer Linie

Gute Spieleleistung, gute Akkulaufzeit, helles Display und eine exzellente Tastatur: Mit dem Razer Blade Stealth 13 machen Käufer eigentlich kaum einen Fehler - es sei denn, sie kaufen die 4K-Version.
Ein Test von Oliver Nickel

  1. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  2. Junglecat Razer-Controller macht das Smartphone zur Switch
  3. Tartarus Pro Razers Tastenpad hat zwei einstellbare Schaltpunkte

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

  1. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.

  2. Cloud Gaming: Stadia hat neue Funktionen und ein Spiel mehr
    Cloud Gaming
    Stadia hat neue Funktionen und ein Spiel mehr

    Nutzer des Spielestreamingdienstes Stadia können über das Gamepad auch den Google Assistant verwenden - allerdings mit Einschränkungen. Außerdem gibt es mit Darksiders Genesis erstmals ein neues Spiel auf der Plattform.

  3. IT-Jobs: Bayer lagert fast 1.000 IT-Experten aus
    IT-Jobs
    Bayer lagert fast 1.000 IT-Experten aus

    Bayer trennt sich von vielen IT-Experten, die zu Atos, Capgemini, Cognizant und Tata Consultancy Services wechseln müssen. Es sei kein einfacher Schritt, sich von so vielen Mitarbeitern zu trennen, sagte der Chief Information Officer bei Bayer.


  1. 16:40

  2. 16:12

  3. 15:50

  4. 15:28

  5. 15:11

  6. 14:45

  7. 14:29

  8. 14:13