1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Messenger: Whatsapp verschlüsselt…

closed source = nutzlos

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. closed source = nutzlos

    Autor: phre4k 06.04.16 - 07:49

    Wenn man die Implementierung nicht überprüfen kann und keine öffentlichen, reproduzierbaren Builds vorgenommen werden, ist die WhatsApp-Verschlüsselung effektiv nutzlos.

    Marlinspike als Consultant heißt noch lange nicht, dass seine Verschlüsselung auch zum Einsatz kommt – könnte genausogut auch ROT13 over TLS sein.

  2. Re: closed source = nutzlos

    Autor: Wed 06.04.16 - 07:53

    Sehe ich auch so!
    Deshalb war auch Threema für mich nie eine Alternative für Telegram.
    Genauso wenig wie Whats App jetzt.



    1 mal bearbeitet, zuletzt am 06.04.16 07:53 durch Wed.

  3. Re: closed source = nutzlos

    Autor: ChevalAlazan 06.04.16 - 07:55

    phre4k schrieb:
    --------------------------------------------------------------------------------
    > Wenn man die Implementierung nicht überprüfen kann und keine öffentlichen,
    > reproduzierbaren Builds vorgenommen werden, ist die
    > WhatsApp-Verschlüsselung effektiv nutzlos.

    Ich glaube, der Gedanke Überprüfbarer Quellcode = Vertrauenswürdiger kam auf, als ein Code noch aus hundert Zeilen bestand. Das war in den Achtzigern. Dummerweise braucht der Mensch knapp 50 Jahre, bis sich eine neue Erkenntnis durchsetzt. Das heisst es braucht noch bis 2030 mindestens, bevor auch der letzte kapiert, dass ein überprüfbarer Code nur ein Placebo ist.

    Und wie sicher auch Closed Code sein kann, zeigen die Berichte der DEA, FBI, der französischen, britischen und deutschen Staatsanwaltschaften sowie von Snowden.

  4. Re: closed source = nutzlos

    Autor: derdiedas 06.04.16 - 08:03

    Die Schwachstelle ist nicht die implementation der Verschlüsselung, da wenn die Standards eingehalten werden man auch in der Lage sein muss einen eigenen Client zu bauen der die Nachrichten lesen kann.

    Die Gretchenfrage ist immer das Schlüsselmanagement. Wie wird verhindert das Dritte an die Schlüssel kommen? Wie sind die Schlüssel auf den Endgeräten gesichert (Etwa Google wird gezwungen ein Update rauszubringen das den Schlüssel auf dem Filesystem extrahiert und versendet)

    Dazu: https://www.rsaconference.com/writable/presentations/file_upload/dsp-w22.pdf

    Kurzum eine Open Source Verschlüsselung bringt kaum Vorteile, wenn Du darunter Closed Source laufen hast - die brav Ihre Updates beim Hersteller abholt.


    Gruß H.

  5. Re: closed source = nutzlos

    Autor: ChevalAlazan 06.04.16 - 08:17

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Die Gretchenfrage ist immer das Schlüsselmanagement. Wie wird verhindert
    > das Dritte an die Schlüssel kommen? Wie sind die Schlüssel auf den
    > Endgeräten gesichert (Etwa Google wird gezwungen ein Update rauszubringen
    > das den Schlüssel auf dem Filesystem extrahiert und versendet)

    Dann lautet die Gretchenfrage aber nicht, wie die Schlüssel gesichert werden, sondern ob man den Programmierern (dem dahinterstehenden Unternehmen) vertraut, keine Hintertüren einzubauen.

    Das ist doch der Knackpunkt der ganzen Sache. "Open Source", "Closed Source, "Überprüfbar", "Verifiziert" und der ganze andere Quatsch sind völlig bedeutungslos in jeder Diskussion, wenn der Nutzer dem Programmierer/Unternehmen nicht vertraut.

  6. Re: closed source = nutzlos

    Autor: Wallbreaker 06.04.16 - 08:18

    phre4k schrieb:
    --------------------------------------------------------------------------------
    > Wenn man die Implementierung nicht überprüfen kann und keine öffentlichen,
    > reproduzierbaren Builds vorgenommen werden, ist die
    > WhatsApp-Verschlüsselung effektiv nutzlos.
    >
    > Marlinspike als Consultant heißt noch lange nicht, dass seine
    > Verschlüsselung auch zum Einsatz kommt – könnte genausogut auch ROT13
    > over TLS sein.

    Richtig. Wer weiß schon was so ein geschlossenes Programm alles tut, und vor allem was ein Update später sein wird. Bei z.B. Signal hast alles offen, auch zum Zeitpunkt des Code-Audits hast eine sichere Basis die geprüft wurde. Ab hier ist es umso einfacher nachfolgenden Code zu überblicken. Ebenso lässt sich Signal dank reproduzierbarer Builds, exakt so aus dem Quellcode bauen wie das Programm als APK im Playstore vorliegt. So hat man keine Abweichungen mehr, und hat immer dasselbe Ergebnis.

    Frage mich allerdings warum nie der Meilenstein der Kryptografie-Geschichte namens ROT26 verwendet wird. Keine Verschlüsselung arbeitet derart effizient und transparent, dass man fast meinen könnte es wäre keine vorhanden.



    2 mal bearbeitet, zuletzt am 06.04.16 08:21 durch Wallbreaker.

  7. Re: closed source = nutzlos

    Autor: TTX 06.04.16 - 08:23

    In letzter Zeit haben wir wohl oft genug gesehen das man in OS Projekten genauso wenig weiß was das Programm tut ;-)

    Telegram ist auch alles andere als Sicher, da muss man nur googeln... :)

  8. Re: closed source = nutzlos

    Autor: johnripper 06.04.16 - 08:39

    ChevalAlazan schrieb:
    --------------------------------------------------------------------------------
    > derdiedas schrieb:

    > Das ist doch der Knackpunkt der ganzen Sache. "Open Source", "Closed
    > Source, "Überprüfbar", "Verifiziert" und der ganze andere Quatsch sind
    > völlig bedeutungslos in jeder Diskussion, wenn der Nutzer dem
    > Programmierer/Unternehmen nicht vertraut.

    Sowieso alles quatsch. Da hat man tolle Sicherheit via Verschlüsselung und dann überreicht man Google (Andorid Backup) oder Apple (icloud) die Daten im Rahmen der Gerätesicherung.

  9. Re: closed source = nutzlos

    Autor: derdiedas 06.04.16 - 08:47

    Die Frage bei modernen Endpointgeräten ist doch - Wie vielen Anbietern vertraust Du? Denn das OS selbst hat nur schwache Möglichkeiten die Rechte von Applikationen zu limitieren.

    Android und IOS kennen wenigstens das Konzept das man Applikationen in den Rechten beschneiden muss (Auch wenn es hunderte Exploits gibt diese auch zu umgehen - vor allen bei nicht aktuellen Versionen). Aber normale DesktopOS kennen dieses Konzept nicht (Egal ob Linux, Unix oder Windows) - sprich jede Applikation die Du ausführst Darf alles was Du darfst.

    Der Grundfehler aller OS ist das man nur in User und nicht in Anwendungen und Hersteller denkt. Dabei müsste ein vernünftiges LDAP auch Rechte für Anwendungen kennen. Sprich auf allen Endpoints ist ganz genau bekannt welche Anwendung etwa die Kamera oder das Mikrofon überhaupt verwenden darf. Oder welche Verzeichnisse es überhaupt sehen kann - egal welche Rechter der User der diese benutzt hat.

    Ansätze gibt es, aber überall nur halbherzig umgesetzt und nicht bis zum Ende auch durchdacht.

    Gruß ddd

  10. Re: closed source = nutzlos

    Autor: AllDayPiano 06.04.16 - 08:49

    ChevalAlazan schrieb:
    --------------------------------------------------------------------------------
    > phre4k schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn man die Implementierung nicht überprüfen kann und keine
    > öffentlichen,
    > > reproduzierbaren Builds vorgenommen werden, ist die
    > > WhatsApp-Verschlüsselung effektiv nutzlos.
    >
    > Ich glaube, der Gedanke Überprüfbarer Quellcode = Vertrauenswürdiger kam
    > auf, als ein Code noch aus hundert Zeilen bestand. Das war in den
    > Achtzigern. Dummerweise braucht der Mensch knapp 50 Jahre, bis sich eine
    > neue Erkenntnis durchsetzt. Das heisst es braucht noch bis 2030 mindestens,
    > bevor auch der letzte kapiert, dass ein überprüfbarer Code nur ein Placebo
    > ist.
    >
    > Und wie sicher auch Closed Code sein kann, zeigen die Berichte der DEA,
    > FBI, der französischen, britischen und deutschen Staatsanwaltschaften sowie
    > von Snowden.

    Wir hatten die Diskussion schon, als Whatsapp zu Facebook ging. Damals wurde vehement der Standpunkt mit dem Vorschlaghammer vertreten, dass alles scheiße sei, was closed source ist, und open source als das absolute Allheilmittel bezeichnet.

    Ich persönlich halte von all dem überhauptnichts. Nicht, weil es bei OpenSource möglich ist, das ganze zu verifizieren, sondern weil es immer erst jemanden braucht, der das auch tatsächlich macht. Es reicht nicht aus, jemanden zu haben, der in den Code hineinsieht, sondern man braucht auch absolute Experten, die dann in der Lage sind, den Code zu interpretieren. Wie lange hat es gedauerert, bis Hearbleed öffentlich wurde? Es waren exakt 27 Monate! Das sind über 2 Jahre! Und das, obwohl OpenSSL quelloffen ist.

    Dieses ganze "Open Source ist vieeeel sicherer! Closed Source ist scheiße" ist das Gerede der Leute, die glauben, sich durch die Offenlegung von Quellcode Sicherheit zu erkaufen.

    Die Erfahrung hat allerdings gezeigt, dass das ein reiner Trugschluss ist.

    Damals wurde auch in der Diskussion gesagt, dass Threema scheiße sei, weil es closed source ist, und Telegram der Weisheit letzter Schluss ist, weil es ja Open Source ist. Ich habe damals schon gefragt, wer von denjenigen, die das behaupten, selbst schonmal in den Quelltext von Telegram gesehen hat?

    Es war kein einziger!

    Also was soll das ganze? Richtig - nichts! Und sich darauf zu verlassen, dass es andere schon tun werden, ist genauso gutgläubig, wie zu sagen, dass es WhatsApp nicht tut!

    Mir bleibt eine abschließende Frage zu dem Ganzen: Wenn Whatsapp jetzt verschlüsselt, und damit das Unternehmen selbst nichts mehr mit den Daten anfangen können dürfte - wie finanzieren sie sich?

  11. Re: closed source = nutzlos

    Autor: RicoBrassers 06.04.16 - 08:51

    Am Besten ist, man flüstert seine Nachrichten seinem Gesprächspartner direkt ins Ohr, dann braucht man auch keine Verschlüsselung. ;) So geht Sicherheit.

    Ein gewisses Restrisiko bleibt immer. Selbst wenn Programme Open Source wären, müssen die letztendlichen Builds nicht 1:1 auf eben diesem Quellcode basieren. Das bedeutet, dass alle, die sich die Binaries von den "offiziellen Quellen" holen, nicht unbedingt die kompilierte Fassung von dem nutzen, was sie sich vor ein paar Minuten z.B. auf GitHub angeguckt haben. An dieser Stelle muss man wieder den Programmierern vertrauen, also genauso wie bei Closed Source-Anwendungen.

    Open Source ist zwar im Grunde nicht schlecht, aber bei Weitem kein Garant für Sicherheit. Im Grunde könnte man bei Closed Source sogar von einer höheren Sicherheit ausgehen (los, hatet mich!): Es ist "schwieriger", Schwachstellen in der verwendeten Verschlüsselungsimplementation zu suchen (wenn auch nur minimal schwieriger).

  12. Re: closed source = nutzlos

    Autor: RicoBrassers 06.04.16 - 08:54

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Mir bleibt eine abschließende Frage zu dem Ganzen: Wenn Whatsapp jetzt
    > verschlüsselt, und damit das Unternehmen selbst nichts mehr mit den Daten
    > anfangen können dürfte - wie finanzieren sie sich?

    Facebook wirft genug unverschlüsselte Daten zum Verkaufen ab, die machen genug Gewinn, um WhatsApp mit zufinanzieren. :D

  13. Re: closed source = nutzlos

    Autor: dit 06.04.16 - 09:03

    phre4k schrieb:
    --------------------------------------------------------------------------------
    > Wenn man die Implementierung nicht überprüfen kann und keine öffentlichen,
    > reproduzierbaren Builds vorgenommen werden, ist die
    > WhatsApp-Verschlüsselung effektiv nutzlos.
    >
    > Marlinspike als Consultant heißt noch lange nicht, dass seine
    > Verschlüsselung auch zum Einsatz kommt – könnte genausogut auch ROT13
    > over TLS sein.

    Oh man hört auf ihr "Experten" mit diesem closed source vs open source. Diese theoretische Bla bla gequatsche.. Reichts langsam. Du kannst gerne der Welt beweisen das die Verschlüsselung Lücken hat. Der Argument es ist nicht open, deswegen unsicher ist einfach unseriös.

    Nicht alles was in deinem Monitor angezeigt wird muss automatisch frei, kostenlos sein.

  14. Re: closed source = nutzlos

    Autor: unbuntu 06.04.16 - 09:31

    Na erzähl das mal den ganzen Leuten, die einen immer zu Threema missionieren wollen, weil das ja so viel besser ist und verschlüsseln kann...

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  15. Re: closed source = nutzlos

    Autor: unbuntu 06.04.16 - 09:39

    ChevalAlazan schrieb:
    --------------------------------------------------------------------------------
    > Das ist doch der Knackpunkt der ganzen Sache. "Open Source", "Closed
    > Source, "Überprüfbar", "Verifiziert" und der ganze andere Quatsch sind
    > völlig bedeutungslos in jeder Diskussion, wenn der Nutzer dem
    > Programmierer/Unternehmen nicht vertraut.

    Das ist ja der Witz, hier fahren ja so viele auf Telegram ab und vertrauen denen, weils nicht Whatsapp ist und weil da irgendwas OpenSource ist. Dass das vom russischen Facebook kommt, viele Mängel hat und keiner von den Anhängern jemals in den Code reinguckt ist da scheinbar belanglos. Hauptsache Alternativ sein und nicht mit der Masse schwimmen, schon fühlt man sich toll und elitär.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  16. Re: closed source = nutzlos

    Autor: ThommyWausE 06.04.16 - 09:50

    RicoBrassers schrieb:
    --------------------------------------------------------------------------------
    > Am Besten ist, man flüstert seine Nachrichten seinem Gesprächspartner
    > direkt ins Ohr, dann braucht man auch keine Verschlüsselung. ;) So geht
    > Sicherheit.

    Zu diesem Punkt empfehle ich den Film "Der Mann der niemals lebte" mit unserem geliebten Leo in der Hauptrolle. Sehr aktueller Film, trotz seiner 8 Jahre die er schon auf dem Buckel hat. Mehr denn je würde ich sogar behaupten.
    Eine der Hauptprobleme zu unserem Thema: Terroristen und böse Buben haben schon längst kapiert, dass nur mündlich/persönlich übergebene Informationen heutzutage wirklich noch sicher sind.
    Was ergibt sich daraus für uns? "Der Staat" oder "die Konzerne" machen das nicht um uns vor den bösen Jungs zu schützen sondern, wer hätte es gedacht, um mehr über uns zu wissen bzw. in der Hand zu haben. Aluhut hin oder her, kontrolliere die Massen, das ist die Prämisse.

  17. Re: closed source = nutzlos

    Autor: johnripper 06.04.16 - 09:51

    RicoBrassers schrieb:
    --------------------------------------------------------------------------------
    > Ein gewisses Restrisiko bleibt immer. Selbst wenn Programme Open Source
    > wären, müssen die letztendlichen Builds nicht 1:1 auf eben diesem Quellcode
    > basieren. Das bedeutet, dass alle, die sich die Binaries von den
    > "offiziellen Quellen" holen, nicht unbedingt die kompilierte Fassung von
    > dem nutzen, was sie sich vor ein paar Minuten z.B. auf GitHub angeguckt
    > haben. An dieser Stelle muss man wieder den Programmierern vertrauen, also
    > genauso wie bei Closed Source-Anwendungen.

    Man kann sich den Quellcode clonen, prüfen und dann selbst kompilieren*. Das wäre der richtige und einzig sinnvolle Weg. Unterlasse ich einen der Schritte ist es doch wieder hinfällig.
    Und Vertrauen ist mE eine 0/1 Entscheidung. Entweder ich traue, oder ich traue nicht.

    * Natürlich macht das keiner, dafür ist der Prozess viel zu aufwendig für den täglichen Gebrauch (klar für spezielle Einsatzszenarien denkbar, aber sonst).
    Ich würde wetten, dass nicht mal die großen Software/Hardwarehersteller dies (mit teilweise offenen Code) machen den sie verwenden.

  18. wenn man keine Ahnung hat

    Autor: ubuntu_user 06.04.16 - 09:55

    ChevalAlazan schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube, der Gedanke Überprüfbarer Quellcode = Vertrauenswürdiger kam
    > auf, als ein Code noch aus hundert Zeilen bestand. Das war in den
    > Achtzigern.

    aha. debuggen und wireshark hilft also gar nichts

  19. Re: closed source = nutzlos

    Autor: RicoBrassers 06.04.16 - 09:59

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > Man kann sich den Quellcode clonen, prüfen und dann selbst kompilieren*.
    > Das wäre der richtige und einzig sinnvolle Weg. Unterlasse ich einen der
    > Schritte ist es doch wieder hinfällig.
    > Und Vertrauen ist mE eine 0/1 Entscheidung. Entweder ich traue, oder ich
    > traue nicht.
    >
    > * Natürlich macht das keiner, dafür ist der Prozess viel zu aufwendig für
    > den täglichen Gebrauch (klar für spezielle Einsatzszenarien denkbar, aber
    > sonst).
    > Ich würde wetten, dass nicht mal die großen Software/Hardwarehersteller
    > dies (mit teilweise offenen Code) machen den sie verwenden.

    Eben. Und gerade bei der Ende-zu-Ende--Verschlüsselung macht es keinen Sinn, wenn nur du die selbst-kompilierte Binary benutzt, sondern es müssten dann alle deine Kontakte diese "bereinigte" Version (falls überhaupt etwas bereinigt werden muss) nutzen, da diese sonst selbst eine offene Hintertür nutzen.

  20. haargenau

    Autor: ubuntu_user 06.04.16 - 10:02

    phre4k schrieb:
    --------------------------------------------------------------------------------
    > Wenn man die Implementierung nicht überprüfen kann und keine öffentlichen,
    > reproduzierbaren Builds vorgenommen werden, ist die
    > WhatsApp-Verschlüsselung effektiv nutzlos.

    korrekt.

    > Marlinspike als Consultant heißt noch lange nicht, dass seine
    > Verschlüsselung auch zum Einsatz kommt – könnte genausogut auch ROT13
    > over TLS sein.

    der Verschlüsselungsalgorithmus sollte immer öffentlich sein.
    Das Problem bei Verschlüsselung ist aber immer, dass die Schlüssel sicher verwaltet werden müssen. da kann das Programm open oder closed source sein, sicher wird das dadurch nicht, solange facebook die Schlüssel hat.
    genauso die ganzen Lücken in HTTPS völlig egal sind, wenn die root-Zertifikatsservern in den USA stehen und der Regierung zugänglich sind.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ITEOS, Freiburg, Heilbronn, Karlsruhe
  2. Robert-Bosch-Krankenhaus GmbH, Stuttgart
  3. MLP Finanzberatung SE, Wiesloch bei Heidelberg
  4. ITEOS, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,26€
  2. 4,99€
  3. (-10%) 17,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  2. Datenschutz Zahl der Behördenzugriffe auf Konten steigt
  3. Verschlüsselung Regierungen wollen Backdoors in Facebook für Untersuchungen

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

Fritzbox mit Docsis 3.1 in der Praxis: Hurra, wir haben Gigabit!
Fritzbox mit Docsis 3.1 in der Praxis
Hurra, wir haben Gigabit!

Die Fritzbox 6591 Cable für den Einsatz in Gigabit-Kabelnetzen ist seit Mai im Handel erhältlich. Wir haben getestet, wie schnell Vodafone mit Docsis 3.1 tatsächlich Daten überträgt und ob sich der Umstieg auf einen schnellen Router lohnt.
Ein Praxistest von Friedhelm Greis

  1. Nodesplits Vodafone bietet 500 MBit/s für 20 Millionen Haushalte
  2. Sercomm Kabelmodem für bis zu 2,5 GBit/s vorgestellt
  3. Kabelnetz Die Marke Unitymedia wird verschwinden

  1. 7.000 Arbeitsplätze: Tesla will Gigafactory bei Berlin bauen
    7.000 Arbeitsplätze
    Tesla will Gigafactory bei Berlin bauen

    Elon Musk kündigte bei der Verleihung des Goldenen Lenkrads an, dass Tesla seine erste europäische Gigafactory in Brandenburg südöstlich von Berlin bauen wird. In der Hauptstadt selbst soll ein Design- und Entwicklungszentrum entstehen.

  2. US-Sanktionen: Doppeltes Gehalt für Huawei-Beschäftige im Oktober
    US-Sanktionen
    Doppeltes Gehalt für Huawei-Beschäftige im Oktober

    Huawei belohnt die Beschäftigten für ihre Energie und den Widerstand, die sie gegen den US-Boykott entwickeln. Die Teams, die den Schaden minimieren, können sich zusätzlich über 285 Millionen US-Dollar freuen.

  3. Telefónica Deutschland: Drittes 5G-Netz in Berlin gestartet
    Telefónica Deutschland
    Drittes 5G-Netz in Berlin gestartet

    Jetzt hat auch die Telefónica Deutschland ein 5G-Netz in Berlin eingeschaltet. Doch es ist nur ein kleines Campusnetz.


  1. 23:10

  2. 19:07

  3. 18:01

  4. 17:00

  5. 16:15

  6. 15:54

  7. 15:21

  8. 14:00