-
Moxie über Threema: architectural dead end
Autor: leitz 11.03.14 - 14:42
Da: https://whispersystems.org/blog/asynchronous-security/
Es ist ja schön, dass selbst Teile der öffentlichen Meinung verstehen, dass Verschlüsselung gut ist, aber es ist schade, dass da nicht differenziert wird -
Re: Moxie über Threema: architectural dead end
Autor: cryptoman 11.03.14 - 14:51
So, wie ich das sehe, geht es in dem Beitrag um das Erraten der Nachrichteninhalte, wenn sehr viele Nachrichten mit dem gleichen Public Key verschlüsselt werden.
Threema schreibt dazu:
"Threema fügt eine zufällige Menge an Füllbytes zu jeder Nachricht hinzu, um Versuche zu vereiteln, den Inhalt einer Nachricht zu erraten, in dem man die Menge an übertragenen Daten analysiert (beachten Sie, dass Bildnachrichten natürlich immer noch mehrere Grössenordnungen länger sind als Textnachrichten)."
Natürlich ist PFS auf Nachrichtenebene besser (auf Transportebene gibt es bei Threema PFS), aber deswegen ist es ja nicht völlig unsicher. Bei PGP nutzt man ja schließlich auch immer den selben Key über einen langen Zeitraum. Oder kennt Ihr Jemanden, der PGP nutzt und 1x im Monat neue Public Keys rausgibt?
2 mal bearbeitet, zuletzt am 11.03.14 14:54 durch cryptoman. -
Re: Moxie über Threema: architectural dead end
Autor: hab (Golem.de) 11.03.14 - 14:53
cryptoman schrieb:
--------------------------------------------------------------------------------
> So, wie ich das sehe, geht es in dem Beitrag um das Erraten der
> Nachrichteninhalte, wenn sehr viele Nachrichten mit dem gleichen Public Key
> verschlüsselt werden.
Nein, es geht darum dass Threema kein Forward Secrecy anbietet. D.h. ganz praktisch: Wenn Dein Smartphone gestohlen wird, sind alle Deine Nachrichten aus der Vergangenheit potentiell kompromittiert. -
Re: Moxie über Threema: architectural dead end
Autor: cryptoman 11.03.14 - 14:55
Wenn das Phone gestohlen wird liegen meine Nachrichten in einer AES256-verschlüsselten Datenbank auf dem Gerät...
-
Re: Moxie über Threema: architectural dead end
Autor: hab (Golem.de) 11.03.14 - 15:06
cryptoman schrieb:
--------------------------------------------------------------------------------
> Wenn das Phone gestohlen wird liegen meine Nachrichten in einer
> AES256-verschlüsselten Datenbank auf dem Gerät...
Es geht nicht um die auf dem Telefon gespeicherten Nachrichten, sondern um die Nachrichten, die ein Angreiffer verschlüsselt mitgelesen hat. Die kann er speichern und irgendwann später Deinen Key klauen.
Wir hatten hier schon mal einen Artikel zu Forward Secrecy, ich denke da ist der Ansatz ganz gut erklärt:
https://www.golem.de/news/perfect-forward-secrecy-zukunftssicher-per-schluesselaustausch-1306-100090.html -
Re: Moxie über Threema: architectural dead end
Autor: cryptoman 11.03.14 - 15:13
Jetzt will ich es aber ganz genau wissen:
Wie kommt der Handydieb genau an den zur Entschlüsselung notwendigen Private Key von Threema?
Haben Sie schon mal recherchiert, ob der private Key unverschlüsselt auf dem Phone gespeichert ist, oder ist das nur Panikmache?
Kann mir beim besten Willen nicht vorstellen, dass Manuel Kasper diesen Aspekt übersehen hat...
2 mal bearbeitet, zuletzt am 11.03.14 15:14 durch cryptoman. -
Re: Moxie über Threema: architectural dead end
Autor: leitz 11.03.14 - 15:16
Das Problem bei PGP ist, dass es sich lohnt, Nachrichten massenhaft zu speichern.
Knackste eine, knackste alle.
https://otr.cypherpunks.ca/otr-wpes.pdf -
Re: Moxie über Threema: architectural dead end
Autor: cryptoman 11.03.14 - 15:19
Grundsätzlich richtig, nur beantwortet das nicht meine obige Frage in Bezug auf den private Key von Threema.
Als zusätzlichen Sicherheitsaspekt wäre in Threema eine Funktion "Schlüsselpaar erneuern und neuen Public Key verteilen" interessant, wenn man Panik davor hat, dass die durch Threema (für jede Nachricht neu) erzeugten, zufälligen Füllbytes nicht reichen...
Das ist aber mMn Jammern auf hohem Niveau.
2 mal bearbeitet, zuletzt am 11.03.14 15:23 durch cryptoman. -
Re: Moxie über Threema: architectural dead end
Autor: RaZZE 11.03.14 - 15:24
Ist beantwortet.
So ist es -
Re: Moxie über Threema: architectural dead end
Autor: hab (Golem.de) 11.03.14 - 15:25
cryptoman schrieb:
--------------------------------------------------------------------------------
> Grundsätzlich richtig, nur beantwortet das nicht meine obige Frage.
Also ich weiß jetzt nicht wie das bei dir ist, aber bei mir (ja, ich hab mir das zum Testen installiert) muss ich kein Passwort eingeben wenn ich in Threema eine Nachricht lese. D.h. das Programm kann auf den Key unverschlüsselt zugreifen.
Evtl. gibt es eine Option den Key zusätzlich mit einem Passwort zu verschlüsseln, ich hab grad keine gefunden, aber ich hab nicht lange gesucht.
Aber selbst mit verschlüsseltem Private Key würde Forward Secrecy immer noch Sinn machen. Stell Dir ansonsten mal folgendes Szenario vor:
* Angreifer liest nachrichten verschlüsselt mit und speichert sie.
* Du löschst Deine Chatlogs.
* Angreifer zwingt Dich zur Herausgabe des Keys (bzw. zur Herausgabe Deines Handys + Passwort).
Im Szenario mit Forward Secrecy kann der Angreifer dann immer noch keine Nachrichten lesen. Ohne Forward Secrecy hat er dann Zugriff.
Es macht in jedem Fall Sinn Forward Secrecy einzusetzen. -
Re: Moxie über Threema: architectural dead end
Autor: cryptoman 11.03.14 - 15:36
Bei mir sind die Nachrichten mit einer Passphrase geschützt. Diese muss ich neu eingeben, wenn ich das Phone neu starte oder nachdem der RAM durch die Auslastung durch andere Apps "freigeschaufelt" werden muss.
Über den Sinn der (optionalen) Passphrase weist Manuel Kasper aber auch auf der Homepage hin. Da steht übrigens auch, dass der private Key dann verschlüsselt gespeichert wird:
"Threema verwendet eine eigene, App-spezifische Verschlüsselung auf Basis von AES-256, um gespeicherte Nachrichten, Medien und den privaten Schlüssel zur ID zu schützen. Der Schlüssel, welcher für diese Verschlüsselung zum Einsatz kommt, wird beim ersten Start der App zufällig generiert und kann optional durch eine Passphrase geschützt werden (Einstellungen > Hauptschlüssel), was wir sehr empfehlen. Aufgrund der Art und Weise, wie Hardwareverschlüsseung unter Android gehandhabt wird, dient die Verschlüsselung ohne gesetzte Passphrase höchstens der Obskurität. Wenn Sie eine Passphrase auf dem Hauptschlüssel setzen, müssen Sie diese nach jedem Neustart des Telefons wieder eingeben (und auch wenn die App durch das System wegen zuwenig freiem Arbeitsspeicher beendet wird). "
Bezügl. PFS:
"Threema bietet «Forward Secrecy» auf der Netzwerkverbindung (nicht auf der Ende-zu-Ende-Schicht). Client und Server handeln zufällige temporäre Schlüssel aus, die nur im RAM gespeichert und bei jedem App-Start neu generiert werden (sowie mindestens alle 7 Tage). Ein Angreifer, der den Netzwerkverkehr aufgezeichnet hat, ist im Nachhinein nicht in der Lage, diesen zu entschlüsseln, selbst wenn er in den Besitz des privaten Schlüssels des Servers oder des Clients gerät."
Halte es für sehr, sehr unwahrscheinlich, dass zeitgleich
1) PFS für die Transportschicht ausgehebelt wird (innerhalb von 7 Tagen)
2) Die AES256-Datenbank mit dem private Key geknackt wird
3) In dieser engen Zeitspanne für den gesamten Vorgang genug unterschiedliche Nachrichten gesammelt wird (und damit die zufälligen Füllbytes pro Nachricht umgangen werden)
Also sorry: Ja, es gibt immer was zu Verbessern, aber dieses bereits jetzt extrem hohe Sicherheitsniveau bietet keine andere App!
1 mal bearbeitet, zuletzt am 11.03.14 15:38 durch cryptoman. -
Re: Moxie über Threema: architectural dead end
Autor: violator 11.03.14 - 15:47
hannob (golem.de) schrieb:
--------------------------------------------------------------------------------
> Es geht nicht um die auf dem Telefon gespeicherten Nachrichten, sondern um
> die Nachrichten, die ein Angreiffer verschlüsselt mitgelesen hat. Die kann
> er speichern und irgendwann später Deinen Key klauen.
Stimmt, aber wie groß ist die Wahrscheinlichkeit, dass das einem Normalnutzer passiert? ;)
Ein Einbrecher bricht ja schliesslich auch nicht in ein Obdachlosenheim ein, sondern da wo er weiß dass da was zu holen ist. -
Re: Moxie über Threema: architectural dead end
Autor: hab (Golem.de) 11.03.14 - 15:47
cryptoman schrieb:
--------------------------------------------------------------------------------
> Halte es für sehr, sehr unwahrscheinlich, dass zeitgleich
> 1) PFS für die Transportschicht ausgehebelt wird (innerhalb von 7 Tagen)
> 2) Die AES256-Datenbank mit dem private Key geknackt wird
> 3) In dieser engen Zeitspanne für den gesamten Vorgang genug
> unterschiedliche Nachrichten gesammelt wird (und damit die zufälligen
> Füllbytes pro Nachricht umgangen werden)
Nein, Dein Szenario ist falsch. Ich gehe von einem Angreiffer auf dem Server aus. Da sind wir wieder beim Thema: "Wem vertraue ich da?"
Und: Optionale Passwortverschlüsselung des Keys ist schön, aber ein zusätzlicher Umstand. Warum nicht auch die User schützen die das nicht machen? Forward Secrecy kostet ja nix außer ein paar Bits.
Aber davon abgesehen: Das größere Problem von Threema ist der fehlende Quellcode (sie sagen sie machen X, aber woher weißt Du das?) und die Tatsache, dass sie mit falschen Versprechen werben (Validation, Artikel von vor ein paar Tagen).
> Also sorry: Ja, es gibt immer was zu Verbessern, aber dieses bereits jetzt
> extrem hohe Sicherheitsniveau bietet keine andere App!
Naja, doch: Textsecure. Darum ging es ja ursprünglich. -
Re: Moxie über Threema: architectural dead end
Autor: leitz 11.03.14 - 15:48
Deine Punkte 1-3 oder ein kompromittierter Threema-Server. Dann fällt es auf das PGP-Modell zurück, und das Sammeln von Nachrichten lohnt.
-
Re: Moxie über Threema: architectural dead end
Autor: cryptoman 11.03.14 - 16:06
Wie gesagt: Durch die alle 7 Tage neuen PFS-Keys bei der Übertragung wird es ja deutlich erschwert, genug brauchbares Material zu sammeln, ebenso durch die Füllbytes.
Die Nachrichten werden ja nach der Zustellung gelöscht, somit sollte es auf dem Server nichts zu holen geben.
Über den Artikel bezügl. der Validierung habe ich meine eigene Meinung...ich sage nur:
https://www.os3.nl/_media/2013-2014/courses/ssn/projects/threema_report.pdf
Da wurde mMn nicht ausreichend recherchiert, bevor der Artikel bei Heise veröffentlicht wurde...Ziel: Panikmache.
2 mal bearbeitet, zuletzt am 11.03.14 16:10 durch cryptoman. -
Re: Moxie über Threema: architectural dead end
Autor: hab (Golem.de) 11.03.14 - 16:14
cryptoman schrieb:
--------------------------------------------------------------------------------
> Die Nachrichten werden ja nach der Zustellung gelöscht, somit sollte es auf
> dem Server nichts zu holen geben.
Ich glaube wir drehen uns im Kreis. Du vertraust offenbar, dass Threema auf den Servern das tut was sie tun. Ich mag keine Protokolle in denen ich jemandem vertrauen muss, den ich nicht kenne. Ich gehe immer davon aus, dass auf fremden Servern irgendetwas passiert, über das ich keine Kontrolle habe.
Das ist der Punkt um den sich die ganze Threema-Diskussion dreht: Vertraust Du den Threema-Betreibern? Offenbar ja. Vertraue ich den Threema-Entwicklern? Nein. -
Re: Moxie über Threema: architectural dead end
Autor: cryptoman 11.03.14 - 16:18
Letztlich muss man schauen, welche von den angebotenen Messengern am meisten praxistauglich sind.
Und das ist zur Zeit halt Threema. Wenn es Textsecure mindestens noch für iOS gibt, sieht es schon anders aus. Aber es geht darum, hier und jetzt das bestmöglichste Schutzniveau vor Werbefuzzies, Kriminellen und Geheimdiensten zu erreichen.
Textsecure fällt wie gesagt raus, da ich auch Freunde mit iPhones habe. -
Re: Moxie über Threema: architectural dead end
Autor: leitz 11.03.14 - 17:09
cryptoman schrieb:
--------------------------------------------------------------------------------
> Über den Artikel bezügl. der Validierung habe ich meine eigene
> Meinung...ich sage nur:
> www.os3.nl
>
> Da wurde mMn nicht ausreichend recherchiert, bevor der Artikel bei Heise
> veröffentlicht wurde...Ziel: Panikmache.
Das Paper ist sehr schwach, hatte das vor einer Weile überflogen. "Das Dekompilieren hat den Code zu sehr durcheinander geworfen, das war uns jetzt wirklich zu kompliziert, da mehr in die Tiefe zu gehen". Sorry, aber das ist keine belastbare Quelle.
keine Fehler gefunden zu haben =//= fehlerfreies Produkt
cryptoman schrieb:
--------------------------------------------------------------------------------
> Und das ist zur Zeit halt Threema. Wenn es Textsecure mindestens noch für
> iOS gibt, sieht es schon anders aus. Aber es geht darum, hier und jetzt das
> bestmöglichste Schutzniveau vor [...]
> Geheimdiensten zu erreichen.
Ehm. Ja. Die Sicherheit von Threema basiert überwiegend auf der Vertrauenswürdigkeit des Servers. Herr Kasper sagt, eine externe Review könne er sich nicht leisten. Je nachdem, wie tief das geht, gibt es sowas für 30t¤+ (zum Beispiel ein TÜV-Zertifikat einer einfachen Anwendung). Unwahrscheinlich, dass so jemand sich ein eigenes Rechenzentrum leisten kann/will. Also spielen Dritte mit. Das Gottvertrauen in Threema ist unbegründet. -
Re: Moxie über Threema: architectural dead end
Autor: monkeybrain 11.03.14 - 17:13
Schau dir mal die Validierung von Threema an, dort wirds direkt auf der offiziellen Seite eine Variante gezeigt.
Auch von anderen Quellen weiß ich, dass man ohne Passwort oder bei iPhones mit Jailbreak ständig gefahr läuft das der PrivateKey vom Handy aus ausgelesen wird. -
Re: Moxie über Threema: architectural dead end
Autor: monkeybrain 11.03.14 - 17:22
Da frag ich dich, warum sieben Tage warten? Bei Telegram kann ich den key jederzeit wechseln (neuer SC, neuer Key)
Sieben Tage können eine verdammt lange Zeit sein, vor allem wenn du und dein Handy bei jemanden zu Gast bist, der wirklich wissen will, was du geschrieben hast.



