1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Jan Koum: Whatsapp-Gründer verlässt…

End2end encryption

  1. Thema

Neues Thema Ansicht wechseln


  1. End2end encryption

    Autor: amagol 01.05.18 - 18:11

    Hier scheinen ja einige in e2e Verschluesselung den Stein der Weisen zu sehen, aber mal ehrlich, wie kann man einer App aus einem Appstore vertrauen, das diese tatsaechlich und immer e2e verschluesselt und nie irgendwelche Schluessel leakt?
    Ist es nicht viel ehrlicher zu sagen, wir machen keine Verschluesselung, und wenn ihr das System stuerzen wollt muesst ihr euch irgendwelche Codes ausdenken?

  2. Re: End2end encryption

    Autor: h31nz 01.05.18 - 20:05

    Du kannst Android Apps decompilieren und dir anschauen, was sie tun. Dann weißt du zumindest für die Version, die du dir angeschaut hast, dass sie sauber ist.

    Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen angeschaut wird.

    Edit: Selbst irgendwelche Codes ausdenken ist eine sehr schlechte Idee. Kryptographie richtig zu implementieren ist sehr schwer. Bei dem geringsten Fehler sind deine Geheimnisse nicht mehr geheim.



    1 mal bearbeitet, zuletzt am 01.05.18 20:09 durch h31nz.

  3. Re: End2end encryption

    Autor: amagol 01.05.18 - 21:44

    h31nz schrieb:
    --------------------------------------------------------------------------------
    > Du kannst Android Apps decompilieren und dir anschauen, was sie tun. Dann
    > weißt du zumindest für die Version, die du dir angeschaut hast, dass sie
    > sauber ist.

    Und das machst du bei jedem deiner Gespraechspartner. Bei jedem Update. Auf jedem seiner Geraete. Glaub ich dir sofort.

    > Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen
    > angeschaut wird.

    Und wie schnell kann die meistgenutzte App der Welt fuer einen unauffaellig kleinen Teil der Nutzer per Remote Update ausgetauscht werden?

    > Edit: Selbst irgendwelche Codes ausdenken ist eine sehr schlechte Idee.
    > Kryptographie richtig zu implementieren ist sehr schwer. Bei dem geringsten
    > Fehler sind deine Geheimnisse nicht mehr geheim.

    Brauchst du mir nicht erzaehlen. Nur jede App, die bequem zugaenglich ist is praktisch eben auch unsicher. Sobald du nicht selbst die Kontrolle ueber den Client hast (und alles zwischen dem Client und dir - UI-Komponenten, Display-Treiber, Tastatur-Controller, ...) bietet E2E Verschluesselung nur eine scheinbare Sicherheit.

  4. Re: End2end encryption

    Autor: elidor 02.05.18 - 08:00

    Und wenn du dir den Code auf einem Betriebssystem anguckst, das du nicht selbst geschrieben oder bis ins letzte kontrolliert hast, bringt dir die Kontrolle auch nichts.
    Gehen wir noch einen Schritt weiter: Wenn du dein selbstgeschriebenes Betriebssystem auf Hardware laufen lässt, die du nicht kokmplett selbst gebaut hast, kannst du dir nicht sicher sein, dass keine Backdoor in der CPU ist.
    Und auf welchem Rechner hast du dann dein OS geschrieben / kompiliert?

    Mal ehrlich, du kannst nicht jeden Client einzeln kontrollieren, aber du kannst sicher sein, dass ein paar Versionen kontrolliert wurden. Wird auch nur einmal eine Lücke gefunden, dann wird das kommuniziert und zumindest die IT Welt bekommt das mit.

    Davon abgesehen hat Whatsapp doch eh keine echte E2E Verschlüsselung, oder? Die Verschlüsselung geht nur von Smartphone zu Smartphone. Sobalt eine Partei Whatsapp Web nutzt, hat sich das doch erledigt, oder?

  5. Re: End2end encryption

    Autor: h31nz 02.05.18 - 08:59

    amagol schrieb:
    --------------------------------------------------------------------------------
    > h31nz schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Du kannst Android Apps decompilieren und dir anschauen, was sie tun.
    > Dann
    > > weißt du zumindest für die Version, die du dir angeschaut hast, dass sie
    > > sauber ist.
    >
    > Und das machst du bei jedem deiner Gespraechspartner. Bei jedem Update. Auf
    > jedem seiner Geraete. Glaub ich dir sofort.

    Nein, wie im direkt folgenden Abschnitt erläutert tun dies viele andere. Gemeint sind hier Sicherheitsforscher, die nur darauf warten, über so etwas berichten zu können ;)

    >
    > > Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen
    > > angeschaut wird.
    >
    > Und wie schnell kann die meistgenutzte App der Welt fuer einen unauffaellig
    > kleinen Teil der Nutzer per Remote Update ausgetauscht werden?

    Ist dir bekannt, dass Google Apps auf einzelnen Geräten über die Play Services austauschen kann? Hast du mal eine Quelle?

    >
    > > Edit: Selbst irgendwelche Codes ausdenken ist eine sehr schlechte Idee.
    > > Kryptographie richtig zu implementieren ist sehr schwer. Bei dem
    > geringsten
    > > Fehler sind deine Geheimnisse nicht mehr geheim.
    >
    > Brauchst du mir nicht erzaehlen. Nur jede App, die bequem zugaenglich ist
    > is praktisch eben auch unsicher.

    Nee. Gegenbeispiel: Signal

    Ist bequem zugänglich und nach aktuellem Stand sicher. Stichworte sind hier E2E-Verschlüsselung, Forward Secrecy, Reproducable Builds. Allein die Pflicht zur Verwendung der Telefonnummer als Anmeldenamen könnte man ihnen vorwerfen.

    > Sobald du nicht selbst die Kontrolle ueber
    > den Client hast (und alles zwischen dem Client und dir - UI-Komponenten,
    > Display-Treiber, Tastatur-Controller, ...) bietet E2E Verschluesselung nur
    > eine scheinbare Sicherheit.

    Scheinbare Sicherheit halte ich hier für etwas übertrieben. Was im Leben ist schon 100% sicher? Sicherheit ist immer relativ.

    Obwohl deine Haustür nicht 100% gegen Einbrecher schützt, sperrst du sie doch ab.

  6. Re: End2end encryption

    Autor: h31nz 02.05.18 - 09:05

    elidor schrieb:
    --------------------------------------------------------------------------------
    > Davon abgesehen hat Whatsapp doch eh keine echte E2E Verschlüsselung, oder?
    > Die Verschlüsselung geht nur von Smartphone zu Smartphone. Sobalt eine
    > Partei Whatsapp Web nutzt, hat sich das doch erledigt, oder?

    Doch, Whatsapp verwendet durchgehend die gleiche E2E-Verschlüsselung wie Signal, auch in der Browserversion. Dies wird durch einen Schlüsselaustausch via QR-Code realisiert.

  7. Re: End2end encryption

    Autor: bigblob 02.05.18 - 10:45

    h31nz schrieb:
    --------------------------------------------------------------------------------
    > Du kannst davon ausgehen, dass die meistgenutzte App der Welt von vielen
    > angeschaut wird.

    Eine vielgenutzte Bibliotheken für verschlüsselte Verbindungen (OpenSSL) hatte über 2 Jahre hinweg (2012 - 2014) eine schwerwiegende Sicherheitslücke (Heartbleed) von der schätzungsweise eine halbe Million Webseiten betroffen waren.
    Da half es auch nicht dass sie, weil sie als Open Source Software zur Verfügung stand, von Jedermann hätte begutachtet werden können.
    Zusätzlich waren Geräte wie VoIP-Telefone und Router namenhaften Hersteller betroffen (oder sind es vermutlich wegen nicht eingepflegter Updates heute immer noch).

  8. Re: End2end encryption

    Autor: amagol 02.05.18 - 16:56

    h31nz schrieb:
    --------------------------------------------------------------------------------
    > Nein, wie im direkt folgenden Abschnitt erläutert tun dies viele andere.
    > Gemeint sind hier Sicherheitsforscher, die nur darauf warten, über so etwas
    > berichten zu können ;)

    Damit legst du dich erstens auf den Mainstream fest, bei welchem du damit rechnen musst, dass er zumindest Regierungen die entsprechenden Rechte einraeumen wird ("Gib und die Schluessel oder wir schlten deinen Messenger in unserem Land ab").

    Ausserdem sind Sicherheitsforscher nicht unfehlbar. Oft genug werden Bugs lange nicht entdeckt, was ist dann bei konstruierten und getarnten Schwachstellen zu erwarten?

    > Ist dir bekannt, dass Google Apps auf einzelnen Geräten über die Play
    > Services austauschen kann? Hast du mal eine Quelle?

    Nein, aber ich weiss, dass man aufgrund bestimmter Kriterien unterschiedliche Binaries ausliefern kann. Also gibt es die kompromitierte Version vielleicht nur fuer ein bestimmtes Modell, weil ich dort jemanden bahoeren moechte.
    Und Updates sind in dem Moment ein Problem, denn entweder riskiert man das Update auf eine noch nicht reviewte Version oder dass man in der alten Version eine Sicherheitsluecke hat.

    > Obwohl deine Haustür nicht 100% gegen Einbrecher schützt, sperrst du sie
    > doch ab.

    Eben, mir reicht auch das Vertrauen darauf, dass jemand meine Nachrichten nicht liesst, weil ich wie vermutlich 99% der Bevoelkerung nichts kompromitierendes schreibe, was ich nicht auch so ueber den Parkplatz rufen wuerde.
    Und ja es ist mir klar, dass meine Haustuer einen professionellen Einbrecher keine 3 Sekunden aufhaelt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OGS Gesellschaft für Datenverarbeitung und Systemberatung mbH, Koblenz
  2. Advantest Europe GmbH, Böblingen
  3. KION Group AG, Frankfurt am Main
  4. Deutsche Welle, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 27,90€ (zzgl. Versand)
  2. 79,00€ (zzg. 1,99€ Versand)
  3. 129,99€ (Release am 2. Juni)
  4. (u. a. Akku Stichsäge für 134,99€, Akku Säbelsäge für 137,99€, Akku Winkelschleifer für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

  1. Kickstarter: Gebundener Mars-Atlas zeigt Karten des Roten Planeten
    Kickstarter
    Gebundener Mars-Atlas zeigt Karten des Roten Planeten

    The Mars-Atlas ist ein interessantes Buch: Es zeigt detaillierte Karten vom Mars statt der Erde. Mehr als 2.000 Standorte sind darauf zu sehen. Auch eine digitale Applikation wird angeboten, auf der Hobbyforscher ein 3D-Modell des Mars erkunden können - ähnlich wie bei Google Mars.

  2. 5G: Österreich sieht sich beim Mobilfunk klar vor Deutschland
    5G
    Österreich sieht sich beim Mobilfunk klar vor Deutschland

    Das schlechteste Mobilfunknetz in Österreich sei immer noch besser als das beste Netz in Deutschland, hat Wirtschaftsministerin Margarete Schramböck behauptet. Auch Messungen bestätigen das.

  3. TLS: Netgear verteilt private Schlüssel in Firmware
    TLS
    Netgear verteilt private Schlüssel in Firmware

    Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.


  1. 17:20

  2. 17:07

  3. 16:45

  4. 15:59

  5. 15:21

  6. 13:38

  7. 13:21

  8. 12:30