Encrypt yourself - #1 Mobile Messenger

Encrypt yourself – #1 Mobile Messenger

Wie vor zwei Wochen angekündigt, hier nun Teil eins unserer Miniserie zur Verschlüsselung von Kommunikation und Daten.

Da die Nutzung von mobilen Instant Messengern oder auch Social Messengern (d.h. Messenger mit Push-Funktion) wie Whatsapp, Facebookchat oder iMessage in letzter Zeit massiv zugenommen hat, fangen wir auch gleich mit diesen an. Zusätzlich bieten die zur Zeit verfügbaren Apps auch die einfachste Möglichkeit, sich Verschlüsselt zu unterhalten – ein idealer Einstieg also.

Wesentliche Kriterien für eine sicher Verschlüsselung

Doch zunächst ein kurzer Exkurs zu den Anforderungen, die wir an die Apps stellen, damit sie wirklich als sicher gelten.

1. Ende-zu-Ende Verschlüsselung

Eine wichtige Eigenschaft einer guten, d.h. sicheren Verschlüsselungsform, ist die Gewährleistung einer echten Ende-zu-Ende Verschlüsselung. Das heißt, die Nachricht wird beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Alle Zwischenstationen haben keine Möglichkeit auf die verschlüsselten Daten zuzugreifen. Bekannte Techniken hierfür sind OpenPGP und S/MIME für den E-Mailverkehr oder OTR für den Chat-Verkehr. Doch mehr dazu dann in den entsprechenden Artikeln..

2. Asymmetrische Verschlüsselung

Eine zweite, wesentliche Eigenschaft ist die Asymmetrische Verschlüsselung. Dies bedeutet, dass die beiden Kommunikationspartner nicht den selben Schlüssel verwenden, um die Nachrichten zu ver- und entschlüsseln (das wäre dann Symmetrische Verschlüsselung). Vielmehr ist es so, dass jede_r Nutzer_in ein Schlüsselpaar, bestehend aus einem privaten (=geheimen) und einem öffentlichen(=nicht-geheimen) Schlüssel erstellt. Mit dem öffentlichen Schlüssel kann jede_r Nachrichten an die_den Besitzer_in des zugehörigen privaten Schlüssels verschlüsseln. Mit dem privaten Schlüssel kann der_die Inhaber_in diese Nachrichten dann entschlüsseln. (Außerdem lassen sich mit dem privaten Schlüssel auch digitale Signaturen erstellen und der Inhaber kann sich hierüber authentifizieren.) Mehr zum Thema findet ihr z.B. hier. Der wesentliche Vorteil dieser Verschlüsselungsform ist, dass der private Schlüssel nicht auf irgendeinem Server (vielleicht noch im Klartext) liegt, sondern immer bei dem_der Nutzer_in selbst (so lang er_sie nichts falsch macht natürlich). Es ist also wesentlich leichter, den geheimen Schlüssel auch geheim zu halten.

3. Identitätsprüfung

Dritter und letzter Punkt, ist die Sicherstellung, dass die Person, mit der ich kommuniziere, auch wirklich die ist, die sie vorgibt zu sein. Dies erfolgt über eine digitale Signatur, die entweder durch die Vergabe eines, von einer Zertifizierungstelle ausgegeben, digitalen Zertifikates bestätigt wird oder über das gegenseitige Bestätigen der Zusammengehörigkeit von Schlüssel und Person durch die Mitglieder eines Web of Trust.

Sichere Messenger wie Sand am Meer

Das hartnäckige Verbleiben vieler Nutzer_innen bei unverschlüsselnden oder sogar datenverschleudernden Apps, lässt vermuten, dass es kaum alternative Möglichkeiten gibt. Das genaue Gegenteil ist jedoch der Fall. Verschlüsselnde Apps sprießen derzeit geradezu aus dem Boden. Einige haben sich bereits etabliert und diese werden wir im Folgenden vorstellen. Am Ende gibt es zusätzlich Verweise auf weitere Apps, die entweder noch in der Entwicklung oder nur für wenige Betriebssysteme verfügbar sind.

Threema

Einer der zur Zeit am weitesten verbreiteten Sicheren Messenger ist Threema. Die App ist sowohl für iPhone als auch für Android Geräte verfügbar. Aufbau und Funktion erinnert an Whatsapp, nur das bei der ersten Anmeldung zunächst ein Schlüsselpaar erzeugt wird; der öffentliche Schlüssel wird auf den Threema-Server gespeichert. Anschließend kann das eigene Adressbuch nach weiteren Threema Nutzer_innen durchsucht werden, der jeweilige öffentliche Schlüssel wird automatisch heruntergeladen (Eine Synchronisation des Adressbuchs ist aber nicht notwendig, Kontakte können auch manuell hinzugefügt werden).

Um die Sicherheit, die durch Ende-zu-Ende und asymmetrische Verschlüsselung bereits gewährleistet wird, weiter zu erhöhen, bietet Threema einen 3-Stufigen Identitätscheck an. Wie sicher mensch sein kann, ob ein Kontakt wirklich echt ist, wir anhand einer 3-farbigen Ampel angezeigt. Trifft zum ersten mal eine Nachricht von einer unbekannten (nicht im Adressbuch vorhandenen) Person ein oder wird ein Kontakt manuell hinzugefügt, bekommt dieser Kontakt einen roten Punkt. Im Prinzip ist hier nicht sicher, wer sich wirklich hinter dem Kontakt verbirgt. Wird der Kontakt durch Synchronisation des eigenen Adressbuchs mit dem Threema-Server abgeglichen, erhält er zwei gelbe Punkte. Hier kann mensch schon relativ sicher sein, mit der Person zu sprechen, die auch angegeben ist. Die höchste Stufe, 3 grüne Punkte, erhält ein Kontakt, wenn der öffentliche Schlüssel per QR-Code bei einem face-to-face Treffen ausgetauscht wird.

Ist Threema eingerichtet, was mit der sehr einfachen Anleitung beim ersten Start kein Problem darstellen sollte, können die Nutzer_innen Nachrichten, Bilder und Videos untereinander Austauschen. In der iOS Version gibt es inzwischen auch eine Gruppenchatfunktion, für Android ist diese noch in der Entwicklung. (Möglicherweise) Einziger Wermutstropfen, die App kostet einmalig 1,60€ (Android) bzw. 1,79€ (iPhone).

Weitere Infos, auch genaueres zu den verwendeten Krypto-Verfahren im Threema FAQ.

myENIGMA

Eine weitere sichere Messenger App ist myENIGMA. Auch hier erfolgt die Verschlüsselung asymmetrisch und Ende-zu-Ende. Bei der ersten Anmeldung muss sich der_die Nutzer_in mit Telefonnummer und E-Mail Adresse anmelden. Nach der der Authentifizierung über einen SMS Code, erhält mensch ein vorläufiges Passwort. Anschließend wird das Adressbuch mit den Daten auf dem myENIGMA Server abgeglichen. Da es keine Möglichkeit gibt, Kontakte auch per Hand hinzuzufügen, ist dies leider die einzige Möglichkeit, die App zu nutzen. Wie bei Threema können die Nutzer_innen Textnachrichten sowie Fotos und andere Files bis max. 20MB austauschen. Außerdem gibt es eine Gruppenchatfunktion und als Besonderheit die Möglichkeit verschlüsselte SMS an andere myENIGMA Nutzer_innen zu senden.

Die App ist zur Zeit noch kostenlos für Android, iPhone und Blackberry im jeweiligen Store erhältlich.

Weitere Infos im MyENIGMA FAQ.

whistle.im

Etwas Wirbel gab es im August um den Messenger whistle.im. Die noch junge Messenger App baut ebenfalls auf asymmetrische Ende-zu-Ende Verschlüsselung, benötigt dafür aber keine Telefonnummer, Mail-Adresse o.ä. Bei der Anmeldung erstellt der_die Nutzerin selbst eine ID und ein zugehöriges Passwort. ID und Passwort sollte mensch sich gut merken, da es aufgrund von fehlenden Kontaktdaten keine Wiederherstellungsmöglichkeit gibt. Gleichzeitig eignet sich die App aufgrund der einfachen Anmeldung auch als Wegwerf-Kommunikationsmittel für temporäre Verwendung. Nach der Anmeldung können Kontakte über deren ID hinzugefügt werden. Für die Identitätsprüfung der hinzugefügten Kontakte ist der_die Nutzer_in jedoch selbst verantwortlich. Mit den hinzugefügten Kontakten kann dann einzeln oder in Gruppenchats kommuniziert werden.

Wie schon erwähnt gab es im August ein bisschen mehr Aufmerksamkeit für die App. Eine ausführliche Analyse durch das CCC Mitglied Nexus zeigte mehrere Sicherheitslücken, die inzwischen wohl aber behoben wurden.

Die App ist zur Zeit kostenlos für Android und alle moderne Browser verfügbar. Mehr Infos auch hier im whistle.im FAQ.

heml.is und andere

Neben den erwähnten Apps gibt es eine große Anzahl weiterer Messenger Apps, die sichere Kommunikation anbieten. Einige sind noch in der Entwicklung, wie z.B. heml.is, einer auf XMPP & PGP basierenden Messenger App, u.a. initiiert von Piratebay Mitbegründer Peter Sunde. Das Projekt wurde an nur einem Tag per Crowd Funding vorfinanziert und befindet sich derzeit in der Entwicklung. Wer Interesse daran hat, kann den aktuellen Stand im Blog zum Projekt mitverfolgen.

Andere sind zur Zeit nur für Android oder iPhone verfügbar, z.B. kontalk, hoccer und wickr (beide mit Android Testversion) oder bieten sichere Kommunikation nur als Option, wie z.B. die Open Source App Telegram (hat mir persönlich schon wieder zu viel User-Fail Potential).

What’s next?

Es gibt offensichtlich eine Vielzahl an Sicheren Messenger Apps und es ist nur eine Frage der Zeit, bis das Ganze komplett unübersichtlich wird. Ich bin in jedem Fall gespannt, wie die weitere Entwicklung aussehen wird und was sich wohl durchsetzt. Wie bei allen sozialen Kommunikationsformen ist es natürlich auch bei Messengern wichtig, dass sich die Leute, zumindest die im jeweiligen Bekannten und Verwandtenkreis, auf irgendeine App einigen. Je nach Angebot keine einfach Sache. Da stellt sich dann doch die Frage, ob es nicht sinnvoller ist, eine offenes Protokoll zu verwenden (z.B. xmpp wie bei heml.is angekündigt), in Kombination mit einem Client, der z.B. Verschlüsselung per GPG ermöglicht. So etwas gibt es auch, sogar schon länger. Wie und auf welchen Plattformen, besprechen wir dann beim nächsten Mal.

 

(Titelbild cc by-nd highwaycharlie)