Vorheriger Artikel Nächster Artikel

whistle.im: Neuer Messenger aus Deutschland mit sehr starker Verschlüsselung [Update]

Zwei deutsche Studenten arbeiten unter dem Namen „whistle.im“ an einem Instant-Messenger mit besonders starker Verschlüsselung. Im Gegensatz zu anderen Anwendungen setzen die Gründer auf einen 2048 Bit starken Algorhithmus. Momentan kann der via HTML- oder Android-App ausprobiert werden.

whistle.im: Neuer Messenger aus Deutschland mit sehr starker Verschlüsselung [Update]

Verschlüsselung bei Messengern liegt im Trend

Verschlüsselte Messenger liegen derzeit stark im Trend. Spätestens seit bekannt wurde, dass Nachrichten bei WhatsApp nicht verschlüsselt übertragen werden, scheint die halbe Republik auf der Suche nach sicheren Alternativen zu sein. Großartig getan hat sich allerdings nichts in der Messaging-Welt. Dabei kann man nicht sagen, dass es keine Alternativen gäbe. Hike zum Beispiel macht inzwischen funktionell und optisch eine sehr gute Figur und arbeitet mit einer 256 Bit starken Verschlüsselung – sie funktioniert allerdings nur im WLAN-Betrieb.

In Sachen Optik und Funktionsumfang ist whistle.im bisher noch sehr unauffällig.
In Sachen Optik und Funktionsumfang ist whistle.im bisher noch sehr unauffällig.

whistle.im: 2048 Bit starke Ende-zu-Ende-Verschlüsselung

Wer also auf der Suche nach stärkeren Verschlüsselungsmethoden ist, dem könnte ein neuer Ansatz namens „whistle.im“ besonders gut gefallen. Das Projekt zweier deutscher Studenten aus Mechernich ist ein einfacher Instant-Messenger, der mit einer 2048 Bit starken RSA-Verschlüsselung im Ende-zu-Ende-Verfahren arbeitet. Durch das ausgefeilte Kryptographie-Konzept ist whistle.im deutlich sicherer als viele Konkurrenten und kaum zu knacken – wenn man davon ausgeht, dass es keine Sicherheitslücken in der Implementierung der Verschlüsselung gibt. Um diese Wahrscheinlichkeit zu erhöhen, haben die Macher den Quellcode der Anwendung auf github.com bereitgestellt, so dass jeder nachvollziehen kann, nach welchem Prinzip die Anwendung arbeitet.

Das Verschlüsselungskonzept von whistle.im wirkt aufwendig. Von dieser Komplexität soll der User nichts mitbekommen.
Das Verschlüsselungskonzept von whistle.im wirkt aufwendig. Von dieser Komplexität soll der User aber nichts mitbekommen.

Für Android und als Web-App ist whistle.im schon verfügbar

Zum aktuellen Zeitpunkt gibt es die App zum Herunterladen im Google-Play-Store für Android-Geräte und als simple HTML-Web-App, die auch auf dem Desktop ausgeführt werden kann. Eine Registrierung ist bei whistle.im übrigens nicht nötig, was den Dienst nicht minder sympathisch macht. Vom Funktionsumfang her kann whistle.im noch nicht ganz mit anderen Messengern gleich ziehen. Bisher können nur Textnachrichten verschickt werden. Das Versenden multimedialer Inhalte wie Bilder, Videos oder Standorte soll bald folgen. Außerdem deuten die Entwickler auf der Webseite an, dass eine Version für iOS und Windows Phone bald folgen wird.

Update vom 23. August 2013: Ein Mitglied des Chaos Computer Clubs hat die Software zwischenzeitlich stark kritisiert. In einem Beitrag monierte er unter anderem, dass die RSA-Schlüssel auf dem Server liegen. Von dort könnte ein gefälschter Key ausgeliefert werden, um die Kommunikation mitzulesen. Außerdem könne der Dienst in Erfahrung bringen, wer wie lange mit wem in Kontakt steht.

Generell meint der Hacker, der unter dem Pseudonym Nexus auftritt, dass die Entwickler grundlegende Konzepte der Verschlüsselung nicht verstanden hätten. Ein sogenannter Man-in-the-middle-Angriff, bei dem ein Angreifer sich zwischen die Kommunizierenden hängt, um die Nachrichten mitzulesen, wäre nach seiner Einschätzung möglich. Darüber hinaus wäre es sogar möglich, dass der Angreifer sogar die Position von einem der Kommunikationspartner übernimmt. Für Nutzer, die einen zumindest vergleichsweise sicheren Dienst erwarten, mehr als nur ein Ärgernis.

Als Reaktion darauf, wurde von den Machern ein Update der Android-App veröffentlicht. Jetzt ist es möglich, den eigenen Schlüssel selbst zu verwalten. Außerdem soll nach dem Update auch das SSL-Zertifikat geprüft werden. Wie das CCC-Mitglied in seinem Text beschrieben hatte, wurde dies in der ursprünglichen Version nicht getan. So konnte man mit einem selbst signiertem Zertifikat Kontakt zum Server aufzubauen. Weitere Sicherheitsupdates wurden ebenfalls angekündigt. Ob ihr zu dem Messenger greift oder nicht, bleibt euch überlassen. Wie immer, wenn ein extrem hohes Maß an Sicherheit versprochen wird, kann eine Portion Skepsis nicht schaden.

Update vom 23. August 2013; 16:35 Uhr: Gegenüber t3n.de sagte Nexus, er würde die Verbesserungen von Seiten des Whistle.im-Teams generell begrüßen. Jedoch zeigte er sich gegenüber dem Projekt weiterhin skeptisch, da man seiner Aussage nach, lediglich auf die von ihm benannten Schwächen reagiert habe. Schwächen, die er nach eigenen Angaben in nur 30 Minuten gefunden habe. Was eine tiefergehende Analyse zu Tage bringen könnte, möchte er sich nicht ausmalen.

Darüber hinaus sieht er den Anbieter von Whistle.im in der Pflicht, die Nutzer auch über die Tragweite der bereits gemachten Fehler zu unterrichten. Einen entsprechenden Eintrag im Pressepaket hält er für nicht ausreichend. Immerhin sei laut dem Hacker jede Nachricht, die über das System ausgetauscht wurde unsicher.

Generell möchte Nexus von einer weiteren Analyse der Software absehen, bleibt jedoch bei seiner ursprünglichen Einschätzung und rät Anwendern von der Nutzung der Software ab. Laut dem CCC-Mitglied könnten die Entwickler trotz gutem Marketing nicht einschätzen, welche Herausforderung ein solches Projekt eigentlich sei.

whistle.im
whistle.im
Download @
Google Play
Entwickler: whistle.im
Preis: Kostenlos

Weiterführende Links zum Thema „whistle.im“

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
14 Antworten
  1. von Bastey am 13.08.2013 (14:20Uhr)

    Ich sag nur: Threema.

    Antworten Teilen
  2. von lorenz am 13.08.2013 (14:41Uhr)

    @bastey: sieht gut aus aber wo sind deren sourcen?

    Antworten Teilen
  3. von Andy am 13.08.2013 (15:46Uhr)

    @Bastey: Ich sag nur keine Webapp. Ich weiss nicht warum alle immer so versessen sind an ihren Smartphones rumzuspielen. Es ist doch viel angenehmer eine richtige Tastatur zu verwenden.

    Antworten Teilen
  4. von Hugo Bernot am 13.08.2013 (17:44Uhr)

    Nutze seit einigen Wochen Threema, sind auch schon einige Leute mit auf den Zug aufgesprungen. Wesentlich besserer Eindruck als whistle. Threema gibts für iOS und Android, einfach im Store suchen.

    Antworten Teilen
  5. von ramses am 13.08.2013 (18:32Uhr)

    @Bastey Threema ist nicht Open Source und damit automatisch unsicher. Quelloffenheit ist zwingend notwendig für die Sicherheit von Verschlüsselungsprogrammen.

    @lorenz steht auf der Seite: "Unsere Kryptographie ist Open Source".

    Antworten Teilen
  6. von webmaster128 am 13.08.2013 (22:45Uhr)

    Die Betonung des Artikels auf die "Stärke" der Verschlüsselung finde ich äußerst fragwürdig.

    Man kann leider keinen 128bit AES mit einem 256bit ECC oder einem 2048bit RSA vergleichen, da diese Zahlen im Kontext des entsprechenden Algorithmus völlig unterschiedliche Bedeutungen haben. Bei SSL (bekannt von HTTPs) verwendet man typischerweise sowohl RSA-2048 als auch einen AES-128.

    Viel entscheidender ist, dass whistle.im eine Ende-zu-Ende-Verschlüsselung ankündigt, so dass der Provider keine Nachrichten lesen kann. Bei Hike scheint dies nicht der Fall zu sein. Vielmehr wird dort die Strecke von Versender zum Provider und vom Provider zum Empfänger per SSL verschlüsselt, wie es WhatsApp seit einem Jahr auch tut (http://www.heise.de/security/meldung/WhatsApp-versendet-keinen-Klartext-mehr-1673054.html).

    Antworten Teilen
  7. von Kontalkfan ;-) am 13.08.2013 (23:04Uhr)

    Ich finde es schade das die Medien sehr oft über geplante (heml.is), kommerzielle (Trema) oder Betaversionen (whistel.is) von Messengern mit Ende zu Ende Verschlüsselung berichten und die bereits gut funktionierende App Kontalk ( https://code.google.com/p/kontalk/ ) irgendwie vergessen wird.
    Ich jedenfalls nutze diesen Opensource Messenger schon einige Zeit und konnte auch schon ein paar Freunde davon überzeugen.
    Diese App wird schon seit einiger Zeit aktiv weiterentwickelt. Das kann man gut mitverfolgen wenn man auf der Projektseite z.B den Link
    https://code.google.com/p/kontalk/source/list?repo=androidclient
    anschaut.

    Antworten Teilen
  8. von gast am 13.08.2013 (23:42Uhr)

    kontalk ist auch ganz gut. opensource und gute idee dahinter

    Antworten Teilen
  9. von MarcoW am 14.08.2013 (10:19Uhr)

    @lorenz
    Scroll mal auf deren Seite ganz nach unten, da ist ein Link zu GitHub.

    Einer der Kommentare im Android-Store besagt aber etwas, dem ich zustimmen muss. Im Prinzip "nur" ein weiterer Messenger unter vielen. Die Identifizierung über die Handynummer wie bei Whatsapp fehlt und dadurch wirds nicht einfach werden, genügen Benutzer dafür zu begeistern...

    Antworten Teilen
  10. von Bastey am 14.08.2013 (14:03Uhr)

    Natürlich besitzt OpenSource den unschlagbaren Vorteil der höheren Sicherheit durch die Communitykomponente. Allerdings bleibt immer die Frage, wie die Übertragung garantiert bzw. finanziert werden kann.
    Bei Threema wird Geld verlangt, wodurch die Server betrieben werden können. Alternativen brauchen einen Sponsor oder eine andere Möglichkeit der Zustellung (P2P) bzw. Speicherung.

    Antworten Teilen
  11. von Bernd am 14.08.2013 (18:40Uhr)

    Der Artikel ist echt schlecht. Pures Snake-Oil. Die Fage ist: ist die Implementierung besser? Was ist mit PFS, wieso ausgerechnet RSA? Was hat das alles mit SSL zu tun? Wie läuft das Keymanagement? Was ist mit Integritätsschutz, Deiability und Offline Fähigkeit? Was ist mit den Metadaten und wie erfolgt die Nachrichtenvermittlung?

    Antworten Teilen
  12. von Alex am 19.08.2013 (00:17Uhr)

    @Bernd der CCC Hannover hat deine Fragen beantwortet. Die Implementierung ist desaströs. Fazit: Nicht nutzen.
    @Bastey noch einer, der nicht verstanden hat, dass OpenSource != kostenlos.

    Antworten Teilen
  13. von Alex am 19.08.2013 (00:18Uhr)

    Äh, da fehlte der Link zum CCC Hannover http://hannover.ccc.de/~nexus/whistle.html

    Antworten Teilen
  14. von Bastey am 27.08.2013 (12:08Uhr)

    @Alex: Ja, Open Source muss nicht immer kostenlos sein (für den Anwender). Mein Fehler, da hast du natürlich absolute Recht.

    Noch einmal zur Diskussion: Wenn man versucht eine Lösung für den SMS Markt (bzw. als dessen Alternative) zu etablieren, könnten weitere Derivate die Verbreitung stören (wenn sie nicht untereinander kommunizieren können). Und Open Source erzeugt oft eben solche Klone/Kopien/Brüder/Schwestern/Undsoweiter. Und da bringt es mehr auf einen Anbieter zusetzen, der nicht nur das Programm sondern auch die Infrastruktur entwickelt bzw. betreibt. Denn da ist die Verlässlichkeit des Angebotes eher gewährleistetet, als bei Projekten, wo eben nicht der Wunsch nach einer standhaften Eigenfinanzierung existiert.

    Ich denke also, dass ich mit Threema besser fahre, als mit Whistle.im und was da noch kommen könnte. Und das ohne jetzt auf den Nexus-Bericht einzugehen (welcher im übrigen sehr nett geschrieben ist - würde mich ja über eine oberflächliche Threema-Analyse freuen).

    @Bernd: PFS? Wovon träumst du Nachts ;) Mit viel Glück hat eine App/Website überhaupt ein SSL-Zertifikat. PFS ist ja bei vielen noch Zukunftsmusik :p

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Messenger
Sichere Kommunikation: Open-Source-App Signal verschlüsselt Anrufe und soll bald auch WhatsApp Konkurrenz machen
Sichere Kommunikation: Open-Source-App Signal verschlüsselt Anrufe und soll bald auch WhatsApp Konkurrenz machen

Mit Signal bietet Open WhisperSystems eine kostenfreie, quelloffene iOS-App an, die VoIP-Telefonate mit Ende-zu-Ende-Verschlüsselung ermöglicht. Mittelfristig sollen auch verschlüsselte … » weiterlesen

Facebook stampft Nachrichten in der Android- und iOS-App ein – zwingt Nutzer in den Messenger [Update]
Facebook stampft Nachrichten in der Android- und iOS-App ein – zwingt Nutzer in den Messenger [Update]

Facebook möchte die Nachrichtenfunktion aus seiner Android- und iOS-App verbannen und Nutzer in den Messenger drängen – aus Performance-Gründen. » weiterlesen

BlackBerry Messenger Protected: Undercover-Angriff auf WhatsApp
BlackBerry Messenger Protected: Undercover-Angriff auf WhatsApp

Der WhatsApp-Kauf durch Facebook hat unter sicherheitsbewussten Nutzern eine Welle an Reaktionen ausgelöst, Privacy-Messenger wie Threema oder Telegram erleben eine regelrechte Blütezeit. » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 36 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen