Apps zur Verschlüsselung: TextSecure, ChatSecure, RedPhone und Signal

smartphone 19
Fachbeitrag

Aufgrund der nicht abnehmenden Flut von veröffentlichten Dokumenten über Abhörmechanismen sind verschlüsselte Wege der Kommunikation so gefragt wie nie zuvor. Wir stellen die benutzerfreundlichen Smartphone-Apps TextSecure, ChatSecure, RedPhone und Signal vor.

Open Source Programme

Alle hier vorgestellten Apps sind kostenfrei und open source. Das bedeutet, dass der Quellcode öffentlich auf GitHub einsehbar ist. Dies schafft erstens mehr Transparenz und trägt zweitens zur Qualitätssteigerung der Produkte bei – je mehr Augen den Quellcode sehen, desto eher fallen Fehler auf und können schneller ausgemerzt werden.

Probleme im Hintergrund

PGP und S/MIME

Verschlüsselung mit PGP oder S/MIME funktioniert normalerweise so, dass der Empfänger der verschlüsselten Nachricht einen öffentlichen Schlüssel zur Verfügung stellt und der Sender seine Mail mit diesem Schlüssel verschlüsselt. Die Nachrichten werden somit immer mit dem gleichen Schlüssel verschlüsselt. Das bedeutet, dass ein Angreifer, der sich auf irgendeine Art des privaten Schlüssels bemächtigt, alle bisherigen – sofern er diese vorher gespeichert hat – und zukünftigen Nachrichten entschlüsseln und im Klartext lesen kann.

OTR

Verschlüsselungsprotokolle wie OTR (off the record messaging) benutzen dagegen keinen statischen öffentlichen Schlüssel, sondern tauschen nur kurzlebige Schlüssel aus. Selbst wenn sich ein potentieller Angreifer einen der Schlüssel besorgen kann, kann er damit vorherige und zukünftige Nachrichten nicht dechiffrieren. Diese Eigenschaft wird auch Perfect Forward Secrecy genannt.

Allerdings wurde OTR ursprünglich für synchrone Nachrichtenübermittlung entwickelt. Es ist nicht auf mobile Endgeräte zugeschnitten, bei denen eine App nicht ständig laufen kann (erhöhter Akkuverbrauch, keine durchgehend gute Internetverbindung etc.) Nur wenn die App geöffnet ist, kann sie Nachrichten empfangen.

Messenger

TextSecure

TextSecure ist eine Messaging-App bisher nur für Android-Smartphones. Die freudige Nachricht: In naher Zukunft wird die App auch für iOS-Geräte angeboten! TextSecure bietet die Möglichkeit, Nachrichten asynchron und mit forward secrecy zu verschlüsseln.

Man kann die App sowohl als Messenger als auch als SMS-Verschlüsselung verwenden:

  • Verschlüsselte SMS
    Die Oberfläche ist sehr benutzerfreundlich gestaltet, so dass das Programm quasi selbsterklärend funktioniert. Der Anwender speichert zuerst seine eigene Telefonnummer, welcher er unter „choose identity“ einen automatisch erstellten Schlüssel zuordnet. Daraufhin generiert er ein Passwort. Der Austausch der Schlüssel erfolgt mit Auswahl der Option „start secure session“. Zum Lesen der Nachrichten muss das Passwort eingegeben werden.
  • Messenger
    Verwenden beide Gesprächspartner die App, wird die Kommunikation verschlüsselt, ohne dass der Nutzer weitere Schritte einleiten muss. Ebenfalls möglich sind Gruppenchats und das Senden von Anhängen. Aufgrund ihrer neuartigen und vielversprechenden Konzeption wurde die App im Netz umfassend besprochen.

ChatSecure

ChatSecure ist kompatibel mit Textsecure und sowohl für iOS als auch für Android erhältlich.

ChatSecure bietet zwar forward secrecy, ist aber ein Programm für synchrone Nachrichtenübermittlung. Das bedeutet, dass es nur funktioniert, solange die App läuft. Wenn Gesprächspartner A Gesprächspartner B eine Nachricht sendet, dessen App auf seinem Endgerät aber geschlossen ist, erhält B die Nachricht nicht über die App. Er bekommt allerdings in seinem Account, den er mit dem Messenger verknüpft hat (beispielsweise Google oder Facebook) eine verschlüsselte Nachricht. Diese Nachricht kann er im Nachhinein nicht mehr dechiffrieren. B muss nun auch ChatSecure öffnen, um A mitzuteilen, dass er nun chatbereit ist. Die vorherige Nachricht muss A nochmals senden, wenn er den Inhalt mitteilen will. Es empfiehlt sich also, zuerst eine SMS oder sonstige unverschlüsselte Nachricht zu schicken, um den gewünschten Gesprächspartnern mitzuteilen, dass er ChatSecure öffnen soll. Wenn beide online sind, kann problemlos verschlüsselt gechattet werden.

Die Beschreibung klingt recht aufwendig und nicht wirklich händelbar. Nach einer kurzen Eingewöhnungsphase ist die Vorgehensweise aber unkompliziert und nimmt nur unerheblich mehr Zeit in Anspruch, als wenn man sofort mit der Kommunikation loslegen könnte.

Ideen und Verbesserungsvorschläge können jederzeit angebracht werden.

Internettelefonie

RedPhone

Redphone bietet verschlüsseltes Telefonieren über das Internet. Die Installation ist erfolgt aus dem Play Store. Man kann nur über RedPhone telefonieren, wenn beide Gesprächspartner die App installiert und sich registriert haben. Dann aber ist die Handhabung völlig unkompliziert: RedPhone findet die verfügbaren Kontakte im Adressbuch (sofern man den Zugriff erlaubt), man tippt auf den Kontakt, die Verbindung wird hergestellt. Je nach Qualität der Internetverbindung kann der Verbindungsaufbau etwas dauern. Einen eingehenden Anruf kann man nicht direkt annehmen, sondern muss erst das Gerät entsperren. Aus verschiedenen Foreneinträgen ist zu schließen, dass einige Anwender Probleme mit der Nutzung haben. Wir teilen diese Erfahrung jedoch nicht. Sowohl mit WLAN-Verbindung als auch über das eigene Handynetz konnten in stabile Verbindungen mit absolut akzeptabler Sprachqualität aufgebaut werden. Die App ist zwar nur für Android verfügbar, aber mit der App Signal für iOS kompatibel.

Signal

Signal ist das Äquivalent zu RedPhone für iOS. Die beiden Programme sind in der Bedienung sehr ähnlich und können problemlos miteinander kombiniert werden. Auch bei Signal muss kein Passwort eingegeben oder eine Verschlüsselung aktiviert werden, dieses läuft automatisch im Hintergrund ab. Der Sprachqualität kann eine räumliche Entfernung, auch über Ländergrenzen hinweg, nichts anhaben. Es ist geplant, eine Messengerfunktion zu integrieren – bisher ist aber kein Termin bekanntgegeben worden.

Empfohlen vom Spezialisten, aber…

Jacob Appelbaum dankte auf dem 31C3 dem ganzen Team von Open Whisper Systems für seine Arbeit an RedPhone und TextSecure, deren Verschlüsselung bislang von der NSA (die bekanntermaßen Vorreiter im Bereich des Abhörens sind) nicht geknackt werden konnte. Das gleiche gilt für Signal und ChatSecure, die ebenfalls das Protokoll OTR verwenden. Solche Apps, vor allem in Verbindung mit dem Tor Browser, seien für Sicherheitsbehörden und technisch hochgerüstete Kriminelle ein schier unüberwindbares Hindernis – also ausgezeichnet für den Bürger, der sich und seine Privatsphäre schützen möchte.

Allerdings sollte man nicht vergessen, dass die US-Regierung schon in der Vergangenheit verschiedene Dienste (beispielsweise Lavabit) dazu gebracht hat, ihre Verschlüsselung offenzulegen oder Backdoors einzubauen. Bei dieser Vorgehensweise stützt man sich vornehmlich auf Section 215 des Patriot Acts. Insofern kann man auch bei der hier benannten Software nicht jegliches Risiko ausschließen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

4 Kommentare zu diesem Beitrag

  1. Pingback: Sichere Kommunikation | daten:hunger
  2. TextSecure und ChatSecure sind _nicht_ kompatibel, auch nicht ähnlich. ChatSecure basiert auf bzw nutzt XMPP (Jabber) mit einfachem OTR. TextSecure dagegen ein komplett neues Protokoll mit Axolotl.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.