Unter anderem fordert die EFF die Implementierung von Perfect Forward Secrecy sowie eine unabhängige Sicherheitsprüfung des Quellcodes einer Anwendung. Ersteres soll verhindern, dass ein kompromittierter geheimer Langzeitschlüssel benutzt werden kann, um damit ausgehandelte Sitzungsschlüssel zu erraten.
Die Forderung begründet Peter Eckersley, bei der EFF für Technologieprojekte zuständig, mit der zunehmenden Überwachung durch Regierungsorganisationen. Die Studie wiederum solle Anbietern helfen, sichere Kommunikationssoftware zu entwickeln.
„Wir beobachten ein noch nie dagewesenes Interesse an der Lösung dieser Probleme“, zitiert Ars Technica Eckersley. „Wir wissen zwar noch nicht, wie die beste Lösung aussehen wird, deswegen versuchen wir eine Liste aufzustellen, damit jeder die Regeln kennt, die es zu befolgen gilt.“
Fast jede der untersuchten Apps verschlüsselt die Kommunikation während der Übertragung. Darüber hinaus prüfte die EFF auch, ob die Verschlüsselung auch verhindert, dass ein Provider die Nachrichten lesen kann, ob die Identität von Kontakten ermittelt werden kann und ob die Sicherheitsfunktionen dokumentiert wurden.
Unter den sechs Anwendungen, die alle sieben Kriterien erfüllen, findet sich jedoch keiner der großen Anbieter: ChatSecure, CryptoCat, Signal-App für Redphone, Silent Phone, Silent Text und TextSEcure. Von den massenhaft genutzten Messaging-Apps seien Apples FaceTime und iMessage die sichersten. Aber auch die Anwendungen, die alle geforderten Sicherheitsfunktionen enthielten, könnten in einem autoritären Staat keine vertrauliche Kommunikation garantieren, ergänzte Eckersley.
„Eine perfekte Wertung ist mehr ein erster Schritt als ein endgültiger Sieg“, sagte Eckersley. Es fehlten noch Machbarkeitsstudien, der Schutz von Metadaten, unabhängige Prüfungen und weitere Sicherheitsmaßnahmen, bevor man zu einer anderen Anwendung wechseln könne. „Ein gutes kryptografisches Design sollte keine erheblichen Unannehmlichkeiten verursachen, und es sollte auch keine zusätzliche Arbeit als Voraussetzung für die Nutzung des Systems verursachen.“
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…