Snowden empfiehlt Textsecure

Bei der SXSW-Konferenz, zu der Whistleblower Edward Snowden per Netz zugeschaltet wurde, hat dieser die Tools von Openwhispersystems und Moxie Marlinspike lobend erwähnt und die entwickelte Smartphone-App für Android Textsecure zum Gebrauch empfohlen.

In seinen Ausführungen sah Snowden bei einfach nutzbarer Kryptographie einige Fortschritte und erwähnte ausdrücklich Openwhispersystems und „die Moxie Marlinspikes dieser Welt“, die Werkzeuge erstellten, mit denen sichere Kommunikation möglich und die auch für unbedarfte Nutzer bedienbar sei.

Textsecure ist eine kostenlose Messaging-App und im Moment nur für Android verfügbar. Das Programm nutzt mit der neuen Version 2 das sogenannte Axolotl-Protokoll, das eine Weiterentwicklung der Technologie von OTR (von Jabber-/XMPP-Chatprogrammen genutzt) ist. Wie OTR bietet das Protokoll Forward Secrecy. Textsecure steht unter der GNU GPL Version 3, der Quellcode ist vollständig auf Github verfügbar – bei der vielgepriesenen Konkurrenz Threema muß man auf den geheimen firmeneigenen Code vertrauen.

In Gegensatz zu anderen verschlüsselten Messengern bietet Textsecure eine Ende-zu-Ende-Verschlüsselung, wo die Schlüssel nur auf den Geräten der Nutzer vorhanden sind, so dass weder Anbieter noch Server eine Möglichkeit zur Einsicht haben.

Einziger Kritikpunkt ist der zur Zeit genutzte Service Google Cloud Messaging (GCM), der in Zukunft durch eine eigene Lösung ersetzt werden soll. Damit entfiele auch die Notwendigkeit der Installation von Google-Diensten auf den Geräten.
Die Textsecure-App verschlüsselt auch weiterhin SMS, falls keine Datenverbindung zum Server hergestellt werden kann.

Moxie Marlinspike hat in der Vergangenheit auch Schwächen in der SSL-Implementierung von Windows und im Authentifizierungsprotokoll MS-CHAPv2 entdeckt. Ebenfalls von ihm stammt die Idee des sogenannten SSL-Stripping-Angriffs, bei dem man Nutzern, die eine eigentlich nur verschlüsselt verfügbare HTTPS-Webseite zunächst per HTTP aufrufen, mittels eines Man-in-the-Middle-Angriff aufzeichnen und angreifen kann.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.