Ergebnis 1 bis 7 von 7
  1. #1
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Verbuggtes Cryptocat allemal besser als Skype?!

    Bei Nadim Kobeissis Vortrag auf der Sigint2013 muss sich der Cryptocat-Entwickler wie auf einem Gang nach Canossa gefühlt haben. Aus der OTR-Chat-Software ließen sich mittels Decryptocat, einem von S. Thomas veröffentlichtem Tool, alle privaten Schlüssel berechnen.

    Die, wie Kobeissi eingestand, von ihm eingebauten Fehler sind ein absolutes Desaster; ohne Kryptografieexperte zu sein, wollte er den Nutzern ein Tool anbieten, mit dem alle sofort verschlüsselt chatten können.

    Zuspruch und zahlreiche Hilfsangebote bekam Kobeissi dann von Felix 'FX' Lindner (siehe Überschrift) und anderen Entwicklern. Scheint so, als sähe die Zukunft ganz gut aus für das seit 2011 laufende Projekt.

    Zur Newspresso

  2. #2
    Mitglied
    Registriert seit
    Sep 2011
    Beiträge
    70
    Danksagungen
    0

    Standard Re: Verbuggtes Cryptocat allemal besser als Skype?!

    Verstehe den Zusammenhang zwischen der Überschrift und dem Text nicht.

    Dem Text nach zu Urteilen ist das Programm absolut Schrott und in diesem Zustand nicht sicher nutzbar.
    Skype ist auch Schrott, da Microsoft alles loggt.

    Also sind beide Programme Schrott. Wo ist dann Cryptocat allemal besser?

  3. #3
    Mitglied
    Registriert seit
    Sep 2010
    Beiträge
    3.713
    NewsPresso
    12 (Fachgröße)
    Danksagungen
    40

    Standard Re: Verbuggtes Cryptocat allemal besser als Skype?!

    Im Ansatz. Es wird nicht vom Betreiber mitgelesen.

  4. #4
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    (Threadstarter)

    Standard Re: Verbuggtes Cryptocat allemal besser als Skype?!

    sorry, nicht mal im Ansatz. Hier der Bug, der von mir und Golem dann auch nochmal weiter verlinkt ist. Cryptocats Code ist im Gegensatz zu Skypes einsehbar, daher FX Lindners provokante Äußerung: lieber mit Bug aber reparierbar, als blind Microsoft vertrauen zu müssen.

    "Zur Erzeugung der Zufallszahlen nutzte Cryptocat einen String von Zahlenwerten. Während bei einem Zufallsstring jedes Zeichen 256 verschiedene Werte annehmen kann, waren es in diesem Fall nur die Ziffern 0-9. Damit hatten Schlüssel von 54 Bit Länge nur noch eine Sicherheit von 27 Bit und in späteren Versionen benutzte Schlüssel von 106 Bit Länge nur noch eine Sicherheit von 53 Bit."

    "Private Schlüssel, die vor Februar 2013 erzeugt wurden, lassen sich somit nach einigen Vorberechnungen, die etwa einen Tag in Anspruch nehmen, trivial innerhalb von Minuten brechen. Steve Thomas hat hierfür ein Tool mit Namen Decryptocat bereitgestellt, welches eine sogenannte Meet-in-the-Middle-Attacke durchführt. Mit der im Februar veröffentlichten Version 2.0.42 wurde die Größe der privaten Schlüssel in Cryptocat erhöht, das Brechen würde mehrere Tausend Jahre an Rechenkapazität und 40 Petabytes an Speicherplatz benötigen. Für Angreifer mit kostspieliger Hardware, etwa Geheimdienste, ist dies immer noch im Bereich des Möglichen."

    "Da die Kommunikation im fraglichen Zeitraum über den Server von Cryptocat via https abgesichert gewesen sei, könnten Nachrichten dennoch nur dann entschlüsselt werden, wenn ein Angreifer Zugriff auf den privaten https-Schlüssel des dortigen Servers hätte. Thomas empfiehlt daher den Cryptocat-Betreibern, diesen Schlüssel durch einen neuen zu ersetzen und den alten schnellstmöglich zu löschen."
    Geändert von mariatjo (10. 07. 2013 um 23:58 Uhr)

  5. #5
    Mitglied
    Registriert seit
    Sep 2010
    Beiträge
    3.713
    NewsPresso
    12 (Fachgröße)
    Danksagungen
    40

    Standard Re: Verbuggtes Cryptocat allemal besser als Skype?!

    Zitat Zitat von mariatjo Beitrag anzeigen
    sorry, nicht mal im Ansatz.
    Das würde bedeuten, Du hältst Skype für besser, da die Frage war, wo dann Cryptocat allemal besser wäre.

    Die Bugs sind im Juni behoben worden. Außerdem war nur der Gruppenchat betroffen, was jetzt wahrscheinlich nicht gerade ein alltägliches Feature ist.

  6. #6
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    (Threadstarter)

    Standard Re: Verbuggtes Cryptocat allemal besser als Skype?!

    hatte ich anders verstanden, mein Fehler. Gruppenchat habe ich weggelassen, wollt den Bug nicht verharmlosen.
    Würde aber auch beide nicht als Schrott bezeichnen;
    Skype läuft ja gut, hat ja auch viele Anhänger, haben ja auch alle
    'nix zu verbergen', insofern muß's jeder selber wissen.
    Auch wenn der Bug mittlerweile behoben ist, einen neuen Sec-Audit wie beim Metronaut kürzlich veröffentlicht und hier verlinkt, läßt Kobeissi sich eh nicht nehmen, um alle Kritiker zu beruhigen.
    Ich habe ihm und seinem Tool vorher getraut und tue das auch weiterhin; hat sich immer bemüht, schnell die Lücken zu schließen, Leute genervt, Code gegenzuchecken, ect; wer sprachlich fit ist, kann da auch gern mit übersetzen, wird dankend angenommen.
    Geändert von mariatjo (11. 07. 2013 um 16:41 Uhr)

  7. #7
    Mitglied
    Registriert seit
    Dec 2009
    Beiträge
    1.854
    Danksagungen
    42

    Standard Re: Verbuggtes Cryptocat allemal besser als Skype?!

    Zitat Zitat von mariatjo Beitrag anzeigen
    Mit der im Februar veröffentlichten Version 2.0.42 wurde die Größe der privaten Schlüssel in Cryptocat erhöht, das Brechen würde mehrere Tausend Jahre an Rechenkapazität und 40 Petabytes an Speicherplatz benötigen. Für Angreifer mit kostspieliger Hardware, etwa Geheimdienste, ist dies immer noch im Bereich des Möglichen.
    Und was nutzt es einem Geheimdienst, nach mehreren tausend Jahren ein einziges Gespräch entschlüsselt zu haben?

  8.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •