Die Übernahme von WhatsApp durch Facebook zeigt, dass es einfach Sch.... ist, sich das Adressbuch klauen zu lassen. Irgendwann landet es in den großen Datensammlungen von Google, Microsoft, Facebook oder Yahoo!, die alle als PRISM-Partner der NSA gelistet sind.
Dass das
FBI Whatsapp belauschen konnte und an "befreundete" Geheimdienste weitergibt, überrascht mich nicht. Der BND und das BfV bekommen diese Daten wahrscheinlich als Bezahlung für ihre breitwillige Kooperation.
Anforderungen an einen guten Messenger
Unter Berücksichtigung des Crypto War 3.0 ergeben sich für mich folgende Anforderungen an ein guten Messenger Dienst:
- Sichere Verschlüsselung nach dem aktuellen Stand der Technik, die durch unabhängige Experten evaluiert werden kann.
- Forward Secrecy für die Ende-zu-Ende Verschlüsselung, damit die Geheimdienste bei Kompromittierung des Schlüssels nicht den gesamten, gespeicherten Datenverkehr entschlüsseln können.
- Sichere Transportverschlüsselung (SSL/TLS) für die notwendige Kommunikation der Apps mit den Servern.
- Der Account sollte frei wählbar und nicht an eine Telefonnummer gebunden sein. Telefonnummern sind im Gegensatz zu E-Mail Adressen ein eindeutiges Identifizierungsmerkmal und nicht so einfach austauschbar wie (Wegwerf-) E-Mail Adressen. Das ermöglicht die Verknüpfung verschiedener Accounts bei unterschiedlichen Diensten und die Zuordnung zu einer Person.
- Es sollte keine unerwünschten Uploads (Datenklau) ohne ausdrückliche Zustimmung durch den Nutzer geben. Der Dienst sollte auch komplett ohne Datenklau nutzbar sein und nur optional Daten abgreifen.
- Google-freie Installation (z.B. via F-Droid) und Nutzung sollte möglich sein.
- Die Infrastruktur sollte dezentral verteilt sein und nicht von einem einzelnen Betreiber kontrolliert werden. Das verhindert, dass ein einzelner Provider alle Kommunikationsbeziehungen kennt. Außerdem kann ein dezentrale Infrastruktur nur schwer von Regierungen durch Gesetze kompromittiert werden, um Geheimdiensten die Überwachung zu ermöglichen wie z.B. mit BlackBerry in Indien oder in Kanada, Skype allgm. durch CALEA Act oder der Entwurf zu Backdoors für alle Messenger in Russland.
- Die Server Komponente sollte ebenfalls verfügbar sein (nicht unbedingt kostenlos), damit man einen eigenen Server unabhägig von den Entwicklern betreiben kann, um Kompromittierung des Dienstes zu erschwerden.
- Kein Vendor-Lockin: Um zukünftig nicht bei einem Anbieter gefangen zu bleiben, der heute vielleicht ganz nett ist aber zukünftig auf der Welle des Erfolgs seine Strategie und Verhalten ändern könnte, sollten offene Protokolle genutzt werden, die eine federale Struktur von unterschiedlichen Anbietern erlauben.
Diskussion von Alternativen
Es gibt mindestens 70 Alternativen zu Whatsapp. Die folgende Liste ist nur eine kleine Auswahl populärer Messaging Dienste.
- Signal (früher Textsecure) von WhisperSystems wurden von Security-Experten aufgrund der guten Ende-zu-Ende Verschlüsselung empfohlen. M. Marlspike entwickelte mit Axolotl die Ende-zu-Ende Verschlüsselung für TextSecure, die inzwischen zum Quasi-Standard für KryptoMessenger wurde.
I'm not really into advertising for stuff here but the recent update of TextSecure made a gigantic impression on me. The application works well, is uber user friendly, and looks just great. (C. Mulliner)
For the record - @moxie writes crypto software that blinds the #NSA & #GCHQ. He is their nightmare. Usable crypto developer with a backbone! (J. Appelbaum)
Signal kann Google-frei genutzt werden. Dafür muss man die App von der Download Webseite herunterladen und lokal installieren. Die Google Cloud Services (GCM) werden in dieser Version nicht genutzt.
Signal bietet inzwischen auch verschlüsselte VoIP Telefonie. Unter iOS werden aufgrund der CallKit Unterstützung mit Anzeige eingehender VoIP Anrufe auf dem Sperrbildschirm die die Verbindungsdaten (Name respektive Rufnummer des Gesprächsteilnehmers sowie die Dauer des Anrufs) an Apple gesendet.
Es gibt aber auch Nachteile:
- Die Telefonnummern aus dem Adressbuch werden bei der Installation als Hash ungefragt hochgeladen. In einem Blogartikel erklärt M. Marlspike, dass die Hashes der Telefonnummern nur geringen Schutz bieten.
- Die Telefonnummer wird als Account Kennung verwendet.
- Die gesamte Infrastruktur steht in den USA.
- Nach Aussage des australischen Generalstaatsanwaltes kann der GCHQ die Ende-zu-Ende Verschlüsselung von Signal knacken.
- Threema (Schweizer Messenger Dienst) und Hoccer (deutscher Messenger Dienst, Testsieger bei Stiftung Warentest 2015) verschlüsseln standardmäßig alle Chats. Sie sind privacy-freundlich und verzichten auf den Upload des Adressbuches der Nutzer (bei Threma optional).
Beide Messenger verwenden im Gegensatz zu WhisperSystems und allen anderen Messengern nicht die eigene Telefonnummer als Kennung, sondern eine ID, die unabhängig von anderen Daten ist. Das ist ein Privacyfeature.
Die Software ist nicht Open Source und die Betreiber kontrollieren neben der Softwareentwicklung auch die Infrastruktur vollständig. Sie könnten zukünftig wie Skype 2004 zur Implementierung von Backdoors für staatliche Behörden verpflichtet werden. Im August 2016 hatten die Innenminister Thomas de Maizière (CDU) und Bernard Cazeneuve die Forderung bekräftigt, das es für Behörden möglich sein muss, die Kommunikation von KryptoMessengern zu entschlüsseln (Crypto War 3.0). Außerdem verfügen die Provider über sämtliche Kommunikationsdaten (wer mit wem kommuniziert) und müssen diese Daten im Rahmen der Vorratsdatenspeicherung protokollieren.
- Telegram, Googles Allo und der Facebook Messenger bilden eine dritte Gruppe. Alle drei Messenger bieten inzwischen eine optionale Ende-zu-Ende Verschlüsselung, die man für jeden privaten Chat einzeln aktivieren muss. Der Upload des kompletten Adressbuches ist Standard und kann nicht unterbunden werden, selbst wenn man die Messenger nur für wenige, einzelne Kontakte nutzen möchte. (Nicht empfehlenswert.)
Telegram bietet eine Web-App für den Desktop-PC. Diese Web-App gibt Behörden die Möglichkeit, die Kommunikation auch dann zu belauschen, wenn die Ende-Ende-Ende Verschlüsselung aktiviert wurde. Das Team von Prof. Fedderath demonstrierte es: die Behörden müssen die Telefonnummer des zu belauschenden Account eingeben und die SMS zur Authorisierung des Zugriff auf die Kommunikation abfangen. Dann kann auch die Ende-zu-Ende verschlüsselte Kommunikation mitgelesen werden.
Um diesen Angriff zu verhindern, sollte man die "zweistufige Bestätigung" aktivieren und so ein zusätzliches Passwort zum Aktivieren von neuen Geräten festlegen. Nur die Kenntnis der Bestätigungs-SMS reicht dann nicht mehr aus, um mit der Telegram Web-App die verschlüsselte Kommunikation mitzulesen.
- iMessage von Apple bietet eine kaputte Ende-zu-Ende Verschlüsselung ohne Forward Secrecy, die Apple PR-mäßig laut schreiend vermarktet hat. Auf der Usenix Conference im Aug. 2016 wurde ein erfolgreicher Angriff auf die Verschlüsselung publiziert: Dancing on the Lip of the Volcano (PDF). Die Forscher empfehlen dringend, dass Apple die eigene Verschlüsselung wegwerfen und Axolotl von M. Marlspike verwenden sollte.
Außerdem speichert iMessage Backups der Protokolle der Kommunikation unverschlüsselt in der iCloud. Auf diese Daten hat Apple Zugriff und kann sie den Behörden zur Verfügung stellen. Die Speicherung der unverschlüsselten Protokolle von verschlüsselter Kommunikation ist ein schwerer Security Bug. Wenn man diese Protokolle auch noch in der Cloud des Providers speichert, dann ist die ganze Ende-zu-Ende Verschlüsselung sinnlos und man kann es als Backdoor bezeichnen.
- Tox ist eine interessante Anwendung für verschlüsseltes Chats und Telefonie. Im Gegensatz zu allen anderen Messengern arbeitet Tox serverlos, die Kommunikation läuft direkt von Client zu Client. Damit gibt es keinen Provider, der Kommunikationsprofile erstellen könnte oder zur Implementierung von Backdoors für Behörden gezwungen werden könnte. Gleichzeitig gibt es aber auch Einschränkungen in der Usability. Um einen Kontakt aufzunehmen, muss man eine 76-stellige ID über einen sicheren Kanal austauschen, z.B. bei einem persönlichen Treffen.
Außerdem verwendet Tox für die Krypto nicht die üblichen, vom NIST standartisierten Verfahren sondern neuere kryptografische Verfahren von D.J. Bernstein. Der ECDHE Schlüsseltausch nutzt curve25519, statt AES wird XSALSA20 verwendet und statt SHA256 kommt poly1350 zum Einsatz.
Mit Antox (für Android) und Antidote (für iOS) gibt es Alpha-Versionen für Smartphones, die aber noch einige Bugs haben.
- E-Mail ist das am häufigsten genutzte Medium für Textnachrichten. Als Realitätscheck ein Vergleich mit den oben genannten Messenger Diensten:
- Die Grundlage für die seit vielen Jahren hohe Nutzung von E-Mail bilden offene Protokolle, die ein federale Serverlandschaft von vielen Anbietern erlauben.
- E-Mails werden in der Regel unverschlüsselt gesendet. Die großen E-Mail Provider wie Google oder Microsoft lesen ungeniert mit. Auch wenn man selbst einen privacy-freundlichen E-Mail Provider nutzt, ist man nicht gegen das Mitlesen nicht geschützt, weil:
Google has most of my emails, because it has all of yours.
- Die zusätzliche Installation und Konfiguration von OpenPGP für die Ende-zu-Ende Verschlüsselung ist kompliziert. Es gibt keine Ende-zu-Ende Verschlüsselung mit Forward Secrecy für E-Mails.
- Der Austausch von Schlüsseln für OpenPGP oder S/MIME muss per Hand erfolgen, es gibt keinen vertrauenswürdigen Automatismus. Außerdem müssen die Schlüssel per Hand verifiziert werden.
- Die Sicherheit der Transportverschlüsselung (SSL/TLS) zwischen den Mailservern schwankt von "nicht vorhanden" bis "sicher verschlüsselt, wenn keiner angreift". Certificate Pinning in Form von DANE/TLSA und garantierte TLS-Verschlüsselung gibt es erst in kleinen Ansätzen bei sehr wenigen Mailprovidern.
Schlussfolgerung: Trotz der Mängel haben die oben genannten Alternativen zu WhatsApp wie TextSecure, Threema oder Hoccer aber Vorteile gegenüber E-Mails hinsichtlich der Verschlüsselung. Deshalb stehen Messenger im Crypto War 3.0 generell im Focus bei der Forderung nach Backdoors, während (bisher) keine Backdoors für verschlüsselte E-Mails gefordert wurden.
Unsere Empfehlung für Messenger auf dem Smartphone
Wir empfehlen
Jabber/XMPP. Dieser Standard bietet eine dezentrale Infrastruktur und kann nur schwer kompromittiert werden, die Software ist Open Source und OMEMO sowie OTR sind für die Ende-zu-Ende Verschlüsselung einsetzbar.
- Für Android empfehlen wir die App Conversations. Man kann OMEMO, OTR und OpenPGP für die Verschlüsselung nutzen und den OrBot als Anonymisierungsdienst.
-
Die App ChatSecure für iPhones kann ebenfalls OMEMO und OTR für die Ende-zu-Ende Verschlüsselung verwenden.
- Ein neues Projekt ist Zom, das als Nachfolger von ChatSecure für Android und iPhone ein modernes GUI mit dem Unterbau von Conversations verbindet.