[Technik] Deutsche Studenten arbeiten an verschlüsseltem Open-Source-Messenger

Whistle.im ist ein Instant-Messenger, der von zwei deutschen Studenten entwickelt wurde und unter anderem eine 2.048-Bit-Verschlüsselung bietet. Der Messenger ist dabei vollkommen Open Source, so dass sich jeder an dem Projekt beteiligen kann. Derzeit läuft Whistle.im in der Beta-Phase mit einer App für Android oder im Browser; geplant ist allerdings auch Apps für iOS und Windows Phone. Für die Anmeldung genügen Nutzernamen und Passwort; auf die Angabe einer E-Mail-Adresse wurde seitens der beiden Studenten bewusst verzichtet. "Wir haben uns dazu entschieden den Firlefanz einfach wegzulassen und stattdessen eine Anwendung zu entwickeln, die sich intuitiv bedienen lässt und für den Alltag geeignet ist."

Bild: Whistle.im

Quellen: Tweak PC, Whistle.im

 

[Pleitgengeier]

@Star:
Warum hast du denn nicht selbst studiert wenn das alles so leicht ist?
5 Jahre vom Staat bezahlten Urlaub und danach nen gut bezahlten Job?

 

[Star]

Warum hast du denn nicht selbst studiert wenn das alles so leicht ist?
5 Jahre vom Staat bezahlten Urlaub und danach nen gut bezahlten Job?

Total aus dem Zusammenhang gerissen.
Woher weisst du denn, ob ich studiert oder nicht studiert habe?

 

[Pleitgengeier]

@Star: Wenn du studieren würdest, dann wüsstest du wie falsch diese ganzen Vorurteile sind, die in der Bild und sonst wo verbreitet werden.
Ich kann nicht ausschließen dass es dieses "Studentenleben" jemals gab, wenn dann sind diese Zeiten schon lange vorbei...

 

[Star]

Gerade dein Avatar sollte man annehmen, nimmt solche Aussagen meinerseits nicht so ernst. Meine Lebensgefaehrtin studiert zur Zeit Kommunikationswissenschaft in Hohenheim und ich weiss, was sie zu tun hat. Nebenher geht sie noch ins Fitnessstudio und hat zwischendrin fuer ein Magazin Artikel geschrieben, das haute aber irgendwann nicht mehr hin. 4:30 aufstehen, gegen 10 Abends ins Bett, spaetestens. Und dieser Tag ist auch voll ausgefuellt, abgesehen von 2 3 Stunden ausruhen, fernsehen, essen et cetera inklusive.
Mir ist das sehr wohl bewusst.
Aber trotz der falschen Basis die richtige Annahme, denn ich duerfte, auch wenn ich wollte, nicht studieren.

 

[p3Eq]

Also ohne mich jetzt selbst genauer mit dem Messenger beschäftigt zu haben, habe ich auf einer anderen Seite in der Kommentarsektion gelesen, dass die Programmierer des Messengers nicht gerade glänzen konnten, als es ein paar Fragen zur Verschlüsselung gab. Vorgeworfen wurde ihnen, dass sie bei den verschiedenen Verschlüsselungen einige Dinge durcheinandergebracht hätten. Entsprechend leidet das Vertrauen in die App natürlich darunter.

Vielleicht hat ja der ein oder andere sich schon genauer mit den Vorwürfen beschäftigt - ich werde mir das in den nächsten Tage nochmal zu Gemüte führen.

 

[Mareacho]

@p3Eq: Da bin ich aber froh, dass die Fuckup as a Service-Meldung vom CCC-Hannover noch reingekommen ist.
So schließt sich dann der Kreis von Paranoia-Ohnmachtsphantasien, über landwirtschaftliche Düngemittelprodukten und aktuellem Studentenleben wieder zum OS-Messenger.
Das ist das Gute an OpenSource, Das muß gefallen bevors verwendet wird. - mal gucken, wo's da hakt...

 

[TBow]

... Entsprechend leidet das Vertrauen in die App natürlich darunter.

Solange der Quellcode offen einsehbar ist, können andere die notwendigen Überoprüfungen vornehmen. Mal abwarten und Tee trinken.

 

[Mr_J]

Da nur der Quellcode der Kryptographie offen ist soweit ich das sehen konnte, kann man eine wirkliche Sicherheit nicht gewährleisten.

MfG
Mr. J

 

[darkside40]

So und nun noch mal zurück zum eigentlichen Thema, denn dieser Thread ist schon verdammt weit ins Off-Topic geglitten.

Erstmal finde ich es super das sich diese Studenten sich mit dem Thema auseinandersetzen, das Problem ist zur Zeit nur das diese Crypto Messenger wie Pilze aus dem Boden sprießen und untereinander inkompatibel sind.
So wird es nie möglich sein ein große Zahl von Nutzern auf diesen Systemen zu vereinen, wie es zum Bespiel bei Facebook oder Whatsapp der Fall ist.

In den letzten Monaten seit der Skandal um Prism aufgedeckt wurde kamen allein Whistle, Tox und Hemlis um die Ecke, wohlgemerkt in verschiedenen Entwicklungsstufen.

Meiner Meinung nach wäre es wesentlich sinnvoller wenn diese klugen Köpfe die an diesen Projekten arbeiten sich zusammen tun würden um eine Lösung zu erdenken die einen ähnlichen Funktionsumfang bietet wie Whatsapp und Co. und entweder ohne Server auskommt (zum Beispiel auf DHT- Basis) oder mit einem XMPP Server zusammenarbeitet den man selber aufsetzen kann.

Aber den Markt für Cryptomessenger so zu fragmentieren, bringt meiner Meinung nach keinen weiter.

 

[Mareacho]

@darkside40: wir sind schon wieder beim Thema, und zwar bei einer wohl fehlerhaften Cryptoimplementierung des...ta da, Threadmessengers > 'whistle.im'. - Marktfragmentierung ist aber auch ein schönen Thema

 

[Mr_J]

Wirklich schön wäre ein großes Open-Source Projekt, nur muss man erstmal jemanden finden der willig ist das Ganze zu finanzieren...

MfG
Mr. J

 

[maxwell smart]

ist jetzt vllt 'n bischen ot, hat aber auch mit crypto zu tun...

auf https://whispersystems.org/ gibt's apps (open source) für verschl. simsen (textsecure)
und phonieren (redphone).

auf https://netzpolitik.org/2012/textsecure-sms-verschlusseln-mit-android/
gibt's 'nen kleinen bericht dazu.

 

[Mareacho]

mehr T geht eigentlich nicht;> bei Entwickler M.Marlinspike kannst Du auch davon ausgehen, dass er weiß wovon er spricht und was er da tut. Bis vor kurzem im Twitter-Sicherheitsteam gewesen, div. SSL-Vorträge auf DefCons gehalten, FF Notary add-on Convergence entwickelt, ++

 

[p3Eq]

Ich finde, ein verschlüsselter Messenger wäre ein nettes ngb-User-Projekt. Zumindest würde ich daran wohl arbeiten, wenn sowohl von Seiten anderer Entwickler als auch von Seiten der User Interesse zu sowas besteht.

 

[darkside40]

@p3Eq: Da bin ich aber froh, dass die Fuckup as a Service-Meldung vom CCC-Hannover noch reingekommen ist.
So schließt sich dann der Kreis von Paranoia-Ohnmachtsphantasien, über landwirtschaftliche Düngemittelprodukten und aktuellem Studentenleben wieder zum OS-Messenger.
Das ist das Gute an OpenSource, Das muß gefallen bevors verwendet wird. - mal gucken, wo's da hakt...

Habe mir gerade auch mal den Bericht durchgelesen. Könnte es sein das Whistle von den gleichen Machern kommt wie Whatsapp? Die Fehler in der Software legen es auf jeden Fall nahe.

 

[Metal_Warrior]

@darkside40:

Ich denke, dass viele Leute das nicht verstehen, insofern werden solche Macken oft und gern gemacht.

Aber eine Sache ist extrem peinlich: PrivateKeys auf Servern... also echt. Ich meine, mir sagte die Zentralisierung ja schon nicht zu, aber das schießt doch echt den Vogel ab. Bleib ich lieber bei Retroshare. Viel lieber!

 

[evillive]

auf der Seite von Hannover CCC (Autor nexus) steht:

Design-Probleme
Die privaten Schlüssel der Kommunikationsteilnehmer liegen (wenn auch verschlüsselt) auf dem Server des Dienstanbieters. Erhält dieser Kenntnis vom Passwort, so kann nachträglich jede Kommunikation entschlüsselt werden.

dazu mal eine Frage. Wenn der "Open-Source-Messenger" in JS geschrieben wurde, wie kann man lokal auf dem Rechner des Anwenders den privaten Schlüssel ablegen?
Ich meine man muss sich nicht die Mühe machen, so wie nexus. Es hätte ein Blick auf die verwendete Sprache genügt, um zu sehen, dass private Key und public Key auf dem Server abgelegt werden müssen.

Wahrscheinlich haben die angefangen zu programmieren und dann bemerkt, dass sie mit js keine Daten auf der platte speichern können. Man darf aber nicht vergessen, dass auf deren Website folgendes steht:

Dennoch, whistle.im ist ein noch junges Forschungsprojekt und befindet sich zurzeit in der Beta-Phase. Bei der Nutzung sollte immer bedacht werden, dass wir auch nur Menschen wie alle anderen sind und dass Menschen natürlich nicht perfekt sind. whistle sollte daher mit gebotener Vorsicht verwendet werden und jeder, der schlauer ist als wir, ist dazu eingeladen mit uns daran zu arbeiten, dass die App noch besser wird. Danke!

 

[B3n]

Wahrscheinlich haben die angefangen zu programmieren und dann bemerkt, dass sie mit js keine Daten auf der platte speichern können.

Wäre der nächste logische Schritt dann nicht gewesen sich ein workaround dafür zu überlegen, statt diesen Umstand einfach so hinzunehmen?

 

[Mareacho]

@darkside40: Entwickeln nicht, die Einen sind Buddies aus Kalifornien, die Anderen Studdies aus NRW.
Kann aber sein, dass sie künftig den gleichen Kritiker vorweisen können; S.Gehlich (@rattazong) aus NRW hat einen WebClient gebastelt, der die WhattsApp Schwächen aufgezeigt hat. http://whatsapp.filshmedia.net/
Vielleicht widmet er sich ja noch den Whistlern?

 

[Mr_J]

Wäre der nächste logische Schritt dann nicht gewesen sich ein workaround dafür zu überlegen, statt diesen Umstand einfach so hinzunehmen?

Es stellt sich doch eher die Frage ob es nicht sinniger wäre die Entwicklungssprache zu wechseln wenn diese garnicht den Anforderungen genügt. Im Nachhinein irgendwas anzuflanschen ist mMn der falsche Weg.

MfG
Mr. J