Messengerdienste, Messenger, IT, Cyberattacken, Cyberangriffe

Das letzte Jahr war voll mit Neuigkeiten von Messengerdiensten, die gehackt worden sind oder backdoor exploits hatten. Einige von ihnen gewährten Regierungen sogar Zugang zu privaten und vertraulichen Informationen.

Laut Medienberichten ist eine der beliebtesten Schweizer Messaging-Apps Threema unter die Kontrolle der russischen Regierung gerückt und wurde in das offizielle Register aufgenommen, um die Benutzerkommunikation zu kontrollieren.

Quelle: https://97-fz.rkn.gov.ru/organizer-dissemination/viewregistry/%23searchform


Um zu verstehen, wieso Crypviser außergewöhnlich und ein Unikat in der Branche ist, müssen wir kurz über das bald kommende Gesetz in Russland sprechen.

Lasst uns mal auf die Anforderungen für die Registrierung in diesem Register als “Organisatoren von Informationsverbreitung” nach dem russischen Bundesgesetz, welches ab dem 1.6.18 gültig ist , verstehen.

Das Gesetz schreibt Messengerdienste, welche in diesem Register aufgeführt sind alle Metadaten ihrer Nutzer (Informationen über die Ankunft, Übertragung, Lieferung und Verarbeitung von Sprachdaten, geschriebenen Texten, Bildern, Tönen oder anderen Arten von Handlungen) zu speichern.

Dienste können diesen Aufwand nur vermeiden, wenn sie den russischen Behören uneingeschränkten Zugriff auf den Datenstrom gewähren.

Aktuell ist das Gesetz noch nicht in Kraft getreten, jedoch hat Telegram bereits Aussagen getroffen, dass sie diese Daten nicht an die Behörden weiterleiten werden.

Jedoch ist dies kein wirklicher Verlust für die Telegram-Gemeinschaft, da diese fehlende Sicherheit aufweist. In den letzten 2 Jahren wurde das Sicherheitsprotokoll mehrfach kritisiert und viele Sicherheitsprobleme wurden von Forschern gefunden.

Auch wenn man bis heute nicht beweisen kann, das Telegram mit Regierungen arbeitet, so machen die ausnutzbaren Bugs und das schlechte Sicherheitsmodell die Telegram-Benutzer zu verletzlichen Opfern von Hackern und Geheimdiensten verschiedener Länder.

Die gleichen Bedenken gibt es auch für den größten Messenger-Dienst WhatsApp. Das Sicherheitsmodell wurde von den renommiertesten kryptographischen Experten und Forschern weltweit als sehr anfällig eingestuft. Laut Guardian wurde eine ernsthafte “Hintertür” in der Verschlüsselung gefunden. Genauer gesagt ist das Problem der Austauschalgorithmus des öffentlichen Schlüssels.

Die gängige Praxis bei verschlüsselten Diensten besteht darin, einen privaten Schlüssel offline auf dem Gerät des Benutzers zu erzeugen und speichern. Der öffentliche Schlüssel wird über den Server des Unternehmens an den anderen Nutzer gesendet.

Beispiel -> Man in the Middle Attack ->WhatsApp

Im Falle von WhatsApp müssen wir dem Unternehmen trauen, dass es den Mechanismus des öffentlichen Austausches zwischen dem Sender und Empfänger nicht ändert um einen Man in the Middle Angriff durchzuführen.

Tobias Boelter, Sicherheitsforscher von der University of California, hat berichtet, dass die Ende-zu-Ende-Verschlüsselung von WhatsApp, basierend auf dem Signal-Protokoll, so implementiert wurde, dass WhatsApp oder Hacker Ihre Chats abfangen.

Auf der anderen Seite sagt der Entwickler der Signal-Messaging-App Open Whisper Systems, dass es gar keine WhatsApp Hintertür gibt, sondern dass das ganze Kryptographie System so funktioniert und das der MITM-Angriff endemisch ist und nicht nur bei WhatsApp auftritt.

Es ist erwähnenswert, dass keiner der Experten oder das Unternehmen selbst die Tatsache bestritten hat, das WhatsApp, falls von der Regierung gefordert, ihre Chats abfangen kann. Sie sagen, dass die App so konzipiert ist, dass es einfach ist und das die User den Zugriff auf die Nachrichten nicht verlieren sollen, wenn der Key sich ändert.

CTO von Crypviser und Sicherheitsexperte Vadim Andryan stimmt mit dieser Aussage überein:

Der Man in the Middle Angriff ist die größte historische Herausforderung der asymetrischen Kryptographie, die die Grundlage für ein Ende-zu-Ende Verschlüsselungsmodell darstellt. Es ist schwer zu sagen, ob diese “Hintertür” absichtlich zugestanden wurde oder ob sie aufgrund des Fehlens eines zuverlässigen Authentifizierungsmodells mit öffentlichen Schlüsseln vorne lag. Aber es ist definitiv einer der großen Nachteile heutiger kryptographischer Modelle, die für sichere Instant-Kommunikationsnetzwerke verwendet werden, und einer der Hauptvorteile der Crypviser-Plattform. “

Crypviser hat eine neue Ära der Kryptographie eingeführt, die auf der Blockchain Technologie basiert. Sie nutzt die Blockchain um alle Bedrohungen des Man-in-the-Middle Angriffs zu eliminieren und löst das historische Verschlüsselungsproblem mit öffentlichen Schlüsseln, in dem es dezentrale Verschlüsselungsschlüssel, Austausch- und Autorisierungsalgortihmen verwendet.

Das Authentifizierungsmodell von Crypviser ermöglicht die Verteilung und Autorisierung öffentlicher Schlüssel im Peer-to-Peer oder automatisierten Modus über Blockchain.

Hier der Vergleich mit anderen herkömmlichen Messenger-Diensten:

Der Unterschied zwischen WhatsApp und Crypviser:

Im Gegensatz zu WhatsApp nutzt Crypviser beim Versenden von Nachrichten keine Server. Nachrichten werden von Device zu Device verschickt. Der Private Key eines Nutzers ist auf seinem Device gespeichert, ein Teil des Public Keys wird über die Blockchain verschickt. Es ist Drittparteien somit nicht möglich, Nachrichten abzufangen und zu entschlüsseln.

Crypviser nutzt aktuell (SHA3–512 HASH und elliptische Kurvenkryptographie) beim Verschlüsseln der Nachrichten ,dadurch können Nachrichten nicht durch Reverse Engineering entschlüsselt werden.

Keine Blockierung durch Dezentralisierung:

Des Weiteren ist durch die Dezentralisierung der Crypviser Blockchain auch nicht möglich den Messenger Dienst zu blockieren, wie man es bei einem Angriff auf die WhatsApp Server tun könnte.

Durch das Nutzen der Blockchain und nicht speichern von Metadaten ist Crypviser somit für das Versenden anonymer Nachricht die einzige Alternative gegenüber den herkömmlichen Messenger-Diensten.

Staatstrojaner und Crypviser

Crypviser ist bereits so weit, dass man den gesamten In- und Output von Mikrofon, Kamera, Tastatur und Bildschirm des Smartphones überwachen kann. Sollte also der Trojaner über eines der genannten Medien Informationen aus dem Smartphone abgreifen wollen, würde das Programm das erkennen.

Technisch wäre man also soweit, den Staatstrojaner damit zu blockieren.

Bei Android und auch iOS ist das uneingeschränkt möglich. Bei Apple hängt es allerdings von Apple selbst ab, ob Crypviser es erlaubt ist oder ob es gegen deren Unternehmensrichtlinien verstößt.

Somit kann man bei einem Android Smartphone davon ausgehen, dass man gegenüber dem Staatstrojaner sicher ist, bei iOs hängt es von Apple ab.

[paypal_donation_button]