Unter anderem fordert die EFF die Implementierung von Perfect Forward Secrecy sowie eine unabhängige Sicherheitsprüfung des Quellcodes einer Anwendung. Ersteres soll verhindern, dass ein kompromittierter geheimer Langzeitschlüssel benutzt werden kann, um damit ausgehandelte Sitzungsschlüssel zu erraten.
Die Forderung begründet Peter Eckersley, bei der EFF für Technologieprojekte zuständig, mit der zunehmenden Überwachung durch Regierungsorganisationen. Die Studie wiederum solle Anbietern helfen, sichere Kommunikationssoftware zu entwickeln.
„Wir beobachten ein noch nie dagewesenes Interesse an der Lösung dieser Probleme“, zitiert Ars Technica Eckersley. „Wir wissen zwar noch nicht, wie die beste Lösung aussehen wird, deswegen versuchen wir eine Liste aufzustellen, damit jeder die Regeln kennt, die es zu befolgen gilt.“
Fast jede der untersuchten Apps verschlüsselt die Kommunikation während der Übertragung. Darüber hinaus prüfte die EFF auch, ob die Verschlüsselung auch verhindert, dass ein Provider die Nachrichten lesen kann, ob die Identität von Kontakten ermittelt werden kann und ob die Sicherheitsfunktionen dokumentiert wurden.
Unter den sechs Anwendungen, die alle sieben Kriterien erfüllen, findet sich jedoch keiner der großen Anbieter: ChatSecure, CryptoCat, Signal-App für Redphone, Silent Phone, Silent Text und TextSEcure. Von den massenhaft genutzten Messaging-Apps seien Apples FaceTime und iMessage die sichersten. Aber auch die Anwendungen, die alle geforderten Sicherheitsfunktionen enthielten, könnten in einem autoritären Staat keine vertrauliche Kommunikation garantieren, ergänzte Eckersley.
„Eine perfekte Wertung ist mehr ein erster Schritt als ein endgültiger Sieg“, sagte Eckersley. Es fehlten noch Machbarkeitsstudien, der Schutz von Metadaten, unabhängige Prüfungen und weitere Sicherheitsmaßnahmen, bevor man zu einer anderen Anwendung wechseln könne. „Ein gutes kryptografisches Design sollte keine erheblichen Unannehmlichkeiten verursachen, und es sollte auch keine zusätzliche Arbeit als Voraussetzung für die Nutzung des Systems verursachen.“
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…