Author

Topic: whistle.im – "WhatsApp"-Alternative (Read 2222 times)

legendary
Activity: 1882
Merit: 1108
August 22, 2013, 12:27:36 PM
#38
Bis gestern waren sie zu blöd und jetzt hat es gerade mal paar Tage gedauert und sie sind die Crypto-Cracks geworden. Ich zieh meinen Hut, das müssen die zukünftigen Einsteins sein.

Ne...mal im ernst: wenn ich mein auto aus der werkstatt hole, die Bremsen quietschen und ziehen schräg, der Auspuf klappert und der Ölfilter tropft, dann werde ich diese Werkstatt auch dann nicht mehr besuchen wenn sie noch am selben Tag alle Mängel die ich ihnen zeige beheben. Um eine gute Werkstatt zu sein muss man die Mängel selbst erkennen können. Das können die Jungs nicht, auch wenn sie jetzt ein bischen was geändert haben.

Aber wenn du meinst dir reicht das...gut, dann lade es.
full member
Activity: 210
Merit: 100
August 22, 2013, 09:53:26 AM
#37
"Krypto-Messenger whistle.im soll jetzt sicher sein"
So einfach kann das alles sein!  Wink

http://www.heise.de/newsticker/meldung/Krypto-Messenger-whistle-im-soll-jetzt-sicher-sein-1940415.html
legendary
Activity: 1764
Merit: 1007
August 22, 2013, 06:52:13 AM
#36
Bei RetroShare ist es immer noch mit am besten gelöst.

Klar müsste man am besten erst mal Freunden einen Real-Life-Schlüsseltausch machen (oder mehrere Kanäle benutzen), um überhaupt erstmal reinzukommen in dieses Netzwerk (natürlich sind die Leute in der Praxis ein wenig unbekümmerter).

Innerhalb RetroShare kann man aber auch mit weiteren Leuten dann ziemlich sicher Schlüssel tauschen.
legendary
Activity: 1882
Merit: 1108
August 22, 2013, 05:35:07 AM
#35
RSA mit 32 Byte=256Bit, würde sagen, 10 Minuten Knackzeit wenn man die richtige Hardware hat. RSA fängt ab 1024 Bit an relativ sicher zu werden. Aber da auch hier der Schlüsseltausch übers Internet erfolgt, ist auch hier jederzeit ein man in the middle möglich. Des weiteren ist es Serverbasierend, also sehr leicht machbar, das man diesen Server komprimittiert und Metadaten abfragt. Also wer mit wem wann.

Taugt soviel wie andere, nettes Placebo.
legendary
Activity: 1014
Merit: 1003
VIS ET LIBERTAS
August 20, 2013, 10:03:57 AM
#34
Was haltet ihr von http://tox.im/
legendary
Activity: 1882
Merit: 1108
August 20, 2013, 08:31:13 AM
#33
Doch. Solange man keinen sicheren Weg findet, den Schlüssel des Kommunikationspartners zu verifizieren sind Man-in-the-Middle Szenarien machbar.

Ein Anruf (nicht über Skype Wink ) zum Vergleich des Hashwerts wäre wohl das einfachste.
Wenn das nicht möglich ist, wird es natürlich schwieriger, das stimmt.




Alles basiert drauf, das du deinen Kommunikationspartner kennst. Ich sagte ja schon, das es einen Austausch auf einem zweiten Weg geben muss. Nur dann ist die Sicherheit gewährleistet. Aber unter enormem Komfortverlust.
full member
Activity: 210
Merit: 100
August 20, 2013, 04:59:11 AM
#32
Doch. Solange man keinen sicheren Weg findet, den Schlüssel des Kommunikationspartners zu verifizieren sind Man-in-the-Middle Szenarien machbar.

Ein Anruf (nicht über Skype Wink ) zum Vergleich des Hashwerts wäre wohl das einfachste.
Wenn das nicht möglich ist, wird es natürlich schwieriger, das stimmt.


legendary
Activity: 2702
Merit: 1261
August 20, 2013, 04:52:16 AM
#31
Doch. Solange man keinen sicheren Weg findet, den Schlüssel des Kommunikationspartners zu verifizieren sind Man-in-the-Middle Szenarien machbar.
full member
Activity: 210
Merit: 100
August 20, 2013, 04:32:03 AM
#30
Wenn ihr Verschlüsselung sucht, in der ihr ohne den Kommunikationspartner zu kennen, verschlüsselt kommunizieren könnt OHNE das dritte euch abhören können dann ist das etwas unmögliches. Den ihr müsst dann Schlüssel auf dem selben Weg austauschen, wie ihr kommuniziert und damit ist immer Mann in the Middle möglich. Das ist grundsätzlich so und nicht änderbar.

Auf asymmetrische Verschlüsselung trifft das nicht zu. Beispiel: GPG/PGP

legendary
Activity: 1882
Merit: 1108
August 20, 2013, 04:15:41 AM
#29
Wenn ihr Verschlüsselung sucht, in der ihr ohne den Kommunikationspartner zu kennen, verschlüsselt kommunizieren könnt OHNE das dritte euch abhören können dann ist das etwas unmögliches. Den ihr müsst dann Schlüssel auf dem selben Weg austauschen, wie ihr kommuniziert und damit ist immer Mann in the Middle möglich. Das ist grundsätzlich so und nicht änderbar.

Jeder Ansatz beruht IMMER auf einem Trust zu einem Dritten. Aber dieser Dritte ist immer nur beschränkt vertrauenswürdig.

Schonmal überlegt, wieso ein AES-verschlüsselter Container auf der Festplatte unknackbar ist. Egal was die Welt auch anstellt, ohne das ihr das Passwort rausrückt geht garnichts. Das liegt dran, das ihr in diesem Fall der einzige Mitwisser seit und nur euch selbst trauen müsst.

Alle anderen Fälle setzen auf das Vertrauen gegenüber anderen. Aber es ist unkomfortabel, wenn man sich vorher treffen muss, Zettel mit Passphrasen austauscht und dann selbige verbrennt oder runterschluckt um unabhörbare Kommunikation zu führen. Sicher wäre das allerdings. Jedes Plus an Komfort ist dann ein Minus bei der Sicherheit.

Und über diese Dinge kommt man nicht hinweg. bzw man will unique Eigenschaften nicht dazu benutzen. zB DNA oder Irisscan zur Passwortgenerierung. Dieses Passwort wäre fälschungssicher, aber es würde jede Verbindung eindeutig zuordenbar machen und man könnte nachträglich sich die DNA beschaffen und entschlüsseln. Die Nachteile sind gravierend.

Nein..es wird immer nur relative Sicherheit geben. Nie absolute. Aus dem selben Grund gibt es nie absolut unknackbaren Kopierschutz. Und deswegen lieben wir das System ja. Also sollten wir uns auch damit abfinden, das wir die selben Probleme haben wie die anderen.
legendary
Activity: 1764
Merit: 1000
August 20, 2013, 02:23:20 AM
#28
@Wed
gibts schon infos wann es für ios raus kommt?
Hoffentlich niemals. Whistle.im ist jetzt offiziell Broken beyond Repair: Das ist nicht sicher zu bekommen. Weil die Probleme (nachvollziehbar!) im Design zu suchen sind, helfen da auch keine Patches mehr.

Meine Empfehlung: Großen Bogen drumherum machen, weil bei dem Projekt mit Buzzwords auf Bauernfang gegangen wird.


Uhi danke für dne detailierten Bericht. Da lösche ich doch direkt mal wieder meinen +1 Post hier von gestern....
Tja da ist man als Leihe einfach nur noch ausgeliefiert bzw. muss man sich wirklich genaustens vorab über alles informieren und letztendlich ... wird die Post glaub ich bald wieder eine Renaissance erleben^^ ... vielen Dank an bill86 und vor allen nexus vom CCC, das er das Programm gleich mal genauer unter die Lupe genommen hat. Ich habe langsam das Gefühl das viele Anbieter aufgrund der aktuellen Situation noch mal nen schnellen Euro mitnehmen wollen, damit das wenige Vertrauen was überhaupt noch da ist, letztendlich auch nich zu Nichte machen...Ich bin pissed ... Passend dazu kann man doch nur noch sagen "Schuster bleib bei Deinen Leisten" ... Wer keine Ahnung von

Leider. Habe es daraufhin auch wieder gelöscht
full member
Activity: 228
Merit: 100
CIYAM - UI/UX design
August 19, 2013, 10:26:46 AM
#27
Ich sag nur Threema. Ist ein Schweizer.
Marcus Richter hat ein Interview mit dem Chefentwickler gemacht
http://monoxyd.de/20130118-die-wahrheit-017-threema-smartphone-messenger-mit-verschlusselung

gibt es denn hier zu auch weitergehende Informationen bzw. wurde das vielleicht auch schon mal genauer unter die Lupe genommen ?

full member
Activity: 228
Merit: 100
CIYAM - UI/UX design
August 19, 2013, 10:24:06 AM
#26
@Wed
gibts schon infos wann es für ios raus kommt?
Hoffentlich niemals. Whistle.im ist jetzt offiziell Broken beyond Repair: Das ist nicht sicher zu bekommen. Weil die Probleme (nachvollziehbar!) im Design zu suchen sind, helfen da auch keine Patches mehr.

Meine Empfehlung: Großen Bogen drumherum machen, weil bei dem Projekt mit Buzzwords auf Bauernfang gegangen wird.


Uhi danke für dne detailierten Bericht. Da lösche ich doch direkt mal wieder meinen +1 Post hier von gestern....
Tja da ist man als Leihe einfach nur noch ausgeliefiert bzw. muss man sich wirklich genaustens vorab über alles informieren und letztendlich ... wird die Post glaub ich bald wieder eine Renaissance erleben^^ ... vielen Dank an bill86 und vor allen nexus vom CCC, das er das Programm gleich mal genauer unter die Lupe genommen hat. Ich habe langsam das Gefühl das viele Anbieter aufgrund der aktuellen Situation noch mal nen schnellen Euro mitnehmen wollen, damit das wenige Vertrauen was überhaupt noch da ist, letztendlich auch noch zu Nichte machen...Ich bin pissed ... Passend dazu kann man doch nur noch sagen "Schuster bleib bei Deinen Leisten" ... Wer keine Ahnung von Sicherheitstechnik, Kryptografie & Co. hat, sollte auch am Besten keine Software dafür entwicklen ....*Kopfschüttel*





Wed
legendary
Activity: 1231
Merit: 1018
August 19, 2013, 08:50:41 AM
#25
Naja nachdem ich das gelesen habe bin ich mir auch nicht mehr so sicher ob ich das wirklich nutzen möchte.
hero member
Activity: 574
Merit: 500
freedomainradio.com
August 19, 2013, 02:09:19 AM
#24
Verschwendete Zeit.
full member
Activity: 186
Merit: 100
August 19, 2013, 01:50:46 AM
#23
Schade, ich werde mich jetzt auch davon fernhalten.
full member
Activity: 159
Merit: 100
August 18, 2013, 07:08:10 PM
#22
@Wed
gibts schon infos wann es für ios raus kommt?
Hoffentlich niemals. Whistle.im ist jetzt offiziell Broken beyond Repair: Das ist nicht sicher zu bekommen. Weil die Probleme (nachvollziehbar!) im Design zu suchen sind, helfen da auch keine Patches mehr.

Meine Empfehlung: Großen Bogen drumherum machen, weil bei dem Projekt mit Buzzwords auf Bauernfang gegangen wird.
Wed
legendary
Activity: 1231
Merit: 1018
August 16, 2013, 07:16:41 PM
#21
gibts schon infos wann es für ios raus kommt?
legendary
Activity: 1764
Merit: 1000
August 16, 2013, 02:35:41 PM
#20
möchte whistle gerne probieren, will mich wer adden? > PM
full member
Activity: 186
Merit: 100
August 15, 2013, 02:12:16 PM
#19
Ich hab gleich mal angefragt, ob sie vielleicht Bitcoin-Spenden annehmen möchten.
Sie haben Spendenmöglichkeiten auf whistle.im hinzugefügt – unter anderem Bitcoin  Wink
sr. member
Activity: 330
Merit: 250
August 15, 2013, 08:28:53 AM
#18
Find ich cool es hat sogar eine Web-Version davon (Y)
legendary
Activity: 1882
Merit: 1108
August 14, 2013, 11:02:34 AM
#17
Leider auch wieder nur RSA, damit abhörbar wenns nötig wird. Den auch er wird kein Zertifikataussteller finden der groß genug ist um weltweit Kommunikation zu garantieren, aber nicht in Abhängigkeit zur USA bzw den dort ansäßigen Firmen steht. Aber ohne Zertifikate bzw Beglaubigungen funktioniert RSA eben nicht, bzw Diffie hellman Schlüsseltausch gilt immer nur für eine Session und wäre leicht via MitM komprommittierbar.

Aber auch wenn er einen Zertifikatanbieter findet, der unabhängig ist, so muss bei jedem Verbindungsaufbau dort nachgefragt werden ob das Zertifikat noch gültig ist. Bereits diese Nachfrage kann dazu führen das man falsche datn geliefert bekommt und dann den MitM autorisiert.

Es gibt keine Verschlüsselung die NSA-Sicher ist, aber gleichzeitig auch offen für Massenkommunikation. Diese zwei Punkte schliessen sich aus, wenn man praktisch den gesamten Datenverkehr mitschneidet. Und genau das tut die NSA, auch wenn sich einige das nicht vorstellen können.
full member
Activity: 186
Merit: 100
August 13, 2013, 02:05:30 PM
#16
Ich sag nur Threema. Ist ein Schweizer.
Marcus Richter hat ein Interview mit dem Chefentwickler gemacht
http://monoxyd.de/20130118-die-wahrheit-017-threema-smartphone-messenger-mit-verschlusselung
legendary
Activity: 1882
Merit: 1108
August 12, 2013, 02:37:31 AM
#15
Erstens: Die NSA IST beim Provider eingelooged und schneidet DORT alles mit. Allerdings Man in the Middle wird natürtlich nicht flächendeckend gemacht sondern auf Veranlassung.

Zweitens: Keys werden mit Diffie Hellmann Algorythmus getauscht.
https://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch
Das ist soweit sicher, wenn nur gelauscht wird, aber nicht bei MitM.

Es wäre sinnlos einen einmaligen Schlüsselaustausch zu machen, der dann bis in alle Ewigkeit zwischen diesen 2 COM-Partnern gilt. Zu leicht wäre hier die Möglichkeit den key zu erhalten und nachträglich alle Gespräche zu entschlüsseln. Jede Session wird also ihren eigenen key bekommen.

Diese Verschlüsselung hilft gegen zufällig Entdeckung, aber nicht gegen entschlüsseln, wenn man im Visier der Behörden wäre.

Grundsätzlich gibt es nur EINE einzige Möglichkeit zu verschlüsseln, ohne das jemand, auch nachträglich, das entschlüsseln kann: symetrische Verschlüsselung mit einem Schlüsseltausch ausserhalb des Internets, vorzugsweise persönlicher Schlüsseltausch via Papier. Alle anderen Verfahren wären im Falle eines Falles nicht sicher gegenüber staatlichen Angriffen.
Wed
legendary
Activity: 1231
Merit: 1018
August 12, 2013, 02:11:59 AM
#14
Wie genau funktioniert whistle denn? Ich muss dem Empfänger der Botschaft doch irgendwie den Key geben zum entschlüsseln? Wenn das Programm den Key gleich mitsendet, dann ist es doch total unsicher?


Ich vermute das beim "Adden" ein direkter Kontakt stattfindet zwischen den beiden Parteien wobei gleichzeitig auch ein Keyaustausch stattfindet, so ähnlich wie  bei einer initialen SSH-Verbindung.
Nachdem die Keys einmalig ausgetauscht wurden kann ja anschließend alles über einen Server ablaufen.

Was heißt denn direkter Kontakt? Beim Adden also "key austausch" kann die NSA doch bereits den Key abfangen und damit selber die Nachrichten entschlüsseln. Oder versteh ich da etwas falsch?

Naja wenn die direktverbindung verschlüsselt ist können die abfangen soviel sie wollen. Zudem müssten sie jederzeit jede direktverbindung abfangen, das halte ich logistisch für unmöglich denn dafür brauchst du man in the middle attacken und die macht und kann die nsa nicht machen, dafür müssten sie sich in den Provider einklinken.
Ist alles nur ne theorie bzw. ne Möglichkeit wie es funktionieren könnte. Genau weiß ich es auch nicht
hero member
Activity: 602
Merit: 500
Vertrau in Gott
August 11, 2013, 06:50:53 PM
#13
Wie genau funktioniert whistle denn? Ich muss dem Empfänger der Botschaft doch irgendwie den Key geben zum entschlüsseln? Wenn das Programm den Key gleich mitsendet, dann ist es doch total unsicher?


Ich vermute das beim "Adden" ein direkter Kontakt stattfindet zwischen den beiden Parteien wobei gleichzeitig auch ein Keyaustausch stattfindet, so ähnlich wie  bei einer initialen SSH-Verbindung.
Nachdem die Keys einmalig ausgetauscht wurden kann ja anschließend alles über einen Server ablaufen.

Was heißt denn direkter Kontakt? Beim Adden also "key austausch" kann die NSA doch bereits den Key abfangen und damit selber die Nachrichten entschlüsseln. Oder versteh ich da etwas falsch?
Wed
legendary
Activity: 1231
Merit: 1018
August 11, 2013, 04:39:50 PM
#12
Wie genau funktioniert whistle denn? Ich muss dem Empfänger der Botschaft doch irgendwie den Key geben zum entschlüsseln? Wenn das Programm den Key gleich mitsendet, dann ist es doch total unsicher?


Ich vermute das beim "Adden" ein direkter Kontakt stattfindet zwischen den beiden Parteien wobei gleichzeitig auch ein Keyaustausch stattfindet, so ähnlich wie  bei einer initialen SSH-Verbindung.
Nachdem die Keys einmalig ausgetauscht wurden kann ja anschließend alles über einen Server ablaufen.
full member
Activity: 186
Merit: 100
August 10, 2013, 03:45:55 AM
#11
is aber anscheinend nich komplett quelloffen
Wenn whislte nicht open Source ist, dann kann mans gleich wieder löschen. Wer weiß was da für Türen offen sind, oder ob whistle.im nicht vielleicht vom BND betrieben wird..

Das hängt vielleicht von der Definition von Open-Source ab. Wenn ich das richtig sehe, ist der Quellcode öffentlich einsehbar, allerdings steht "All rights reserved." drunter.

https://github.com/whistle-im/whistle-im
hero member
Activity: 574
Merit: 500
freedomainradio.com
August 09, 2013, 09:13:51 AM
#10
Solange ich den Quellcode nicht kenne, vertraue ich diesem Programm nicht.

Wie genau funktioniert whistle denn? Ich muss dem Empfänger der Botschaft doch irgendwie den Key geben zum entschlüsseln? Wenn das Programm den Key gleich mitsendet, dann ist es doch total unsicher?

https://en.wikipedia.org/wiki/End-to-end_encryption
hero member
Activity: 602
Merit: 500
Vertrau in Gott
August 09, 2013, 09:04:35 AM
#9
Wie genau funktioniert whistle denn? Ich muss dem Empfänger der Botschaft doch irgendwie den Key geben zum entschlüsseln? Wenn das Programm den Key gleich mitsendet, dann ist es doch total unsicher?
full member
Activity: 199
Merit: 100
August 09, 2013, 09:02:01 AM
#8
Whistle.im will eine 2048-Bit-End-To-End verschlüssselte Alternative sein, bei der das Adressbuch nicht bei der NSA abgegeben wird.

1. Wo denn dann?
2. Das holen die sich selbst.
3. 2048 Bit - wow! 1994 galten 4096 Bit als "fast sicher" (leider keine Quelle mehr; war Papier (wer das noch kennt))
4. USA exportieren keine Software, die bestimmte Sicherheitsstandards überschreiten. Die "deutsche" Entwicklung wird diese wohl ebenfalls nicht überschreiten, sonst fiele sie höchstwahrscheinlich unter das Kriegswaffenkontrollgesetz. (Gutes Beispiel: In D sind Level-4-Sicherheitscomputer anzumelden!)


Aber ein bisschen Verschlüsselung ist natürlich besser als gar keine - oder ?
hero member
Activity: 602
Merit: 500
Vertrau in Gott
August 09, 2013, 06:44:05 AM
#7
is aber anscheinend nich komplett quelloffen

Wenn whislte nicht open Source ist, dann kann mans gleich wieder löschen. Wer weiß was da für Türen offen sind, oder ob whistle.im nicht vielleicht vom BND betrieben wird..

Schönes Projekt, aber hat sich damit wohl leider erledigt
legendary
Activity: 2058
Merit: 1005
this space intentionally left blank
August 09, 2013, 06:15:31 AM
#6
THREEMA
legendary
Activity: 1764
Merit: 1007
August 09, 2013, 06:09:53 AM
#5
is aber anscheinend nich komplett quelloffen
hero member
Activity: 574
Merit: 500
freedomainradio.com
August 09, 2013, 02:50:36 AM
#4
Meine Rede.
full member
Activity: 186
Merit: 100
August 09, 2013, 02:48:10 AM
#3
Auf sowas haben meine technisch nicht so erlesenen Freunde gewartet  Cheesy
Schön und gut wenn man selbst verschlüsseln kann, nur wenn über 90 % der Kontakte es nicht können, bekommt man keine sichere Kommunikation zustande, hilft also nicht weit.
hero member
Activity: 574
Merit: 500
freedomainradio.com
August 09, 2013, 02:31:27 AM
#2
Auf sowas haben meine technisch nicht so erlesenen Freunde gewartet  Cheesy
full member
Activity: 186
Merit: 100
August 08, 2013, 05:38:17 PM
#1
Gerade bin ich auf dieses viel versprechende Projekt gestoßen, ich persönlich warte ja schon lange auf so etwas;

Quote from: Golem.de
Whistle.im
Verschlüsselter Whatsapp-Konkurrent kommt aus Deutschland

Laut Angaben von Whatsapp gibt es 20 Millionen aktive Anwender in Deutschland. Whistle.im will eine 2048-Bit-End-To-End verschlüssselte Alternative sein, bei der das Adressbuch nicht bei der NSA abgegeben wird.

http://www.golem.de/news/whistle-im-verschluesselter-whatsapp-konkurrent-kommt-aus-deutschland-1308-100879.html

Internetseite des Projekts: https://whistle.im/

Ich hab gleich mal angefragt, ob sie vielleicht Bitcoin-Spenden annehmen möchten.
Jump to: