20. August 2013

whistle.im doch unsicher

Allen schönen Behauptungen zum Trotz, der angeblich sichere Whatsapp-Konkurrent ist leider alles andere als sicher. Mitglieder des Chaos Computer Club haben den Messenger mal etwas auseinander genommen und festgestellt, dass so gut wie alle “Sicherheitsfeatures” von whistle.im keiner Prüfung standhalten. Das finale Urteil lautet: Das ganze System ist “Broken beyond Repair”

Fazit: Leute, nehmt OTR, das ist einigermaßen sicher und läuft in diversen Messengern, wie Pidgin, Miranda, IM+ (android) usw. Das Schöne: via Mulitmessengern wie Pidgin und IM+ lassen sich dank OTR Plugin auch vertrauliche Chats über Facebook und Skype abwickeln. Natürlich auch über alle anderen Messenger, aber die beiden sind ja derzeit mit am weitesten verbreitet.

12. August 2013

Whistle.im – Sichere Whatsapp Konkurrenz aus Deutschland

Im Gegensatz zu den meisten, unverschlüsselt arbeitenden Handy-Messangern, will Whistle.im eine 2.048-Bit-End-To-End-verschlüssselte Kommunikation erlauben, an der sich auch die NSA noch die Zähne zumindest stark abnutzt.
Der Messenger Whistle.im wird von zwei Studenten aus Köln entwickelt und läuft als Beta-Version bereits auf Android und im Browser, die iOS Version ist noch nicht fertig.

Der Instant Messenger verschlüsselt alle Nachrichten mit Public-Key-Kryptographie und soll am Ende genauso leicht zu handhaben sein soll wie die unsichere Konkurrenz. Ich habe sowohl App, als auch Website schon getestet. Über die Sicherheit kann ich keine Aussage treffen, dazu kann man sich aber die Quellcode des Krypto Moduls bei GitHub ansehen – es ist Open Source. Die Anmeldung und der Versand/Empfang von Nachrichten funktioniert, wenn auch alles noch etwas schleppend läuft und noch etwas stockt.

Um Whistle.im nutzen zu können, muss man sich eine Whistle ID ausdenken, etwa wie der bekannte Skype-Name und ein sicheres Passwort festlegen, welches ähnlich wie Nachrichten bereits im Browser verschlüsselt wird. Da alle Daten, inklusive der sogenannten Metadaten nur verschlüsselt übertragen werden, kann auch der Serverbetreiber keinen Einblick nehmen. Obendrein lässt sich der Account nachträglich löschen, so dass die Daten ein für allemal verschwinden.

Für jede Nachricht wird ein zufälliger 256-Bit-AES-Schlüsselzur Verschlüsselung erzeugt und selbst mit 2.048 Bit RSA verschlüsselt und zusammen mit dem verschlüsselten Inhalt übertragen. Der Empfänger entschlüsselt die Nachricht mit seinem Private-Key.

Am besten wirft man selbst einen Blick auf die App, je mehr Leute sie installieren desto höher die Chance, dass sich das System etabliert.

09. August 2013

Batterietest ohne Messgerät

Dieses YouTube Video zeigt, wie man auf einfache Art erkennen kann, ob eine Batterie noch frisch ist oder nicht. In Kürze: lässt man eine Batterie (AA) aus ein paar cm Höhe senkrecht auf eine harte Unterlage fallen, dann bleibt eine “geladene” Batterie ohne Federn einfach stehen. Eine leere Batterie hingegen springt mehrfach auf und ab und fällt in der Regel danach um. (So kann man auch testen ob ein Ei gekocht ist, allerdings ist das weniger praktisch :) )