neuer Messengerdienst whistle.im

  • 19 Antworten
  • Letztes Antwortdatum
NIKEtuned

NIKEtuned

Neues Mitglied
3
Hi,

Der Messengerdienst Whistle.im ist ja noch in der Beta-Testphase. Hat jemand damit schon Erfahrungen gemacht? https://whistle.im/
Es soll stabiler und viel sicherer sein als Whatsapp.

Es wäre toll ein paar Erfahrungen hier zu lesen.

LG
Niketuned
https://whistle.im/
 
Mittlerweile funktioniert die ID-Erzeugung sowie das Messaging an sich ganz gut.
Leider erzeugt der Prozess Unmengen an Wakelocks, was entsprechend die Akkuleistung beansprucht. Den Netzwerkverkehr habe ich noch nicht genau beobachtet, insofern kann ich zur Verschlüsselung nicht viel sagen.
Allerdings gestaltet sich die Kontaktsuche etwas zu kompliziert und dank XPrivacy sind mir ein paar zweifelhafte Berechtigungen der App aufgefallen, habe aber vom whistle.im-Team noch keine Rückmeldung diesbezüglich.
Hintergrundprozess beansprucht zwischen 5 und 35 MB.
 
  • Danke
Reaktionen: NIKEtuned
Welcher Messenger mit Verschlüsselung ist denn praktikabel? Google Talk funktioniert ja ganz gut, aber das neue Hangouts gefällt mir gar nicht. Wenn wir wechseln sollten, würde ich gern was mit Verschlüsselung nehmen. Oder bietet Google Hangouts auch eine Verschlüsselung an? Hat jemand schon Gibberbot o.ä. probiert?

schnueppi

Gesendet von meinem GT-I9000 mit der Android-Hilfe.de App
 
Zuletzt bearbeitet:
Ich würd mal sagen, daß Google und Verschlüsselung sich ausschließen. Die NSA hat doch bestimmt ein, zwei Büros in Mountain View :thumbsup:.


Gruß Roland

schnueppi schrieb:
Welcher Messenger mit Verschlüsselung ist denn praktikabel? Google Talk funktioniert ja ganz gut, aber das neue Hangouts gefällt mir gar nicht. Wenn wir wechseln sollten, würde ich gern was mit Verschlüsselung nehmen. Oder bietet Google Hangouts auch eine Verschlüsselung an? Hat jemand schon Gibberbot o.ä. probiert?

schnueppi

Gesendet von meinem GT-I9000 mit der Android-Hilfe.de App
Zum Vergrößern anklicken....
 
Chaos Computer Club zu whistle.im :

Doch schaut man etwas tiefer in das Projekt, so merkt man schnell, dass es sich mehr um hohle Phrasen handelt, als um Ansätze, die mit Sach- oder Fachverstand geprüft wurden. Dass hier grundlegende Konzepte schon vollkommen unbrauchbar implementiert wurden lässt nur eine Aussage zu: Das ganze System ist "Broken beyond Repair".
Zum Vergrößern anklicken....
Bevor ich auf irgendwelche technischen Details eingehe, hier einmal ein paar Punkte, die sich direkt ergeben:

● Der Dienstanbieter betreibt einen Keyserver, auf dem die RSA-Keys aller Kommunikationsteilnehmer abgelegt sind. Dies bedeutet, dass der Anbieter die Schlüssel an die Nutzer austeilt. Dort kann natürlich ein gefälschter Key ausgeliefert werden und somit die Kommunikation mitgelesen werden.
● Die privaten Schlüssel der Kommunikationsteilnehmer liegen (wenn auch verschlüsselt) auf dem Server des Dienstanbieters. Erhält dieser Kenntnis vom Passwort, so kann nachträglich jede Kommunikation entschlüsselt werden.
● Es handelt sich um einen zentralen Dienst. Daher ist der Dienstanbieter auch in er Lage herauszufinden, wer, wann mit wem für wie lange kommuniziert.
● Die Cryptographischen-Verfahren mögen als Javascript vorliegen. Nicht aber die Applikation. Das Wort OpenSource stiftet mehr Verwirrung als Klarheit. Was die Applikation an sich tut, bleibt verborgen.

Nach der Analyse der Software ergibt sich weiterhin:

● Grundlegende Konzepte aktueller Verschlüsselungsverfahren wurden nicht verstanden.
● Die Serverkommunikation hält Man-in-the-Middle-Angriffen nicht Stand.
● Alle Keys werden vor Kommunikationsbeginn immer mit dem Keyserver ausgetauscht. Damit kann ein Angreifer, der eine Man-in-the-Middle-Attacke durchführt jederzeit in eine Kommunikation eingreifen und diese auch mitlesen. Eingeschränkt wird diese Möglichkeit nur durch die kryptische Anzeige des Fingerprints des RSA-Keys im Display.
● Ein Angreifer kann problemlos eine Session "hijacken" und damit selbst Kommunikationspartner werden.
Zum Vergrößern anklicken....
Quelle: whistle.im: FaaS - Fuckup as a Service
 
  • Danke
Reaktionen: Idroit, Borgkubus, lOtz1009 und 3 andere
Tsja, damit hat es sich vorerst mal ;-)
 
Ich sage mal so, wer es unbedingt will kann jede Verschlüsselung knacken, aber man sollte es denen eben so schwer wie möglich machen. Mich stört an dieser App eher, man kann sie nicht vernünftig beenden.
 
Mit dieser Begründung lassen sich selbst die größten Schnitzer bei der Verschlüsselung rechtfertigen. Und „so schwer wie möglich” macht es diese App niemandem.

Auch gibt es durchaus Verschlüsselungen, die zur Zeit praktisch nicht zu knacken sind. Sie sind frei verfügbar, man muss sie nur richtig implementieren und nicht wie diese App. „Ihr größter Feind ist Moore's Law” (Phil Zimmermann, sinngemäß).
 
  • Danke
Reaktionen: Idroit und Rak
Laut Heise gibt es jetzt eine erste Reaktion der Entwickler auf die Kritik des CCC: Krypto-Messenger whistle.im soll jetzt sicher sein | heise online

NIKEtuned schrieb:
Ich sage mal so, wer es unbedingt will kann jede Verschlüsselung knacken [...].
Zum Vergrößern anklicken....

So einfach ist die Sache zum Glück nicht.

mizch schrieb:
Auch gibt es durchaus Verschlüsselungen, die zur Zeit praktisch nicht zu knacken sind.
Zum Vergrößern anklicken....

Und genau das ist der Grund dafür. Es gibt Verschlüsselungen, die mit der Brute-Force-Methode selbst bei heutigen Rechenleistungen in der Praxis nicht zu knacken sind, es sei denn, dass ein Fehler den möglichen Wertebereich einschränkt und es "Hackern" einfach macht oder ein effizienter Algorithmus zum Knacken gefunden wird.

[OT]
Wen's interessiert dazu ein kleiner Exkurs: Das Webseiten-Ranking wie es Suchmaschinen einsetzen. Angenommen, es existieren n=8*10^9 Internetseiten (Schätzung aus dem Jahr 2010). Um ein Ranking zu erhalten, müssen die Eigenvektoren der zugehörigen n x n-Bewertungsmatrix berechnet werden. Will man diese nach Gauß-Jordan berechnen, ist der Rechenaufwand proportional zu n^3. Nimmt man an, dass ein Rechner für n=1000 Seiten 1 Sekunde benötigt, so sind es bei 8 Milliarden Seiten bereits etwa 5*10^20 Sekunden = 1,6*10^13 Jahre. Das geschätzte Alter des Universums beträgt "nur" 13,7*10^9 Jahre - mit Gauß-Jordan käme man hier also nicht weit.
Larry Page, einer der beiden Gründer von Google, nutzte für die Berechnung daher andere, numerische Verfahren und die Tatsache, dass die meisten Einträge der Bewertungsmatrix Null sind ("schwach besetzt"). Dank seines Page-Rank-Algorithmus funktioniert das Google-Ranking überhaupt so, wie wir es kennen.
Was ich damit zeigen wollte: Mit den richtigen Algorithmen kann man alles in endlicher Zeit knacken, aber für viele Verschlüsselungen (z.B. wenn sie auf Primzahlen-Theorie basieren) gibt es solche effizienten Algorithmen (noch) gar nicht. Unter anderem gelten sie dann als sicher.
[/OT]
 
  • Danke
Reaktionen: Idroit, roland 44 und mizch
Klingt interessant, nur leider gibts keine kostenfreie Demo-Version zum ausprobieren und die App läuft erst ab Android 4.0 oder höher...
 
Ja, leider 4.x, darum konnte ich es persönlich noch nicht testen, aber bei diversen Org ist es mittlerweile etabliert und wie gesagt, habe einige Kollegen die in der profi Kryptobranche tätig sind und die schwärmen davon.
 
Mittlerweile hat whistle.im bei der Verschlüsselung nachgebessert und bietet somit quasi das gleiche Sicherheitspaket wie threema an. Leider gibt es von whistle.im noch keine iOS Version, was bei meinem gemischten Freundeskreis ungünstig wäre. Whistle bietet dafür schon Gruppenchats an und besitzt auch einen kleinen Patriotenbonus. Ich werde auf jeden Fall beide Projekte weiter beobachten. Im Moment sind sie in ihrem Bereich für mich konkurrenzlos.
 
Hoccer XO soll ja auch bald für Android rauskommen, leider bisher nur für Eifone verfügbar. Hoccer XO klingt auch interessant, aber abwarten. Es tut sich jedenfalls auf dem Markt und Konkurrenz belebt ja das Geschäft und Whats Apps tut vielleicht dann ja auch mal was um den Dienst sicherer zu machen.
 
Zuletzt bearbeitet:
Solang die Mehrheit der Nutzer trotz NSA und Co. stur bei WhatsApp bleibt dürfte die Motivation des dahinter stehenden Unternehmens dafür aber eher gering bleiben. Das Thema ist einfach in den Köpfen der meisten nicht präsent genug, man hat ja schließlich nichts zu verbergen. Aber wehe, die Deutsche Post öffnet mal einen Brief, liest und archiviert ihn digital, verklebt ihn wieder und stellt ihn dann erst zu... ;)
 
  • Danke
Reaktionen: Idroit
Aber ich denke nach der NSA und Co reagieren schon ein paar mehr Menschen sensibler auf das Thema Sicherheit im Internet. So present wie das Thema im Moment noch in den Medien ist, wird das auch nicht so schnell wieder verstummen denke ich. Schade ist nur, dass die ganzen Messengerdienste untereinander nicht kompartibel sind. Früher hat sich jeder über die Stasi aufgeregt, dass die alles mitliest, aber heute macht sich keiner gedanken was alles qausi öffentlich durchs Netz geschickt wird. Whistle & Co ist hoffentlich ein zukunftsfähiger Weg Nachrichten über Smartphones sicherer zu verschicken. Jetzt erstmal die weitere Entwicklung abwarten.
 
Und vielleicht sollten wir die weitere Diskussion über Krypto-Messenger und Verschlüsselungen an einem anderen Ort führen. Dieser Thread ist streng genommen seit 7 Beiträgen OT (vielleicht mit Ausnahme von padraks Beitrag), und hier sollte es ja eigentlich nur um Whistle gehen. ;)
 
Inzwischen scheint whistle auch nachgebessert zu haben, denn die App lässt sich inzwischen mit der "Zurück" - Taste normal beenden. Allerdings um die App komplett zu beenden muss man leider immernoch in den Task-Manager gehen. Zuerst Abmelden und dann beenden funktioniert. Allerdings ist man dann ja auch nicht mehr erreichbar.
 
Die "Forenputze" meldet sich mal kurz :D

Bisher ist beitragstechnisch alles im grünen Bereich. Allgemeine Sicherheitsdiskussionen usw. dann aber doch bitte in dem dementsprechenden Thread in der Plauderecke führen. Zu Threema gibt es, glaube ich, schon nen Thread. Wenn nicht, dürft Ihr gerne einen eröffnen.

Was whistle.im betrifft: Guter Ansatz, aber m.M.n. wird es sich nicht wirklich durchsetzen, da WA zu verbreitet ist und das erste Jahr kostenlos. Dummerweise denken über 80% der User so. Geiz ist geil. Weiter ist das Problem dabei, daß viele User auch (aller Sicherheitsbedenken zum Trotz) weigern mehrere Messenger zu installieren. Ich muß auch sagen, daß ich da bequem bin. SMS, Mail und WA. Und weiter möchte ich nicht nachdenken, wer welchen Messenger nutzt.
 
Whistle.im hat bei mir in 2 Tagen Hintergrund (keine Kontakte, keine sinnvolle Aktivität), ca. 4,6 MB Daten verbraucht.

Sicherheit hin oder her - das geht nicht und ich traue einer App nicht, die für nix und wieder nix (aber Zugriff auf Kontakte und Internetzugriff) derart viel Traffic produziert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Messenger (WhatsApp, Telegram, Signal) nur noch bei Erstinstallation eines neuen Handys installierbar?
Antworten
4
Aufrufe
728
martinfd
martinfd
Zurück
Oben Unten