News SMS verschlüsseln mit CyanogenMod 10.2

[przszy]

Die Entwickler von CyanogenMod haben die erste Nightly Build der alternativen Android-Distribution mit integrierter SMS-Verschlüsselung veröffentlicht. Dafür arbeitet CyanogenMod mit Open WhisperSystems zusammen. Der Anbieter hat mit TextSecure bereits eine App für verschlüsselte SMS/MMS im Programm.

Zur News: SMS verschlüsseln mit CyanogenMod 10.2

 

[JamesFunk]

Wo ist da der Nutzen?

Es wird unverschlüsselt versandt/empfangen. Wenn NSA und co diese Daten abfangen, haben sie direkt Sender, Empfänger und Inhalt.

Lokal auf dem Handy verschlüsseln bringt doch nichts.

 

[Trefoil80]

So, wie ich das verstanden habe, wird die SMS auch verschlüsselt übertragen und nicht nur lokal verschlüsselt gespeichert.

Oder warum sollte sonst das neue Transportprotokoll erwähnt werden? Der Inhalt bleibt sicher, die Metadaten nicht.

 

[JamesFunk]

Es wird nur von Cynogen -> Cyanogen verschlüsselt übertragen.

Bei anderen Geräten nicht:

"Bei der Kommunikation mit anderen Geräten werden hingegen automatisch weiterhin unverschlüsselte Nachrichten verschickt."

 

[Trefoil80]

Ist natürlich Voraussetzung, dass beide Gesprächspartner entweder Cyanogen-Mod oder Textsecure verwenden.
Wie soll Android sonst was mit dem Protokoll anfangen können?

"Damit ist die CyanogenMod-Implementierung mit der bereits seit Längerem erhältlichen Android-Anwendung des Unternehmens kompatibel."

Es steckt also mehr dahinter als nur die lokale Verschlüsselung.

Wenn's um Verschlüsselung geht, bitte richtig lesen und nicht gleich alles madig machen...

 

[JamesFunk]

Ich habe da meine Zweifel, weil ich vermute, dass SMS von Cyanogen -> Cyanogen ein verschwindend geringer Anteil sind.

Wer Cyanogen nutzt, hat auch ein Smartphone. Wahrscheinlich haben da die allermeisten auch Whatsapp.
Ich schreibe mit Leuten, die Smartphones haben, jedenfalls keine SMS (trotz Flatrate).

Abgesehen davon würde mich mal interessieren, ob man die Verschlüsselung mit einem anderen Cyanogen Smartphone entschlüsseln kann.

 

[Trefoil80]

Wenn man nicht Threema verwendet, ist Textsecure allemal besser als eine konventionelle SMS oder gar WhatsApp.

Die ganze Geschichte setzt sowieso voraus, dass sich Dein Gesprächspartner überhaupt für Datensicherheit interessiert...und kein Teil der Mir-Doch-Egal-WhatsApp-Fratzebook-Generation ist.

Ja, der Key-Exchange ist hier nicht wirklich beschrieben. Das wäre noch zu klären. Ebenso, wie die Keys erzeugt werden (durch Entropie des Users "Finger per Zufall über den Bildschirm wischen" oder durch einen Pseudo-Zufallszahlengenerator als fest eingerichtete Android-Funktion, der ich nicht traue).

 

[valnar77]

Da die Daten über einen zentralen Server fließen (oder zumindest das Verschlüsselungsverfahren darüber), nutzt das relativ wenig, sollte dieser kompromittiert werden. Sei es durch Hacking, Geheimdiensten oder anderweitigen Sicherheitsbehörden.

 

[JamesFunk]

Man bräuchte etwas, das unabhängig vom Empfänger sicher ist.

Mir ist Datensicherheit eigentlich wichtig. Aber da man nichts gegen den ganzen Abhörkram tun kann, versende ich nur belangloses Zeugs per SMS/Whatsapp, Email und co.

Alles, von dem ich nicht möchte, dass es Dritte erfahren, bespreche ich persönlich.

 

[Trefoil80]

Wenn beide Keys (Sender/Empfänger) nicht bekannt sind, sollte es nicht möglich sein, die Nachrichten zu lesen (Ende zu Ende-Verschlüsselung).

Dass man wirklich wichtige Dinge nicht über die Elektronik besprechen sollte, steht auf einem anderen Blatt.
Da Android selbst ja nicht (komplett) Open-Source ist, könnte hier eine Schwachstelle liegen, die die Verschlüsselung (die an sich sicher ist) untergräbt.

Das ist aber nicht Thema des Threads...

 

[PropHunt]

Die Handynummer des Empfängers als public key, auf der SIM der geheime private key zur Entschlüsselung.
Wenn das Standard wäre, wäre das Problem gelöst, oder?

EDIT: Denke gerade über die Erzeugung der Keys nach, wäre wohl doch nicht möglich, oder?

 

[hallo7]

Man bräuchte etwas, das unabhängig vom Empfänger sicher ist.

Dass man wirklich wichtige Dinge nicht über die Elektronik besprechen sollte, steht auf einem anderen Blatt.

Wie wärs mit einer Schiffre? Einzige voraussetzung ist, dass man den Empfänger am besten persönlich den Schlüssel übergibt.
Dann kannst du die (verschlüsselte) Nachricht senden wie du lustig bist...

Immernoch eines der sicheresten Verfahren (wenn man händisch entschlüsselt)

 

[Trefoil80]

Ich denke, das hat Threema schon ganz gut gelöst (QR-Code zur Authentifizierung).

 

[JamesFunk]

Die Keys werden bei Cyanogen schon dabei sein.
Sonst fehlt der Key ja dem Sender (beim Verschlüsseln) oder dem Empfänger (beim Entschlüsseln).

Vielleicht ist es eine Kombination aus dem Cyanogenkey und irgendwlechen Sneder/Emfängerdaten.

 

[hanschke]

doof nur das die SMS nicht ankommt

 

[norfen]

schreibt hier irgendjemand noch sms? Bei mir waren es jedenfalls unter 10 im Jahr.

 

[derGrimm]

Wer Cyanogen nutzt, hat auch ein Smartphone. Wahrscheinlich haben da die allermeisten auch Whatsapp.
Ich schreibe mit Leuten, die Smartphones haben, jedenfalls keine SMS (trotz Flatrate).

Wenn man kein Arsch in der Hose hat zu sagen, dass man diesen Dienst nicht nutzt, weil es ein Flickenteppich ist, ist man doch selbst schuld!

 

[GlockMane88]

Wenn man kein Arsch in der Hose hat zu sagen, dass man diesen Dienst nicht nutzt, weil es ein Flickenteppich ist, ist man doch selbst schuld!

Habe meinen Androiden (S4 Mini mit CM11) jetzt mal mit diversen Maßnahmen "sicherer" gemacht:

TextSecure (verschlüsselte SMS)
RedPhone (verschlüsselte Telefonate via Internet)
K9 Mail mit PGP (Verschlüsselte E-Mails)
Keepass2Android (Sichere Ablage von Informationen), Datenbank auf SkyDrive zur gemeinsamen Nutzung
Where's My Droid (Standortbestimmung, Remote Wipe usw..)
OpenVPN (Zur Verbindung mir der Arbeit)

Und zu guter Letzt noch die in Android eingebaute Verschlüsselung. Die hat zwar auch ihre Schwächen, ist aber allemal besser als nichts und verhindert das einfache Auslesen von Daten..

Nur so als kleine Hilfestellung, bin allerdings auch bei weitem kein Experte auf dem Gebiet

Das TextSecure jetzt bei CM eingebaut wird ist eine gute Sache, da sich die Nutzerbasis so sicherlich drastisch erhöht.. Allerdings halte ich SMS auch für veraltet und wünsche mir einen sicheren Dienst wie WhatsApp, um auch andere Daten wie Bilder und Videos zu versenden.. Gibt es das vielleicht schon?

 

[FrAGgi]

Wie wird denn vor dem Versand überprüft, ob der Empfänger CM hat?

 

[sizeofanocean]

Der Inhalt bleibt sicher, die Metadaten nicht.

Das ist der springende Punkt.

Verschlüsselung ist zwar grundsätzlich gut, aber gegen Mappen von Daten im großen Stil, wo es erstmal überhaupt nicht um die Inhalte von z.B. SMS geht, sondern eben um Metadaten, hilft Verschlüsselung leider nicht.