Liebe Leute. Wenn man scheiße schreibt, muss man dazu stehen. Auch mir als Blogger passieren Fehler und ich möchte mich dafür bei allen Lesern entschuldigen.
Zu meinem Beitrag über Telegram habe ich viel negatives Feedback bekommen. Das lag vor allem daran, dass ich geschönt über die Sicherheit vom Telegram berichtet habe. Das ist damit verbunden, dass ich mich mit Verschlüsselung nur oberflächlich auskenne. Ich habe das wiedergegeben, wie ich es so sehe. Nun zu den einzelnen Punkten.
Zwar kursieren einige Berichte im Netz, dass diese Verschlüsselung unsicher sei, meistens handelt es sich allerdings um irgendwelche komischen Blogger, die sich damit nur oberflächlich befassen, sodass die aufgestellten Behauptungen schnell vom Telegram-Team widerlegt werden können.
Dazu bekam ich folgendes Feedback:
Falsch. Die Diskusson ist öffentlich nachvollziehbar. Das Telegram-Team konnte gerade nicht durch gute Argumenttion punkten. Sie verwenden selbstgebaute Crypto, statt allbewärtes, lange geprüfte Algorithmen einzusetzen. Sie hatten bereits einen kritischen Fehler, obwohl das alles tolle Mathematik-Doktoren sind.
So. Dieser Abschnitt sollte zuerst einmal nicht anmaßend sein. Leider habe ich sehr allgemein geschrieben und dämlicherweise wurde der Artikel gelöscht, auf den ich mich bezogen habe. Ich wollte keineswegs alle Crypto-Analysen schlecht reden und natürlich gibt es auch Leute, die sich mit dem Thema ausführlich und sehr kompetent auseinander setzten. Benedict hat also mit seinem Feedback recht. Das selbstgebaute von Telegram ist nicht bewiesen sicher und ich habe es leider so dargestellt.
In meinem Artikel habe ich zusätzlich noch geschrieben, dass es diesen Wettbewerb gibt, dass man die Verschlüsselung knacken solle. Das gab mir als Nutzer und sicherlich jedem anderen auch die Sicherheit, dass die Verschlüsselung sicher zu sein scheint. Dazu verweise ich auch gerne auf diesen Link, der mir diesbezüglich geschickt wurde.
Das waren so die beiden Kernaussagen meines Sicherheits-Abschnittes im Telegram-Artikel. Natürlich bot sich doch noch einiges weiteres an diskussionswürdigen Aussagen. Darauf werde ich jetzt allerdings nicht mehr eingehen. Klar sollte es nur jedem sein, dass mir bei diesem Absatz ein grober Fehler unterlaufen.
Eins möchte ich aber noch gerne sagen: Ich werde immer ein Mensch bleiben, der Closed-Source nicht unbedingt als schlecht ansieht. Ich gebe euch aber recht, wenn ihr sagt, dass bei Verschlüsselung Open-Source-Techniken die besseren sind. Das zu widerlegen, wäre einfach falsch. Hingegen sind die meisten mit Open-Source-Verschlüsselten Chat-Softwares nicht unbedingt benutzerfreundlich.
Ich gebe auch Coca in seinem empfehlenswerten Artikel recht, wenn er sagt, dass auf Grundlage der NSA-Affäre oder des WhatsApp-Kaufes seitens Facebook mit der Angst der Nutzer gespielt wird und mit unzureichender Verschlüsselung Chat-Clients auf den Markt geschmissen werden, die nur oberflächlich sicher sind, um Nutzermassen für sich zu gewinnen.
Den Artikel über Telegram werde ich so lassen, aber diesen Beitrag dort verlinken. Immerhin muss man den Zusammenhang verstehen.
Kommen wir also nun zum Abschluss. Diese Diskussion zeigt mir, wie wichtig es ist, sich noch mehr mit diesen komplexen Themen wie Verschlüsselungen auseinander zu setzten. Es gibt viele Leute, die sich richtig gut damit auskennen, und ich möchte mich bei denen entschuldigen, die sich durch das Geflecht an Falschaussagen kämpfen mussten. Künftig werde ich versuchen, noch besser und mit noch mehr Hintergrundwissen über diese Themen zu berichten. Wenn ich mich nicht auskenne, lasse ich es besser bleiben.
Danke für das Feedback.
Sicher richtig, dass das von telegram genutze Protokol MT-proto selbst zusammen geschustert ist und ob die von Telegram dazu genannten Gründe (Speed und mangelnde Power auf dem Mobilgerät) solche Maßnahmen rechtfertigen, kann ich auch nicht beurteilen. Sicher hat Manuel Kasper (Threema) sich mit seiner Arbeit an m0n0wall in OS Kreisen auch einen gewissen Ruf erworben.
Fakt bleibt aber, dass Threema closed source ist. Wie man einer solchen App den Datenschutzstatus unkritisch zukommen lassen kann (ala Stiftung Warentest) erschließt sich mir nicht wirklich.
Fakt bleibt ferner auch, dass sich viele Crypto Experten über Telegram und dessen “Design und Layout” die Finger wund tickern, es dann aber doch dem unbadarften Blick eines crypto noobs auf den Code bedarf, um offensichtliche Lücken im Source zu finden:
http://translate.google.com/translate?hl=en&sl=ru&u=http://habrahabr.ru/post/206900/
Selbst unterstellt der Author einer closed source Software ist gutwillig, wer checkt den Code dort auf solche “Tippfehler”?
Ich habe sicher nicht die Kompetenz irgendwelchen Code zu checken und kann nur werten aus dem was ich höre und lese. Derzeit fasst den Stand der Diskussion für mich dieser Artikel:
http://paulmillr.com/posts/the-story-of-telegram/
am treffensten zusammen.
Die Reaktion der Telegram Leute auf die gefundene(n) Lücke war jedenfalls bisher höchst professionell (Finder entlohnt, Lücke gestopft) und verdient damit zumindest bis auf weiteres mein Vertrauen – YMMV.
Hi, vielen dank für deinen Artikel-Linktipp. Den werde ich mir mal durchlesen. Danke für deine Meinung und den Kommentar :)