wp_eranDas Team von WinCrypt stellt ein neues Projekt mit Namen Eran vor. Nach dem erfolgreichen Projekt WinCrypt und weiteren kleinen Tools, die u.a. lokale Daten auf dem System verschlüsseln, hat das Team angefangen auch in Sachen “sichere Kommunikation” ein Tool zu entwickeln.
WinCrypt-Team: Eran ist ein Instant-Messanger. Sicherlich fragt ihr euch: “noch ein Messenger der Nachrichten verschlüsselt? Davon gibt es schon so viele wie Sand am Meer.” Das stimmt soweit, deswegen haben wir uns Gedanken gemacht, ob wir überhaupt solch ein Projekt starten können und uns auch die Frage gestellt, ob wir noch etwas bieten können was sicherer ist, als was momentan auf dem Markt vorhanden ist.

Strikt nach dem Motto: Absolute Sicherheit und Anonymität um jeden Preis!

Darum haben wir uns viele Messenger angeschaut, die Verschlüsselung anbieten. Unter anderem Telegram, Pidgin + OTR usw. Dabei wurden viele Sicherheitsrisiken entdeckt, unter anderem ein AccountSystem auf den Servern, womit bestimmte Konten direkt auf Personen zurückgeführt werden können. Oder dem Risiko, dass die Nachrichten auf dem Server gespeichert werden, dies bringt zwar für den Nutzer den Vorteil für Offline Nachrichten, allerdings sehen wir dies als ein hohes Risiko Nachrichtenverläufe auf Servern zu speichern, egal ob verschlüsselt oder nicht, denn auch ein symetrischer Algorithmus ist nicht vor Bruteforce-Attacken sicher.
Kommen wir zu den Punkten die den Eran-Messenger von den Anderen unterscheidet:

  • Es werden auf dem Server keinerlei Informationen von Nutzern gespeichert, es gibt auch kein AccountSystem oder ähnliches. Der Server ist wirklich nur da um Nachrichten von A nach B zu transportieren. Der Server loggt nur Fehlermeldungen innerhalb der Serversoftware. Der Quellcode der Serversoftware ist OpenSource und auf GitHub zu finden.
  • Eran nutzt ein eigenes Verbindungsprotokoll, es ist allerdings das selbe Verfahren wie TLS, der Schlüsselaustausch erfolgt über eine RSA 2048bit Verschlüsselung. Nachdem sich Client und Server auf einen Schlüssel geeinigt haben, wird die folgenden Kommunikationen mit dem Server über eine AES 256bit Verschlüsselung durchgeführt.
  • Nicht der Server sendet seinen Public Key an den Client, sondern der Client sendet seinen Public Key an den Server. Die RSA-Keys werden bei jedem Neustart des Messengers neu generiert. Dies bietet eine extreme Sicherheit, da es keinen festen Public Key auf Dauer gibt sondern dieser sich ständig ändert, zu dem hat jeder Nutzer einen anderen Public Key, dies bietet absolute Sicherheit in dem Bereich.
  • Jetzt kommen wir zu dem Punkt wenn Alice Kontakt mit Bob aufnimmt, hierbei wird das selbe Verfahren wie zwischen Client und Server nochmals durchgeführt. Es findet ein Schlüsselaustausch mit RSA zwischen den Clients statt und dann wird die Verbindung nochmals mit AES 256bit verschlüsselt, dies soll verhindern das der Server Nachrichten zwischen Alice und Bob mitlesen kann. Was bedeutet dies? Wir nennen dies “Double Encryption”, eine Verschlüsselung innerhalb einer Verschlüsselung.
  • In Eran sind die üblichen Erweiterungen vorhanden, wie Sprachnachrichten senden, Dateien senden, Profilbilder usw. Für das Verfahren der “Dateien Senden” wurde ein eigener Stream programmiert, hierbei wird die Datei in 64KB große Pakete gesplittet, danach wird jedes Paket mit AES-256bit verschlüsselt und an den Partner gesendet, dieser entschlüsselt die empfangenen Pakete und stellt die Datei wieder zusammen. Somit ist es möglich, Daten in beliebiger Größe zu versenden. Auch Sprachnachrichten werden bei der Kommunikation komplett verschlüsselt.
  • Chatpartner können auf Knopfdruck jederzeit einen neuen Schlüsselaustausch durchführen, also die Verschlüsselung erneuern. Entweder im Chat Menü oder direkt per Hotkey Strg+E.
  • Nutzer des bekannten Live Messenger(MSN Messenger) werden schnell mit dem Eran-Messenger zurecht kommen, denn die grafische Struktur orientiert sich an dem alten MSN-Messenger.
  • Sicher habt ihr euch gefragt, wie denn jetzt nun das AccountSystem funktioniert? Ganz einfach: es gibt die Eran Adresse. Diese ist ein einfacher MD5 Hash Wert. Woraus setzt sich der Hashwert zusammen? Aus dem Benutzernamen + Passwort + 16 stelligen zufälligen Zeichencode, darauf wird ein SHA512 Hashwert ermittelt, aus diesem SHA512 Hashwert wird dann der MD5 Hashwert generiert. Nachdem der Anwender das Konto erstellt hat, liegen die Kontoinformationen lokal auf dem Rechner. Darin enthalten ist die Eran Adresse, der Nutzername, der Alias Namen, der SHA512 Hashwertes des Passwortes, die 16 stellige Zeichenkette und das 64x64px Profilbild in Base64kodiert. Somit hat der Nutzer ein vollständiges Konto lokal auf seinen PC. Jetzt stellt sich die Frage: Aber dann können sich doch Andere einfach mit einer anderen Eran Adresse theoretisch als jemanden anderen ausgeben. Die Antwort: Nein, denn der Server verifiziert den Nutzer, denn wenn man sich mit dem Server verbindet muss man die Eran Adresse, nach erfolgreichem Schlüsselaustausch, verifizieren. Dabei schickt der Client dem Server den Nutzernamen+Passwort (Klartext) + Randomzeichen, der Server setzt aus dieser Nachricht dann ebenfalls den Hashwert zusammen, wenn das Ergebnis mit dem übereinstimmt, womit sich ein Nutzer versucht hat sich anzumelden, wird dieser erst freigegeben Daten zu empfangen und zu senden. Selbst wenn jemand die Account Datei entwendet, die lokal auf dem Rechner liegt, so kann er nichts damit anfangen. Denn wie oben bereits erwähnt muss der Client auch das Passwort als KLARTEXT an den Server senden damit der Benutzer verifiziert werden kann. Und da in der Lokalen Datei ja nicht das Passwort im Klartext steht kann der Dieb auch nichts mit der Lokalen Datei anfangen.
  • Kommen wir zur bekannten Neuheit im Gebiet “Sichere Kommunikation”: Der Secure Desktop Modus. Der Secure Desktop Modus ist eine Microsoft-Funktion die seit Vista bei Windows schon integriert ist. Der Secure Desktop ist allen Nutzern bekannt, es ist das Fenster wenn wir eine Anwendung als Administrator starten und die UAC (User Account Control) aufpoppt. Diese Funktion beinhaltet etwas sehr wertvolles, dabei schließt Windows in dem Moment wo der Secure Desktop aufgerufen wird, die Schnittstellen um Tastaturanschläge oder Screenshots zu erstellen. Es ist somit für Trojaner oder Spionagesoftware nicht möglich, in diesem Modus Tastaturanschläge abzufangen oder Screenshots zu erstellen. Dies bietet also eine enorme zusätzliche Sicherheit. Eran ist keine Software bekannt die ebenfalls die Secure Desktop Funktion nutzt außer KeePass und das auch nur, wenn das Masterkennwort eingegeben werden muss. Wir haben allerdings dafür gesorgt, dass der Eran-Messenger in diesem Secure Desktop läuft. Es hat zwar den Nachteil, dass man Windows, abgesehen vom Messenger selbst, nicht nutzen kann. Wer jedoch absolute Sicherheit haben will, wird auch damit zurecht kommen. (Weitere Informationen zum Secure Desktop https://blogs.msdn.microsoft.com/uac/2006/05/03/user-account-control-prompts-on-the-secure-desktop/)

blind
Der Eran-Messenger befindet sich gerade in einer frischen Beta Version. Zudem soll dieser auch plattformübergreifend für Linux, Mac und wenn es uns gelingt auch für Android und iOS erstellt werden. Natürlich ist der Messenger kostenlos und komplett OpenSource, denn noch immer vertreten wir die Meinung, dass jeder das Recht hat seine privaten Daten oder Gespräche zu verschlüsseln. Das Projekt wird aus eigener Tasche finanziert und Spenden sind auch eher mau. Aus diesem Grund muss man schauen wie weit das Projekt reicht.
Beitrag via Harry Machura von WinCrypt.org
Weitere Informationen findet ihr unter https://project-eran.wincrypt.org
Organisatione: https://WinCrypt.org
E-Mail: Support@WinCrypt.org