Verschlüsselte Kommunikation ist seit den Ausspähskandalen nationaler Geheimdienste ein stark nachgefragtes Gut. Anbieter, die mit abhörsicheren Kommunikationsdiensten werben, ziehen das Interesse auf sich. Der Facebook-Messenger scheidet dabei ebenso aus wie der unsichere, aber äußerst beliebte Dienst Whatsapp. In den letzten Wochen konzentrierte sich das Interesse auch auf das deutsche Startup Whistle.im, das mit "Secure instant messaging made in Germany" wirbt und entsprechend Aufmerksamkeit in den Medien erhält.
Doch nun hat der Chaos Computer Club (CCC) mit drastischen Worten die Technologie von Whistle.im für nutzlos erklärt: Der Dienst sei "FaaS – Fuckup as a Service". Schwachpunkt: Whistle.im betreibe einen Keyserver, auf dem die RSA-Schlüssel der Teilnehmer abgelegt sind. Damit könnten gefälschte Schlüssel ausgeliefert werden und die Kommunikation durch Dritte entschlüsselt werden. Außerdem liegen die privaten Schlüssel der User zwar verschlüsselt auf dem Server von Whistle.im, erfährt der Anbieter allerdings das Passwort, könnte die gesamte Kommunikation nachträglich entschlüsselt und somit gelesen werden.
Fazit des CCC: Whistle.im sei ein vollkommen undurchdachtes Konzept. Die nur grobe Analyse durch den CCC decke bereits eklatante Sicherheitsmängel auf. Sichere, verschlüsselte Kommunikation über den als Beta vorliegenden Messenger Whistle.im ist somit nicht gewährleistet.
Bildquelle: Lichtkunst.73 / Pixelio.de
