Bitcoin Forum
October 18, 2017, 12:42:01 AM *
News: Latest stable version of Bitcoin Core: 0.15.0.1  [Torrent]. (New!)
 
   Home   Help Search Donate Login Register  
Pages: [1]
  Print  
Author Topic: Whatsapp-Alternative : telegram - Open-Source, EndzuEnd-Verschlüsselung...  (Read 4388 times)
phantastisch
Moderator
Legendary
*
Offline Offline

Activity: 1904



View Profile
October 29, 2013, 04:45:22 PM
 #1

Bin ich gerade draufgestoßen , schauts euch mal an : http://telegram.org/

Open-source, mit eigener Api, besserer Standardverschlüsselung als Whatsapp, Secret-Chats mit EndzuEnd-Verschlüsselung und selbstzerstörenden Nachrichten.

Und das alles in kostenlos und schnell.

Also ich finds cool  Wink

Du hörst Klatschen, doch das war kein Applaus
Nur der Schlag meiner Faust, die dich Arschgeige haut
1508287321
Hero Member
*
Offline Offline

Posts: 1508287321

View Profile Personal Message (Offline)

Ignore
1508287321
Reply with quote  #2

1508287321
Report to moderator
1508287321
Hero Member
*
Offline Offline

Posts: 1508287321

View Profile Personal Message (Offline)

Ignore
1508287321
Reply with quote  #2

1508287321
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
LOBSTER
Hero Member
*****
Offline Offline

Activity: 560


View Profile
October 29, 2013, 05:33:08 PM
 #2

Bin ich gerade draufgestoßen , schauts euch mal an : http://telegram.org/

Open-source, mit eigener Api, besserer Standardverschlüsselung als Whatsapp, Secret-Chats mit EndzuEnd-Verschlüsselung und selbstzerstörenden Nachrichten.

Und das alles in kostenlos und schnell.

Also ich finds cool  Wink

Die Idee hinter den ganzen Apps ist immer gut, das Problem ist, das die Mainstream Menge diese nicht nutzt Sad

Leider stecken hinter WhatsApp und Co. zu viele Kapitalisten, die ihr Produkt nach vorne pushen...
Chefin
Legendary
*
Offline Offline

Activity: 1582


View Profile
October 29, 2013, 05:49:30 PM
 #3

Die Verschlüsselung scheint tauglich, zumindest ihren Aussagen nach. Ich hoffe mal, das sie nicht den Android Zufallsgenerator benutzen, sondern sich selbst was zusammen stricken. Sonst ist AES256 auf dem Niveau von Rot13.

Leider bleibt es dabei, das die Metadaten weiterhin public werden und letztendlich sind die das wirklich interessante.

Aber es ist ein Schritt in die richtige Richtung. Was dann noch fehlt ist eine Serverfarm zum mixen. Die Verschlüsselung zb dazu nutzen, das sich alle permanent am Server anmelden und die Metadaten in dieser Verschlüsselung von aussen nicht mehr sichtbar sind.

Muss mir mal den Sourcecode ziehen, interessant hört es sich auf jedenfall an, was die da schreiben.
favdesu
Legendary
*
Offline Offline

Activity: 1204



View Profile WWW
October 30, 2013, 08:15:38 AM
 #4

Mir persönlich fehlt noch ein Desktop Client. Sonst liest sich das ganze wirklich gut

► How to sneak in ICO, even if you're not allowed to Read More
LOBSTER
Hero Member
*****
Offline Offline

Activity: 560


View Profile
October 30, 2013, 06:45:52 PM
 #5

Mir persönlich fehlt noch ein Desktop Client. Sonst liest sich das ganze wirklich gut

Kannst dir ja selber compilen 😄
Sukrim
Legendary
*
Offline Offline

Activity: 2156


View Profile
October 30, 2013, 08:35:56 PM
 #6

Die Verschlüsselung scheint tauglich, zumindest ihren Aussagen nach. Ich hoffe mal, das sie nicht den Android Zufallsgenerator benutzen, sondern sich selbst was zusammen stricken. Sonst ist AES256 auf dem Niveau von Rot13.

Wo braucht aes denn Zufallszahlen?

Grundsätzlich stimme ich ja zu, dass man gute Zufallsquellen haben sollte, für AES an sich braucht man die aber meines Wissens nach nicht. Auch ein selbst zusammengebastelter Zufallszahlengenerator sollte zumindest die eingebauten mitverwenden. Übrigens wurde der in Android mittlerweile gefixt.

https://bitfinex.com <-- leveraged trading of BTCUSD, LTCUSD and LTCBTC (long and short) - 10% discount on fees for the first 30 days with this refcode: x5K9YtL3Zb
Mail me at Bitmessage: BM-BbiHiVv5qh858ULsyRDtpRrG9WjXN3xf
numismatist
Legendary
*
Offline Offline

Activity: 1092



View Profile
October 31, 2013, 12:52:57 PM
 #7

Wo braucht aes denn Zufallszahlen?

Grundsätzlich stimme ich ja zu, dass man gute Zufallsquellen haben sollte, für AES an sich braucht man die aber meines Wissens nach nicht. Auch ein selbst zusammengebastelter Zufallszahlengenerator sollte zumindest die eingebauten mitverwenden. Übrigens wurde der in Android mittlerweile gefixt.

Ack! Dein Wissenstand ist da valide.
Tja Halbwissen ... wie Sand am Meer. Schadet aber nicht, das anzusammeln. Irgendwann weis man alles.

Übrigens zu der Zufälligkeit: Wenn ich 2 oder 3 Entropiequellen mixe, nimmt der Zufall stetig zu. Das ist wie in der Physik. Also nimm (Byte1 XOR Byte2 XOR Byte3) oder auch (Byte1 + Byte2 + Byte3 % 8) dann kann da auch ein Bytestrom eher minderer Qualität Quelle sein, das schadet nicht. Wie ein Zementmischer, der sich beständig dreht. Da fallen nachher auch nicht perfekte geometrische Würfel raus, sondern mehr so ein Haufen Chaos.

In dem Umfeld wird auch viel mit Demoralisierungsmechanismen und Falschinformationen gearbeitet. Sicherlich 50% von Crypto sind Psychologie.

candoo
Hero Member
*****
Offline Offline

Activity: 602


Vertrau in Gott


View Profile
October 31, 2013, 07:17:46 PM
 #8

Die Verschlüsselung von telegram ist unsicher und von Behören leicht zu belauschen

Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
Sukrim
Legendary
*
Offline Offline

Activity: 2156


View Profile
October 31, 2013, 08:15:08 PM
 #9

Die Verschlüsselung von telegram ist unsicher und von Behören leicht zu belauschen

...Beweis?!

Solange man den Endgeräten vertraut (also weder Sender noch Empfänger haben einen Staatstrojaner etc.) und nur die Software/Protokoll betrachtet klingt das, was sie schreiben, eigentlich recht ordentlich. Belauschen ist sicher möglich, aber "verstehen" was da kommuniziert wurde ist nach aktuellem Stand (wenn die Sachen ordentlich implementiert wurden) nicht möglich.

https://bitfinex.com <-- leveraged trading of BTCUSD, LTCUSD and LTCBTC (long and short) - 10% discount on fees for the first 30 days with this refcode: x5K9YtL3Zb
Mail me at Bitmessage: BM-BbiHiVv5qh858ULsyRDtpRrG9WjXN3xf
candoo
Hero Member
*****
Offline Offline

Activity: 602


Vertrau in Gott


View Profile
October 31, 2013, 08:20:50 PM
 #10

Die Verschlüsselung von telegram ist unsicher und von Behören leicht zu belauschen

...Beweis?!

Solange man den Endgeräten vertraut (also weder Sender noch Empfänger haben einen Staatstrojaner etc.) und nur die Software/Protokoll betrachtet klingt das, was sie schreiben, eigentlich recht ordentlich. Belauschen ist sicher möglich, aber "verstehen" was da kommuniziert wurde ist nach aktuellem Stand (wenn die Sachen ordentlich implementiert wurden) nicht möglich.

Naja die beiden Geräte müssen ja untereinander den Schlüssel mitteilen.  Das Thema hatte wir in einem anderen Thread schon.

Beim ersten Kontakt teilen ja beide ihren Schlüssel mit und genau der wird abgefangen um in Zukunft alle Nachrichten zu entschlüsseln

Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
qwk
Donator
Legendary
*
Offline Offline

Activity: 1568


Bitcoin Foundation Member


View Profile WWW
October 31, 2013, 08:28:29 PM
 #11

Am besten gefällt mir die Grafik:



 Grin

Yeah, well... I'm gonna go build my own blockchain, with blackjack and hookers. In fact, forget the blockchain!
Chefin
Legendary
*
Offline Offline

Activity: 1582


View Profile
November 01, 2013, 09:40:41 AM
 #12

AES ist mit schlechtem Zufall eben NICHT sicher.

Aus einer relativ kurzen Passphrase muss ein Rundenschlüssel generiert werden. um 256Bit als Passphrase zu haben muss man nicht 32 Zeichen sondern 43 Zeichen benutzen, weil ein Zeichen eines Passwortes typischerweise nur 6 Bit abdeckt. Der Rest des Ascii-codes benutzt man nicht. Man muss also nur dies Passphrase knacken. Den es darf keine Unbekannte drin sein, da mein Kommunikationspartner nur diese Passphrase wissen muss um es zu entschlüsseln.

Automatisierte Verfahren erzeugen diesen Schlüssel per Zufall. Aber echten Zufall gibt es nicht. Selbst wenn ich das rauschen des Taktgenerators benutze, der mit 1GHz taktet, komme ich gerade mal auf 2^30 Variantionen pro Sekunde. in 24 Std kommen ca 2^14 dazu, also wäre ein solcher Generator bei gerade mal 2^44 verschiedenen Möglichkeiten nach einem Tag. Selbst nach Jahren überschreite ich 2^50 nicht. 3 Generatoren die absolut unabhängig voneinenader sind erreichen dann 2^132 nach einem Tag. Wenn man sie so zusammen führen kann, das sie nichts ausschliessen. Real ist es aber meist eher so, das 2^100 auch bei 3 Quellen nicht überschritten wird. Und echte unabhängie Quellen gibt es nicht.

Selbst eine typische Rauschquelle, die Antenne ist sehr dominiert von 1,8 und 2,4GHz und wird hier statistisch starke Ausreiser haben.

Des weiteren müsst ihr rechnen wie ein Encrypter. Der sagt nicht: Ich kann die Verschlüsselung von Hans Mustermann knacken oder nicht. Der sagt ich kann 67% der Kommunikation aller Teilnehmer entschlüsseln, aber ich kann dir nicht versprechen das genau der drunter ist den du entschlüsseln willst. Ich investiere also meine Rechenleistung von 3 Monaten in die Entschlüsselung und habe eine 33% Versagerquote. Je länger ich nun rechne desdo kleiner wird die Quote, aber sie wird auch NIE null. Also es wird auch immer welche geben die mit einem völlig untaugichen Zufallsgeneraor absolut unnackbar verschlüsseln.

Beim Entschlüsseln gibt es kein Weis und kein Schwarz. Es gibt NUR grau. Obwohl sich grau aus weis und schwarz zusammensetzt. Ihr hingegen betrachtet es digital. Gibt es einen unknackbaren Schlüssel, ist das System für euch sicher. Aber Entschlüsselung ist eben nicht so definiert. Entschlüsselung wird immer nur mit Wahrscheinlichkeiten gerechnet. Erst wenn die Wahrscheinlichkeit Null ist, ist ein Schlüssel sicher. Und NULL kann es nicht werden. So wie man ein Seil nie mathematisch gerade spannen kann. Weil dann die Kraft unendlich wird.

@Candoo
Man übermittelt keinen Schlüssel. Man benutzt 2x PGP. Ich geb dir meinen Publickey und du mir deinen, die aber auf der selben Primzahl basieren. Nun berechne ich eine Zahl damit und du auch indem ich dazu meine geheimen Zahlen mit einbringe. Aufgrund des Verfahrens das der Publickey ebenfalls auf dieser Geheimzahl basiert, bekommen wir beide das selbe Ergebniss, den eigentlichen Key. Aber die zur Berechnung nötigen geheimen Zahlen kennt kein aussenstehender. Der Key wurde nie übermittelt und auch nicht die Geheimzahlen.

http://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch

Gilt zumindest bei ordentlichen Zufallszahlen als sicher. Aber eben da ist das Problem mit den Zufallszahlen. Sind die schlecht, wird Diffi-hellmann berechenbar und ich habe den Key für die eigentliche Verschlüsselung. Und Difi-Hellmann stellt als asymetrisches Verfahren deutlich höhere Anspruche an den Zufall als reines AES.
Chefin
Legendary
*
Offline Offline

Activity: 1582


View Profile
November 01, 2013, 09:44:23 AM
 #13

Nachtrag

Weil angesprochen wurde, das der Zufallsgenerator gefixed wurde. Es müssen beide das Update haben, da die eigentliche Verschlüsselung ja symetrisch ist auf Basis eines Diffi-Hellman. Also reicht es wenn nur einer der zwei kommunikationspartner noch kein Update hat, das der Angreifer diesen entschlüsseln kann und damit den Symetrischen Key berechnen.

Also nutzt es DIR nichts, wenn DU schon Update hast. Viele andere haben es nicht, entweder weils keines gibt oder der Hersteller es noch nicht publiziert hat oder das Modell schon lange keine Updats mehr bekommt und auch die Onlinecommunity nicht mehr viel macht. Weil eben ne Alte Kiste ist.
RitterRunkel
Newbie
*
Offline Offline

Activity: 26

Jau!


View Profile WWW
November 05, 2013, 10:08:50 AM
 #14

Hat das inzwischen jemand mal näher begutachtet? Ich hab hier noch ne Liste mit Programmen die ich ausprobieren will (GoldBug Messenger, TOX, ...) und würde Telegram bei ner guten Meinung hier einfach mal anhängen ... Insbesondere am Handy bin ich mit Xabber als Whatsapp-Ersatz noch nicht ganz glücklich, liegt aber mit an der mangelnden Zahl von Freunden, die das nutzen.
LOBSTER
Hero Member
*****
Offline Offline

Activity: 560


View Profile
November 05, 2013, 01:07:08 PM
 #15

Hat das inzwischen jemand mal näher begutachtet? Ich hab hier noch ne Liste mit Programmen die ich ausprobieren will (GoldBug Messenger, TOX, ...) und würde Telegram bei ner guten Meinung hier einfach mal anhängen ... Insbesondere am Handy bin ich mit Xabber als Whatsapp-Ersatz noch nicht ganz glücklich, liegt aber mit an der mangelnden Zahl von Freunden, die das nutzen.

Habs mir runter geladen, macht einen Spitzeneindruck, habe auch schon ganze 14! Kontakte, die auch Telegram benutzen Cheesy
Betaman2k
Sr. Member
****
Offline Offline

Activity: 376


no Sir. Nothing to see Sir. Keeping calm carrying


View Profile
November 10, 2013, 10:20:47 AM
 #16

das ist kein Opensource, das sind faker, schmeißt das runter das app ( wo ist der quelcode zum downloaden und selbst compilen ? )
LOBSTER
Hero Member
*****
Offline Offline

Activity: 560


View Profile
November 10, 2013, 10:38:07 AM
 #17

das ist kein Opensource, das sind faker, schmeißt das runter das app ( wo ist der quelcode zum downloaden und selbst compilen ? )

http://core.telegram.org/api#source-code
Betaman2k
Sr. Member
****
Offline Offline

Activity: 376


no Sir. Nothing to see Sir. Keeping calm carrying


View Profile
November 10, 2013, 11:37:54 AM
 #18

anscheined weißt du nicht was opensource bedeutet, da muss alles ersichlich sein. zwecks quellcode prüfen, damit kannste fast nix anfangen ( ist nur die API )
phantastisch
Moderator
Legendary
*
Offline Offline

Activity: 1904



View Profile
November 10, 2013, 02:54:54 PM
 #19

anscheined weißt du nicht was opensource bedeutet, da muss alles ersichlich sein. zwecks quellcode prüfen, damit kannste fast nix anfangen ( ist nur die API )

Und der Quellcode der offiziellen Android-App , und vom CLI-Interface für Linux ist alles unter dem Link zu finden.

Und wieso kann ich mit dem API-Quellcode nix anfangen ? Darüber kommunizieren die erstellten Apps doch.

Mann... Lesen,verstehen,posten.

Du hörst Klatschen, doch das war kein Applaus
Nur der Schlag meiner Faust, die dich Arschgeige haut
LOBSTER
Hero Member
*****
Offline Offline

Activity: 560


View Profile
November 10, 2013, 03:43:58 PM
 #20

anscheined weißt du nicht was opensource bedeutet, da muss alles ersichlich sein. zwecks quellcode prüfen, damit kannste fast nix anfangen ( ist nur die API )

Hab dir extra den Source Code rausgesucht und du beschwerst dich. Bis auf die Source für iOS Geräte ist doch alles vorhanden.
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!