Whatsapp-Alternative : telegram - Open-Source, EndzuEnd-Verschlüsselung...

[phantastisch]

Bin ich gerade draufgestoßen , schauts euch mal an : http://telegram.org/

Open-source, mit eigener Api, besserer Standardverschlüsselung als Whatsapp, Secret-Chats mit EndzuEnd-Verschlüsselung und selbstzerstörenden Nachrichten.

Und das alles in kostenlos und schnell.

Also ich finds cool 

[1715697854]

1715697854

[1715697854]

1715697854

[1715697854]

1715697854

[LOBSTER]

Bin ich gerade draufgestoßen , schauts euch mal an : http://telegram.org/

Open-source, mit eigener Api, besserer Standardverschlüsselung als Whatsapp, Secret-Chats mit EndzuEnd-Verschlüsselung und selbstzerstörenden Nachrichten.

Und das alles in kostenlos und schnell.

Also ich finds cool 

Die Idee hinter den ganzen Apps ist immer gut, das Problem ist, das die Mainstream Menge diese nicht nutzt

Leider stecken hinter WhatsApp und Co. zu viele Kapitalisten, die ihr Produkt nach vorne pushen...

[Chefin]

Die Verschlüsselung scheint tauglich, zumindest ihren Aussagen nach. Ich hoffe mal, das sie nicht den Android Zufallsgenerator benutzen, sondern sich selbst was zusammen stricken. Sonst ist AES256 auf dem Niveau von Rot13.

Leider bleibt es dabei, das die Metadaten weiterhin public werden und letztendlich sind die das wirklich interessante.

Aber es ist ein Schritt in die richtige Richtung. Was dann noch fehlt ist eine Serverfarm zum mixen. Die Verschlüsselung zb dazu nutzen, das sich alle permanent am Server anmelden und die Metadaten in dieser Verschlüsselung von aussen nicht mehr sichtbar sind.

Muss mir mal den Sourcecode ziehen, interessant hört es sich auf jedenfall an, was die da schreiben.

[favdesu]

Mir persönlich fehlt noch ein Desktop Client. Sonst liest sich das ganze wirklich gut

[LOBSTER]

Mir persönlich fehlt noch ein Desktop Client. Sonst liest sich das ganze wirklich gut

Kannst dir ja selber compilen 😄

[Sukrim]

Die Verschlüsselung scheint tauglich, zumindest ihren Aussagen nach. Ich hoffe mal, das sie nicht den Android Zufallsgenerator benutzen, sondern sich selbst was zusammen stricken. Sonst ist AES256 auf dem Niveau von Rot13.

Wo braucht aes denn Zufallszahlen?

Grundsätzlich stimme ich ja zu, dass man gute Zufallsquellen haben sollte, für AES an sich braucht man die aber meines Wissens nach nicht. Auch ein selbst zusammengebastelter Zufallszahlengenerator sollte zumindest die eingebauten mitverwenden. Übrigens wurde der in Android mittlerweile gefixt.

[numismatist]

Wo braucht aes denn Zufallszahlen?

Grundsätzlich stimme ich ja zu, dass man gute Zufallsquellen haben sollte, für AES an sich braucht man die aber meines Wissens nach nicht. Auch ein selbst zusammengebastelter Zufallszahlengenerator sollte zumindest die eingebauten mitverwenden. Übrigens wurde der in Android mittlerweile gefixt.

Ack! Dein Wissenstand ist da valide.
Tja Halbwissen ... wie Sand am Meer. Schadet aber nicht, das anzusammeln. Irgendwann weis man alles.

Übrigens zu der Zufälligkeit: Wenn ich 2 oder 3 Entropiequellen mixe, nimmt der Zufall stetig zu. Das ist wie in der Physik. Also nimm (Byte1 XOR Byte2 XOR Byte3) oder auch (Byte1 + Byte2 + Byte3 % 8) dann kann da auch ein Bytestrom eher minderer Qualität Quelle sein, das schadet nicht. Wie ein Zementmischer, der sich beständig dreht. Da fallen nachher auch nicht perfekte geometrische Würfel raus, sondern mehr so ein Haufen Chaos.

In dem Umfeld wird auch viel mit Demoralisierungsmechanismen und Falschinformationen gearbeitet. Sicherlich 50% von Crypto sind Psychologie.

[candoo]

Die Verschlüsselung von telegram ist unsicher und von Behören leicht zu belauschen

[Sukrim]

Die Verschlüsselung von telegram ist unsicher und von Behören leicht zu belauschen

...Beweis?!

Solange man den Endgeräten vertraut (also weder Sender noch Empfänger haben einen Staatstrojaner etc.) und nur die Software/Protokoll betrachtet klingt das, was sie schreiben, eigentlich recht ordentlich. Belauschen ist sicher möglich, aber "verstehen" was da kommuniziert wurde ist nach aktuellem Stand (wenn die Sachen ordentlich implementiert wurden) nicht möglich.

[candoo]

Die Verschlüsselung von telegram ist unsicher und von Behören leicht zu belauschen

...Beweis?!

Solange man den Endgeräten vertraut (also weder Sender noch Empfänger haben einen Staatstrojaner etc.) und nur die Software/Protokoll betrachtet klingt das, was sie schreiben, eigentlich recht ordentlich. Belauschen ist sicher möglich, aber "verstehen" was da kommuniziert wurde ist nach aktuellem Stand (wenn die Sachen ordentlich implementiert wurden) nicht möglich.

Naja die beiden Geräte müssen ja untereinander den Schlüssel mitteilen.  Das Thema hatte wir in einem anderen Thread schon.

Beim ersten Kontakt teilen ja beide ihren Schlüssel mit und genau der wird abgefangen um in Zukunft alle Nachrichten zu entschlüsseln

[qwk]

Am besten gefällt mir die Grafik:



 

[Chefin]

AES ist mit schlechtem Zufall eben NICHT sicher.

Aus einer relativ kurzen Passphrase muss ein Rundenschlüssel generiert werden. um 256Bit als Passphrase zu haben muss man nicht 32 Zeichen sondern 43 Zeichen benutzen, weil ein Zeichen eines Passwortes typischerweise nur 6 Bit abdeckt. Der Rest des Ascii-codes benutzt man nicht. Man muss also nur dies Passphrase knacken. Den es darf keine Unbekannte drin sein, da mein Kommunikationspartner nur diese Passphrase wissen muss um es zu entschlüsseln.

Automatisierte Verfahren erzeugen diesen Schlüssel per Zufall. Aber echten Zufall gibt es nicht. Selbst wenn ich das rauschen des Taktgenerators benutze, der mit 1GHz taktet, komme ich gerade mal auf 2^30 Variantionen pro Sekunde. in 24 Std kommen ca 2^14 dazu, also wäre ein solcher Generator bei gerade mal 2^44 verschiedenen Möglichkeiten nach einem Tag. Selbst nach Jahren überschreite ich 2^50 nicht. 3 Generatoren die absolut unabhängig voneinenader sind erreichen dann 2^132 nach einem Tag. Wenn man sie so zusammen führen kann, das sie nichts ausschliessen. Real ist es aber meist eher so, das 2^100 auch bei 3 Quellen nicht überschritten wird. Und echte unabhängie Quellen gibt es nicht.

Selbst eine typische Rauschquelle, die Antenne ist sehr dominiert von 1,8 und 2,4GHz und wird hier statistisch starke Ausreiser haben.

Des weiteren müsst ihr rechnen wie ein Encrypter. Der sagt nicht: Ich kann die Verschlüsselung von Hans Mustermann knacken oder nicht. Der sagt ich kann 67% der Kommunikation aller Teilnehmer entschlüsseln, aber ich kann dir nicht versprechen das genau der drunter ist den du entschlüsseln willst. Ich investiere also meine Rechenleistung von 3 Monaten in die Entschlüsselung und habe eine 33% Versagerquote. Je länger ich nun rechne desdo kleiner wird die Quote, aber sie wird auch NIE null. Also es wird auch immer welche geben die mit einem völlig untaugichen Zufallsgeneraor absolut unnackbar verschlüsseln.

Beim Entschlüsseln gibt es kein Weis und kein Schwarz. Es gibt NUR grau. Obwohl sich grau aus weis und schwarz zusammensetzt. Ihr hingegen betrachtet es digital. Gibt es einen unknackbaren Schlüssel, ist das System für euch sicher. Aber Entschlüsselung ist eben nicht so definiert. Entschlüsselung wird immer nur mit Wahrscheinlichkeiten gerechnet. Erst wenn die Wahrscheinlichkeit Null ist, ist ein Schlüssel sicher. Und NULL kann es nicht werden. So wie man ein Seil nie mathematisch gerade spannen kann. Weil dann die Kraft unendlich wird.

@Candoo
Man übermittelt keinen Schlüssel. Man benutzt 2x PGP. Ich geb dir meinen Publickey und du mir deinen, die aber auf der selben Primzahl basieren. Nun berechne ich eine Zahl damit und du auch indem ich dazu meine geheimen Zahlen mit einbringe. Aufgrund des Verfahrens das der Publickey ebenfalls auf dieser Geheimzahl basiert, bekommen wir beide das selbe Ergebniss, den eigentlichen Key. Aber die zur Berechnung nötigen geheimen Zahlen kennt kein aussenstehender. Der Key wurde nie übermittelt und auch nicht die Geheimzahlen.

http://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch

Gilt zumindest bei ordentlichen Zufallszahlen als sicher. Aber eben da ist das Problem mit den Zufallszahlen. Sind die schlecht, wird Diffi-hellmann berechenbar und ich habe den Key für die eigentliche Verschlüsselung. Und Difi-Hellmann stellt als asymetrisches Verfahren deutlich höhere Anspruche an den Zufall als reines AES.

[Chefin]

Nachtrag

Weil angesprochen wurde, das der Zufallsgenerator gefixed wurde. Es müssen beide das Update haben, da die eigentliche Verschlüsselung ja symetrisch ist auf Basis eines Diffi-Hellman. Also reicht es wenn nur einer der zwei kommunikationspartner noch kein Update hat, das der Angreifer diesen entschlüsseln kann und damit den Symetrischen Key berechnen.

Also nutzt es DIR nichts, wenn DU schon Update hast. Viele andere haben es nicht, entweder weils keines gibt oder der Hersteller es noch nicht publiziert hat oder das Modell schon lange keine Updats mehr bekommt und auch die Onlinecommunity nicht mehr viel macht. Weil eben ne Alte Kiste ist.

[RitterRunkel]

Hat das inzwischen jemand mal näher begutachtet? Ich hab hier noch ne Liste mit Programmen die ich ausprobieren will (GoldBug Messenger, TOX, ...) und würde Telegram bei ner guten Meinung hier einfach mal anhängen ... Insbesondere am Handy bin ich mit Xabber als Whatsapp-Ersatz noch nicht ganz glücklich, liegt aber mit an der mangelnden Zahl von Freunden, die das nutzen.

[LOBSTER]

Hat das inzwischen jemand mal näher begutachtet? Ich hab hier noch ne Liste mit Programmen die ich ausprobieren will (GoldBug Messenger, TOX, ...) und würde Telegram bei ner guten Meinung hier einfach mal anhängen ... Insbesondere am Handy bin ich mit Xabber als Whatsapp-Ersatz noch nicht ganz glücklich, liegt aber mit an der mangelnden Zahl von Freunden, die das nutzen.

Habs mir runter geladen, macht einen Spitzeneindruck, habe auch schon ganze 14! Kontakte, die auch Telegram benutzen

[Betaman2k]

das ist kein Opensource, das sind faker, schmeißt das runter das app ( wo ist der quelcode zum downloaden und selbst compilen ? )

[LOBSTER]

das ist kein Opensource, das sind faker, schmeißt das runter das app ( wo ist der quelcode zum downloaden und selbst compilen ? )

http://core.telegram.org/api#source-code

[Betaman2k]

anscheined weißt du nicht was opensource bedeutet, da muss alles ersichlich sein. zwecks quellcode prüfen, damit kannste fast nix anfangen ( ist nur die API )

[phantastisch]

anscheined weißt du nicht was opensource bedeutet, da muss alles ersichlich sein. zwecks quellcode prüfen, damit kannste fast nix anfangen ( ist nur die API )

Und der Quellcode der offiziellen Android-App , und vom CLI-Interface für Linux ist alles unter dem Link zu finden.

Und wieso kann ich mit dem API-Quellcode nix anfangen ? Darüber kommunizieren die erstellten Apps doch.

Mann... Lesen,verstehen,posten.

[LOBSTER]

anscheined weißt du nicht was opensource bedeutet, da muss alles ersichlich sein. zwecks quellcode prüfen, damit kannste fast nix anfangen ( ist nur die API )

Hab dir extra den Source Code rausgesucht und du beschwerst dich. Bis auf die Source für iOS Geräte ist doch alles vorhanden.