TextSecure bald ohne SMS/MMS Verschlüsselung

Mit Version 2.6.0 erscheint die letzte TextSecure Version, welche noch das verschlüsseln von SMS/MMS erlaubt. Ab Version 2.7.0 fällt diese Option weg, alle Nachrichten werden dann ausschließlich als “TextSecure-Nachrichten” über TextSecure-Server geschickt (Vgl. Blogpost). Die Fähigkeit unverschlüsselte SMS/MMS zu versenden und TextSecure damit als standard Nachrichtenapp zu nutzen soll erhalten bleiben.

Als Gründe für diesen Schritt werden unter anderem die fehlenden Möglichkeiten SMS/MMS Verschlüsselung auf dem IPhone umzusetzen, Usabilityprobleme, welche mit der Verschlüsselung von SMS/MMS einhergingen sowie die bei SMS/MMS Versandt anfallenden Metadaten angeführt.

Auch von Googles Cloud Messaging (GCM) soll sich TextSecure zumindest teilweise lösen. Anscheinend gab es mit GCM Probleme beim zustellen von Nachrichten. In Zukunft wird Googles Dienst wohl nur noch für die Benachrichtigung darüber, dass es neue Nachrichten gibt genutzt werden. Eventuell wird aufgrund dieser Entwicklung auch weiter an alternativen Lösungen, ohne Google gearbeitet.

Signal 2.0 – mit private messaging

Open Whispersystems haben die Signal 2.0 App für IOS veröffentlicht. Damit ist die Signal App nicht mehr nur mit RedPhone, welches ende-zu-ende verschlüsselte Telefonie unter Android erlaubt kompatibel, sondern auch mit dem TextSecure Messenger. Die Verschlüsselung von TextSecure gilt als fortschrittlich und wurde unter anderem von Edward Snowden empfohlen.
Zudem ist die App kostenlos und hat eine schicke und unkomplizierte Oberfläche, bleibt zu hoffen, dass sich die Verbreitung, nachdem sie jetzt für die beiden wichtigsten mobil Plattformen verfügbar ist, erhöht.

[Update 03.03.15] Mit “TextSecure-Browser” ist übrigens noch ein Browser Plugin in der Entwicklung, mit welchem TextSecure in Zukunft auch bequem vom Desktop Rechner aus genutzt werden kann.

Außerdem hatte ich vergessen zu erwähnen, Signal ist unter der GPL3 lizensiert, der Quellcode ist auf Github verfügbar.

TextSecure – Account löschen

Es kommt hin und wieder vor, das Menschen nicht mehr auf dem TextSecure Server(n) registriert sein möchten, weil die App deinstalliert wurde oder die (offline) SMS-Verschlüsselung genutzt werden soll.

Ist die App deinstalliert, aber die Nummer noch auf dem Sever registriert, führt dies dazu, das Nachrichten von anderen TextSecure Nutzer_innen, die “TextSecure-Nachrichten” nutzen, auf dem TextSecure Server landen und nicht mehr zur / zum jeweiligen Adressat_in gesendet werden können, weil die App sie nicht mehr abruft.

Wird TextSecure nicht deinstalliert, besteht nach der Deregistrierung (zumindest im Moment noch) die Möglichkeit wieder über verschlüsselte SMS zu kommunizieren.

Am einfachsten gelingt die Löschung der eigenen Nummer indem die Option “TextSecure-Nachrichten” unter “Einstellungen“, durch entfernen des Hakens, deaktiviert wird.

Ist die App schon deinstalliert kann die Seite “Unregister from TextSecure” genutzt werden. Hier kann die Nummer per SMS oder Anruf vom TextSecure Server gelöscht werden.

Wi-Fi Privacy Police schützt vor Tracking

Im Sommer letzten Jahres hat die Electronic Frontier Foundation auf die Möglichkeit hingewiesen, dass Android und auch IOS Geräte anhand der Listen von ihnen bekannten WLANs verfolgbar sind. Viele Geräte versenden auf der Suche nach einem aktiven WLAN in Reichweite die Namen (SSIDs) von WLANs mit denen sie bereits verbunden waren. Anhand dieser Daten konnten Forscher_innen unter Anderem auf ein Bewegungsprofil von Personen schließen und wo diese arbeiteten (siehe).

Zudem ist es für Angreifer_innen möglich zu testen ob sich in der Liste der SSIDs auch offene WLANs befinden. Wird ein solches Netz gefunden, besteht die Möglichkeit ein Netz mit dem selben Namen zu öffnen und so das angegriffene Gerät dazu zu bringen, sich in dieses “Evil-Twin” Netz zu verbinden. Dann kann der Netzwerkverkehr bei fehlender oder schlechter Transportverschlüsselung belauscht oder auch manipuliert werden.

Gegen beide Angriffsformen schützt die App “Wi-Fi Privacy Police” sie steht unter einer GPLv2+ und ist im f-droid Repository und in Google Play zu finden.

Einen Schritt weiter geht die App Pry-Fi diese verändert zusätzlich ständig die MAC des Gerätes und erschwert so das Tracking zusätzlich. Allerdings benötigt die App Root Rechte und scheint, zumindest nach einer kurzen Recherche nicht FLOSS zu sein.

Die MAC Adresse verändert die Wi-Fi Privacy Police App nicht, so bleibt hier die Möglichkeit bestehen das Gerät trotz aktivierter App zu tracken.

Wer auf Nummer sicher gehen will schaltet das WLAN unterwegs einfach aus. Aber Vorsicht, wer Googles Dienste zur Standortbestimmung nutzt hat möglicherweise unter “WLAN” – “(drei Striche) Erweitert” die “Erkennungsfunktion immer verfügbar” aktiviert. In diesem Fall sendet das Gerät auch bei scheinbar ausgeschaltetem WLAN WLAN-Pakete.

Hinweis: ChatSecure – Jabber/XMPP Client für Android mit Dateiversand

Glückwunsch an die Entwickler_innen vom Guardian Project, sie haben mit ChatSecure den ersten mir bekannten XMPP/Jabber Client für Android unter einer Open Source Lizenz herausgebracht, der Datei/Fotoversand unterstützt.

Tatsächlich war es das Fehlen der letzteren Funktion, was viele Whatsapp Nutzer_innen, welche ich von den Vorzügen selbstinstallierter XMPP Server (bzw. ‘vertrauenwürdigen’, dezentralen, …) und OTR Verschlüsselung überzeugen wollte, davon abhielt, auch nur eine XMPP Client App auf ihrem Android Gerät zu installieren.

ChatSecure kann selbstverständlich noch einiges mehr, als nur Dateien zu versenden, neben OTR Verschlüsselung, einer einfachen Möglichkeit sich über Orbot/einen Proxy zu verbinden, Verschlüsselung der lokalen Daten, unterstützt die App auch Gruppen Chats und hat noch einige weitere schicke Featues.

Die App gibt es bereits im PlayStore und als apk auf der Homepage des Projektes, und im F-Droid Repository.

VLC unter Ubuntu mit Android Smartphone fernsteuern

Apps um den VLC-Player mit dem Android Smartphone fernzusteuern gibt es viele. Ich habe mich für die “Remote for VLC” von Peter Baldwin entschieden, diese steht unter einer GPL Lizenz und ist kostenlos.

Die App gibt es im F-Droid Rpository oder im GooglePlay Store. Voraussetung dafür, dass die App funktioniert ist ein WLAN, über dieses verbindet sich die App mit dem VLC-Player.

Ich gehe davon aus, dass der VLC-Player installiert ist, sollte das nicht der Fall sein, muss dieser zunächst installiert werden.

Nach dem Start des VLC-Players muss unter “Extras” -> “Einstellungen” zunächst der Button “Einstellungen zeigen” auf “Alle” gesetzt werden. Im Menü, welches erscheint kann unter “Interface” – “Hauptinterfaces” ein Haken bei “Web” unter “Extra Interface-Module” gesetzt werden. Dann “Speichern“.

Damit der Zugriff für die App möglich ist, muss die IP-Adresse des Smartphones in die passende Hosts-Datei eingetragen werden. Diese kann hierfür mit dem Befehl (“Terminal“)

gksu gedit /etc/vlc/lua/http/.hosts

in einem Texteditor geöffnet werden. Am Ende der Datei muss die IP-Adresse des Smartphones, eingetragen werden.

Wie die IP-Adresse des Smartphones lautet, kann in dessen WLAN-Einstellungen herausgefunden werden. Unter “WLAN-Netzwerke” auf das verbundene WLAN klicken, dann sollte ein Infofenster mit der IP-Adresse erscheinen. Ist diese beispielsweise 192.168.1.57, sollte das Ende der Hosts Datei anschließend so aussehen:

# The world (uncommenting these 2 lines is not quite safe)
 #::/0
 #0.0.0.0/0
192.168.1.57

Die Datei speichern und die Fernbedienung von VLC mit dem Smartphone sollte funktionieren.

Verbindet die App sich nicht automatisch muss eventuell unter “Settings” -> “VLC Servers” der passende VLC Server im WLAN ausgewählt werden.

Ein weiteres Problem können Firewalls darstellen, in einer standard Ubuntu Installation, sollte das jedoch kein Problem darstellen.

Android – verschlüsselt telefonieren mit RedPhone

Nachdem Twitter im Januar diesen Jahres “TextSecure“, eine Software die es erlaubt SMS zu verschlüsseln, unter einer GPL Lizenz veröffentlicht hat, folgt jetzt der Quellcode der Software “RedPhone“, welche verschlüsselte VoIP Telefonate zwischen Android Telefonen erlaubt. Beide Programme wurden ursprünglich von der Firma Whisper Systems entwickelt,welche von Twitter aufgekauft wurde.

RedPhone verschlüsselt die Telefonate mit SRTP. Die Daten laufen verschlüsselt über RedPhone Server, welche auch für die Initiierung von Telefonaten notwendig sind. Da es sich um VoIP handelt ist eine Datenverbindung notwendig, was aber mittlerweile nur noch wenige Nutzer_innen abschrecken sollte. Nähere Informationen zur Architektur und Verschlüsselung gibt es im Github Wiki des Projekts.

Die Owncloud Android App ist da

Am 27.04. ist die Owncloud Android (2.3.6. oder höher) App erschienen.Sie steht unter einer GPL Lizenz, der Quellcode ist hier zu finden.

Der Funktionsumfang hält sich noch im Rahmen. Es ist möglich die Dateien in der Owncloud zu durchsuchen, zu löschen und hoch / runter zu laden. Wie bei Dropbox kann die App mit einem 4-stelligen Pin gesichert werden.

In 4-6 Wochen soll die nächste Version erscheinen, welche dann auch in ‘Google Play’ verfügbar sein wird.

Wer die App ausprobieren möchte findet sie auf https://owncloud.com/download.

crypto.cat – die Verschlüsselung sicher tanzen

Über crypto.cat – eine WebApp für verschlüsselte (Gruppen-)Chats – habe ich bereits vor einiger Zeit berichtet. Heute habe ich gelesen, dass sich Entwickler_innen auf dem Wall Street Journal Data Transparency Hackathon eine nette Funktion für die in Entwicklung befindliche craypto.cat Android App CryptocatBot ausgedacht haben. Die Zufallszahlen welche crypto.cat für die Verschlüsselung benötigt (für jede Sitzung werden neue Keys erstellt) werden hier nicht (wie bei der WebApp) durch möglichst wahlloses tippen auf der Tastatur erzeugt sondern durch tanzen / Bewegung.

Das ist meiner Meinung nach mal eine echt schicke und sinnvolle Einsatzmöglichkeit für die in (so gut wie?) allen Smartphones vorhandenen Bewegungssensoren.

Anmerkung: Im letzten Artikel über crypto.cat war ich nicht auf die Lizenz eingegangen unter welcher der Quellcode steht, das möchte ich bei dieser Gelegenheit nachholen. Crypto.cat ist unter der AGPL3 lizensiert (vorher war es eine CC BY-NC-SA 3.0), der Quellcode ist auf Github verfügbar.

crypto.cat – sicher und unkompliziert online chatten

catCrypto.cat ist eine WebApp, welche es ermöglicht, unkompliziert mit mehreren Personen verschlüsselt zu chatten.

Die Verschlüsselung (AES-256) der Daten (es ist auch möglich kleine Dateien auszutauschen) erfolgt im Browser selbst, so dass der Server niemals unverschlüsselte Daten zu sehen bekommt. Zudem werden nach 60 Minuten Inaktivität alle angefallenen Daten sicher vom Server gelöscht. (Mehr zum eingesetzten Verschlüsselungsverfahren, etc. -> Spec). Private und öffentliche Schlüssel werden dementsprechend für jede Sitzung neu generiert.

Um zu chatten kann auf www.crypto.cat ein neuer Chat angelegt, bzw. einem vorhandenen Chat beigetreten werden. Chatpartner_innen brauchen lediglich die URL des offenen Chats (bsp. https://crypto.cat/?c=3hitqj6v) um diesem beitreten zu können. (Der letzte Teil der URL hinter dem “=” ist der Name des Chats.)

Nach dem ein Nickname gewählt wurde, braucht crypto.cat für die sicherer Verschlüsselung Zufallsdaten, deshalb muss vor dem Betreten des Chats kurz wild in die Tasten gehauen werden, das ist aber auch alles was die Nutzer_innen von der ablaufenden Verschlüsselung mitbekommen (müssen).

Innerhalb des Chats ist es möglich durch einen Klick auf einen Nutzer_innennamen weitere Optionen zu erhalten. Unter Anderem können hier die Fingerprints der Nutzer_innen gefunden und verglichen werden.

cryptocat_options

Crypto.cat gibt es auch als Plugin für Chrome/Chromium damit ist es möglich das Programm im Browser laufen zu lassen, allerdings habe ich das nicht getestet, weil Google hierfür eine Anmeldung fordert.