Nach langer und gründlicher Überlegung habe ich entschieden, mich dem offenen Entwicklerteam um die Messenger-App TextSecure anzuschließen. Die Entwicklung an pribook.com werde ich stattdessen einstellen.

Es sind vor allem zwei Dinge die mich dazu bewogen haben keine neue Version des sozialen Netzwerkes zu veröffentlichen und die alte Version offline zunehmen. Zum Einen hat sich das Nutzerverhalten in den letzte drei Jahren spürbar zu Gunsten von Messenger-Diensten verändert. Diese sind durch ihr Wesen deutlich einfacher gegen Überwachung zu schützen. Zum Anderen hat die Heartbleed-Lücke in OpenSSL die Sichtweise auf sicherheitsrelevante Software stark verändert. Auch wenn pribook.com direkt gar nicht betroffen ist, so dürfte es doch deutlich schwerer sein Vertrauen für ein solches Produkt zu gewinnen.

Gleichzeitig ist TextSecure ein sinnvolle Anwendung die ohne das Zutun der Nutzer SMS und Nachrichten verschlüsselt. Der sicherheitsrelevante Code beschränkt sich auf einen kleinen Teil, so dass Lücken hier deutlich einfacher ausgeschlossen werden können. Die Installation einer App stellt heutzutage keine Hürde mehr für durchschnittliche Endverbraucher dar. Das Projekt ist etabliert, hat eine großer Entwicklergemeinde hinter sich und verfügt über genügend Ressourcen. Daher werde ich ab nun Arbeitszeit in dieses Projekt investieren um TextSecure besser zu machen und so möglichst vielen Menschen die Möglichkeit zu geben ihre Kommunikation zu verschlüsseln.

Hintergrund: pribook.com
Pribook.com ist ein Ansatz für ein sicheres soziales Netzwerk, den ich im Rahmen meiner Diplomarbeit entwickelt habe. Alle Daten der Endanwender werden automatisch schon auf ihrem Computer verschlüsselt. So haben Hacker und Geheimdienste keine Chance an ihre Daten zu kommen. Da alles schon auf dem PC der Endanwender verschlüsselt wird, können selbst die Betreiber des Netzwerkes nicht auf ihre Daten zugreifen. Die Verschlüsselung findet dabei komplett im Webbrowser statt, daher muss keine zusätzliche Software installiert werden. Die Herausforderung hierbei besteht darin, dass potentiell fast alle Bereiche der Software Sicherheitsrelevant sind. Daher muss ein großer Teil des Quellcodes genau untersucht werden. Zudem besteht die Prämisse, dass der Webbrowser nicht komprimiert ist – gerade nach dem großen Fehler in SSL scheint dies nicht unbedingt selbstverständlich.
Weitere Informationen über die Funktionsweise von Pribook sind in der Diplomarbeit und in den Folien des Diplomvortrags zu finden.

Hintergrund: TextSecure
TextSecure ist eine App für Android die SMS-Nachrichten der Nutzer verschlüsselt. Ähnlich wie die Dienste WhatsApp und Threema ersetzt TextSecure die normale SMS-Anwendung von Android. Die Verschlüsselung findet ohne Mithilfe des Nutzers und weitgehend unbemerkt statt. Lediglich ein kleines Schlosssymbol deutet darauf hin, dass die Nachrichten verschlüsselt versendet werden. Die Verschlüsselung funktioniert natürlich nur, wenn beide Seite die App nutzen. In diesem Fall, kann die Nachricht auch über einen Onlinedienst versendet werden, so dass keine SMS-Gebühren anfallen. Lediglich stichprobenartig müssen die Anwender die öffentlichen Schlüssel ihrer Kontakte überprüfen um eine Kompromittierung auszuschließen. Aus meiner Sicht ist es auch dieser einfache Ansatz, der die App zur realistischen Alternative macht.
TextSecure verwendet einen erweiterten Diffie-Hellman-Schlüsselaustausch für den es nicht notwendig ist, dass beide Parteien zur gleichen Zeit online sind. Dieses Verfahren wird TextSecure V2 genannt und es ermöglicht die vier Anforderungen an ein vertrauliches Vier-Augen-Gespräch: Authentizität, Vertraulichkeit, Forward Secrecy und Abstreitbarkeit.
Die Entwicklung von TextSecure unter GPL wird von der Firma Open WhisperSystems betreut, die seit 2011 zu Twitter gehört. Neben dem Messenger-Dienst für Android entwickelt die Firma unter Anderem auch an einer Version für das iPhone und einer App für verschlüsselte Telefonie.