Firefox Hello - Verschlüsselung?

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <

    "Somit bietet Hello künftig die grundsätzlichen Funktionen, die von einem modernen Chatprogramm erwartet werden können. Zusätzlich dazu forciert der Browser die Verwendung von Perfect Forward Secrecy (PFS) für sämtliche Anwendungen, die WebRTC verwenden. "

    PFS ist Teil der SSL/TLS Sicherheitsarchtiektur die die Strecke zwischen Client und Server absichert. Für mich ist dass explizit KEIN Hinweis darauf dass hier Ende zu Ende verschlüsselt wird.

    "no space left on device" "kein Weltraum links vom Gerät"

    Richtig cool wäre wenn sich Firefox mit Threema verbünden würde, das passiert meiner Meinung nach viel zu wenig in der Branche.

    ______________________________________________________________________________________________
    "Wir kaufen Dinge, die wir nicht brauchen, mit Geld, das wir nicht haben um Leute zu imponieren, die wir nicht mögen“

    Firefox Hello basiert auch WebRTC. Die Technik ist Ende-zu-Ende-verschlüsselt und für diese E2E-Verbindung wird in der Tat TLS (genauer DTLS) eingesetzt.
    Es wird auch immer wenn möglich eine Peer-to-Peer-Verbindung eingesetzt.

    Dennoch muss man aktuell immer noch einem Signal Server vertrauen, da dieser theoretisch die Verbindung Man-in-the-middlen kann. Es gibt eine Möglichkeit dies zu verhindern, allerdings scheint diese noch in keinem Browser implementiert zu sein.

    Wer dem englischen mächtig ist, kann auch meine Stackoverflow-Antwort hier mit detaillierten Infos lesen.

    PS: Bezüglich Zusammenarbeit von Firefox (alias Webbrowser, denn WebRTC funktioniert auch mit Chrome, Opera und Edge) mit Threema gibt da einen Prototypen, der auch WebRTC nutzt: https://threema-forum.de/thread-1340.html

    Letztendlich muss man sich eins klar machen: Selbst im besten Fall müssen entweder vorher Daten über einen sicheren Kanal ausgetauscht werden oder man vertraut einer dritten Instanz. Eine Lösung, die absolut sicher und absolut komfortabel ist, gibt es nicht.

    Threema ist da eine Art Hybrid. Du kannst dem Server trauen, der dir den Public Key deines Kommunikationspartners übermittelt (rot und gelb) oder du überträgst diesen über einen sicheren Kanal (scannen des QR Codes - grün). Ja, letzteres ist minimal unkomfortabel, aber deutlich sicherer.

    Wenn dieser Artikel stimmt, und wie rugk auch schon angemerkt hat, musst du dem Betreiber des Signalling-Servers von Firefox Hello vertrauen. Es könnte also jemand diesen Signalling Server übernehmen und deine Kommunikation über einen sehr einfachen Man-in-the-Middle-Angriff mithören. In Zeiten, in denen manche CAs das erforderliche Vertrauen missbrauchen, ist so eine Vertrauensanforderung ein durchaus ernstzunehmendes Problem. Abgesehen davon, wird nach der Signalling-Geschichte definitiv Ende-zu-Ende verschlüsselt.

    Solange Mozilla nicht nachbessert, sind sich Tox und Threema deutlich näher als Firefox Hello und Threema.

    rugk: Welche Möglichkeit, um MitM über den Signalling Channel zu unterbinden, meinst du? Ich kenne bisher nur ZRTP und die Lösung über Identitiy Provider (denen ich auch wieder vertrauen muss, meh!).

    Einmal editiert, zuletzt von f09fa681 (17. November 2015 um 16:02)

    Zitat von lgrahl


    rugk: Welche Möglichkeit, um MitM über den Signalling Channel zu unterbinden, meinst du? Ich kenne bisher nur ZRTP und die Lösung über Identitiy Provider (denen ich auch wieder vertrauen muss, meh!).


    Ich hatte auf das Identidy Provider angespielt, wie auch hier erwähnt. (Hatte mich dazu durch RFCs und co gewälzt...)
    Klar muss man da auch vertrauen, aber man hat schon mal 2 Vertrauensanker dabei (Signalling server und Signalling Server).

    Abgesehen davon, gibt es natürlich noch die Möglichkeit den Fingerprint des Zertifikates manuell zu überprüfen. Im RFC ist sogar vorgeschrieben, dass es dazu eine "Inspector"-Oberfläche geben muss, wo diese und ein paar andere Daten über die WebRTC-Verbindung angezeigt werden - allerdings habe ich solch eine Implementation noch in keinem Browser gesehen. Im praktischen Einsatz ist der Nutzen freilich sowieso gering...
    (Und nebenbei: Chrome soll glaube ich die Fingerprints dieser Zertifikate auch 10 Tage lang "chachen", was MITM-Attacken verringern kann)

    Aber von ZRTP habe ich noch nicht gehört. Was ist denn das?

    Danke @"lgrahl" für den Hinweis auf "Tox"!

    Wenn ich das gerade richtig überflogen habe, könnte das mein "Fotoübertragungsproblem" vom PC (Entwicklung/Bearbeitung) aufs Handy (Teilen/Verbreiten) überbrücken, bis der Webclient das kann ;)

    Gruß, Patrick
    -------
    Handy: Samsung Galaxy Note 8
    Android: 9
    Threema: V. 4.22
    ThreemaWork: V. 4.22k

    Zitat von lgrahl


    Solange Mozilla nicht nachbessert, sind sich Tox und Threema deutlich näher als Firefox Hello und Threema.


    Da muss wohl eher mehr die IETF das anders standardiesieren. Mozilla hat den Standart ja ordentlich implementieren.
    Und klar sind sich Tox & Threema näher - alleine schon, da Tox ja bereits standardmäßig auch auf die NaCl setzt.