/ Kryptographie

myEnigma - etwas zu geheimnisvoll?

Mehr oder weniger sichere Messenger sprießen ja derzeit dank Edward Snowden und nicht zuletzt dank Facebook und WhatsApp allerortens. Ein Vertreter davon ist myEnigma. Schaut hübsch aus, kommt aus der Schweiz (da ist ja alles besser, sicherer, genauer, neutraler) und gibt es für Android, Blackberry und iPhone. Der Kontaktabgleich erfolgt über die Telefonnummer, zum Server werden aber nur entsprechende HashWerte übertragen. Die Kommunikation erfolgt Ende-zu-Ende-verschlüsselt. Alles wie es sein soll.

Und der Verschlüsselungsmechanismus war noch mal? Ah ja, in der FAQ steht es ja eh:

myENIGMA arbeitet mit einer Verschlüsselungstechnologie, die höchsten Sicherheitsstandards auf Regierungsebene entspricht.

Na dann.
Oder vielleicht versuchen wir es mit noch einem Zitat:

Das System darf keine Geheimhaltung erfordern (…).
--- Auguste Kerkhoff, La cryptographie militaire, 1833

Im Prinzip gibt es nur zwei Gründe, den Verschlüsselungsalgorithmus gemeinzuhalten:

  1. Er ist nicht sicher. Dann ist die Wahl des Algorithmus schlecht.
  2. Der Algorithmus ist mit Sicherheit nicht sicher, da er eine Hintertür (für wen auch immer) beinhaltet.

Mir ist myEnigma somit derzeit doch etwas zu geheimnisvoll.

Da aber jeder seine Chance kriegen soll hab ich mal ein unverfängliches Mail geschrieben.

UPDATE
In einer freundlichen Antwort auf meine Anfrage wurde ich darauf hingewiesen, dass auf der Homepage auch ein Whitepaper verfügbar ist. Dort ist ersichtlich welche Verschlüsselungstechnologien verwendet werden. Und es wird erläutert, warum nicht Open Source.

Warum das nicht in den FAQ erwähnt wird, verstehe ich nicht ganz - mag aber sein dass man den Benutzer nicht durch kryptische Kürzel wie RSA oder TLS verwirren will. Die verwendete Technologie ist aber entgegen meinem ersten Eindruck nicht geheimgehalten.

Warum ich das Ding dennoch nicht verwenden werde: wie im Whitepaper korrekt bemerkt wird, ist auch bei Open-Source-Software nicht garantiert dass der offengelegte Code verwendet wird - hier hab ich aber gar keine Möglichkeit mir einen Eindruck zu verschaffen.