SecureIM
SecureIM ist ein Verschlüsselungssystem des Softwareunternehmens Cerulean Studios, das für den Instant Messenger Trillian geschrieben wurde. Es funktioniert nur über das OSCAR-Protokoll (ICQ), wenn beide Teilnehmer Trillian benutzen und mindestens einer eine SecureIM-Verbindung aufgebaut hat. Miranda IM ermöglicht über ein Plug-In ebenfalls die Nutzung, allerdings auch nur mit den oben genannten Einschränkungen.
Funktionsweise
[Bearbeiten | Quelltext bearbeiten]Die Nachrichten werden verschlüsselt zwischen den Benutzern ausgetauscht, so dass alle zwischenliegenden Netzpunkte nicht mitlesen können. Allerdings werden Nachrichten nicht authentisiert und sind daher anfällig für Man-in-the-Middle-Angriffe.
Nach Angaben des Herstellers nutzt SecureIM eine 128-Bit Blowfish-Verschlüsselung und funktioniert nur mit dem Oscar-Protokoll. Miranda verwendet eine 192Bit AES-Verschlüsselung.
Kritik
[Bearbeiten | Quelltext bearbeiten]Die SecureIM-Verschlüsselung ist in der Praxis schwach und bietet viele Angriffsmöglichkeiten. Abgesehen vom fehlenden Schutz gegen Man-in-the-middle-Angriffe kann auch ein passiver Angreifer den Schlüssel, der für die Blowfish-Verschlüsselung verwendet wird, innerhalb weniger Minuten errechnen, da für den Schlüsseltausch lediglich ein 128 Bit Modulus verwendet wird (nötig wären mindestens 1024 Bit).[1][2] Verglichen mit der bei vielen Instant-Messaging-Clients üblichen Klartext-Kommunikation, die ohne weiteres abhörbar ist, stellt SecureIM-Verschlüsselung aber dennoch eine Verbesserung dar.
Kompatibilität
[Bearbeiten | Quelltext bearbeiten]Für den Instant Messenger Miranda existiert ein gleichnamiges Plugin. Dabei wird allerdings eine 192Bit AES Verschlüsselung verwendet, die auch nur mit anderen Miranda-Usern kompatibel ist.
Siehe auch
[Bearbeiten | Quelltext bearbeiten]- Off-the-Record Messaging (OTR)
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ http://www.mail-archive.com/cryptography@metzdowd.com/msg08129.html
- ↑ — ( des vom 5. März 2016 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
