Cryptocat – wenn´s mal schnell Verschlüsselung für Nicht-Nerds braucht (Updates)

Update 4.7.2013 – Wichtig!
CryptoCat´s Verschlüsselung bis zum 15. Juni 2013 war knackbar. Das berichtet TobTu. Weil es jetzt soviele Probleme mit CryptoCat gab, raten wir davon ab, Cryptocat als Non-Nerd-Alternative zu GPG oder Jabber mit OTR zu nutzen. Die Entwickler von CryptoCat machen einfach zu viele Fehler.

Als Nerd hat man ein Problem: Verschlüsselt kommunizieren geht immer nur mit anderen Nerds. Den Nicht-Nerds ist das mit der Verschlüsselung immer viel zu kompliziert, sie haben weder Jabber mit OTR noch können sie Mails mit GNUPG verschlüsseln. Dennoch gibt es oft Situationen, in denen Verschlüsselung angebracht ist, z.B. die Weitergabe eines Passworts.

Wenn man also mal einen sicheren Kanal von Nerd zu Nicht-Nerd braucht, hat sich nach meiner Erfahrung Crypto.cat als eine Variante herausgestellt, die so einfach ist, dass jeder sie zum Laufen bringt.

Was ist Cryptocat?

Cryptocat is an open source web application intended to allow secure, encrypted online chatting. Cryptocat encrypts chats on the client side, only trusting the server with data that is already encrypted. Cryptocat is delivered as a browser extension and offers plugins for Google Chrome, Mozilla Firefox and Apple Safari.

Also einfach den Nicht-Nerd anrufen, ihn zum Download der Browser-Erweiterung anleiten, einen Chat-Raum aufmachen, dort müssen dann beide auf den Namen des Gegenübers klicken und können so einen privaten Chat öffnen. Schon steht eine einigermaßen sichere und verschlüsselte Leitung.

Natürlich ist das noch nicht das Non-Plus-Ultra, aber bis alle Nicht-Nerds zur Nutzung von Verschlüsselung überredet sind, ist es ein weiter und steiniger Weg. Hier bietet Cryptocat eine annehmbare Zwischenlösung.

Update:
Da hier gleich die Kritik reinprasselt: Crypto.cat wurde, bevor sie die Browser-Erweiterungen hatten, als unsicher eingestuft. Kritik hagelte es auch dafür, dass sie ihre Software im Wired-Magazine als DAS Dissidententool vermarkteten und Leute damit in falscher Sicherheit wiegten. Mir geht es aber darum: wenn ich die Alternative habe, ein Passwort via SMS, unverschlüsselter Mail oder Skype (und das sind die Varianten, die ich bei Nicht-Nerds in der Regel habe) – oder es über Cryptocat zu übertragen, dann ist Cryptocat die sicherste dieser Möglichkeiten. Mehr aber auch nicht. Cryptocat selbst verweist auf ein gerade mit Bravour bestandenes Security Audit, das ich hier aber nicht einschätzen kann.

5 Kommentare

  1. Oliver says:

    Im Prinzip wird dort eine Verbindung zu einem XMPP Server aufgebaut und ein Chatraum aufgemacht. Dann wird ein Fingerabdruck generiert und die Daten per OTR verschlüsselt. Soweit sieht das eigentlich ganz gut aus. Es gibt nur den Schwachpunkt, dass man die gegenüberliegende Seite nicht authentifizieren kann, weil der OTR Schlüssel wohl jedes Mal neu generiert wird. Da wäre es besser, wenn man noch eine Abfrage einbauen könnte und die Fingerabdrücke persistent sind. OTR hat ja von Haus aus „deniable plausibility“.

    Ansonsten ist es halt das Beste, was man aus Javascript machen kann. Allerdings weiß ich nicht, ob die Installation eines Browserplugins für nicht Nerds irgendwas einfacher macht. Da alles auf Javascript basiert, hätte es da auch eine einfache Internetseite getan, sofern diese SSL verschlüsselt ist.

  2. q____q says:

    Sehr cool, danke!

  3. Melchior blausand (@blausand) says:

    In der Situation stecke ich tatsächlich oft.
    Ich sehe aber nicht ein, Menschen von meiner Einweisung in zB. Thunderbird mit GPG zu verschonen, um dann dabei zuzuschauen, wie sie der Deutschen Telekom allen Ernstes dieses DE-Mail-Unding abkaufen. !ABKAUFEN!
    Das wäre nach u.a. ICQ, Skype und What’sApp (statt IRC, Pidgin und identi.ca) das drölfte Mal, dass die Industrie die visionären Entwicklungen eines selbstlosen Nerds dreißig Jahre später eintütet und gegen Bares oder Werbeeinnahmen groß vertickt.
    Nein Mann, das schau ich mir nicht an.
    Lieber geh ich meiner Umwelt auf den Sack, bis jede 10jährige Waldkindergartenabsolventin weiß, wie sie sich mit freien offenen Mitteln -zugegeben bekackt bedienerunfreundlich- ein Schlüsselpaar erzeugt hat.

Antwort auf Oliver Cancel Reply