6 Sicherheitsansätze: Ein Einblick in das dezentrale, verschlüsselte Sid-Sicherheitskonzept

Sid Secure Team Messenger Privacy Concept

Das Sid-Konzept geht davon aus, dass private Kommunikationsdaten, seien sie nun vertraulich oder nicht, nur für die Nutzer selbst einsehbar sein dürfen und immer mit den höchsten Sicherheitsstandards direkt an den jeweiligen Kommunikationspartner übertragen werden sollten. Für die Fälle, in denen Daten zwischengespeichert werden müssen, etwa für die Offline-Auslieferung oder für Backups, sind alle Daten Ende-zu-Ende verschlüsselt und können nur von den beteiligten Nutzern entschlüsselt werden. Die dazu notwendigen Schlüssel befinden sich nur auf den Geräten der Nutzer.

Ansatz 1: Zero Knowledge

Wir können versichern, dass wir mit Sid übermittelte Daten nicht lesen, analysieren oder verändern können. Dies ist konzeptionell bedingt und kann auch im Nachhinein nicht verändert werden. Wir werden bald detailliertere Informationen zur Technologie hinter Sid veröffentlichen und wir planen, unser Protokoll und unsere Quellen für Überprüfungen öffentlich zu machen.

Ansatz 2: Ende-zu-Ende-Verschlüsselung

Bei herkömmlichen sicheren Web-Lösungen wird nur die Verbindung zwischen dem Gerät des Nutzers und dem Server unter Verwendung des so genannten 'Secure Hyper Text Transfer Protocol' (https) verschlüsselt. Auf Serverseite stehen die übertragenen Daten dann im Klartext zur Verfügung, so dass zumindest der Dienstanbieter und der Anbieter des Webservers ('die Cloud') Zugriff auf die Daten haben. Auch kann jeder andere, der Zugang zu diesem Cloud-System hat, die gespeicherten Nachrichten potentiell lesen oder verändern.

Des Weiteren ist das https-Protokoll für einige Schwächen, wie nicht vertrauenswürdige oder gefälschte Zertifikate bekannt [1]. Hinzu kommen konzeptionelle Schwächen im Design, wie z.B. bei der parallelen Unterstützung zu vieler Verschlüsselungsstandards, von denen einige veraltet sind und bekannte Sicherheitsprobleme haben [2], [3]. Das allein macht die Übertragung eigener Daten in die Cloud schon nicht mehr verlässlich.

Sids Ende-zu-Ende-Verschlüsselung macht hier vieles anders: Die komplette Transportkette ist mit vertrauenswürdiger, starker Verschlüsselung kodiert, so dass nur die Kommunikationspartner mit den entsprechenden Schlüsseln die gesendeten Daten entschlüsseln und lesen können.

Ansatz 3: Implementierung der Verschlüsselung mit offenen, sicheren Standards

Ein verbreitetes Problem bei der Verschlüsselung ist die Verwendung von schwachen Zufallszahlengeneratoren. Gute Zufallszahlen sind eine der wichtigsten Grundlagen für sichere Verschlüsselung. Sid benutzt eine eigene Implementierung eines Zufallszahlengenerators, basierend auf dem Whirpool512 Hash mit einem 4096 Bit Entropie-Pool.

Alle geheimen Schlüssel werden mit Sids starkem Zufallszahlengenerator direkt auf den Geräten der Nutzer erzeugt. Die Schlüssel werden nur auf den Geräten der Nutzer gespeichert und über sichere Kanäle mit den Kommunikationspartnern ausgetauscht.

Diese geheimen Schlüssel werden zusätzlich für die Authentifizierung und als Signaturen für Kontakte, Gruppenmitglieder und Geräte verwendet. Hierdurch wird gewährleistet, dass nur dann Daten zwischen Kommunikatiosnpartnern ausgetauscht werden können, wenn deren Signaturen vorliegen. Dies stellt sicher, dass innerhalb von Sid nur mit authentifizierten Kontakten kommuniziert wird.

Jeder Schlüsselaustausch zwischen Kommunikationspartnern erfolgt asymmetrisch. Sid benutzt hierfür die elliptische Kurve Curve25519, wobei die geheimen Schlüssel eines jeden Kommunikationsendpunktes einzigartig sind.

Für die Verschlüsselung aller Übertragungen benutzt Sid die Stromverschlüsselung Salsa20 des renommierten Kryptologen Daniel J. Bernstein, der ebenfalls der Entwickler des Elliptische-Kurven-Kryptosystems Curve25519 ist. Für die Implementierung des Curve25519- und Salsa20-Algorithmus benutzt Sid die unmodifizierten und geprüften C-Referenzimplementierungen.

Die Ende-zu-Ende-Verschlüsselung ist immer aktiviert und kann nicht abgeschaltet werden.

Ansatz 4: Peer-to-Peer Dateitransfer

Für die Übertragung jeglicher Datei-Typen erstellt Sid automatisch eine direkte Peer-to-Peer-Verbindung zwischen den beteiligten Geräten. So werden Dateien wie Bilder, Fotos, Dokumente und Videos jeder Art und Größe immer auf dem direktesten Weg von Gerät zu Gerät übertragen, ohne den Umweg über einen weiteren Server nehmen zu müssen. Innerhalb von Gruppen und bei Multi-Client-Verbindungen fungieren die Geräte aller Gruppenmitglieder als Sender und stehen zusätzlich als Backup-Medium zur Verfügung.

Wenn Daten zwischen den Geräten in einem lokalen Netzwerk, etwa innerhalb eines Büros ausgetauscht werden, ermöglicht dieses Konzept die Übertragung mit der höchstmöglichen Geschwindigkeit, was besonders bei sehr großen Dateien sehr positiv auffällt, da der "Flaschenhals" der meist zu geringen Upstream-Geschwindigkeit entfällt. Sid erkennt automatisch, ob Dateien oder Nachrichten überhaupt das lokale Netzwerk verlassen müssen, die Daten nehmen immer die kürzeste Route.

Neben diesem konzeptionell bedingten Geschwindigkeitsvorteil stellt die Kommunikation über die direkteste mögliche Netzwerkverbindung einen weiteren Sicherheitsvorteil dar. Der Umweg einer Datenübertragung quer durch das Internet fällt innerhalb des büroeigenen Netzwerkes komplett weg. Sofern nicht notwendig verlassen die unternehmenseigenen Daten somit nie das eigene Netzwerk.

Ansatz 5: Die Sid-Adresse

Die meisten Kommunikationslösungen verlangen während des Anmeldevorgangs die Übermittlung privater Daten wie Email-Adresse oder Telefonnummer. Sid ist anders. Die Einrichtung von Sid dauert nur wenige Sekunden und Sid kann ohne die Angabe persönlicher Daten vollständig anonym genutzt werden. Dafür besitzt Sid sein eigenes Adressschema, die so genannte Sid -Adresse, die automatisch aus dem frei wählbaren Nutzernamen gebildet wird, der mit einem Sternchen (*) und einer 5-stelligen eindeutigen Nummer erweitert wird.

Dies bedeutet, dass der Wunsch-Benutzername immer verfügbar ist. Und man behält dadurch die volle Kontrolle über alle Kontakte, mit denen man sich zum Kommunizieren verbinden möchte, was u.a. Spam komplett verhindert.

Ansatz 6: Code-Reviews

Wir werden in Kürze detailliertere Informationen über die Technologie hinter Sid veröffentlichen und wir planen, unser Protokoll und den Kern-Quellcode für Überprüfungen, Reviews und Audits verfügbar zu machen - auf Anfrage sogar ab sofort per Mail (security@sid.co) oder per Kontaktanfrage über Sid: https://sid.co/add/sid*01134.

×