Cryptocat-boodschappen waren niet veilig

Cryptocat, een open source-webapplicatie om op een veilige manier te chatten, bleek helemaal niet zo veilig te zijn. Cryptocat kun je gebruiken in de vorm van een browserextensie met client-side encryptie. De software gebruikt het Off-the-Record Messaging (OTR) protocol om zowel authenticatie als encryptie te garanderen bij het chatten. Maar door enkele fouten in alle versies sinds 2.0 tot 2.0.41 konden geëncrypteerde groupchats worden gekraakt, waardoor alle groupchats die je met Cryptocat hebt gehad tussen 17 oktober 2011 en 15 juni 2013, niet veilig zijn.

Beveiligingsonderzoeker Steve Thomas ontdekte de fouten en schreef als proof-of-concept de software DeCryptoCat. De belangrijkste fout zat in een functie die normaal gesproken een rij van 15-bits gehele getallen moest krijgen, maar in plaats daarvan een string met ASCII-waarden voor cijfers van 0 tot en met 9 terugkreeg. En de berekening werd gebruikt voor het creëren van een geheime sleutel voor ECC. Die was daardoor wel heel eenvoudig brute-force te kraken. Ondertussen hebben de ontwikkelaars de waarschuwing aan de website toegevoegd dat de software onder ontwikkeling is en slechts bruikbaar is om mee te experimenteren...

http://tobtu.com/decryptocat.php

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL TEQnation, het evenement voor future tech! Dit evenement is opgesplitst in twee dagen met één dag puur voor Open... https://t.co/x7HFupU9G8
linuxmagNL Do you want to be recognized as a credible technology expert and innovative thinker? The Call for Papers for... https://t.co/ZjeLZwkfms
linuxmagNL SUSE breidt samenwerking met Amazon Web Services uit om SAP migraties naar Linux op AWS te versnellen Amazon Web... https://t.co/ETI9r3cEmD