Cryptocat-boodschappen waren niet veilig

Cryptocat, een open source-webapplicatie om op een veilige manier te chatten, bleek helemaal niet zo veilig te zijn. Cryptocat kun je gebruiken in de vorm van een browserextensie met client-side encryptie. De software gebruikt het Off-the-Record Messaging (OTR) protocol om zowel authenticatie als encryptie te garanderen bij het chatten. Maar door enkele fouten in alle versies sinds 2.0 tot 2.0.41 konden geëncrypteerde groupchats worden gekraakt, waardoor alle groupchats die je met Cryptocat hebt gehad tussen 17 oktober 2011 en 15 juni 2013, niet veilig zijn.

Beveiligingsonderzoeker Steve Thomas ontdekte de fouten en schreef als proof-of-concept de software DeCryptoCat. De belangrijkste fout zat in een functie die normaal gesproken een rij van 15-bits gehele getallen moest krijgen, maar in plaats daarvan een string met ASCII-waarden voor cijfers van 0 tot en met 9 terugkreeg. En de berekening werd gebruikt voor het creëren van een geheime sleutel voor ECC. Die was daardoor wel heel eenvoudig brute-force te kraken. Ondertussen hebben de ontwikkelaars de waarschuwing aan de website toegevoegd dat de software onder ontwikkeling is en slechts bruikbaar is om mee te experimenteren...

http://tobtu.com/decryptocat.php

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Als je je wachtwoorden wilt synchroniseren op al je apparaten, dan is de eenvoudigste oplossing een wachtwoordbehee… https://t.co/c5GthRwaSJ
20hreplyretweetfavorite
linuxmagNL Risk Management omvat de processen voor identificatie, beoordeling en prioritering van risico's. Ook gaat het om he… https://t.co/pNQjQbIkf1
linuxmagNL Met subuser is het mogelijk om de grafische omgeving en audio devices te gebruiken met Docker. Zo zijn Docker conta… https://t.co/gKdM3UV83X