Cryptocat-boodschappen waren niet veilig

Cryptocat, een open source-webapplicatie om op een veilige manier te chatten, bleek helemaal niet zo veilig te zijn. Cryptocat kun je gebruiken in de vorm van een browserextensie met client-side encryptie. De software gebruikt het Off-the-Record Messaging (OTR) protocol om zowel authenticatie als encryptie te garanderen bij het chatten. Maar door enkele fouten in alle versies sinds 2.0 tot 2.0.41 konden geëncrypteerde groupchats worden gekraakt, waardoor alle groupchats die je met Cryptocat hebt gehad tussen 17 oktober 2011 en 15 juni 2013, niet veilig zijn.

Beveiligingsonderzoeker Steve Thomas ontdekte de fouten en schreef als proof-of-concept de software DeCryptoCat. De belangrijkste fout zat in een functie die normaal gesproken een rij van 15-bits gehele getallen moest krijgen, maar in plaats daarvan een string met ASCII-waarden voor cijfers van 0 tot en met 9 terugkreeg. En de berekening werd gebruikt voor het creëren van een geheime sleutel voor ECC. Die was daardoor wel heel eenvoudig brute-force te kraken. Ondertussen hebben de ontwikkelaars de waarschuwing aan de website toegevoegd dat de software onder ontwikkeling is en slechts bruikbaar is om mee te experimenteren...

http://tobtu.com/decryptocat.php

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Vlak voor de release van Ubuntu 17.04 kondigde Canonical aan dat het zijn eigen desktopomgeving Unity vanaf Ubuntu… https://t.co/NBazAviEK2
4mreplyretweetfavorite
linuxmagNL De gegevens van 143 miljoen Amerikanen lagen op straat, omdat een kredietregistratiebureau zijn installatie van Apa… https://t.co/9vKV5Jcsyc
linuxmagNL Het Yocto project zorgt voor een gestandaardiseerde methode om een Linux systeem te bouwen op basis van de broncode… https://t.co/9HmioHeIUB