Cryptocat-boodschappen waren niet veilig

Cryptocat, een open source-webapplicatie om op een veilige manier te chatten, bleek helemaal niet zo veilig te zijn. Cryptocat kun je gebruiken in de vorm van een browserextensie met client-side encryptie. De software gebruikt het Off-the-Record Messaging (OTR) protocol om zowel authenticatie als encryptie te garanderen bij het chatten. Maar door enkele fouten in alle versies sinds 2.0 tot 2.0.41 konden geëncrypteerde groupchats worden gekraakt, waardoor alle groupchats die je met Cryptocat hebt gehad tussen 17 oktober 2011 en 15 juni 2013, niet veilig zijn.

Beveiligingsonderzoeker Steve Thomas ontdekte de fouten en schreef als proof-of-concept de software DeCryptoCat. De belangrijkste fout zat in een functie die normaal gesproken een rij van 15-bits gehele getallen moest krijgen, maar in plaats daarvan een string met ASCII-waarden voor cijfers van 0 tot en met 9 terugkreeg. En de berekening werd gebruikt voor het creëren van een geheime sleutel voor ECC. Die was daardoor wel heel eenvoudig brute-force te kraken. Ondertussen hebben de ontwikkelaars de waarschuwing aan de website toegevoegd dat de software onder ontwikkeling is en slechts bruikbaar is om mee te experimenteren...

http://tobtu.com/decryptocat.php

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

TEQjobs

Uitgelicht: Technisch Applicatiebeheerder - CGI

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL @RenePerdok Hoi René, dat kan je doorgeven door een mailtje te sturen naar abo@reshift.nl . Mvg. Team Linux Mag
linuxmagNL Blijven je kinderen noodgedwongen thuis door het Coronavirus? Leer ze programmeren met de gratis cursus Scratch! Hi… https://t.co/p29cHSB7r3
linuxmagNL Door het coronavirus werken veel mensen nu thuis. Bekijk deze infographic voor tips waarmee je zorgt dat je lichaam… https://t.co/4LL7ct0gnQ