Cryptocat-boodschappen waren niet veilig
- October 1, 2013
- 0
Cryptocat, een open source-webapplicatie om op een veilige manier te chatten, bleek helemaal niet zo veilig te zijn. Cryptocat kun je gebruiken in de vorm van een browserextensie met client-side encryptie. De software gebruikt het Off-the-Record Messaging (OTR) protocol om zowel authenticatie als encryptie te garanderen bij het chatten. Maar door enkele fouten in alle versies sinds 2.0 tot 2.0.41 konden geëncrypteerde groupchats worden gekraakt, waardoor alle groupchats die je met Cryptocat hebt gehad tussen 17 oktober 2011 en 15 juni 2013, niet veilig zijn.
Beveiligingsonderzoeker Steve Thomas ontdekte de fouten en schreef als proof-of-concept de software DeCryptoCat. De belangrijkste fout zat in een functie die normaal gesproken een rij van 15-bits gehele getallen moest krijgen, maar in plaats daarvan een string met ASCII-waarden voor cijfers van 0 tot en met 9 terugkreeg. En de berekening werd gebruikt voor het creëren van een geheime sleutel voor ECC. Die was daardoor wel heel eenvoudig brute-force te kraken. Ondertussen hebben de ontwikkelaars de waarschuwing aan de website toegevoegd dat de software onder ontwikkeling is en slechts bruikbaar is om mee te experimenteren…