Laden...

Achat Messenger - Secure and Simple Communication

Erstellt von achat.me vor 10 Jahren Letzter Beitrag vor 10 Jahren 3.864 Views
A
achat.me Themenstarter:in
2 Beiträge seit 2013
vor 10 Jahren
Achat Messenger - Secure and Simple Communication

Hallo, liebe mycsharp-Nutzer.
Wir würden euch gerne ein Projekt vorstellen, in das wir viel Zeit und Mühe investiert haben und auch weiterhin investieren werden.

Hauptseite: http://achat.me/
Download: http://achat.me/download
Bitte Systemanforderungen beachten (siehe unten).

Achat ist ein Instant Messenger, der großen Wert auf einfache Handhabung auf der einen Seite und Sicherheit und Datenschutz auf der anderen Seite legt.

**Features:***Ende-zu-Ende-Verschlüsselung *P2P-Basis *Chats (inkl. Gruppenchats) *Sprachanrufe *Versenden von Dateien *Spiele und Anwendungen
_Momentan vorhanden (weitere folgen):

  • TicTacToe
  • Draw (gemeinsames Malen)
  • CircleBattle (ähnlich "Achtung, die Kurve!")_

**In Zukunft verfügbar:***Videoanrufe *Bildschirmübertragung *und vieles mehr

Ein Registrierungsprozess ist nicht vorhanden. Nach der Installation von Achat wird man durch die kurze Erstellung eines Schlüsselpaares, das eure Identität darstellt, geleitet. Der Account bzw. die Identität befinden sich nur lokal auf eurem Computer und werden auf keinerlei Servern gespeichert.

Die Konversationen, die man über Achat führt, werden lokal auf dem Computer verschlüsselt und erst beim Empfänger wieder entschlüsselt. Dies bedeutet, dass es für Dritte unmöglich ist, über Achat geführte Konversationen abzuhören oder aufzuzeichnen, egal ob die Übeltäter Privatpersonen oder Regierungsbehörden sind.

Achat hat ein übersichtliches Design und lässt sich leicht handhaben. Die Fenster des Programms sind nicht überladen. Man muss nicht erst wie bei anderen Messengern nach einer Funktion suchen. Alle wichtigen Funktionen sind bei Achat mit wenigen Klicks erreichbar.

Technische Hintergrundinformationen:
Die Nachrichten werden mit AES-CBC mit einem 256 bit Schlüssel verschlüsselt. Die Identifikation der User geschieht mit 2048 bit RSA-Schlüsselpaaren, die auch für das Aushandeln des AES-Schlüssels verwendet werden. Die verschlüsselten Nachrichten werden über mithilfe von STUN und UDP Hole Punching hergestellten P2P-Verbindungen versendet.

Kommentar der Entwickler:
Man mag sich vielleicht fragen: Warum Achat? Nun, der Sicherheitsaspekt ist wohl der Hauptgrund. Vor allem aufgrund des immer noch aktuellen Skandals fanden wir, das in der Hinsicht dringend etwas getan werden muss. Mit den großen Messengern können wir nicht konkurrieren, zumindest noch nicht. Denn der Schlüssel, damit ein Messenger funktionieren kann, ist eine große Nutzerbasis. Unsere ist im Moment leider noch relativ gering. Aber wir würden uns freuen, wenn ihr das Programm einmal testet. Und wenn es euch gefällt, könntet ihr es ja euren Freunden weitererzählen. Und irgendwann wird Achat hoffentlich bekannt genug sein, um möglichst vielen Menschen eine sichere Kommunikation zu ermöglichen.

Die Zufriedenheit unserer Kunden ist uns enorm wichtig. Wir nehmen Kritik ernst und versuchen, Verbesserungsvorschläge so gut es geht umzusetzen. Bei Problemen oder Fragen sind wir jederzeit für unsere Nutzbar erreichbar.
Ihr könnt entweder einen Post in diesem Thread hinterlassen oder uns in Achat kontaktieren:
(Name bei der Kontaktsuche eingeben, ID zur Sicherheit vergleichen)

Alex (ID: b0:09:00:8c:e5:9f:27:8c:fd:f1:ab:64:d6:6e:83:26)
Andy (ID: e0:43:71:42:ef:4d:99:21:db:51:f2:2f:33:76:19:fb)

Systemanforderungen:
Windows Vista, 7 oder 8
.NET Framework 4.5

Versionen für Android, iOS, Windows XP, GNU/Linux und OS X sind in Arbeit.
(Für die beste Benutzererfahrung empfehlen wir Windows 7 oder Windows 8.)

Das Programm ist proprietäre Freeware, der Quellcode ist Closed Source.

Wir würden uns freuen, wenn ihr unser Programm einmal ausprobiert.
Euer Achat-Team 😃

I
57 Beiträge seit 2011
vor 10 Jahren

TODO:
Zeichenlänge beim Client begrenzen -> Absturz / danach nicht mehr nutzbar, da Datei zu groß für den Speicher beim Einladen.

Keys verschlüsselt mit Hash aus Userpasswort speichern, immer beim Start abfragen.

UI mehr von den Operationen im Hintergrund trennen -> Einfrieren.

Messagebox beim User hinzufügen passt nicht ins konzept/ solltes selbes Design haben.

Obfuskieren des Quellcodes, sowie directory listing auf dem Webserver abschalten(leere index.html reicht schon)

Ansonsten ein Mesenger mit Potenzial, nur noch viel zu machen.

mfg

1.361 Beiträge seit 2007
vor 10 Jahren

Hey Alex & Andy,

ich habe mal etwas rumgespielt, vielleicht seht ihr das in den Server logs 😉

Zunächst einmal finde ich auch, dass die Idee Potential hat.

Aber nun gleich zu den Schwachpunkten:

  1. Der update-server update.achat.me wird über reines HTTP angesprochen. Für Angreifer ist es ein leichtes in einem fremden Netz eure Domain oder IP zu spoofen und so gefälschte Executables auszuliefen... wenn DAS passiert, ist jegliche Mühe umsonst. Hier braucht ihr also HTTPS und ein echtes Zertifikat, das dann auch in der App überprüft wird.

  2. Gleiches würde ich für den router.achat.me umsetzen.

  3. Ich habe mal mit ILSpy in den Code geschaut. Wenn ich das richtig gesehen habe, sendet derjenige der sich zum anderen verbindet, diesem einen AES Schlüssel.
    Damit keiner mitlesen kann, ist es mit dem private Key des Empfängers verschlüsselt. Und damit es keiner manipulieren kann, ist es mit vom Absender signiert.
    Allerdings stellt ihr damit nicht den Absender wirklich sicher. Es wird zwar die Konsistenz dieser Signatur geprüft, aber nicht ob man diesem Absender/publicKey vertraut oder ihn überhaupt kennt. (so wie ein Browser ja auch überprüft, ob das Zertifikat denn auch wirklich der in der im Browser hinterlegten Zertifikatskette entspringt)

Aber das genaue Prozedere bei euch ist mir noch nicht ganz klar... evtl./mit Sicherheit habe ich noch was übersehen.
Vielleicht solltet ihr das genaue Verfahren/Protokoll öffentlich machen, schließlich ist Security through Obscurity uncool 😉

  1. Bei euch denkt sich eine Partei den symmetrischen Schlüssel aus woraufhin dieser dann RSA-verschlüsselt zum anderen geschickt wird. Stattdessen sollten ihr Perfect Forward Secrecy implementieren, damit auch im unwahrscheinlichen Falle, dass jemand an meinen Master-Private-Key kommt, nicht alle bisher aufgezeichneten verschlüsselten Nachrichten nachträglich entschlüsseln werden können.

beste Grüße
zommi

Hinweis von herbivore vor 10 Jahren

Zu Punkt 1 siehe auch Updatemechanismus... Prinzipielle Bedenken? [==> Ja]

1.346 Beiträge seit 2008
vor 10 Jahren

Mir ist kein Verfahren bekannt, mitdem eine nicht abhörbare verschlüsselte Verbindung aufgebaut werden kann, ohne eine vertrauenswürdige Stelle, oder ein entsprechendes Zertifikat, mitdem man einen Public Key verifiziert. Ansonsten kann man immer eine Man in the Middle Attacke ausführen, indem sich der Man in the Middle für den "Server" (Ich nenne die Seite mit dem Private Key Server, und die andere Client) als Client ausgibt, und für den Client gibt er sich als Server aus. So hat der Man in the Middle sein eigenes Public Key / Private Key Paar. Um das zu verhindern muss der Client eine Möglichkeit haben den Key, der bei ihm ankommt zu Verifizieren, z.B. indem über eine vertrauenswürdige Stelle überprüft wird, ob der Key auch wirklich vom Absender stammt, oder indem die Vertrauenswürdige Stelle ein Zertifikat erstellt, welches dann genutzt wird, und der Client kann dieses mit dem Zertifikat der Vertrauenswürdigen Stelle überprüfen, ob der Key, der bei ihm ankommt auch wirklich von der Vertrauenswürdigen Stelle ausgestellt wurde, und somit die Angaben darin auch korrekt sind.

Eine andere Möglichkeit wäre es natürlich die Keys einmalig über ein anderes Transportmedium auszutauschen (z.B. das übertragen über einen USB Stick), um somit die Unsichere Schlüsselaushandlung zu umgehen.

Ich hoffe ich habe mich einigermaßen Verständlich ausgedrückt 😃

LG pdelvo

A
achat.me Themenstarter:in
2 Beiträge seit 2013
vor 10 Jahren

Wir bedanken uns herzlich für eure Verbesserungsvorschläge!

Wir werden versuchen, die Vorschläge so gut es geht umzusetzen. Beachtet jedoch bitte, dass das meiste davon wahrscheinlich nicht schon im nächsten Update Einzug finden kann, da wir zum einen selbst noch eine lange Todo-Liste für die Desktop-Anwendung von Achat haben, zum anderen aktuell auch parallel an der Anwendung für mobile Geräte arbeiten. Trotzdem hilft uns derartige Kritik sehr weiter und wir hoffen auch weiterhin auf eure Unterstützung.

Viele Grüße,
Euer Achat-Team 😃