Verschlüsselter Chat

#1 Hallo zusammen,
wir (eine Gruppe von Studenten) erstellen seit geraumer Zeit ein Programm, mit welchem man verschlüsselt chatten können soll.
Zum Einen wollen wir anbieten, diesen Datentransfer über unseren Server laufen zu lassen (wir werden natürlich nicht loggen wie icq, facebook, etc. denn sonst wäre das ganze sinnlos^^ - selbst wenn jemand meint wir würden loggen, hätten wir nichts davon, weil alles verschlüsselt wird).
Zum anderen sollen User aber auch in der Lage sein, P2P die Nachrichten zu verschicken (also ohne Server). In der Richtung haben wir auf jeden Fall einige Ideen.

Zudem wollen wir für erfahrenere User die Option bieten, die Art der Verschlüsselung selbst festzulegen( alos ob AES-128, AES-256, DES...etc).

Als GUI hatten wir JavaFX (2.0 wenns rauskommt) im Sinn, da man dies einfach im Browser einbetten kann und zudem auf dem Rechner als jar ausgeführt werden kann. Eine 2. Alternative die wir vl. anbieten wollen wäre SWING..Bei anderen Ideen bitte melden!

Da es einige User geben sollte, die es auch nicht mögen, dass alles was man über das Internet im Chat schreibt, von den ganzen Unternehmen wir ICQ, Facebook, MSN etc. mitgelesen und gefiltert werden kann, bitten wir alle die dieses Thema interessant finden, uns mit dem Google Moderator ein paar Anregungen/ Ideen zu liefern.

Wenn wir das Programm fertig gestellt haben, wird es als OpenSource veröffentlicht und alle können es benutzen.

Hier der Link: http://www.google.com/moderator/?hl=de&authuser=0#16/e=84769

Greetz
eZacware

#2 Sehe ich keinen Sinn drin, Messenger Protokolle gibts wie Sand am Meer - Verschlüsselungsplugins auch zu genüge (auch welche die mit allen Protokollen funktionieren, siehe OTR).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Bei diesen Plugins ist es ja nun so:
man installiert sie und hofft, der Verkehr ist von nun an sicher und wird nicht mitgehört. Unserer Meinung nach fehlt es da an Transparenz. Speziell zu OTR kann ich nichts sagen - hab ich noch nie getestet. Aber da es sowieso offensichtlich nicht viele "reine Verschlüsselungs-Chats" gibt, schadet Konkurrenz sowieso nicht.
Des Weiteres ist es für "normale" User, oder welche die sich das erste Mal mit so etwas beschäftigen bisher ziemlich schwierig und undurchsichtig, wie man sowas jetzt anstellt.
Wir wollen, dass es für diese Nutzer möglichst einfach ist, für Fortgeschrittene aber auch viele Einstellungsmöglichkeiten anbietet.

#4

Zitat

Unserer Meinung nach fehlt es da an Transparenz. Speziell zu OTR kann ich nichts sagen - hab ich noch nie getestet.

Wie kann die Transparenz fehlen wenn du den Quellcode lesen kannst?

Zitat

Des Weiteres ist es für "normale" User, oder welche die sich das erste Mal mit so etwas beschäftigen bisher ziemlich schwierig und undurchsichtig, wie man sowas jetzt anstellt.

Und ihr seid natürlich sehr transparent und seriös?

Naja tut mir Leid, dass ist einfach keine Alternative - aber ich sehe ihr habt euch nicht wirklich Gedanken darüber gemacht.
Ist ja schön sowas Hobby mäßig zu machen aber das kann man nicht anderen Leuten empfehlen, ich empfehle euch lieber einen Jabber Server aufzusetzen (das hilft wenigstens einem schon bestehenden Netz) und dann (wenn ihr unbedingt müsst) euer eigenes Encryption Plugin bauen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 1. Es ist natürlich sehr schwierig zu beweisen, dass man selbst "sehr transparent und seriös" ist. Klar das wissen wir.
2. Um dem 1. Punkt ein klein wenig näher zu kommen, konzentrieren wir uns nicht nur auf die Kommunikation zwischen Client-Server-Client, sondern auch auf die direkte Kommunikation zwischen den Clients - hat für den Endanwender dann den Vorteil, sicher sein zu können, dass niemand mitloggt. (Dass die Daten wirklich nicht über unseren Server gehen, kann man ja notfalls mitsniffen und sich überzeugen).

Und aus genau diesem Grund - dass wir nicht alles über den Server laufen lassen wollen - können wir die Kommunikation nicht komplett auf z.B. einen Jabber Server auslegen. Die Verwendung von XMPP ist aber auf jeden Fall ein Thema!

Zitat

Wie kann die Transparenz fehlen wenn du den Quellcode lesen kannst?

Welcher "normale" Endanwender installiert denn bitte diese Plugins. Er weiß wahrscheinlich nichtmal, dass es sie gibt. Ich spreche jetzt nicht von den Leuten, die den ganz Tag im IRC oder sonst wo hängen und sich von morgens bis abends mit der IT beschäftigen - Die haben ihre Tools, mit denen sie verschlüsseln.
Aber angenommen er installiert ein Plugin, weil er doch etwas Sicherheit in der Kommunikation haben möchte - Wer von diesem Bruchteil liest dann den Quellcode dieses Plugins (wenn der Quellode überhaupt existiert und wenn der User die Programmiersprache versteht). Er muss einfach darauf vertrauen - wird es niemals wirklich wissen.
Du wirst bestimmt nicht leugnen können, dass der sensible Umgang mit Daten (allein schon das Chatten über ICQ) im Moment kein großes Thema bei vielen ist.

Wir wollen mit keinem Mithalten oder sonst was. Wir möchten einfach ALLEN Usern eine SEHR leichte (aber auch für Leute, die mehr Ahnung in der Materie haben, eine professionelle) Möglichkeit bieten, Daten verschlüsselt zu übermitteln.

Ich hoffe mal, ich habe unsere Absichten weitestgehend gut geschildert
Greetz

#6 Ich finde, Ideen in dieser Richtung immer gut. Habe jetzt nur schnell diesen Thread überflogen aber wenn ich schon P2P lesen, dann stelle ich mir ein Programm vor, welches ohne Zugriff auf einen Server läuft sondern nur die direkte Verbindung zu Person A mit B. Diese Verbindung ist dann verschnlüsselt. Geht sowas nicht?

Ansonsten nutze ich im IRC auch Verschlüsslung. Wer sich bei Facebook anmeldet, legt auch kein großen Wert auf Daten in dieser Hinsicht.

#7 so weit ich weiß, msn hat eigentlich solche Funktion

#8 leider wissen fast alle leute das die verschlüsselung mit primzahlen ist.
deshalb kann ein hecker auf meistens die verschlüsselung aufheben

#9

Zitat

mani_00 postete
leider wissen fast alle leute das die verschlüsselung mit primzahlen ist.
deshalb kann ein hecker auf meistens die verschlüsselung aufheben

Hier fehlt ein Wort zwischen Verschlüsselung und aufheben: NICHT

Wenn eine Verschlüsselung ordentlich programmiert und eine sichere Passphrase verwendet wurde, hackt ein Hacker von nun an bis fast in alle Ewigkeit, und knackt den Code doch nicht. Möglicherweise kann sich der Zeitraum in Zukunft verkürzen, wenn wesentlich leistungsfähigere Rechner entwickelt werden oder ein schlauer Kopf einen Fehler in der ganzen Chause findet, aber darum mache ich mir heute keine Gedanken...

mfg
Faun

#10

Zitat

mani_00 postete
leider wissen fast alle leute das die verschlüsselung mit primzahlen ist.
deshalb kann ein hecker auf meistens die verschlüsselung aufheben

Wieso glaubst du das jede Verschlüsselung mit Primzahlen arbeitet?
Wieso glaubst du das jemand die aufheben kann?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 Wahrscheinlich ist es ihm gelungen alle Primzahlen im Kopf auszurechnen... *scnr*
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#12 Ich möchte wissen, was aus dem Projekt geworden ist.
Der Link ist mittlerweile ungültig, aber ihr werdet euer Projekt doch nicht etwa auf Eis gesetzt haben? Das wäre schade.

#13 Ich möchte auch gerne wissen, wie das weitergeht! Wäre auch interessiert die Beta zu testen. Bitte neuen Status, Thread-Ersteller.