c't 24/2017
S. 26
News
Sicherheit

Desktop-Clients für Signal

Wer Signal bislang als Chrome-App genutzt hat, kann die vorhandenen Daten in den neuen Desktop-Client importieren.

Die Entwickler des verschlüsselnden Messengers Signal haben Desktop-Clients veröffentlicht. Sie laufen auf Windows ab 7, macOS ab 10.9 und APT-fähigen Linux-Distributionen wie Ubuntu und Debian. Die Programme stehen auf signal.org zum Download bereit. Wie bei den Web- und Desktop-Clients für WhatsApp funktionieren die Signal-Programme nicht autark, sondern setzen Kontakt zu Signal auf dem Smartphone voraus.

Bislang war die einzige Möglichkeit, Signal auf dem Desktop zu nutzen, eine App für Googles Web-Browser Chrome – die passend zur Veröffentlichung des neuen Clients aber eingestellt wurde. Wer bislang die Chrome-App verwendet, kann aus ihr die Daten exportieren und während der Einrichtung des neuen Clients wieder importieren. (dbe@ct.de)

Google: Mehr HTTPS, kaum Certificate Pinning

Der Anteil an HTTPS-Traffic am Datenverkehr im Internet ist deutlich gestiegen: Aus Googles jüngstem Transparenzbericht (siehe ct.de/yvmj) geht hervor, dass in Deutschland Ende Oktober 2017 inzwischen 71 Prozent der Webseiten, die Anwender mit Google Chrome aufrufen, die Transportverschlüsselung verwenden. Ein Jahr zuvor waren es noch 52 Prozent – ein Anstieg um mehr als ein Drittel.

Der Anteil an transportverschlüsseltem Traffic – hier für Chrome auf Windows – nimmt weltweit zu. In Deutschland stieg der Anteil in den letzten zwölf Monaten um gut ein Drittel.

Schlechter bestellt ist es um das HTTPS Public Key Pinning (HPKP), oft einfach „Certificate Pinning“ genannt. Es ist ein Verfahren, mit dem Google das Web ein Stück sicherer machen wollte. Setzen Website-Betreiber es ein, vergewissert sich der Browser, dass das Zertifikat stets als Folgezertifikat von derselben Zertifizierungsstelle kommt. Gibt sich ein Dritter mit einem missbräuchlich ausgestellten Zertifikat als der Webserver aus, schlägt der Browser Alarm.

Google plant nun, die Unterstützung für dynamisches Pinning mit Chrome 67 fallen zu lassen; statische Pins bleiben bis auf weiteres erhalten. Version 67 soll Ende Mai 2018 erscheinen. Die Verbreitung blieb weit hinter den Erwartungen zurück: Der britische Sicherheitsforscher Scott Helme hat ermittelt, dass im Jahr 2016 nur 375 Websites der „Alexa Top 1 Million Sites“ HPKP verwendeten – gerade mal eine von 2700.

HPKP gelangte zunehmend in die Kritik, weil es in der Praxis mitunter sperrig zu handhaben ist – immer wieder haben Website-Betreiber durch unachtsames Zertifikats-Handling ihre Besucher ausgesperrt. Als mittelfristige Alternative sieht Google sein eigenes Projekt Certificate Transparency (CT): Es soll CAs auf Dauer zwingen, sämtliche Zertifikatsausstellungen in einem manipulationssicheren, öffentlichen Protokoll zu hinterlegen. Das kann einen Missbrauch nicht technisch verhindern – Google setzt stattdessen auf Sicherheit durch Transparenz. (ju@ct.de/ovw@ct.de)

Kommentieren