Wie funktioniert tomchat ?

tomchat benutzt symmetrische Verfahren und die einzelnen Client-Laptops fungieren dabei wie ein Hardware-Dongle. Es kann eben nicht jeder mit seinem Browser mit Public-/Private-Key Mechanismen (z.B. mit https oder ssh) in den Server hinein.

Symmetrisch bedeutet: Clients und Server kennen schon vor Beginn einer Session den Key, den sie benutzen werden und brauchen deshalb nichts aushandeln, nichts überprüfen, nichts verifizieren. Entweder der Client meldet sich sofort mit dem richtigen Schlüssel (weil der Laptop selbst der Dongle ist), oder er fliegt raus ;-)

tomchat benötigt deshalb keine public-/private-Key-Verfahren, keine Zertifikate und keine Signaturen. Je weniger vorab ausgehandelt oder verifiziert werden muss, desto weniger Angriffsfläche bietet ein System. 

Zertifikate und Signaturen könnten gefälscht sein, Pishing Angriffe können stattfinden, Ihr Browser könnte auf eine bösartige, gefälschte Seite umgeleitet werden und dazu verleitet werden, geheime Daten irrtümlich preiszugeben, ausgehandelte Schlüssel könnten zu schwach sein. Jede Möglichkeit der Schwäche kann ausgenutzt werden. All das ist mit tomchat nicht möglich. Keine bösartigen Umleitungen möglich (weil wechselnde IP-Adressen und weil keine Domain), keine Unterwanderung des Browsers (durch zb Viren oder Betriebssystem-Attacken) möglich, weil kein Browser benutzt wird. Keine Mitschnitte möglich, kein Aushorchen möglich, kein Abgreifen möglich.

Wir machen keine Verhandlungen, keine Kompromisse. Der Laptop selbst ist der Schlüssel, dieser Schlüssel ist unverhandelbar und quantensicher (tomchat nutzt AES-256 CBC, Details auf Anfrage).

Aus Google / Wiki zur Sicherheit von AES-256 CBC:

"AES-256-Verschlüsselung ist extrem sicher.
Sie ist der sicherste heute verfügbare Verschlüsselungsalgorithmus und wird umfangreich in Regierungs- und Militäranwendungen sowie von Unternehmen in stark regulierten Branchen eingesetzt"

"Kann man AES-256 knacken?
AES 256 ist mit Brute Force nicht zu knacken.
256-Bit AES-Verschlüsselung: Dauer, um alle Kombinationen auszuprobieren = 3,31 * 10^56 Jahre"

"How long does it take to crack AES 256 CBC?
With the right quantum computer, AES-128 would take about 2.61*10^12 years to crack,
while AES-256 would take 2.29*10^32 years."

"Can quantum computers break AES-256?
Grover's algorithm is a quantum algorithm for unstructured data that provides a quadratic speedup in the computation over classical computing. This can result in AES-128 being feasible to crack, but AES-256 is still considered quantum resistant—at least until 2050."

Dadurch kann kein Angreifer mit fremder Hardware oder Software überhaupt auch nur irgendetwas (Sinnvolles) von tomchat sehen. Vom ersten Byte einer jeden Verbindung an gilt die höchste Sicherheitsstufe der höchsten Verschlüsselung: Nur der Client und nur der Server können verstehen, was jedes einzelne Byte bedeutet.

Sobald Server oder Client auch nur ein einziges Byte eines potentiellen Angreifers empfängt, der einen Abruf versucht, und der nicht den passenden Schlüssel hat, bekommt der Angreifer ... NICHTS.

Ein Angreifer kann keinen einzigen sinnvollen Inhalt eines tomchat-Servers oder eines tomchat-Clients sehen:

Entweder er liest nur Datenschrott im Netz mit, oder er greift direkt an, dh. er versucht, eine Verbindung aufzubauen, und wird "schweigend" abgewiesen (Server oder Client trennen kommentarlos die Verbindung).

• --> Sehen Sie dazu unten den Abschnitt "Angriffsversuche auf unseren tomchat Server".

Wechselnde IP-Adressen:

Auch bei tomchat wechseln die IP-Adressen, sowohl von Server, als auch von Clients. Sie wechseln aber nicht automatisch (wie bei TOR). Bei tomchat können und müssen Sie selbst bestimmen, wann z.B. die IP-Adresse des Servers gewechselt werden soll. Dazu muss lediglich der Router aus- und wieder eingeschaltet werden. Dann steht zwar in diesem Moment des Hochfahrens des Routers und bis zum Versenden der neuen Email an die Clients (mit der neuen IP-Adresse des Servers) der tomchat nicht zur Verfügung, aber dafür bekommt man mit diesem Mechanismus eine weitere Sicherheitsstufe: Ein Angreifer wüsste im nächsten Moment nicht mehr, wie er den Server finden kann (falls er ihn überhaupt jemals findet), da wie gesagt, keine Domain existiert und ein Angreifer niemals wüsste, wo er anfangen muss, zu suchen. Es wäre so, als würde der Server jedes Mal, wenn Sie den Router ausschalten, einen anders aussehenden Briefkasten (in den die Clients ihre Chat-Daten einwerfen) an einen anderen Ort hängen, und einen anderen Namen drauf schreiben, und über die verschlüsselten Emails den Clients mitteilen, wie der Briefkasten jetzt neuerdings aussieht, wo der neue Briefkasten hängt und welcher Name drauf steht. Die Clients wissen also anhand der verschlüsselten Email genau, wo sie nun ihre neuen Chat-Daten einwerfen müssen, während für einen Angreifer plötzlich einfach kein Briefkasten (und damit auch kein Server) mehr da ist. Er ist einfach "weg".  Das gleiche gilt für die Clients, jeder Client-Besitzer muss lediglich einmal seinen Router ausschalten (oder Smartphone/ Mobile Hotspot trennen) und schon bekommt er eine neue IP-Adresse. Das entspricht im Prinzip auch den wechselnden IP-Adressen im TOR Netzwerk. Es wird dadurch einem Angreifer nahezu unmöglich, die Pakete zu verfolgen, wenn plötzlich Server und/oder Clients auf anderen IP-Adressen (anderen Briefkästen) sind.

Entscheidende Unterschiede von tomchat zu TOR: 

1. 

- TOR: Unendlich viele Mitglieder im TOR-Netzwerk. Jeder kann mit Standard Software reingehen. Die Benutzer sind alle anonym.

- tomchat: Nur wenige (begrenzte Anzahl) von sorgfältig ausgesuchten und persönlich bekannten Mitgliedern: Persönliche Zustellung des Client-Laptops erforderlich. Der Schlüssel für den Laptop muss auf vertrauenswürdigem Weg zugestellt werden und darf nicht auf öffentlichem Weg einfach so z.B. per Post versendet werden. Damit ist tomchat eher für kleinere (z.B. etwa 100 bis 200 Mitglieder zählende) Gruppen geeignet, denn bei der Verteilung der Client-Laptops entsteht durchaus ein logistischer Aufwand. Jedes Mitglied muss bei der Verteilung der Client-Laptops persönlich bekannt sein. Etwa wie in einem Verein oder wie in einer Firma. tomchat ist also zu verstehen wie eine "Geschlossene Benutzergruppe mit ausschließlich bekannten Mitgliedern". Ein Client-Laptop darf nicht leichtfertig und benutzungsfertig  (mit Linux Passwort und mit Festplatten-Entschlüsselungspasswort !) an unbekannte Personen gegeben werden.

2.

- TOR: Automatisch wechselnde IP-Adressen.

- tomchat: Manuell wechselnde IP-Adressen.

3.

- TOR: Jeder kann sich mit einem TOR-Browser ins TOR-Netzwerk einwählen und Server-Inhalte abrufen.

- tomchat:  Kein Unbefugter auf der Welt kann sich einwählen und damit jemals auch nur irgendeinen lesbaren Inhalt zwischen dem Server und den Clients sehen. Denn niemand kann hinein, wenn er nicht den richtigen Schlüssel hat. Wenn er außen steht und den Datenstrom mitliest, liest er nur Hyroglyphen-Kauderwelsch-Daten-Matsch ;-)
 

Damit ist es für unsere tomchat-Benutzer egal, ob ein böse gesinnter Mitleser ihre IP-Adresse ausfindig macht und ihre Namen und Adressen herausfindet. Dagegen gibt es leider auch kein Mittel, weil alle Provider, die Internet-Anschlüsse zur Verfügung stellen, verpflichtet sind, auf dringenden Bedarf (der leicht konstruiert werden kann) die Klarnamen der Benutzer preiszugeben, die zu einer bestimmten Zeit eine bestimmte IP-Adresse hatten. tomchat kann also nicht verhindern, dass Angreifer die Klarnamen von Benutzern herausfinden können. Aber: Durch das Wechseln der IP-Adressen wird es für den Angreifer ungleich schwerer, und selbst wenn er die IP-Adressen zuordnen kann, würde er lediglich herausfinden:

"Max Müller" hat gesendet: "oqg37<(faqlÄ#ÜaGlvjagaDSGHsalgwr|:*zIß$uahSeag7glHSHwQ#ä+Tr"

"Lisa Schneider" hat gesendet: "Vg%§iwWösjagh)3cRtzgaDvT'G*SH%aefaH&-:ä/j"

Mehr können Angreifer (auch mit mühsamsten Recherchen, mit Hilfe des Providers, wer wann welche IP-Adresse hatte) nicht herausfinden. Das nutzt den Angreifern leider überhaupt nichts ;-)

Dh. es ist tomchat egal, ob Außenstehende irgendwas über die Funktionsprinzipien des tomchat-Systems wissen (die teilen wir hier offen mit); es ist tomchat egal ob ein Angreifer etwas mitliest, oder versucht, sich einzuloggen, oder sich als anderer Client tarnen möchte, oder IP-Adressen zu Personen zuordnen kann:
er bekommt entweder "Daten-Müll" oder gar nichts.
 

Hinweis: Durchschnittlich finden auf alle Computer, die sich im Internet befinden und Dienste anbieten, alle 5 Minuten Angriffe statt. Denn es tummeln sich "aber-zigtausende Bots", die alle Computer, die online sind, auf offene Ports abscannen und automatisiert angreifen (ein "connect" und "login" versuchen), in der Hoffnung, einen schwach geschützten Computer zu finden und eindringen zu können. Es ist schon erstaunlich, wie viel destruktive Energie manche Menschen aufbringen können ;-)

Weil das alles mathematisch sicher ist, veröffentlichen wir diese Information gerne und legen Ihnen all das offen. Jeglicher unerwünschte Angreifer darf das auch gerne wissen: es nutzt ihm nichts. Ohne die Schlüssel kann er mit all diesem Wissen nichts anfangen.

Wir sind da ganz ehrlich: Das hat Konsequenzen, denn bei uns geht Sicherheit vor Bequemlichkeit !

• Der Nachteil dieser Methode ist:
  • Jeder Client muss 100% "trusted" sein, dh. herkömmliche Smartphones und Laptops  sind nicht brauchbar, da die herkömmlichen Betriebssysteme der Smartphones und Laptops nicht vertrauenswürdig sind, was zur Folge hat: 
    tomchat läuft nicht bequem auf Ihrem Smartphone;
  • Eine übliche Browser-basierte Lösung "Jeder kann sich irgendwie erst mal mit einem Passwort anmelden" (und Server-Inhalte anschauen) scheidet damit aus;
  • Sie benötigen für jeden Chat-Teilnehmer einen von uns vorbereiteten Linux-Client-Laptop, mit dem entsprechenden persönlichen vorbereiteten quantensicheren Key [PPK Pre-Placed-Key].

• Der Vorteil dieser Methode ist:
  • Absolute Sicherheit.
  • Egal, was Sie an Daten austauschen, Sie sind sicher vor Mitlesern.
  • Nach entsprechender Schulung können Sie auch Client-Laptops selbst erzeugen/konfigurieren/installieren/verteilen
  • Kann nicht von Bundestrojanern unterwandert werden. Der Bundestrojaner greift zB. Browser an und versucht, schädliche Makros einzuschleusen. Da tomchat keinen Browser benötigt, ist tomchat sogar vor Bundestrojanern sicher.
  • Alle ausführbaren Programm dürfen nur vom priviligierten tomchat-user ausgeführt, gelesen, benutzt, überschrieben werden. Linux hat ein ausgefeiltes User-Group-Modell, welches es fremden Usern nicht ermöglicht, Dateien von anderen Usern zu sehen, zu lesen, zu bedienen, auszuführen. Alle tomchat-Dateien sind hermetisch durch das Linux-User-Modell abgeriegelt. Selbst wenn ein Eindringen in einen tomchat-Rechner gelingen würde (was bisher noch niemandem gelungen ist), so könnte er die tomchat-Dateien nicht sehen.

Jetzt haben wir die ganze Zeit nur vom "Netz" (Internet, WLAN, Smartphone) geredet. Und wenn Ihnen Ihr Laptop abhanden kommt oder gestohlen wird ?

Was dann ?

Laptop verloren oder gestohlen

Die 9 Sicherheitsstufen von tomchat:

• 1. Stufe: Zunächst einmal müsste der Dieb das Linux-Betriebssystem überwinden: Linux gehört zu den sichersten Systemen der Welt; so gut wie alle Hochsicherheits-Bereiche (Banken, Luftfahrt, Verkehr, Energie, Cybersecurity, Firewalls, Militär) nutzen Linux als Basis;
• 2. Stufe: Zusätzlich befinden sich alle Daten von tomchat in einem verschlüsselten Bereich der Festplatte.
  Dh. selbst wenn ein Dieb das Linux-Login des Laptops überwinden könnte, steht er zusätzlich vor einem verschlüsselten Haufen "Datenschrott" auf der Festplatte; Ein Dieb könnte sich weder in Linux einloggen, noch jemals den Client überhaupt nur starten. Er findet auf der Festplatte ... NICHTS (bzw. nur Datenschrott)
• Schon diese 2-stufige Hürde ist nicht zu überwinden;
• Dann würde der Dieb als nächstes versuchen, die Festplatte aus dem gestohlenen Laptop auszubauen und als "secondary"-(Slave)-Platte an einen anderen Computer zu hängen, um so passiv die Daten auslesen zu können. Wiederum steht er vorm gleichen Problem: Sämtliche tomchat-Daten liegen in einem verschlüsselten Plattenbereich. Der Dieb kann nichts damit anfangen. Er sieht auch hier "nur Datenschrott";
• 3. Stufe: Auf Server und Clients sind keine gefährlichen Ports geöffnet, so dass generell kein Remote-Login von außen erfolgen kann; Das bedeutet, Server und Clients können nur "direkt an der Tastatur" gewartet und bedient werden. Das ist zwar nicht so bequem, aber wie wir oben schon schrieben:
  "Sicherheit geht vor Bequemlichkeit";
  Dadurch wird es für einen Dieb unmöglich, sich per Netzwerk mit einem anderen Computer an den gestohlenen Laptop anzukoppeln und beispielseise über Nacht automatisiert mit brute-force alle Varianten von Passwörtern über ein Script auszuprobieren. Er muss sich schon die Mühe machen, sich an die Tastatur zu setzen und jeden Passwort-Variationsversuch mit seinen Händen einzutippen ;-)
• 4. Stufe: Typische Einschleusungen von Schadsoftware, bösartige Makros in Office-Dokumenten oder Viren allgemein oder das Infizieren von ausführbaren Dateien sind ebenfalls kaum möglich, da Linux ein Hochsicherheits-Konzept von Usern beinhaltet und fremden Usern (unter denen Makros ausgeführt werden) den Zugriff auf Dateien von den tomchat nicht gestattet;
• 5. Stufe: tomchat benötigt keinen Browser, so dass es immun gegen herkömmliche browser-basierte Malware ist;
• 6. Stufe: Flüchtige Daten:  Die wichtigsten Daten erscheinen auf den Clients nur flüchtig, d.h. solange eine Session besteht, sind die Daten überhaupt nur auf dem Monitor sichtbar. Direkt danach werden sie sofort wieder gelöscht;
• 7. Stufe: Aussperren von Unterwanderern: Würde ein (zuvor vertrauenswürdiger) Client-Besitzer plötzlich selbst zum Angreifer (man sollte sich selbstverständlich seine Mitglieder sehr genau aussuchen) und angenommen, man würde seine boshaften Absichten irgendwann erkennen, sperrt man auf dem Server dessen Schlüssel und damit ist tomchat für ihn vorbei; Aber dieser Fall ist auch im realen Leben nicht immer lösbar: Wenn Sie mit einem Betrüger telefonieren, dem sie ursprünglich vertraut haben, ist es nur schwer möglich, seine Betrugsabsichten zu erkennen. Sobald Sie seine Betrugsabsichten erkannt haben, legen Sie sozusagen den Hörer auf und wenn sie von ihm nicht weiter belästigt werden möchten, beantragen Sie im schlimmsten Fall eine neue Rufnummer. Das wäre vergleichbar mit dem Fall, dass auf dem Server dessen Schlüssel gesperrt wird;
• 8. Stufe: Weiterhin erlernen unsere Client-Benutzer in einer Linux-Schulung, wie Sie regelmäßig ihre längerfristigen "Gebrauchsdaten" in tomchat reinigen, so dass möglichst wenig dauerhaft übrig bleibt;
• 9. Stufe: Unsere Client-Benutzer werden geschult, welche Softwarepakete sie aus dem Internet nicht downloaden und nicht installieren sollten, da sich darin Staatstrojaner/Bundestrojaner befinden könnten.