Granskning av Cryptocat

Cryptocat

Företaget Least Authority har genomfört en granskning av den populära krypterade chatt-klienten Cryptocat. Kopplingar till Sverige finns också då Bahnhof erbjuder serverplats i deras bunker.

Granskningen påvisar flertalet fel såsom att återanvända IV och nyckel. Även att det går att återanvända alias för att utge sig för någon annan.

Majoriteten av kodbasen är skriven i Javascript.

The audit investigated essential security properties such as the confidentiality and integrity protection of Cryptocat  chat sessions and file transfers. The audit techniques included interactive penetration testing, code and design analysis, and discussion with developers.

For the purposes of this audit, we assume integrity of the Cryptocat  add-on installed by the user.

A well-known outstanding attack is the side channel of timing information emitted by the implementation of cryptographic algorithms computing on secrets. It is an unsolved problem how to prevent that information leakage with cryptographic algorithms implemented in JavaScript . This issue is outside the scope of this audit.

Här kan du ladda hem granskningen som PDF:

Uppdatering: Även så har iSEC Partners genomfört en granskning som är mer fokuserad på iPhone som du kan läsa här:

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

Skriv en kommentar