Ist Firefox Hello sicher?

    Hallo,

    vom eff gibt es eine "Secure Messaging Scorecard". :klasse:
    https://www.eff.org/secure-messaging-scorecard
    Leider taucht Firefox Hello dort nicht auf. :traurig:
    Wie würde Hello auf dieser Scorecard abschneiden?
    Ist Hello sicher verschlüsselt? Wenn ja, wie?
    Wenn ich Hello auf einem Firefox Handy nutze, werden dann meine Kontakte automatisch synchronisiert? :-???

    Vielen Dank für eure Antworten!

    hallo, die kommunikation findet verschlüsselt und peer-to-peer zwischen den gesprächspartnern statt, d.h. ohne dass sie zb. über mozillas server laufen würde (diese ermöglichen nur den aufbau der verbindung zwischen den parteien).
    ich denke also, dass hello in diesem vergleich sehr positiv dastehen würde...

    Verschlüsselt heißt vermutlich, es gibt eine Transportverschlüsselung.
    Dies wäre nur einer von sieben Punkten.

    Wäre noch offen:

      *Gibt es eine Ende-zu-Ende Verschlüsselung?
      *Gibt es eine Möglichkeit, die Echtheit eines Kontakts zu verifizieren?
      *Ist die vergangene (Ende-zu-Ende verschlüsselte) Kommunikation noch sicher wenn einer der Private Keys gestohlen wird?
      *Ist der Code OpenSource?
      *Sind die Sicherungsmechanismen ausreichend dokumentiert?
      *Gab es für den Code ein öffentliches Audit?

    Erfüllt Hello diese Punkte größtenteils nicht, würde es auf der Scorecard sehr schlecht abschneiden!

    Firefox Hello ist Kommunikation über WebRTC. Es gibt keine unverschlüsselte WebRTC-Kommunikation, WebRTC ist immer verschlüsselt. DTLS-SRTP [1], wenn du es genau wissen willst. Seit Firefox 38 ist außerdem Perfect Forward Secrecy (PFS) [1] Voraussetzung für WebRTC, was damit auch Firefox Hello betrifft. Ob / welche weiteren Sicherheitsmechanismen Mozilla für WebRTC und speziell Firefox Hello implementiert hat, kann ich nicht sagen. WebRTC ist Open Source, genau wie Firefox komplett Open Source ist und damit auch die native Hello-Implementierung [3], wie auch der Hello-Server [4] sowie so ziemlich jedes andere Produkt, welches Mozilla anbietet. Mozilla verwendet übrigens Technologie von TokBox [5], einer Telefónica-Tochter und sehr erfahrenem WebRTC-Dienstleister.

    [1] https://tools.ietf.org/html/rfc5764
    [2] https://hacks.mozilla.org/2015/02/webrtc…-in-firefox-38/
    [3] https://dxr.mozilla.org/mozilla-centra…components/loop
    [4] https://github.com/mozilla-services/loop-server
    [5] https://tokbox.com/