Ende zu Ende verschlüsseltes Soziales Netzwerk für Communities

Begonnen von sentclose, 05. Februar 2022, 18:12

« vorheriges - nächstes »

sentclose

Hallo,


wir entwickeln eine Plattform für Communities mit großem Fokus auf Privatsphäre.
Wir haben gerade die Alpha Phase gestartet. Die App ist erreichbar unter: https://sentclose.com/

Wenn ihr Beiträge erstellt werden diese auf eurem Gerät verschlüsselt und verschlüsselt an den Server gesendet. Nur die Mitglieder eurer Community können den Beitrag dann wieder entschlüsseln. Für uns als Serverbetreiber ist das nicht möglich, da wir die nötigen Schlüssel nicht besitzen.

Unser Verschlüsselungsprotokoll ermöglicht es mit nahe zu unbegrenzt vielen Mitgliedern pro Community Inhalte verschlüsselt auszutauschen. Öffentliche Gruppen sind ebenfalls verschlüsselt, haben aber die Möglichkeit die Inhalte zu teilen, sodass andere die den Link zum teilen erhalten die Inhalte ebenfalls entschlüsseln können. Da es dennoch verschlüsselt ist, können wir auch hier die Beiträge nicht einsehen.


Wir bieten zur Zeit die Möglichkeit normale Posts oder Files als eine Cloud in eurer Gruppe verschlüsselt auszutauschen.


Auf euer Feedback freuen wir uns sehr. Wir stehen euch gern Rede und Antwort.

PMueller12

Hey,
vorweg, ich habe hier nichts zu entscheiden, würde aber das Verschlüsselungskonzept gerne etwas mehr verstehen.

Ende zu Ende Verschlüsselung -> asymetische verschlüsselung? -> Der der die Daten verschlüsselt muss wissen für wen er die Daten verschlüsselt. (GPG/PGP)
Wenn dann die Community größer wird also neue Mitglieder dazukommen, müssen alle Informationen neu verschlüsselt werden (bspw der hinterlegte Schlüssel muss an das neue Mitglied verteilt werden?), dies klingt sehr umständiglich und wird sicherlich auch nicht so gemacht. Das Verhalten müsste auch passieren wenn jemand wieder abspringt.

Alternative ihr erstellt einen symetischen Schlüssel, welcher dann durch einen asymetrischen Schlüssel gesichert ist. Wenn jemand das Forum / die Community verlässt hat dieser aber immer noch zugriff auf den Schlüssel, also muss in regelmäßigen Abständen einer neur erzeugt werden?


Zum Thema öffentlich und verschlüsselt weiß ich gar nicht wo ich anfange. Wenn jemand nur einen Link besitzten muss um die verschlüsselten Daten zu sehen, wie will man sicherstellen, dass der Link nur vom Teiler erstellt wird? Dazu kommt, dass im Link das Passwort/Key hinterlegt sein muss, da die Daten sonst nicht entschlüsselt werden können oder der Schlüssel liegt eben auf dem Server rum, entschlüsselt die Daten und verschlüsselt diese für den neuen Empfänger, aber das würde dem "die Daten liegen da verschlüsselt und wir kommen da nicht dran" Satz wiedersprechen.

Wie geht ihr mit Metainformationen auf den Servern um?
Ist es opensource?

sentclose

Danke für die Antwort.

Wir verwenden ein Hybrid aus asymmetrischer und symmetrischer Verschlüsselung. Das Protokoll ist dem von Rocket Chat ähnlich.
Jeder Raum enthält bei der Erstellung einen Master Key. Der wird dann mit den Public Keys der Mitglieder, bei der Einladung, verschlüsselt und bei uns auf dem Server verschlüsselt abgespeichert. Der Raum Master Key wird nicht erneuert. Das ist natürlich ein Nachteil gegenüber des Signal oder Matrix Protokolls.

Für 1:1 oder 1: wenige Kommunikation gibt es bereit sehr gute Alternativen. Deswegen haben wir die Räume für eine große Anzahl an Mitgliedern ausgelegt. Daher ist eine Schlüsselerneuerung kaum möglich, da sonst Mitglieder die seltener aktiv sind ausgeschlossen werden. Neue Mitglieder könnten die älteren Inhalte sonst auch nicht sehen oder müssten sehr lange warten um sie zu sehen. Sollten ehemalige Mitglieder den Raum Key gespeichert haben, verhindert es der Server, dass sie die Inhalte bekommen da nur Mitglieder in privaten Räumen die Inhalte sehen können

Öffentliche Räume werden genau so gehandhabt wie private Räume. Mit dem einzigen Unterschied, dass der Master Key per Url (Hash der Url) mit übergeben werden kann. Es erfordert hier auch vorher eine Interaktion von Mitgliedern bevor ein Raum öffentlich zugänglich wird.

Da wir durch das System keine perfekte Sicherheit garantieren können sind bei uns alle User anonym. Es werden keine E-Mail, Telefon Nr oder ähnliches gespeichert. Nur ein eindeutiger Username und ein Passwort. Auch Metadaten wie eingeloggt um wie viel Uhr, Ip Adresse oder was sich die User ansehen speichern wir nicht. Die einzigen Metadaten die wir speichern sind die Uhrzeit wann Beiträge erstellt und geändert wurden um das im Frontend anzuzeigen.

serienkonsument

Vielleicht ist es mein adblocker aber die Webseite ist fast leer für mich..

Außerdem, kein OpenSource..