CoverDrop – Sichere Messaging-Plattform für News-Reader-Apps

 (github.com/guardian)
1 Punkte von GN⁺ 2025-06-11 | 1 Kommentare | Auf WhatsApp teilen
  • Eine Open-Source-Sicherheits-Messaging-Lösung, die es Nutzern von News-Reader-Apps und Journalisten ermöglicht, sicher miteinander zu kommunizieren und dabei Anonymität sowie Abstreitbarkeit zu wahren
  • Da alle Nutzergeräte zufälligen verschlüsselten Traffic erzeugen, lassen sich gesendete und empfangene Nachrichten im Netzwerk nicht von normaler News-Nutzung unterscheiden
  • Nachrichten werden mit doppelter Verschlüsselung und in identischer Größe sowie Frequenz verarbeitet, sodass selbst bei einer Beschlagnahmung des Geräts keine Beweise zurückbleiben
  • Besteht aus einer vollständigen End-to-End-Architektur mit mobiler App, Cloud-API, Sicherheitsservern und einem Desktop-Client für Journalisten
  • Vorteile gegenüber bestehenden Projekten sind transparente Open-Source-Entwicklung, starke Kryptografie und spezialisierte Funktionen, die auf die Anforderungen von Nachrichtenorganisationen zugeschnitten sind

Einführung in CoverDrop

  • CoverDrop ist ein sicheres System, das dafür entwickelt wurde, dass Nutzer der mobilen Apps von Nachrichtenunternehmen Reportern heimlich und nicht nachverfolgbar Nachrichten senden können
  • Das System bietet starke Abstreitbarkeit, sodass Netzwerkanalysten nicht unterscheiden können, ob die App für sichere Kommunikation oder für den normalen Nachrichtenkonsum verwendet wird

Zentrale Komponenten

  • Modul in der News-App: in die mobile App der Nutzer integriert
  • Cloud-API: fungiert als zentraler Kontaktpunkt
  • CoverNode: ein Satz von Diensten, der an einem sicheren Ort betrieben wird
  • Desktop-Anwendung für Journalisten: ein PC-Client für Reporter

Diese aus vier Teilen bestehende Struktur realisiert End-to-End-Verschlüsselung und starke Sicherheit

Funktionsweise

  • Alle Instanzen der News-App tauschen regelmäßig kleine verschlüsselte Datenpakete („Cover-Nachrichten“) mit dem Server aus
  • Auch echte Hinweise (Quellennachrichten) werden vollständig identisch zu normalen Cover-Nachrichten verschlüsselt und übertragen. Im Netzwerk sind sie nicht unterscheidbar
  • Alle Nachrichten werden in derselben Größe und im selben Takt verarbeitet und zur Verarbeitung an Kinesis-Streams gesendet
  • Auf dem Server erfolgen die erste Entschlüsselung und die Erkennung echter Nachrichten; anschließend werden sie in Form eines Dead Drop an den Journalisten-Client zugestellt. Durch Padding wird die Größe des Dead Drop einheitlich gehalten
  • Journalisten können am Ende nur die Nachrichten entschlüsseln, die mit ihrem öffentlichen Schlüssel verschlüsselt wurden
  • Der Nachrichtenspeicher bleibt auch im Normalbetrieb verschlüsselt, sodass sich selbst bei einer Beschlagnahmung des Geräts nicht nachweisen lässt, ob tatsächlich Gespräche stattgefunden haben
  • Auch beim Antworten durch Journalisten erfolgen verschlüsselte Kommunikation und Schlüsselaustausch auf ähnliche Weise

Ausführlichere Informationen zum Design und zur algorithmischen Struktur finden sich im gemeinsam mit dem Computer Science Department der University of Cambridge verfassten Whitepaper

Sicherheitsrichtlinie

  • Die Sicherheit von CoverDrop hat höchste Priorität
  • Es wird anerkannt, dass vollständige Sicherheit unmöglich ist; Hinweise von Sicherheitsforschern sind willkommen
  • Themen wie Vertraulichkeit, Integrität, Netzwerk-Anonymität und abstreitbare Verschlüsselung werden laufend verbessert
  • Auch Side-Channel-Probleme durch andere Elemente innerhalb der integrierten News-App werden aktiv angegangen

Hinweise zur Nutzung von Kryptografie-Software

  • CoverDrop enthält Kryptografie-Software
  • Die jeweiligen nationalen Gesetze zu Import, Nutzung und Reexport von Kryptografie-Technologien müssen eingehalten werden
  • Klassifizierung durch das U.S. Department of Commerce BIS: ECCN 5D002.C.1 (Software mit asymmetrischer Kryptografie)
  • Diese Open-Source-Veröffentlichung fällt unter die Ausnahme für Exporte (TSU, §740.13)

Lizenz

  • Das CoverDrop-Repository wird unter der Apache License 2.0 bereitgestellt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-06-11
Hacker-News-Kommentare

  • Für alle, die eine etwas ausführlichere Erklärung brauchen, ist die Hauptseite https://www.coverdrop.org/ gut geeignet, um hilfreiche Informationen zu liefern. Schade ist, dass der britische Official Secrets Act von 1920 anonyme Kontakte zu Zeitungen schützte, dieser Teil aber in späteren Gesetzesänderungen gestrichen wurde.

  • Viele Nachrichtenorganisationen nutzen https://securedrop.org/; daher fragt man sich, worin CoverDrop anders und besser ist. Ein Verzeichnis unterstützter Medien findet sich unter https://securedrop.org/directory/.

    • Das wird im Paper bereits behandelt: SecureDrop und CoverDrop fokussieren sich auf leicht unterschiedliche Szenarien. SecureDrop verwendet TOR, was auf Netzwerkebene oder auf dem Endgerät erkannt werden kann; in manchen Situationen kann schon allein die Tatsache, dass TOR genutzt wurde, zur Enttarnung eines Whistleblowers führen. Die Installation einer News-App wirkt dagegen weniger verdächtig. CoverDrop eignet sich für unerfahrene Nutzer, um erstmals Kontakt aufzunehmen, ohne sich zu exponieren. Der Netzwerkverkehr ist nicht von dem normaler Nutzer zu unterscheiden, und der App-Speicher belegt unabhängig von der tatsächlichen Nutzung Platz, was plausible Abstreitbarkeit bietet. CoverDrop kann im Gegensatz zu SecureDrop keine großen Dateien übertragen, und das Paper schlägt vor, dass Journalisten bei Bedarf innerhalb einer CoverDrop-Nachricht erklären, wie SecureDrop sicher zu verwenden ist. Wenn also ausreichend Sicherheitsbewusstsein und technisches Können vorhanden sind, kann der direkte Weg über SecureDrop die einfachere Wahl sein.

    • SecureDrop ist hervorragend, und auch The Guardian plant, es weiterhin zu nutzen. Der große Unterschied ist, dass SecureDrop Anonymität bietet, ohne dass der Tor Browser installiert werden muss; indem diese Funktion in die News-App integriert wird, sinkt die Hürde für nichttechnische Whistleblower drastisch. Im Grunde unterstützt es eine gute OPSEC. CoverDrop (Secure Messaging) hat derzeit noch Grenzen: Aufgrund der Protokolleigenschaften können keine Dokumente hochgeladen werden, sodass pro Tag nur einige KB übertragen werden können. Aktuell kann ein Journalist den Nutzer je nach Lage zu Signal weiterleiten. Da der Journalist zuerst Identität und Bedrohungslage der Quelle bewertet und dann eine Signal-Nummer übermittelt, ist das eine gute Struktur, um Risiken einmal vorzufiltern. Für die Zukunft wird auch überlegt, innerhalb des CoverDrop-Systems nach einer Risikobewertung einen Dokumenten-Upload-Link zu senden, der den Verlust von Anonymität minimiert, etwa verkleidet als verschlüsselter E-Mail-Anhang. Es gibt dazu ein Referenz-Paper. Eine weitere Einschränkung ist, dass die Anonymität dieses Systems von einer großen Nutzungsbasis der App abhängt; wenn kleine Nachrichtenagenturen es einführen, kann diese Eigenschaft schwächer ausfallen. Trotzdem wird allein die Struktur mit plausibel abstreitbarem Speicher gegenüber anderen Whistleblower-Methoden (PGP-, Tor-basierte usw.) als großer Fortschritt gesehen. Positiv ist außerdem, dass es selbst dann ziemlich sicher erscheint, wenn nur man selbst diese App nutzt.

    • Dieselbe Frage taucht auch in den FAQ auf der Homepage auf.

  • Ich mag diese Idee wirklich sehr; sie erinnert an die geheimen Kommunikationssysteme, die die CIA früher über Star-Wars-Fanseiten und Ähnliches aufgebaut hatte. The Guardian erwähnt es nicht ausdrücklich, aber dass auch diese App tatsächlich mit so einer Tarnstory entworfen wurde, macht die Verkleidung als News-App zu einem wirklich starken Ansatz. Ein persönlicher Hinweis dazu: Wer über diese App ein Leak plant, sollte sie nur ungern auf Geräten verwenden, die jederzeit Gegenstand einer Untersuchung werden könnten. Ein Beispiel wäre ein vom Unternehmen bereitgestelltes Diensthandy. Selbst wenn schon die Installation der Guardian-App an sich kein Problem ist, könnte bei einer internen Untersuchung, wenn eine wichtige Story über den Guardian erscheint, die Liste der Verdächtigen etwa so eingegrenzt werden: 1. Personen, die überhaupt Zugriff auf die Information hatten 2. davon diejenigen, die die App installiert haben, Spuren eines Downloads hinterlassen haben oder die Herausgabe ihres Geräts verweigern. Wenn Informationen nur in einer kleinen Gruppe bekannt sind oder das Gerät mit dem tatsächlichen Nutzer verknüpft ist, sollte man zur Minimierung des Entdeckungsrisikos das Gerät einer anderen Person verwenden, etwa das eines Familienmitglieds. Das eigentliche Ziel ist, bei einer Untersuchung keinen Verdacht zu erregen, und wenn man bedenkt, dass diese App und die bereitgestellten Informationen direkt mit einer Guardian-Berichterstattung verknüpft werden könnten, ist selbst bei technischer Sicherheit eine perfekte Tarnung schwer. Meine letzte Empfehlung wäre, ein Gerät zu verwenden, das sich nur schwer mit der eigenen Person verbinden lässt, da das bei einem Leak deutlich mehr Sicherheit bietet. Da dieser Punkt im Threat Model nicht ausdrücklich genannt wird, wollte ich die Möglichkeit zusätzlicher Opfer ansprechen.

    • Kommentar aus Sicht des technischen Projektleiters: Ich stimme zu, dass man kein Diensthandy verwenden sollte, insbesondere weil viele Dienstgeräte faktisch Mobile-Management-Lösungen (MDM) enthalten, die wie Spyware wirken. Das bestätigt erneut, dass rein technische Ansätze an Grenzen stoßen, wenn die anonyme Gruppe klein ist. Es wurde viel Arbeit investiert, damit sich die App-Nutzung selbst in Whistleblower-Situationen glaubhaft abstreiten lässt. Die Daten sind in „öffentlichen“ und „privaten“ Speicher aufgeteilt, wobei private Daten in einem verschlüsselten Speicher fester Größe liegen und durch eine von einem Teammitglied in Cambridge entwickelte KDF-Technik (Link) abgesichert werden. Wenn allerdings Spyware auf dem Gerät installiert ist, werden all diese Bemühungen in der Praxis bedeutungslos. Dieses Risiko ist intern bekannt und wurde bereits diskutiert; die FAQ sollen dazu noch verbessert werden, insbesondere mit einem klaren Warnhinweis zur Nutzung von MDM. Ein Update ist in naher Zukunft geplant. Zusätzlich sind bereits Funktionen zur Erkennung und Warnung bei gerooteten Geräten oder Geräten im Debug-Modus eingebaut. Die Erkennung von MDM ist ein Katz-und-Maus-Spiel, daher ist es aus Sicht des Teams am besten, wenn Nutzer von vornherein gar keine Dienstgeräte verwenden.

  • Frage nach dem Zeitplan: Wann erscheint die offizielle Veröffentlichung, ich würde es gern in Obtainium aufnehmen.

    • Dieses Projekt ist eine Bibliothek, daher ist unklar, ob es sich überhaupt für eine Aufnahme dort eignet. Das eigentliche Ziel einer Aufnahme wären die Apps, die es verwenden, und derzeit scheint das nur die Guardian-App zu sein. Es wird noch auf eine Antwort des Guardian-Teams gewartet, ob künftig neben dem Play Store weitere Distributionswege geplant sind.